Blog

TAP ili SPAN?

TAP i SPAN tehnologije osiguravaju direktan pristup podatkovnim paketima koji putuju kroz mrežu. Ali, koja je preferirana metodologija u modernoj infrastrukturi? Ako su obje opcije korisne, kada se jedna tehnologija treba koristiti umjesto druge? TAP ili SPAN, pitanje je sad.

Današnje mreže postaju sve veće i kompleksnije, prenose nevjerojatne količine podataka po sve većim brzinama. 400Gb i 1Tb Ethernet su u razvoju, nove inicijative kao što je Internet of Things (IoT) i Cloud Computing dodaju nove slojeve kompleksnosti a sve to čini sveobuhvatan pristup do razine pojedinačnog paketa vrlo problematičnim. Istovremeno, kibernetičke prijetnje postaju sve sofisticiranije pa upravo iz tog razloga, mrežna vidljivost postaje ključna za nadzor, upravljanje i zaštitu mreže. Puno važnija nego ikada do sada.

Pristup podacima u pokretu do razine paketa prvi je korak da postignemo tu vidljivost, jer ništa drugo ne daje sličnu razinu dubine i granularnosti. Dvije najčešće korištene metode ekstrahiranja tih informacija su TAP i SPAN tehnologije. Za određenu situaciju, kako odlučiti koju koristiti?  Dakle – TAP ili SPAN?

Ovaj članak objašnjava detaljnije te dvije tehnologije kako bi mogli jasno razlikovati kada je svaku od njih najbolje koristiti u današnjoj  modernoj infrastrukturi.

Slika 1: TAP i SPAN usporedba

Osnove TAP i SPAN tehnologije

Mrežni TAP (Test Access Point) je jednostavan uređaj koji se spaja direktno na mrežnu infrastrukturu. Umjesto dva switcha ili routera koji se direktno spajaju jedan na drugoga, TAP sjedi između ta dva uređaja pa tako svi podaci prolaze kroz TAP. Pomoću internog razdjelnika, TAP kreira kopiju podataka za nadzor dok originalni podaci i dalje kontinuirano i neometano prolaze kroz mrežu.

Podaci iz mreže se šalju (Tx) iz uređaja A te primaju (Rx) u uređaj B.  U isto vrijeme, podaci mogu putovati u obrnutom smjeru gdje uređaj B šalje podatke prema uređaju A. Većina TAP-ova odvojeno kopira poslane signale od A i B te ih šalje na odvojene portove za nadzor (TxA  i TxB).

 

Slika 2: TAP dijagram toka

Ova tehnika osigurava kopiranje svakog paketa, bilo koje veličine. Ona također eliminira svaki mogući oversubscription. Jednom kada su podaci TAP-irani, duplikat kopija se može upotrijebiti za bilo koju vrstu nadzora, sigurnosti ili analitike. Stoga su TAP-ovi ključna komponenta svakog sustava vidljivosti.

Važno je napomenuti da umetanje TAP-a u postojeći mrežni link podrazumijeva kratkotrajno odspajanje kabela, pa se tako TAP-ovi obično instaliraju u periodu redovnog održavanja.

SPAN (Switch Port Analyzer) port, ponekad zvan i mirror port, je softverska funkcionalnost ugrađena u switch ili router koja kreira kopiju odabranih paketa koji prolaze kroz uređaj te ih šalje na određeni SPAN port. Koristeći softver, administrator može lako konfigurirati ili promijeniti koje podatke treba nadzirati.

Obzirom da je primarna svrha switcha ili routera da prosljeđuje pakete, podaci iz SPAN-a dobivaju niži  prioritet na uređaju. Isto tako, SPAN koristi jedan izlazni port za agregiranje više linkova pa vrlo lako dolazi do oversubscription-a.

Obje situacije mogu dovesti do gubitka paketa. SPAN nikad nije bio zamišljen za dugotrajan nadzor, najbolje radi kao ad hoc nadzor male količine podataka na lokacijama gdje TAP-ovi nisu instalirani. SPAN još uvijek predstavlja jedini način za pristup do određenih podatka kao što su primjerice podaci koji prelaze između portova na istom switch-u.

Povijesna perspektiva

U ranim danima mrežnih tehnologija, mreže su bile spore i bilo je relativno lako uhvatiti pakete. Mreže su radile na 10Mb Ethernetu koristeći koaksijalni kabel i dijeljena čvorišta za prijenos podataka. Budući da je svaki port na čvorištu sadržavao sve podatke unutar domene, analizator protokola mogao je biti postavljen na bilo koji podatkovni port na čvorištu kako bi se vidjelo sve što dolazi ili dolazi s bilo kojeg drugog lokalnog uređaja.

