Полная видимость сети — это основа мониторинга, управления и информационной безопасности. Если вы не можете увидеть проблемы, такие как сетевая атака, несанкционированное использование, неэффективность приложений и др., то как вы собираетесь их выявлять и эффективно решать?

Сегодняшние сети становятся все больше и сложнее, передавая беспрецедентные объёмы данных с возрастающей скоростью. В современных сетях во много раз больше кадров, чем было 20 лет назад, и мы давно перешли с 10 Мбит/с на полнодуплексные 1, 10, 40, 100 Гбит/с. Наступила эра тотальной безопасности данных, глубокого исследования пакетов (DPI), соответствия законодательству и политикам, сетевого аудита и законного перехвата (СОРМ), для чего требуется отслеживание всех данных, а не просто их «выборка». Всё это делает проблематичным повсеместный доступ к трафику на уровне пакетов, в то время как киберугрозы становятся всё более изощренными. В результате полная видимость сети необходима «как воздух» для мониторинга, управления и защиты вашей сети. Доступ к данным в потоке вплоть до уровня пакетов является первым шагом к получению полной видимости сети, поскольку ничто другое не обеспечивает аналогичный уровень глубины и детализации. Двумя наиболее распространенными методами получения этой информации являются технологии SPAN и TAP.

В этой статье мы рассмотрим специфику доступа к трафику через TAP и SPAN, некоторые фундаментальные соображения, лучшие практики, требования и отфильтруем некоторую дезинформацию о SPAN или доступе к трафику через коммутаторы. А также покажем, что использование TAP является единственной жизнеспособной и надежной технологией в 99% случаев.

SPAN или TAP? Вот в чем вопрос!

Технологии TAP (Test Access Point) и SPAN (Switch Port Analyzer или Switch Port for Analysis) обеспечивают прямой доступ к фактическим пакетам, перемещающимся по сетям, но какая методология является предпочтительнее для современных инфраструктур? Если оба варианта работают, то в каких случаях следует использовать TAP, а в каких SPAN? Вот в чём вопрос!

До начала 1990-х годов большинство анализаторов локальной сети присоединялись непосредственно к сети, чтобы контролировать её. Позже, когда хабы получили применение в архитектуре сетей, анализировать трафик стало проще. Достаточно было подключить систему мониторинга к одному из портов хаба, что позволяло получать каждый пакет, передающийся по сети.

По мере развития коммутаторов и маршрутизаторов, а также в результате отказа от использования хабов, появилась технология, которую мы знаем как SPAN/Monitoring порт коммутатора. С тех пор исчезла необходимость подключения средств мониторинга напрямую к сети, инженеры стали использовать SPAN-порт и направлять «зеркало» трафика от коммутатора или маршрутизатора к устройствам мониторинга и информационной безопасности.

По определению наличие SPAN на коммутаторе обычно указывает на возможность зеркалирования трафика из любого или всех портов в один неиспользуемый порт, но в то же время запрещает двунаправленный трафик на этом порту для защиты от обратного потока трафика в сеть. Технология SPAN изначально разрабатывалась как тестовая точка обеспечения и контроля качества (отладки) устройств для самих производителей сетевого оборудования, а точкой доступа к «зеркалу» трафика реализовалась как запоздалая идея.

Основные соображения, касающиеся требований к полной видимости реальной сети

Во время любого развёртывания сети существует множество различных факторов, влияющих на стратегию и дизайн подключений. Мы сформировали для вас основные позиции чек-листа, которые помогут вам взвесить все «за» и «против» при выборе способа обеспечения полной видимости сети.

  1. Любое активное устройство при работе с Ethernet-кадром изменяет его синхронизацию, даже если это не более чем изменение абсолютной привязки к сети. Единственное жизнеспособное исключение — это физический, отдельно стоящий сетевой TAP.

