A felhőszuverenitás nem csak egy marketingszlogen
July 10, 2024
Fontos bejelentések a Progress Flowmontól és a Progress Kemptől
July 17, 2024A felhőszuverenitás nem csak egy marketingszlogen
July 10, 2024Fontos bejelentések a Progress Flowmontól és a Progress Kemptől
July 17, 2024
A TAP eszközök előnyei és típusai – 1. rész
A TAP-okról szóló cikksorozatunk első részében áttekintjük a switchek csomagtükrözési mechanizmusait, a SPAN-ekkel kapcsolatos alapvető problémákat, azokat a technikai körülményeket, amelyek korlátozzák hogy az összes hálózati csomagot veszteség nélkül rögzítsék. Hamarosan következő, további cikkekben foglalkozunk majd azzal, hogy miért a TAP-okat részesítjük előnyben a SPAN-portok használatával szemben.
Modern IT-infrastruktúrákban a hálózati forgalom kiterelése megfigyelő és analitikai rendszerek számára elengedhetetlen a biztonság, a teljesítmény és a megbízhatóság fenntartásához. Ennek megvalósítására számos módszer létezik, melyek közül a TAP-ok (Test Access Points) és a SPAN-portok (Switch Port Analyzer) használata a legelterjedtebbek. Míg a SPAN portok vagy más switch-alapú tükrözési technikák költséghatékonyságuk és könnyű telepíthetőségük miatt széles körben használatosak, a TAP-ok jelentős előnyöket kínálnak velük szemben, melyek a hálózati forgalom tükrözésére sokkal alkalmasabbá teszik őket. Hogyan működik a csomagtükrözés a switcheken? A csomagtükrözés, amely jellemzően SPAN portok használatával valósul meg, az aktív hálózati forgalom másolását és a lemásolt csomagok elküldését jelenti a switch egy vagy több portjáról vagy VLAN-járól egy erre a célra kijelölt felügyeleti portra. A csomagtükrözés megvalósításának lépései: 1. Konfiguráció: A switch konfigurálása, hogy bizonyos portokat vagy VLAN-okat figyeljen. 2. Duplikálás: Ahogy a forgalom áthalad a felügyelt portokon, a switch minden csomagról másolatot készít. 3. Továbbítás: A duplikált csomagok továbbításra kerülnek a SPAN portra, ahol azok felügyeleti eszközökkel rögzíthetők és elemezhetők.
VLAN-ok forgalmának tükrözése SPAN-portra
A SPAN-portok gyengeségei, technikai korlátjai A SPAN-portok legfőbb technikai korlátja a switchek feldolgozási teljesítményétől, CPU- és memóriakapacitásától való függőségük. A hálózati switcheket úgy tervezték, hogy a csomagtovábbítási és kapcsolási funkciókat részesítsék előnyben az olyan kiegészítő feladatokkal szemben, mint például a forgalom tükrözése. A SPAN-portok használata az alábbi problémákat veti fel: 1. Erőforrás-felhasználás: A SPAN-műveletek ugyanúgy a switch CPU- és memóriaerőforrásait használják, mint az elsődleges funkciók. Nagy mennyiségű forgalom tükrözése megterhelheti a kapcsolót, ami a felügyeleti folyamat teljesítményének csökkenéséhez vezet. Így a hálózati felügyelet közvetlen hatással van a switchek és a hálózat teljesítményére is. 2. Csomagvesztés: A SPAN portok hajlamosak a csomagvesztésre különösen nagy hálózati forgalmi terhelés mellett. Ha a kapcsoló túlterhelt, a tükrözött adatfolyamból csomagokat dob el, hogy a normál hálózati forgalmat részesítse előnyben. Ez hiányos adatrögzítést eredményezhet a felügyeleti eszközökön, ami hátrányos a hálózati forgalom pontos elemzésének szempontjából, illetve megkérdőjelezi a hálózati biztonságot és auditálhatóságot is. 3. Korlátozott sávszélesség: A SPAN-portok ugyanazokkal a fizikai sávszélességi korlátokkal rendelkeznek, mint a hagyományos kapcsolóportok. Ha a tükrözött forgalom meghaladja ezt a sávszélességet, a csomagok eldobásra kerülnek. 4. Késlekedés és időzítési problémák: A csomagok duplikálásának és továbbításának folyamata késleltetést eredményez a megfigyelésben. Emellett az időbélyegzés pontossága is sérülhet, ami befolyásolja a forgalomelemzés helyességét.
