Является ли порт SPAN жизнеспособной технологией доступа к данным в современных, стратегически важных для бизнеса, сетях, особенно в свете современных более жестких требований Data Security Compliance (правила обеспечения информационной безопасности) и СОРМ. Не совсем. И вот почему!

Краткое отступление. Инженерно-техническому и управляющему персоналу сети сегодня приходится задумываться о требованиях соответствия и ограничениях общепринятых методов доступа к данным. В этой статье рассматриваются основные различия технологий ответвлений (TAP) и зеркальных портов (SPAN) и ограничения.

Технология SPAN не так уж и плоха, но следует учитывать ограничения, и, с того момента как управляемые коммутаторы(switches) стали неотъемлемой частью инфраструктуры, нужно проявлять осторожность и не создавать проблемных точек. Понимание предмета мониторинга очень важно для успеха, потому что частое злоупотребление SPAN портами ведёт к потере кадров. Это связано с тем, что коммутаторы LAN проектировались с таким расчетом, чтобы обрабатывать данные (изменение временной синхронизации, добавление задержки) и извлекать плохие кадры, а также игнорировать информацию 1 и 2 уровней. Более того, порты SPAN типовых реализаций не поддерживают FDX мониторинг, да и анализ VLAN тоже становится проблематичным

Более того, имея дело с Data Security Compliance сочетание тех фактов, что SPAN порты ограничивают представляемые данные, небезопасно и передача контролируемого трафика по рабочей сети, может оказаться сама по себе неприемлемой для судебного разбирательства.

Используемый в рамках своих ограничений и должным образом ориентированный, порт SPAN является полезным ресурсом для администраторов и систем мониторинга. Однако для 100% гарантированного отслеживания сетевого трафика пассивный сетевой ТАР является лучшим способом для достижения многих сегодняшних требований, и так как мы приближаемся к использованию 10 Гигабит и больше, ограничения доступа SPAN порта становятся все большей проблемой.

SPAN или TAP - вот в чём вопрос!

До начала 1990 , использование ТАР(Test Access Port) или контрольной точки доступа на коммутационной панели было единственной возможностью мониторинга каналов связи. Большинство каналов относились к сети WAN, и такие адаптеры как V35 от Network General или balum для LAN были единственными способами доступа к сети. Большинство анализаторов LAN должно было быть подсоединено к сети для реального мониторинга.

С развитием коммутаторов и маршрутизаторов приходит новая технология, которую мы называем SPAN портами или зеркальными портами и мониторинг отключают. Анализаторы и мониторы больше не должны подключаться к сети. Сетевые инженеры теперь могут использовать SPAN порт и перенаправлять пакеты данных с коммутатора или маршрутизатора на тестовое устройство для анализа.

Вообще SPAN – это коммутирующий порт для анализа, который является великолепным способом легко и без нарушения связи получить данные для анализа. По определению, SPAN-порт обычно указывает на возможность скопировать трафик с любого или со всех портов данных на один неиспользуемый порт, но, как правило запрещает двунаправленный трафик на этот порт , чтобы защитить сеть от передачи обратного трафика.

В прошлом при использовании коллективного хаба пакеты дублировались на все порты. Подключение «сниффера» на любой порт данных позволит увидеть весь трафик!

С появлением LAN-коммутаторов трафик распространяется только по принципу точка–точка. Пакеты больше не дублируются, доступ к сети теряется.

SPAN (или зеркальный) порт был изобретён, чтобы дублировать пакеты с одного порта или одного VLAN для мониторинга

Является ли зеркальный порт пассивной технологией? Нет!!!

Некоторые считают SPAN порт пассивным решением доступа к данным - но пассивный означает «не воздействующий», а зеркалирование (зеркальное копирование) оказывает некоторое воздействие на данные.