  2. Важно, чтобы все изменения при применении технологии/устройства зеркалирования трафика были линейными. Если смещение кадра составляло 5 мс, то все кадры должны иметь одинаковое смещение в 5 мс, если же нет, то устройство вмешивается в возможности мониторинга в реальном времени. Технология SPAN пример нелинейного смещения и невозможности проведения аутентичного анализа со SPAN-порта на основе времени.

  3. Сетевой TAP — это единственное устройство, которое будет передавать каждый бит, байт и октет, включая межкадровый интервал, плохие, большие, маленькие и другие пакеты, передающиеся по сети. Предпочтительнее использовать автономный TAP, а не интегрированный. Существует целая дискуссия о целесообразности передачи плохих пакетов для мониторинга и анализа. Однако очевидно, что даже простой подсчет плохих пакетов и их типов является обязательным требованием для анализа сети.

  4. Прежде чем развёртывать технологию доступа к трафику необходимо:

    • Протестировать несколько технологий зеркалирования, чтобы убедиться, что вы получаете те данные, которые действительно нужны и могут обрабатываться вашими инструментами мониторинга

    • Протестировать сеть до и после использования технологии зеркалирования, чтобы сравнить и получить реальную базовую линию воздействия способа зеркалирования на кадры

    • Приобретать и внедрять только качественное оборудование от известных вендоров

  5. И последнее очень важное соображение относительно технологии зеркалирования — юридическое. Не забывайте, что любые данные, полученные с помощью технологий зеркалирования, могут быть оспорены как в гражданских, так и в уголовных делах, возбуждаемых по результатам расследований сетевых инцидентов (Network Forensic). При использовании собранных данных в качестве доказательства их неправомерного использования или в ситуациях законного захвата, сетевой TAP ваш лучший союзник. TAP предоставляет доказательства без шанса что-либо изменить и с твердой временной привязкой. Это криминалистически надёжные данные/доказательства, которые являются обязательными для судебных или внутренних разбирательств в компании.

TAP устройство зеркалирования трафика

Сетевой TAP (Test Access Point) — это простое устройство, которое напрямую подключается к кабельной инфраструктуре сети. TAP устанавливается между двумя сетевыми устройствами, и все данные информационного обмена проходят через него. Используя внутренний физический (оптический) или логический (электрический) делитель, сетевой TAP создаёт и ответвляет копию данных для мониторинга, в то время как исходные данные беспрепятственно передаются по сети. Большинство TAP отдельно копируют потоки передачи от устройств A и B, отправляя их в отдельные порты мониторинга (TxA и TxB).

Принцип работы TAP гарантирует, что как каждый пакет, в независимости от размера и типа, так и весь трафик между устройствами А и В в целом, будет на 100% зеркалирован. Этот метод также исключает любую возможность переподписки. Как только трафик попал в TAP, он сразу же зеркалируется и может быть использован для любого вида мониторинга, обеспечения безопасности или анализа. Таким образом, TAP является ключевым компонентом любой системы обеспечения видимости сети. Следует отметить, что для подключения TAP к существующему сетевому соединению требуется короткое отключение кабеля, поэтому TAP обычно устанавливаются во время периода технического обслуживания сети.

SPAN технология зеркалирования трафика

SPAN — это программная функция, встроенная в коммутатор или маршрутизатор, которая создает копию выбранных пакетов, проходящих через устройство, и отправляет их на указанный SPAN-порт. Используя программное обеспечение, опытный администратор может легко настроить или изменить данные, подлежащие мониторингу.

Для того чтобы более глубоко понять, как и зачем можно использовать SPAN для получения доступа к «зеркалу» трафика, давайте ответим себе на три важных вопроса:

  1. Является ли SPAN пассивной технологией? Нет!

    Некоторые называют SPAN-порт пассивным решением для доступа к данным, но пассивный в этом случае означает «не оказывающий никакого эффекта», а в действительности, в зависимости от ситуации, технология SPAN оказывает ощутимое влияние на пакеты данных, а также влияет на всю их синхронизацию.

  2. Является ли SPAN масштабируемой технологией? Нет!