Kako su se LAN i WAN mreže razvijale te počele sve više koristiti, pojavili su se problemi skaliranja i ozbiljni sigurnosni izazovi. 1995. godine IEEE je standardizirao Fast Ethernet i time je počelo doba switch-eva. Switching tehnologija prosljeđuje podatke na portove gdje se nalaze određene adrese umjesto da uređaj prima sve podatke dok traži svoju adresu. Skalabilnost switch-eva je ogromna pa je tako korištenje Interneta poraslo otprilike u to vrijeme kad su se pojavili. No, pošto oni prosljeđuju pakete samo na odgovarajuće portove, izgubljen je jednostavan pristup kompletnim podacima pa su tako TAP-ovi postali de facto standard za vidljivost svih podataka koji prolaze nekim linkovima. To je dovelo i do velike potražnje za mrežnim administratorima pa je odgovor najvećih proizvođača mrežne opreme bio dodavanje softvera u svoje uređaje kako bi kopirali podatke na SPAN monitoring portove. Obzirom da je ta funkcionalnost prvenstveno bila namijenjena povremenom rješavanju problema (troubleshooting), implementacija softvera je imala utjecaj na performanse uređaja pa su proizvođači morali prioritizirati produkcijske podatke nad kopiranim paketima

Godinama su TAP i SPAN konkurirale jedna drugoj. Mrežni profesionalci su zauzimali stajališta na osnovu vlastitih iskustava koje su tvrdoglavo branili. Neki su isključivo implementirali TAP-ove dok su ih drugi potpuno izbacili iz svoje infrastrukture.

Pošto su mreže  evoluirale sa 10Mb na 10Gb, dogodio se novi moment. SPAN portovi su često postajali zagušeni ogromnom količinom podataka. Proizvođači su primijetili da su SPAN portovi dobri za mali volumen podataka ali da mogu negativno utjecati na produkciju ako su nepravilno konfigurirani. Neki proizvođači brzih switch-eva su ih dizajnirali bez SPAN mogućnosti dok ih neki drugi ne preporučuju. Na 10Gb neki su implementirali rate limiting na SAN izlaznom portu kao default podstavku kako bi smanjili štetne efekte. Iz tog razloga su TAP-ovi postali preferirana pristupna tehnologija u modernim mrežama.

Zašto su mrežni TAP-ovi preferirani u odnosu na SPAN portove?

U modernim mrežama, TAP je preferiran u odnosu na SPAN portove zbog više razloga. Pasivni TAP-ovi nemaju napajanje i rade godinama bez prekida. Njihov hardverski dizajn eliminira oversubscription dok istovremeno savršeno hvata svaki paket. Premda SPAN portovi rade sasvim dobro na nižim razinama iskorištenja, kako poslani (Tx) tako i primljeni (Rx) podaci prosljeđuju se na jedan izlazni SPAN port.

 

Slika 3: Zašto su SPAN portovi vrlo lako Oversubscribed

To znači da će jedan switch port, kroz koji prolazi dvosmjerni promet na 60% iskorištenja, slati podatke na SPAN port na 120%. Obzirom da Ethernet port nikad ne može ići iznad 100%, najmanje 20% podataka biti će odmah odbačeno. Ako je desetak ili više sličnih portova agregirano na jedan SPAN port, samo djelić podataka će se probiti do nadzornih alata.

Slijedeći graf prikazuje realnu mrežu u točki gdje je izvor konvertiran sa SPAN-a na TAP. Nakon promjene vidljiv je trenutačni porast prometa. Obzirom da su isti podaci bili prikupljani prije i nakon konverzije, očito da je originalna SPAN konfiguracija bila ‘oversubscribed’ te da su paketi ispuštani.

Slika 4: Konverzija SPAN-a na TAP

I na kraju, dodatni razlozi objašnjavaju zašto je TAP preferiran u odnosu na SPAN. Budući da SPAN podaci na switch-u imaju niski prioritet, osim ispuštanja podataka može doći i do toga da podaci dođu van reda ili da dođe do različitih odstupanja u kašnjenju, tako da se SPAN podaci u konačnici mogu isporučiti prije ili kasnije od realnih podataka iz produkcije. To se nikad ne događa s TAP-om, jer se svaki paket prosljeđuje u točno utvrđenom redoslijedu.