Первое. Зеркалирование меняет временные параметры взаимодействия кадров (увиденное и полученное – две разные вещи)
Второе. Spanning-алгоритм не рассматривался в качестве основной функции устройств, такой как коммутация или маршрутизация, таким образом приоритетом будет не spanning и если дублирование кадра становится проблемой, аппаратное устройство временно прекращает процесс SPAN
Третье. Если скорость SPAN-порта станет чрезмерной, загруженные кадры теряются
Четвёртое. Для правильного зеркалирования от сетевого инженера требуется должным образом сконфигурировать коммутаторы, а для этого придется отвлечься от более серьёзных задач, выполняемых сетевым инженером, и часто конфигурация становится вопросом политики (постоянно возникающие разногласия между IT структурой, структурой безопасности и структурой соответствия требованиям.)
Пятое. SPAN-порт отбрасывает все поврежденные пакеты или пакеты, размер которых меньше минимального, таким образом не все кадры проходят. Все эти события могут возникать в сети и пользователь не будет получать никаких уведомлений, так что нет гарантии, что будут представлена вся информация, необходимая для правильного анализа

Таким образом тот факт, чтоSPAN-порт в действительности не является пассивной технологией доступа к данным, и даже то, что он позволяет тестировать сеть без прерывания связи может стать проблемой в частности для мониторинга Data Security Compliance или СОРМ. Так как нет гарантии абсолютной точности воспроизведения, возможно,( и даже скорее всего так и будет), что данные, собранные в процессе мониторинга будут оспорены законодательным судом.

Является ли зеркальный порт масштабируемой технологией? НЕТ!

Ни коммутатор, ни маршрутизатор не смогут скопировать/зеркалировать все эти данные, одновременно выполняя свою основную работу по коммутации и маршрутизации. Трудно или практически невозможно пропустить через себя все кадры (исправные и поврежденные), включая FDX трафик на полной линейной скорости, в режиме реального времени на неблокирующих скоростях.

Более того, к необходимости полнодуплексной передачи мы также должны добавить такие вопросы, как сложность VLAN и нахождение источника проблемы сразу же, как только кадры были проанализированы и проблема установлена.

Из технического отчета Cisco: Об удобстве SPAN порта и применение SPAN порта для анализа LAN:

Cisco предупреждает, что «коммутатор обрабатывает данные для SPAN-порта с более низким приоритетом, чем обычные данные межпортовых соединений. Другими словами, если ресурс при загрузке должен делать выбор между передачей обычного трафика и SPAN данных, SPAN проигрывает и зеркалированные кадры произвольно отбрасываются. Это правило установлено для сохранения сетевого трафика в любой ситуации. Например, при транспортировке трафика для дистанционного SPAN-порта (RSPAN) через соединительную линию (ISL), который использует пропускную способность ISL совместно с сетевым трафиком, у последнего всегда приоритет. Если пропускной способности недостаточно для трафика удаленного SPAN порта, коммутатор просто отбрасывает его. Зная, что SPAN порт произвольно сбрасывает трафик в условиях специфической загрузки, какую стратегию должен выбрать пользователь, чтобы не терять кадры? Согласно утверждениям Cisco « лучший способ – принять решение ,основываясь на уровнях конфигурации трафика, а в сомнительных случаях использовать SPAN порт только при относительно-низкой загрузке сети»

Хабы? Как быть с ними?

Хабы (концентраторы) могут быть использованы для доступа 10/100, но есть несколько проблем, которые следует иметь в виду. В действительности хабы являются полудуплексными устройствами и позволяют видеть трафик только в одном направлении единовременно. Это эффективно сокращает доступ к 50% данных.

Проблема полудуплекса часто приводит к коллизиям, когда обе стороны сети пытаются взаимодействовать одновременно. В любом случае потери от коллизий не фиксируются, а анализатор или монитор не видит данные. Большой проблемой является то, что если Хаб пропал из сети или вышел из строя, канал связи пропадает. Хабы больше не соответствуют приемлемой надёжной технологии доступа по причинам указанным выше, а также не поддерживают Гигабит и поэтому не рассматриваются.