    Когда мы использовали только каналы 10 Мбит/с и надёжный коммутатор, можно было гарантировать, что средства мониторинга и ИБ, получая трафика со SPAN-порта коммутатора, видели каждый пакет (за исключением «плохих»). Даже с каналами 100 Мбит/с можно было бы добиться некоторого успеха в зеркалировании всех SPAN - это программная функция, встроенная в коммутатор или маршрутизатор, которая создает копию выбранных пакетов, проходящих через устройство, и отправляет их на указанный SPAN-порт.

    Всё изменилось с переходом на 1-, 10-, 40- и 100-гигабитные технологии, максимальная пропускная способность стала превышать базовую пропускную способность устройства вдвое – так что полнодуплексный гигабитный канал (FDX) теперь составляет 2 Гигабита данных, а 10-гигабитный канал - FDX-20 Гигабит потенциальных потоков данных. Ни один коммутатор или маршрутизатор не справится с 100% зеркалированием всех этих данных, при этом еще и справляясь с основными своими задачами коммутации и маршрутизации. Проще говоря, невозможно полноценно зеркалировать 16 и более сетевых портов коммутатора в один-два SPAN порта.

  3. RSPAN/ERSPAN технологии зеркалирования трафика которые работают? Нет!

    SPAN может отслеживать только трафик, проходящий через коммутатор, на котором он настроен непосредственно. Remote SPAN (RSPAN), в свою очередь, позволяет производить мониторинг трафика на физически удаленных портах, через сеть коммутаторов. Encapsulated Remore SPAN (ERSPAN) - технология, которая используется для зеркалирования трафика в L3 сетях на основе механизма GRE инкапсуляции. В современных условиях RSPAN/ERSPAN не являются жизнеспособными технологиями доступа к зеркалу трафика, особенно если пакеты передаются по глобальной сети. ERSPAN поглотит всю вашу пропускную способность, передавая кадры обратно на ваш локальный коммутатор, которые уже прошли через сеть. По этим причинами RSPAN/ERSPAN не являются ни приемлемыми, ни жизнеспособными методами доступа и полной видимости сети!

Использование SPAN-порта для анализа локальной сети

Для полной картины с использованием технологии SPAN давайте посмотрим, что сообщает один из ведущих вендоров. В своем «white paper» Cisco предупреждает, что «коммутатор обрабатывает данные SPAN с более низким приоритетом, чем обычные данные от порта к порту». Другими словами, если какой-либо коммутатор/маршрутизатор под нагрузкой должен выбирать между передачей обычного трафика и SPAN-трафика, SPAN в аутсайдерах, а зеркальные кадры будут произвольно отбрасываться. Это правило относится к сохранению сетевого трафика в любой ситуации. Например, при транспортировке удалённого трафика SPAN (RSPAN) через канал Inter Switch Link (ISL), который разделит пропускную способность ISL с обычным сетевым трафиком, сетевой трафик получит высший приоритет. Если нет достаточной емкости для удаленного трафика SPAN, коммутатор также отбрасывает его.

Зная, что SPAN-порт произвольно отбрасывает трафик при определенных условиях нагрузки, какую стратегию должны принять пользователи, чтобы не пропустить кадры? Согласно «white paper» Cisco - «лучшая стратегия состоит в том, чтобы принимать решения, на основании загрузки портов в текущей конфигурации, и в случае сомнений применять SPAN-порт только при относительно низкой загрузке».

Таким образом, используя коммутатор для зеркалирования трафика, помните, SPAN-доступ не является отказоустойчивым и может быть основной точкой сбоя или отказа для ваших систем мониторинга, управления и ИБ.

Когда допустимо использовать технологию SPAN?

Как описано выше, в современных сетевых средах сетевые TAP предпочтительнее SPAN-портов. Однако всё ещё есть места, где TAP непрактичен.