Da sumiramo, evo 10 glavnih razloga zašto su mrežni TAP-ovi preferirani u odnosu na SPAN portove:

  1. TAP-ovi kreiraju točnu kopiju dvosmjernog mrežnog prometa sa ‘full line’ rate, pružajući potpunu vjernost podataka za mrežni nadzor, analitiku i sigurnost.
  2. Pasivni TAP-ovi pružaju kontinuirani pristup prometu i ne traže korisničke intervencije ili rekonfiguracije nakon početne instalacije.
  3. SPAN portovi vrlo lako postaju oversubscribed, što rezultira ispuštenim paketima a to dovodi do nezadovoljavajućih i nekonzistentnih rezultata za nadzor i sigurnost mreža.
  4. SPAN promet ima najmanji prioritet kod usmjeravanja a često ne ostvaruje ‘full line’ rate. U nekim situacijama, niski prioritet može uzrokovati ispuštanje paketa čak i na SPAN portu koji radi na jednoznamenkastoj utilizaciji.
  5. SPAN aplikacija može imati negative utjecaj na performanse switch-a, što dosta utječe na mrežni promet.
  6. Pošto se SPAN promet dosta lako rekonfigurira, SPAN izlazni promet može se mijenjati iz dana u dan ili iz sata u sat, što rezultira nekonzistentnom izvještavanju.
  7. Pravna regulativa ili korporativna pravila usklađenosti ponekad zahtijevaju da se sav promet u određenom segmentu nadzire. To se može garantirati jedino sa TAP-ovima.
  8. Pogrešno konfigurirani SPAN portovi bitno utječu na performanse mreže a ponekad uzrokuju i ispade mreže.
  9. SPAN portovi su količinski limitirani u usporedbi sa brojem portova kojima je potreban nadzor, ujedno i zauzimaju portove koji bi inače prenosili produkcijski promet.
  10. TAP-ove nije briga koji protokoli se koriste u prometu te da li je IPv4 ili IPv6. Cijeli promet prolazi kroz pasivni TAP, uključujući pakete sa greškom. Aktivni TAP-ovi uglavnom blokiraju greške a prosljeđuju sve ostalo..

Dakle, TAP-ove trebate koristiti gdje god vam je potrebna stopostotna vidljivost i vjernost prometa. Kad god je količina prometa srednja do visoka, upotrebljavajte mrežne TAP-ove. Kao ‘best practice’, instalirajte TAP-ove u ranoj fazi dizajna rješenja i proslijedite promet direktno na uređaj tipa Gigamon visibility node. Čak i ako taj promet nije potreban za svakodnevnu inspekciju, biti će dostupan za ad hoc troubleshooting ili sigurnosnu inspekciju u sekundi i to bez potrebe pokretanja procesa promjene na projektu.

Kada je najbolje koristiti SPAN portove?

Kao što smo već objasnili, mrežni TAP-ovi su preferirani u odnosu na SPAN portove u modernim mrežnim okruženjima. Svejedno, još uvijek postoje lokacije gdje TAP nije praktičan. Uzmite u obzir SPAN portove u slijedećim slučajevima:

  • Limitirani ad hoc monitoring na lokacijama s postojećim SPAN mogućnostima gdje TAP-ovi ne postoje.
  • Na lokacijama gdje količina svjetla koja prolazi kroz optičku nit nije dovoljna da bi nakon ugradnje

TAPa signal mogao doći do druge strane

(Druga mogućnost ovdje je koristiti Active TAP ili jaču optiku koji podržavaj veće udaljenosti.)

  • Kritični proizvodni procesi gdje ne postoji vrijeme za održavanja u kojem bi se instalirao TAP.
  • Udaljene lokacije sa skromnim prometom koji ne može opravdati full-time TAP na linku.
  • Pristup do prometa koji ili ostaje unutar switch-a ili nikad ne dolazi na fizički link gdje promet može biti TAP-iran.
  • Jeftinija troubleshooting alternativa gdje linkovi imaju slabu utilizaciju.

Da zaključimo, i TAP-ovi i SPAN portovi mogu dati validni pristup podacima ako su pravilno postavljeni.

Dakle, koristitite TAP gdje možete, a SPAN gdje morate.

 

Moramo voditi računa da su TAP i/ili SPAN samo prvi korak u procesu ostvarenja sveobuhvatne vidljivost kroz kompletnu mrežnu infrastrukturu. Jednom kad je promet uhvaćen kroz TAP ili SPAN portove, možete ga poslati na Gigamon Visibility Platformu koja će ga nadzirati, upravljati s njim i zaštititi ga. Dostupan je niz GigaSMART aplikacija za optimizaciju prometa i isporuku relevantnih podataka specifičnim alatima koje koristite, koje će poboljšali performanse i učinkovitost tih alata.

O Gigamonu

Gigamon pruža aktivnu vidljivost u fizički i virtualni mrežni promet što omogućava jaču sigurnost i  superiorne performanse. Gigamon Visibility Platforma i GigaSECURE®, prva Security Delivery Platforma na tržištu, daje naprednu inteligenciju tako da rješenja za sigurnost i upravljanje mrežnim i aplikativnim prometom u korporativnim i javnim mrežama te mrežama pružatelja usluga djeluju učinkovitije. Za više informacija posjetite www.gigamon.com

Link sa više detalja kako TAP radi:

https://www.gigamon.com/sites/default/files/resources/whitepaper/wp-understanding-network-taps-the-first-step-to-visibility-3164.pdf

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!