Network
Network Tap vs Span Port Monitoring
Network Tap vs Span Port Monitoring คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยไหมว่าเวลาเราอยากจะดักจับข้อมูลใน network เพื่อวิเคราะห์ปัญหา หรือ monitor traffic ต่างๆ เนี่ย เรามีวิธีอะไรบ้าง? ที่ฮิตๆ ก็จะมี Network Tap กับ Span Port นี่แหละ แต่ละตัวก็มีข้อดีข้อเสียต่างกันไป แล้วมันสำคัญยังไงน่ะเหรอ? ลองนึกภาพตาม สมัยผมทำร้านเน็ต SiamCafe ยุคแรกๆ เนี่ย ปัญหา network นี่มาทุกวัน ตั้งแต่ user โหลดบิทจนเน็ตล่ม ไปจนถึงโดน hack ข้อมูล ถ้าเราไม่มีเครื่องมือดีๆ มาช่วยดู traffic เราก็แก้ปัญหาแบบงมเข็มในทะเลอ่ะ
Network Tap กับ Span Port เนี่ย เปรียบเสมือน "กล้องวงจรปิด" ในโลก network ที่ช่วยให้เราเห็นว่าใครทำอะไร ที่ไหน เมื่อไหร่ แต่กล้องแต่ละแบบก็มีมุมมองและข้อจำกัดต่างกันไป การเลือกใช้ให้ถูกงานก็จะช่วยให้เราวิเคราะห์ปัญหาได้เร็วขึ้น แก้ปัญหาได้ตรงจุด และป้องกันภัยคุกคามต่างๆ ได้ดีขึ้นเยอะเลย
พื้นฐานที่ต้องรู้
ก่อนจะไปเจาะลึกเรื่อง Network Tap กับ Span Port เรามาปูพื้นฐานกันก่อนนิดนึง จะได้ไม่งงเนอะ
Packet Sniffing คืออะไร
Packet Sniffing ก็คือการดักจับข้อมูลที่วิ่งผ่าน network ของเรานั่นเอง สมัยก่อนตอนผมเริ่มทำร้านเน็ตใหม่ๆ ผมใช้โปรแกรมพวก Wireshark นี่แหละ ดักจับ packet ดูว่า user แต่ละคนเค้าเข้าเว็บอะไรกันบ้าง (แต่สมัยนี้ทำไม่ได้แล้วนะ ผิดกฎหมาย!)
Hub vs Switch
Hub กับ Switch เนี่ยเป็นอุปกรณ์ network ที่ทำหน้าที่คล้ายๆ กันคือเป็นตัวกลางในการส่งข้อมูล แต่การทำงานภายในต่างกันเยอะ Hub จะส่งข้อมูลไปให้ทุก port เลย ทำให้ทุกคนเห็นข้อมูลของกันและกัน (เหมาะกับการดักจับ packet) ส่วน Switch จะฉลาดกว่า คือจะส่งข้อมูลไปให้แค่ port ที่เกี่ยวข้องเท่านั้น
Mirroring คืออะไร
Mirroring หรือ Port Mirroring เป็น feature ที่มีอยู่ใน Switch บางรุ่น ที่ยอมให้เรา copy traffic จาก port นึง (หรือหลาย port) ไปยังอีก port นึง เพื่อให้เราเอาไปวิเคราะห์ได้
วิธีใช้งาน / เริ่มต้นยังไง
ทีนี้เรามาดูวิธีการใช้งาน Network Tap กับ Span Port กันบ้าง ว่าแต่ละตัวเค้าทำงานยังไง แล้วเราจะเอาไปใช้ในงานจริงๆ ได้ยังไง
ขั้นตอนปฏิบัติจริง
มาดูขั้นตอนการใช้งานจริงกันเลย
Network Tap
Network Tap เนี่ยง่ายมาก แค่เสียบเข้าไป "แทรก" อยู่ในสาย network ที่เราต้องการจะ monitor มันก็จะทำการ copy traffic ทั้งขาเข้าและขาออกจากสายนั้น แล้วส่งไปให้เครื่องมือวิเคราะห์ของเรา
Network A --- Network Tap --- Network B
เครื่องมือวิเคราะห์
ข้อดีของ Network Tap คือมันไม่รบกวนการทำงานของ network เลย เพราะมันแค่ copy ข้อมูล ไม่ได้เข้าไปยุ่งกับการส่งข้อมูลจริงๆ
Span Port
Span Port จะซับซ้อนกว่านิดหน่อย เพราะเราต้องเข้าไป config ที่ตัว Switch ว่าเราต้องการจะ mirror traffic จาก port ไหน ไปยัง port ไหน