Многие решения для мониторинга могут и успешно используют SPAN в качестве технологии зеркалирования трафика. Такие решения работают с событиями уровня приложений, такие как «анализ разговора или соединения», «потоки приложений», которые используют небольшую часть полосы пропускания коммутатора, и обработка средствами мониторинга получаемого зеркала трафика c потерянными пакетами и временными смещениями не влияет на качество отчетов и статистики. Причина успешного использования таких решений с использованием SPAN в том, что они соответствуют параметрам и возможностям SPAN-портов, и им не нужен каждый кадр для успешной отчетности и анализа.

  • SPAN можно использовать на удалённых площадках, где не оправдано постоянное развертывание средств мониторинга и анализа, организуя временное решение для устранения неполадок.

  • SPAN можно использовать на участках сети с ограниченным оптическим бюджетом, где коэффициент разделения TAP может вносить недопустимые затухания.

  • В случаях аварийных ситуаций на производстве, когда нет окна технического обслуживания, в котором можно установить TAP.

  • При необходимости доступа к трафику, который либо остается в пределах коммутатора, либо никогда не достигает физического линка, на котором трафик может быть ответвлен TAP.

Другими словами, SPAN порт — это полезная технология, если она используется правильно, в хорошо управляемой сети и проверенной методологии.

Резюме

TAP ответвители сетевого трафика

  • TAP создают полную 100% копию двунаправленного сетевого трафика, обеспечивая максимальную точность мониторинга сети

  • TAP не изменяют временные соотношения между кадрами, интервалом и временем отклика, что особенно важно при анализе VoIP и Triple Play, включая анализ FDX

  • TAP не вносят дополнительного джиттера или искажения, что важно при анализе VoIP/видео

  • TAP пропускают весь трафик: IPv4 или IPv6, пакеты с ошибками, короткие или большие кадры, неправильные кадры CRC, межкадровый интервал не отбрасывается и не изменяется, любые пакеты не отбрасываются независимо от полосы пропускания

  • TAP отказоустойчивы

  • Правовые нормы или корпоративное соответствие иногда требуют, чтобы весь трафик для определенного сегмента контролировался. Это можно гарантировать только с помощью TAP

  • TAP не являются адресными сетевыми устройствами, поэтому не могут быть взломаны

  • TAP не нужно настраивать и обновлять, получение всех данных гарантировано и экономит время персонала. Просто подключите и контролируйте 100% трафика

SPAN-порт коммутатора

  • При использовании SPAN создаются дублирующиеся пакеты данных, что снижает эффективность инструментов мониторинга

  • SPAN может легко переподписаться, отбрасывая пакеты, также наблюдаются потери пакетов в случае перегрузки портов или в случае наличия в них ошибок. В результате «некорректной работы» сетевой специалист упускает из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по информационной безопасности может упустить вирусный трафик или атаку злоумышленника

  • Данные 1 уровня, повреждённые и некорректные пакеты, неправильный CRC, межкадровый интервал и другие нестандартные данные не пересылаются на SPAN- порты. Следовательно, SPAN не подходит для мониторинга, захвата и анализа протокола реального времени (RTP), особенно в современных стратегиях оценки среднего значения качества голоса или видео (MOS) и качества восприятия в целом (QoE)

  • Теги VLAN не всегда передаются через SPAN-порт, и это зависит от настроек. Поэтому это может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN

  • SPAN-порты предоставляют только обобщенные данные

  • SPAN-порты изменяют временные метки пакетов

  • Доказано, что SPAN-порты можно взломать (поэтому они могут представлять угрозу безопасности)

  • SPAN-порт имеет самый низкий приоритет на коммутаторе, когда дело доходит до выбора между основным трафиком и трафиком SPAN

  • SPAN-порты требуют программирования через интерфейс командной строки и могут быть неправильно настроены, что приводит образованию слепых зон для мониторинга и сбоям

  • В некоторых странах SPAN не соответствует требованиям закона для случаев законного перехвата

  • Количество SPAN-портов в коммутаторе ограничено по cравнению с количеством, необходимым для мониторинга. Разным специалистам требуется копия трафика для решения своих задач: обеспечение безопасности, контент фильтрации, обнаружения вторжения, диагностики и устранения проблем


Заключение

Технология SPAN по-прежнему жизнеспособна в некоторых ограниченных ситуациях, но при переходе на гигабитные сети с интерфейсами 10GbE - 100GbE, а также выполнения требований по полной видимости сети для обеспечения безопасности данных и соответствия политикам глубокого захвата пакетов, необходимо использовать технологию TAP для удовлетворения потребностей современных технологий анализа, мониторинга и информационной безопасности.