Csomagvesztés kockázata SPAN-portok használatával, míg a TAP-ok minden forgalmat rögzítenek
A SPAN portok részletes mechanizmusa a switchekben Mint említettük, a SPAN-portok a switchen átmenő hálózati forgalmak megfigyelésére szolgálnak, úgy, hogy a megadott portokról vagy VLAN-okból származó csomagok másolatát elküldik egy kijelölt megfigyelő portra. Nézzük meg, hogyan működnek a SPAN portok: 1. Konfiguráció:Forrásportok: A rendszergazda úgy konfigurálja a switchet, hogy meghatározott forrásportokat vagy VLAN-okat figyeljen. Ezek azok a portok, amelyekről a forgalom tükrözve lesz. Célport: A rendszergazda kijelöl egy SPAN-portot (a célportot), ahová a tükrözött forgalom elküldésre kerül. 2. Csomagok duplikálása:Ahogy a csomagok belépnek a forrásportokra vagy kilépnek onnan, a switch minden csomagról másolatot készít. A duplikációs folyamatot a switch belső hardvere, legfőképp az ASIC (Application-Specific Integrated Circuit) kezeli, amely a nagy sebességű csomagfeldolgozásért felelős. 3. Továbbítás a SPAN portra:A duplikált csomagok továbbításra kerülnek a SPAN portra. Ez a továbbítási folyamat valós időben történik, biztosítva, hogy a tükrözött forgalom a lehető legközelebb álljon az élő forgalomhoz. A SPAN-porthoz csatlakoztatott megfigyelő eszközök (például IDS/IPS, NDR, vagy egyéb hálózati elemző eszközök) rögzítik és elemzik a tükrözött csomagokat. A vezérlési sík és az adatsík a csomagtükrözésben A vezérlési sík és az adatsík szerepének megértése fontos a csomagtükrözés működésének és korlátjainak megértéséhez.
A vezérlési és az adatsík ugyanazt a CPU erőforrást használja
Vezérlő sík A vezérlési sík felelős a hálózat konfigurálásáért és kezeléséért. A SPAN kontextusában a vezérlő sík a következő feladatokat látja el: 1. Konfigurációkezelés:Lehetővé teszi a hálózati rendszergazdák számára a SPAN-munkamenetek konfigurálását, beleértve a forrásportok/VLAN-ok és a célport megadását. A vezérlő sík biztosítja, hogy a SPAN-munkamenet beállításait a switch tárolja és helyesen alkalmazza. 2. Házirend-kényszerítés:A vezérlő sík a konfigurált szabályok alapján érvényesíti a tükrözendő forgalomra vonatkozó házirendeket. 3. Figyelés és diagnosztika:Eszközöket biztosít a rendszergazdák számára a SPAN-munkamenetek állapotának nyomon követéséhez és a forgalom tükrözésével kapcsolatos problémák diagnosztizálásához. Adatsík Az adatsík felelős a csomagok tényleges továbbításáért a vezérlő sík konfigurációi alapján. A SPAN kontextusában az adatsík a következő feladatokat látja el: 1. Csomagfeldolgozás:Az adatsík feldolgozza a forrásportokon bejövő és kimenő csomagokat. A SPAN-konfiguráció által diktált módon másolatokat készít ezekről a csomagokról. 2. A forgalom duplikálása és továbbítása:A megkettőzött csomagok valós időben továbbításra kerülnek a SPAN portra. Ideértve a switch hardveres képességeinek, például az ASIC-nek a kihasználását a nagy sebességű csomagduplikálás és -továbbítás hatékony kezelésére. Bár a SPAN-portok kényelmes módszert jelentenek a hálózati forgalom megfigyelésére, az eszköz vezérlő és adatsíkjára való támaszkodásuk számos korlátot jelent, többek között közös CPU és memória erőforrás-fogyasztást, lehetséges csomagvesztést és a forgalom hiányos rögzítését. A következő részben a TAP eszközök előnyeit vesszük sorra.