Switch
+-------+
| Port A| --- Network A
| Port B| --- Network B
| Port C| --- เครื่องมือวิเคราะห์ (Span Port)
+-------+
Config ตัวอย่าง (Cisco):
monitor session 1 source interface fa0/1
monitor session 1 destination interface fa0/2
ข้อเสียของ Span Port คือมันอาจจะส่งผลกระทบต่อ performance ของ Switch ได้ โดยเฉพาะอย่างยิ่งถ้าเรา mirror traffic เยอะๆ
การเลือกใช้เครื่องมือวิเคราะห์
ไม่ว่าเราจะใช้ Network Tap หรือ Span Port สิ่งที่สำคัญคือเราต้องมีเครื่องมือวิเคราะห์ที่เหมาะสมด้วย สมัยผมทำร้านเน็ตผมใช้ Wireshark เป็นหลัก แต่สมัยนี้มีเครื่องมือให้เลือกใช้เยอะแยะมากมาย ทั้งแบบ open source และแบบ commercial
เปรียบเทียบกับทางเลือกอื่น + ตาราง
นอกจาก Network Tap กับ Span Port แล้ว ก็ยังมีทางเลือกอื่นๆ อีก เช่นใช้ Software-based packet sniffer แต่ละทางเลือกก็มีข้อดีข้อเสียแตกต่างกันไป
| คุณสมบัติ | Network Tap | Span Port | Software-based Packet Sniffer |
|---|---|---|---|
| ความแม่นยำ | สูง (capture ทุก packet) | ปานกลาง (อาจมี packet loss) | ต่ำ (ขึ้นอยู่กับ OS และ hardware) |
| ผลกระทบต่อ network | น้อยมาก | อาจมีผลกระทบต่อ performance | อาจมีผลกระทบต่อ performance |
| ความซับซ้อนในการติดตั้ง | ง่าย | ปานกลาง (ต้อง config Switch) | ง่าย (แต่ต้องติดตั้งบน server) |
| ค่าใช้จ่าย | สูง (ต้องซื้อ hardware) | ต่ำ (ใช้ feature ที่มีอยู่แล้วใน Switch) | ต่ำ (อาจใช้ software ฟรี) |
จะเห็นว่าไม่มีทางเลือกไหนที่ดีที่สุดเสมอไป เราต้องเลือกให้เหมาะสมกับความต้องการและงบประมาณของเรา
หวังว่าน้องๆ จะเข้าใจเรื่อง Network Tap กับ Span Port มากขึ้นนะ ถ้ามีคำถามอะไรเพิ่มเติมก็ถามมาได้เลย หรือจะลองเข้าไปดูข้อมูลเพิ่มเติมได้ที่ SiamCafe Blog นะครับ
สมัยผมทำร้านเน็ตก็เจอปัญหา network มาเยอะแยะมากมาย การมีความรู้เรื่องพวกนี้ช่วยให้เราแก้ปัญหาได้เร็วขึ้นเยอะเลย ลองเอาไปปรับใช้กันดูนะ และอย่าลืมแวะไปอ่านบทความอื่นๆ ใน SiamCafe Blog กันด้วยนะครับ
Best Practices / เคล็ดลับจากประสบการณ์
เอาล่ะน้องๆ มาถึงส่วนที่พี่จะแชร์ประสบการณ์ตรงให้ฟังเลยนะ สมัยพี่ทำร้านเน็ต SiamCafe พี่เจอปัญหาเยอะแยะเกี่ยวกับการมอนิเตอร์ network นี่แหละ ทั้งอยากรู้ว่าใครโหลดบิทบ้าง ใครแอบเล่นเกมส์ออนไลน์ตอนเรียนบ้าง (สมัยนั้นเกมส์มันฮิตจริงๆ) แล้วไอ้พวกไวรัสตัวแสบมันวิ่งพล่านใน network เราได้ยังไง
พี่เลยต้องหาวิธีมอนิเตอร์ traffic ในร้านให้ได้ประสิทธิภาพสูงสุด ซึ่ง Network Tap กับ Span Port มันก็เป็นเครื่องมือสำคัญ แต่การใช้มันให้ถูกวิธีนี่แหละคือหัวใจ
3 เทคนิคที่ใช้ได้จริง