Имейте в виду, что TAP и/или SPAN — это всего лишь первый шаг в процессе обеспечения полной видимости всей вашей сетевой инфраструктуры. Полученный через SPAN-порты или сетевые TAP трафик вы можете отправить на брокер сетевых пакетов для оптимизации и последующей передачи соответствующих данных конкретным инструментам мониторинга, анализа и ИБ.

Подробнее о брокерах сетевых пакетов и их применении можно почитать в наших предыдущих статьях.

Комментарии (15)


  1. atd
    20.07.2021 22:02

    Сетевой TAP (Test Access Point) — это

    тап это просто английское слово, пришедшее в телеком (интернет) из телекома (телефонии), а туда из обычного языка. Только совсем недавно некоторые (не все) вендоры придумали к нему бэкроним


  1. victor_1212
    20.07.2021 22:12
    +1

    просто из любопытства, на какой элементной базе все это строится?

    скажем для NPB (network packet broker) нужны специализированне IC, что-нибудь типа network processor, у вас есть возможность их заказать, или изготовить?


    1. DSol Автор
      23.07.2021 12:12

      Хотя наша компания и занимается, в том числе разработкой микросхем, наши брокеры сетевых пакетов построены на базе готовых интегральных схем. При этом мы используем интегральные микросхемы общего применения и весь функционал обработки пакетов и управления разрабатываем сами. При этом выбор типа ЭКБ позволяет обеспечить гарантию сохранения производительности независимо от задействованных функций.


  1. osipov_dv
    20.07.2021 22:16

    Почему-то забыли про главный минус TAP - если он выходит из строя, то трафик не идет от источника к получателю. Со SPAN такого не будет, если конечно сетевое устройство в 100% утилизацию не уйдет из-за него.


    1. atd
      20.07.2021 22:28

      вероятность «выхода из строя» оптического тапа равна вероятности поломки патч-корда


      1. osipov_dv
        21.07.2021 08:54

        я видел медиаконвертеры которые глючили при получении определенной последовательности бит, и не пропускали последовательность пакетов.


        1. atd
          21.07.2021 10:00

          Медяк это всё-таки не пассивное оборудование, в отличие от тапа, который состоит из 3х сваренных пигтейлов. А медный тап уже много лет не актуален, у меня валяется один на полке, его включали 1 раз и то проверить что оно вообще работает...


  1. gotch
    21.07.2021 08:14

    Сколько стоит DS Copper-TAP?


    1. DSol Автор
      21.07.2021 12:43

      Стоимость DS Copper-TAP сопоставима с зарубежными аналогами. Подробную информацию вы можете получить, написав нам на sales@dsol.ru
      Из ключевых преимуществ нашего решения можно выделить: увеличенное время автономной работы, низкий уровень вносимых задержек и статус ТОРП (Единый реестр по ПП РФ № 878).


  1. iddqda
    21.07.2021 16:04

    при всех мнимых преимуществах тапов и притянутых за уши недостатков спан

    стоит отметить что озвученные в самом начале задачи успешно решают обе технологии