Современные РЕАЛЬНЫЕ требования к обеспечению доступа к данным

Чтобы еще усложнить задачу и добавить проблем в использование SPAN-порта в качестве технологии доступа:

1) Мы ввели очень высокий коэффициент использования пропускной способности, увеличив во много раз количество кадров в сети
2) Мы перешли с 10Мбит/с на 10 Гбит/с с, полнодуплексный режим
3) Мы вступили в эпоху Data Security Legal Compliance and Lawful Intercept, которая требует от нас мониторинга всех данных, а не выборочных образцов, за исключением конкретных узкоспециализированных технологий мониторинга (например, мониторинг качественных показателей приложений).

С момента перехода к цифровому обществу эти требования будут продолжать ужесточаться. С приходом VoIP и цифрового телевидения появились услуги, приносящие доход, т.е. ориентированные на установку соединения и чувствительные к пропускной способности, потерям и задержке. Необходимо пересмотреть старые методы, и вышеупомянутое усложнение задачи требует того, чтобы мы изменили некоторые старые привычки, чтобы обеспечить «РЕАЛЬНЫЙ» 100% полнодуплексный доступ к важным данным в режиме реального времени.

Суммируя, можно сказать, что обеспечение реального доступа важно не только для случаев, рассматриваемых Data Compliance Audits и СОРМ ,но и для законодательства (спасение наших работодателей от тюрьмы является приоритетным в наши дни).

Когда методика SPAN хороша для применения?

Многие продукты мониторинга могут и успешно используют SPAN в качестве технологии доступа. С тех пор они занимаются поиском событий прикладного уровня с низкой пропускной способностью, такими как «анализ диалогов», »прикладные потоки» и для доступа к VoIP отчётам из системы управления вызовами и т.д..

Эти требования мониторинга используют небольшую часть пропускной способности сети, и обработка данных не воздействует на качество отчётов и на статистику. Причина успеха в том, что они удерживаются в рамках параметров и пропускной способности SPAN порта и им не требуется каждый кадр для успешного отчёта и анализа. Другими словами SPAN порт очень удобная в применении технология если использовать её грамотно , и компании, применяющие SPAN используют его по отлично управляемой и апробированной методике .

Заключение

Технология зеркалирования вполне жизнеспособна для определённых ситуаций, но с момента перехода на FDX Gigabit и 10 Gigabit сети и с требованиями просмотра всех кадров для Data Security Compliance и СОРМ должна быть использована технология «реального» доступа (taps), чтобы отвечать современным требованиям технологий комплексного анализа и мониторинга. Если требований к технологии недостаточно, сетевые специалисты могут сфокусировать оборудование инфраструктуры на задачах коммутации и маршрутизации и не тратить ценные ресурсы и время на настройку SPAN портов или перемаршрутизацию доступа к данным.

Суммируя преимущества и недостатки ТАР в сравнении с портами SPAN

- ТАР не изменяет временных соотношений между кадрами – временные интервалы и время отклика особенно важны для анализа VoIP и Triple Play, включая FDX анализ
- ТАР не вводят дополнительного джиттера или искажений, что очень важно для анализа VoIP и видеоприложений
- VLAN-теги обычно не проходят через SPAN порт и это ведёт к неверному результату и трудностям в поиске проблем в VLAN
- Taps не обрабатывает данные и не отфильтровывает ошибочных пакетов на физическом уровне
- Короткие или длинные кадры не отфильтровываются
- Кадры с неправильным CRC не отфильтровываются
- Taps не выбрасывают пакеты независимо от пропускной способности
- Taps не имеют адресов и , значит, не могут быть «взломаны»
- Taps не имеют проблем с настройками или командными строками, поэтому все данные достоверны и пользователи экономят время
- Taps полностью пассивны и не вызывает искажений даже в FDX и в сетях с максимальной загрузкой пропускной способности. Они также устойчивы к неисправностям
- Для Taps не важно, какой трафик передается, IPv4 или IPv6. Они пропускают через себя любой трафик.