1. เลือก Network Tap ให้เหมาะกับ speed network: สมัยก่อน speed network มันไม่ได้สูงเท่าสมัยนี้ แต่ปัจจุบัน Gigabit Ethernet นี่คือมาตรฐานแล้วนะ เลือก Tap ให้ support speed ที่เราใช้จริง ถ้าเลือกผิด packet อาจจะ drop ได้ ทำให้ข้อมูลที่ได้ไม่ครบถ้วน
2. วางแผนการ monitor: อย่า monitor ทุกอย่าง! เลือกเฉพาะ traffic ที่เราสนใจจริงๆ เช่น HTTP traffic ถ้าอยากดูว่าใครเข้าเว็บอะไรบ้าง หรือ SMTP traffic ถ้าอยากดูว่ามีใครส่ง spam mail ออกไปบ้าง การ monitor เฉพาะเจาะจงจะช่วยลดภาระของเครื่องมือวิเคราะห์ และทำให้ได้ข้อมูลที่ต้องการได้เร็วขึ้น
3. Security first!: การ monitor traffic มันก็เหมือนดาบสองคมนะน้องๆ ต้องระวังเรื่อง security ด้วย โดยเฉพาะข้อมูลส่วนตัวของลูกค้า อย่าเก็บข้อมูลที่ไม่จำเป็น และต้อง secure access ไปยังเครื่องมือ monitor ให้ดี ไม่งั้นอาจจะโดนแฮกข้อมูลได้
4. ใช้ Span Port อย่างระมัดระวัง: ถึงแม้ Span Port จะสะดวก แต่ก็ต้องระวังเรื่อง performance นะ อย่า span port ที่มี traffic เยอะๆ เพราะมันอาจจะทำให้ switch ทำงานหนัก และส่งผลกระทบต่อ performance ของ network โดยรวม
สมัยก่อนพี่เคยเจอเคสที่ switch มันแฮงค์เพราะ span port นี่แหละ ต้อง restart switch กันวุ่นวายเลย
FAQ คำถามที่พบบ่อย
Network Tap มันแพงกว่า Span Port เยอะไหม?
ใช่ครับ Network Tap ส่วนใหญ่ราคาจะสูงกว่า Span Port เพราะมันเป็น hardware เฉพาะทาง แต่ถ้ามองในระยะยาว การลงทุนใน Network Tap อาจจะคุ้มค่ากว่า เพราะมันให้ข้อมูลที่แม่นยำกว่า และไม่ส่งผลกระทบต่อ performance ของ network
Span Port ทำให้ network ช้าลงจริงเหรอ?
จริงครับ Span Port จะ copy traffic จาก port นึงไปยังอีก port นึง ทำให้ switch ต้องทำงานเพิ่มขึ้น ถ้า traffic เยอะๆ มันก็จะทำให้ switch ทำงานหนัก และส่งผลกระทบต่อ performance ของ network โดยรวมได้
เลือก Network Tap แบบไหนดี?
Network Tap มีหลายแบบครับ ทั้งแบบ passive tap ที่ไม่ต้องการ power supply และแบบ active tap ที่มี features เพิ่มเติม เช่น packet aggregation และ filtering เลือกแบบที่เหมาะกับความต้องการและงบประมาณของเราครับ
Monitoring tools ตัวไหนที่แนะนำ?
มีหลายตัวเลยครับน้องๆ ตั้งแต่ Wireshark ที่เป็น open source ไปจนถึง commercial tools อย่าง SolarWinds หรือ Riverbed แล้วแต่ความต้องการและความสามารถในการจ่ายเลยครับ ลองศึกษาดู SiamCafe Blog อาจจะมีข้อมูลเพิ่มเติม
สรุป
Network Tap และ Span Port เป็นเครื่องมือที่มีประโยชน์ในการมอนิเตอร์ traffic ใน network แต่การเลือกใช้เครื่องมือที่เหมาะสม และการใช้งานอย่างถูกต้อง จะช่วยให้เราได้ข้อมูลที่ต้องการ โดยไม่ส่งผลกระทบต่อ performance ของ network
น้องๆ คนไหนสนใจเรื่อง network security หรืออยากทำร้านเน็ตเหมือนพี่ ก็ลองศึกษาเพิ่มเติมได้นะ ยุคสมัยมันเปลี่ยนไปเยอะ แต่หลักการพื้นฐานมันก็ยังเหมือนเดิม iCafeForex อาจจะมีอะไรดีๆ ให้ศึกษาเพิ่มเติมนะ