    при этом тапы еще надо где то взять и как то подключить к сети,

    а спаны, вот они - присутствуют в каждом свиче


    1. DSol Автор
      21.07.2021 18:09

      Позвольте не согласиться с утверждением, что указанные в данной статье преимущества TAP мнимы, а недостатки SPAN притянуты за уши. Наша цель - дать объективную оценку технологиям зеркалирования трафика, основываясь на собственном опыте и опыте наших коллег по всему миру. Мы показали, что в одних случаях и при определенных условиях (требованиях) можно применять одну технологию, в других другую. При этом есть ситуации, при которых технология SPAN строго не приемлема, а при других технология TAP нецелесообразна (нерентабельна). Сейчас TAPы широко представлены на мировом рынке почти десятком вендоров, в том числе и нашей компанией, так что приобрести их не составляет особой проблемы. Что касается сложности подключения TAP, то тут есть свои нюансы, которые описаны в статье. Поверьте, если стоит задача полностью контролировать сеть и иметь полную видимость сети, альтернативы TAP на сегодняшний день не существует. И да, мы писали «SPAN порт — это полезная технология, если она используется правильно, в хорошо управляемой сети и проверенной методологии».
      Спасибо за Ваш комментарий.


  1. Player2
    22.07.2021 09:49
    +1

    Большего бреда в жизни не читал))

    Расскажите про

    "канал Inter Switch Link (ISL), который разделит пропускную способность ISL с обычным сетевым трафиком, сетевой трафик получит высший приоритет"

    подробнее, пожалуйста)) ISL - это сисковский аналог vlan, проприетарный, использовался на CatOS. С конца девяностых о нём ничего не слышал (оцените свежесть материала - 20-с-хреном-лет). Сетевой трафик получит высший приоритет от кого?)) для чего?))

    При использовании SPAN создаются дублирующиеся пакеты данных, что снижает эффективность инструментов мониторинга

    Ого! Но как? Почему эффективность снижается?

    SPAN может легко переподписаться, отбрасывая пакеты, также наблюдаются потери пакетов в случае перегрузки портов или в случае наличия в них ошибок. В результате «некорректной работы» сетевой специалист упускает из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по информационной безопасности может упустить вирусный трафик или атаку злоумышленника

    Эээ. Ну, так-то и аплинк легко переподписывается. Не будем использовать аплинки?

    Сетевой специалист ничего не упускает. Приведите пример. Специалист по ИБ тоже ничего не упускает - пример пожалуйста)

    Данные 1 уровня, повреждённые и некорректные пакеты, неправильный CRC, межкадровый интервал и другие нестандартные данные не пересылаются на SPAN- порты. Следовательно, SPAN не подходит для мониторинга, захвата и анализа протокола реального времени (RTP), особенно в современных стратегиях оценки среднего значения качества голоса или видео (MOS) и качества восприятия в целом (QoE)

    О каких данных первого уровня речь?))

    некорректные, повреждённые пакеты, неправильный CRC (это что-то отличное от некорректных пакетов?), данные 1 уровня и межкадровый интервал - что-то из этого используется в RTP и поэтому RTP нельзя мониторить, я правильно понял?))

    MOS это разве не про кодек?))

    QoE - с нулевых ничего не слышал, это вроде как "юзер экспириенс"? "ой шото лагает", да? SPAN лагает, конечно)

    Теги VLAN не передаются через SPAN-порт, поэтому это может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN

    Передаются)) Лол))

    SPAN-порты предоставляют только обобщенные данные

    Это как? Что не так с этими данными?))

    SPAN-порты изменяют временные метки пакетов

    не больше чем при обычной коммутации

    Доказано, что SPAN-порты можно взломать (поэтому они могут представлять угрозу безопасности)

    показывайте, ладно, ваше доказательство)

    SPAN-порт имеет самый низкий приоритет на коммутаторе, когда дело доходит до выбора между основным трафиком и трафиком SPAN

    Что за ересь?)) Где это написано?

    Зная, что SPAN-порт произвольно отбрасывает трафик при определенных условиях нагрузки, какую стратегию должны принять пользователи, чтобы не пропустить кадры? Согласно «white paper» Cisco - «лучшая стратегия состоит в том, чтобы принимать решения, на основании загрузки портов в текущей конфигурации, и в случае сомнений применять SPAN-порт только при относительно низкой загрузке».

    Какая связь между "отбрасывает трафик" и "использованием только при относительно низкой нагрузке в случае сомнения"?

    Remote SPAN (RSPAN), в свою очередь, позволяет производить мониторинг трафика на физически удаленных портах, через сеть коммутаторов.

    Лол)) Нет, не позволяет)) У меня вот - ремут спан на одном коммутаторе и я хочу мониторить порт у соседнего коммутатора - но не получается)) Как вы настраивали?

    RSPAN не является жизнеспособной технологией доступа к зеркалу трафика, особенно если пакеты передаются по глобальной сети.

    Чего?)))) RSPAN по глобальной сети? Это как?

    RSPAN поглотит всю вашу пропускную способность, передавая кадры обратно на ваш локальный коммутатор, которые уже прошли через сеть. 

    обратно в коммутатор?)))) ахахахах

    Пожалуйста, пишите ещё! Я от всех сетевиков вас благодарю и мы ждём рассказ про ещё какую-нибудь технологию или протокол. Я даже сохраню это.


    1. DSol Автор
      22.07.2021 13:36
      +1

      подробнее, пожалуйста)) ISL - это сисковский аналог vlan, проприетарный, использовался на CatOS. С конца девяностых о нём ничего не слышал (оцените свежесть материала - 20-с-хреном-лет). Сетевой трафик получит высший приоритет от кого?)) для чего?))

      Действительно, данный протокол межкоммутационного канала является проприетарным протоколом в коммутаторах и маршрутизаторах компании Cisco. В настоящее время не поддерживается, но тем не менее может встретиться на старом оборудовании стандартов Fast Ethernet и Gigabit Ethernet. Приоритизацией трафика занимается коммутатор, в зависимости от настроек, и, думаю, компетентный администратор сети навряд ли даст SPAN-трафику приоритет выше, чем «боевому». В условиях повышенных нагрузок трафик RSPAN/SPAN, проходящий через/в коммутатор(е), будет отброшен. SPAN-пакеты всегда стоят первыми в очереди на свалку по логике коммутатора.

      Ого! Но как? Почему эффективность снижается?

      Если на устройство мониторинга/анализа приходит 10 пакетов из них 5 дублей (цифры для масштаба можно увеличить в десятки или сотни тысяч раз), то ему необходимо каждый из них обработать, потратив на это вычислительные ресурсы. При этом полезной информации в этих 10 пакетах столько же, сколько и в 5. А если система работает с высокой загрузкой, то дубли могут привести к перегрузке и потери части пакетов, с соответствующим ущербом для качества анализа.

      Эээ. Ну, так-то и аплинк легко переподписывается. Не будем использовать аплинки?

      Аплинки обычно делают с производительностью на порядок выше остальных портов и используют их несколько. То есть, если мы даже будем использовать 4*10G аплинка на 48*1G – масштаб переподписки довольно мал. И потенциальные потери в большинстве случаев будут компенсированы переповтором TCP. Использовать же порты 10G в аналогичном коммутаторе как SPAN мало кто будет, и даже в таком случае потерянные пакеты уже точно не попадут в систему мониторинга/ИБ – ради SPANа их переповторять некому.

      Сетевой специалист ничего не упускает. Приведите пример. Специалист по ИБ тоже ничего не упускает - пример пожалуйста)

      Даже в малонагруженной сети есть burst’ы по интерфейсам, которые приведут к потерям трафика на SPAN и получением анализирующим оборудованием неполных данных. При внезапно возросшей нагрузке на SPAN будет теряться большая часть трафика. Искать проблему инструментом, вносящим погрешность, тем сложнее, чем больше эта погрешность.

      О каких данных первого уровня речь?))

      Например, уровень оптического сигнала. TAP его, конечно, уменьшит, но предсказуемо. Для SPAN эта информация недоступна. Или упомянутые межкадровые интервалы.

      некорректные, повреждённые пакеты, неправильный CRC (это что-то отличное от некорректных пакетов?), данные 1 уровня и межкадровый интервал - что-то из этого используется в RTP и поэтому RTP нельзя мониторить, я правильно понял?))

      «Некорректными» могут восприниматься пакеты с проприетарными заголовками/метками другого оборудования, почему неправильный CRC (насколько и где побился пакет) – это не только для RTP, это и просто для анализа инцедентов и работоспособности сети.

      MOS это разве не про кодек?))

      Нет. Это про Mean Opinion Score (MOS) усредненная оценка разборчивости речи. MOS дает численное представление о качестве передаваемой медиаинформации и включает в себя и кодеки и передачу по каналам связи.

      QoE - с нулевых ничего не слышал, это вроде как "юзер экспириенс"? "ой шото лагает", да? SPAN лагает, конечно)

      Вопрос по-прежнему актуален (https://habr.com/ru/company/vasexperts/blog/477180/). И да, со SPANом разбираться с этим можно долго.

      Передаются)) Лол))

      Да, точнее «Теги VLAN не всегда передаются через SPAN-порт и это зависит от настроек». Спасибо, поправили.

      Это как? Что не так с этими данными?))

      Так как SPAN-портов мало, то обычно зеркалируется несколько портов в один SPAN. И, соответственно, невозможно понять, с какого порта эти данные пришли, они уже свалены в общий поток.

      не больше чем при обычной коммутации

      Так, точно! Поэтому используя SPAN, мы получаем некорректные временные метки на системе DPI, а в случае RSPAN ситуация еще более усугубляется, чего не происходит при использовании TAP. Как и на что это влияет, написано в статье. Опять же из-за объединения потоков понять, какие были задержки между пакетами в изначальных потоках после SPAN, уже невозможно.

      показывайте, ладно, ваше доказательство)

      Наиболее часто описывают 2 варианта:

      • изменение настроек коммутатора после взлома (SPAN-поток выключается, средство анализа перестает видеть трафик и если не успело зафиксировать атаку, то уже и не сможет)

      • подключение через SPAN-порт сторонним оборудованием (вместо средства анализа) и использование ошибок настройки или реализации у конкретного вендора.

      Что за ересь?)) Где это написано?

      Как минимум, в white paper Cisco. Даже в случае возможного выбора высшего приоритета SPAN-трафика над «боевым» на оборудовании того или иного вендора, компетентный инженер навряд ли понизит приоритет последнего (не рассматриваем исключительные и частные случаи). Более того, на оборудовании, где это возможно, инженеры с малой квалификацией допускают грубейшую ошибку при настройке SPAN (в плане приоритета) и «кладут» действующую сеть.

      Какая связь между "отбрасывает трафик" и "использованием только при относительно низкой нагрузке в случае сомнения"?

      При низкой нагрузке SPAN-порт может справляться или, по крайней мере, терять незначительный процент трафика. При высокой загрузке портов потери, скорее всего, станут неприемлемы.

      Лол)) Нет, не позволяет)) У меня вот - ремут спан на одном коммутаторе и я хочу мониторить порт у соседнего коммутатора - но не получается)) Как вы настраивали?

      Вам следует разобраться с возможностями и настройками оборудования, которое вы используете, и, если технология RSPAN поддерживается, у вас всё получится! Инструкции настройки SPAN/RSPAN/ERSPAN вы можете найти на просторах интернета или на сайтах вендоров.

      Чего?)))) RSPAN по глобальной сети? Это как?

      обратно в коммутатор?)))) ахахахах

      Да, на самом деле имелось ввиду ERSPAN. Спасибо, поправили.

      Пожалуйста, пишите ещё! Я от всех сетевиков вас благодарю и мы ждём рассказ про ещё какую-нибудь технологию или протокол. Я даже сохраню это.

      Спасибо за столь обширный комментарий! Надеюсь, мы ответили на все ваши вопросы, всегда приятно разбираться в тех или иных вопросах в диалоге.


  1. Dzzzen
    22.10.2021 19:05

    Был бы интересно увидеть примеры TAP устройств


    1. DSol Автор
      25.10.2021 12:18

      Наши TAP можно не только увидеть, но и протестировать, для этого заполните форму запроса или напишите нам на sales@dsol.ru