English

Nätverkstrafikregistrering för nätverksövervakning, analys och säkerhet: TAP vs SPAN

Den största skillnaden mellan att fånga paket med hjälp av nätverkets TAP- och SPAN-portar.

Portspegling(även känt som SPAN)

Nätverkstryck(även känd som replikeringstapp, aggregeringstapp, aktivt tapp, koppartapp, Ethernet-tapp, etc.)TAP (Terminalåtkomstpunkt)är en helt passiv hårdvaruenhet som passivt kan fånga trafik i ett nätverk. Den används ofta för att övervaka trafiken mellan två punkter i nätverket. Om nätverket mellan dessa två punkter består av en fysisk kabel kan en nätverks-TAP vara det bästa sättet att fånga trafik.

Innan vi förklarar skillnaderna mellan de två lösningarna (Port Mirror och Network Tap) är det viktigt att förstå hur Ethernet fungerar. Vid 100 Mbit och högre talar värdar vanligtvis i full duplex, vilket innebär att en värd kan skicka (Tx) och ta emot (Rx) samtidigt. Det betyder att på en 100 Mbit-kabel ansluten till en värd är den totala mängden nätverkstrafik som en värd kan skicka/ta emot (Tx/Rx) 2 × 100 Mbit = 200 Mbit.

Portspegling är aktiv paketreplikering, vilket innebär att nätverksenheten är fysiskt ansvarig för att kopiera paketet till den speglade porten.

TAP-SPANN

Trafikregistrering: TAP vs SPAN
Om du inte vill implementera support direkt medan en användare bearbetar en transaktion när du övervakar nätverkstrafik har du två huvudalternativ. I följande artikel ger vi en översikt över TAP (Test Access Point) och SPAN (Switch Port Analyzer). För en djupare analys har paketinspektionsexperten Timo'Neill flera artiklar på lovemytool.com som går in på detaljer, men här kommer vi att ta en mer generell strategi.

SPÄNNA
Portspegling är en metod för att övervaka nätverkstrafik genom att vidarebefordra en kopia av varje inkommande och/eller utgående paket från en eller flera portar (eller VLAN) på en switch till en annan port som är ansluten till en nätverkstrafikanalysator. Span används ofta i enklare system för att övervaka flera platser samtidigt. Det exakta antalet nätverksöverföringar som den kan övervaka beror på var SPAN är installerad i förhållande till datacenterutrustningen. Du hittar förmodligen det du letar efter, men det är lätt att hamna med för mycket data. Det är till exempel möjligt att hitta flera kopior av samma data över ett helt VLAN. Detta gör LAN-felsökning svårare och påverkar också hastigheten på switch-processorerna eller påverkar Ethernet genom placeringsdetektering. I grund och botten, ju fler span, desto mer sannolikt är det att förlora paket. Jämfört med taps kan span hanteras på distans, vilket innebär att mindre tid går åt till att ändra konfigurationer, men nätverksingenjörer behövs fortfarande.

SPAN-portar är inte en passiv teknik, som vissa hävdar, eftersom de kan ha andra mätbara effekter på nätverkstrafik, inklusive:
- Dags att ändra raminteraktion

- Paket tappas på grund av överdrivna uppslagningar

- Korrupta paket tas bort utan förvarning, vilket hindrar analysen
Därför är SPAN-portar mer lämpade för situationer där det inte påverkar analysen att ta bort paket, eller där kostnaden beaktas.

KNACKA
Däremot kräver taps pengar på hårdvara i förväg, men de kräver inte mycket installation. Eftersom de är passiva kan de anslutas och kopplas bort från nätverket utan att det påverkas. Taps är hårdvaruenheter som ger ett sätt att komma åt data som flödar genom ett datornätverk och används ofta för nätverkssäkerhet och prestandaövervakning. Den övervakade trafiken kallas "pass-through"-trafik och porten som används för övervakning kallas "övervakningsport". För att undersöka nätverket tydligare kan taps placeras mellan routrar och switchar.
Eftersom TAP inte påverkar paket kan det ses som ett verkligt passivt sätt att visa nätverkstrafik.
Det finns i princip tre typer av TAP-lösningar:

- Nätverksdelare (1:1)

- Aggregerad TAP (multi: 1)

- Regenerering TAP (1: multi)

TAP replikerar trafik till ett enda passivt övervakningsverktyg, eller till en högdensitets nätverkspaketreläenhet, och hanterar flera (ofta flera) QOS-testverktyg, nätverksövervakningsverktyg och nätverkssnifferverktyg som Wireshark.
Dessutom varierar TAP-typerna beroende på kabeltyp, inklusive fiber-TAP och gigabit-koppar-TAP, vilka båda fungerar på i huvudsak samma sätt genom att avlasta en del av signalen till nätverkstrafikanalysatorn, medan huvudmodellen fortsätter att sända utan avbrott. För fiber-TAP är det för att dela strålen i två delar, medan det i kopparkabelsystemet är för att replikera den elektriska signalen.

Jämförelse av TAP och SPAN

För det första är SPAN-porten inte lämplig för en fullduplex 1G-länk, och även när den är under sin maximala kapacitet tappar den snabbt paket på grund av överbelastning, eller helt enkelt för att switchen prioriterar vanliga port-till-port-datum framför SPAN-portdata. Till skillnad från nätverksavbrott filtrerar SPAN-portar bort fel i det fysiska lagret, vilket gör vissa typer av analyser svårare, och som vi har sett kan felaktiga ökningstider och ändrade bildrutor orsaka andra problem. Å andra sidan kan TAP driva en fullduplex 1G-länk.

TAP kan också utföra fullständig paketinsamling och utföra djupgående paketinspektion för protokoll, överträdelser, intrång etc. Således kan TAP-data användas som bevis i domstol, medan SPAN-portdata inte kan.
Säkerhet är en annan aspekt där det finns skillnader mellan de två teknikerna. SPAN-portar är vanligtvis konfigurerade för enkelriktad kommunikation, men de kan också ta emot kommunikation i vissa fall, vilket orsakar allvarliga sårbarheter. TAP är däremot inte adresserbar och har ingen IP-adress, så den kan inte hackas.

SPAN-portar skickar vanligtvis inte VLAN-taggar, vilket kan göra det svårt att upptäcka VLAN-fel, men taps kan inte se hela VLAN-nätverket samtidigt. Om aggregerade taps inte används kommer TAP:n inte att ge samma spår för båda kanalerna, men försiktighet måste iakttas vid överbelastningsdetektering. Det finns aggregerade taps, till exempel Booster för Profitap, som aggregerar åtta 10/100/1G-portar i en 1G-10G-utgång.

Booster kan mata in paket genom att infoga VLAN-taggar. På så sätt vidarebefordras källportinformationen för varje paket till analysatorn.

SPAN-portar är fortfarande ett verktyg som nätverksadministratörer kommer att använda, men om hastighet och tillförlitlig åtkomst till all nätverksdata är avgörande är TAP det bättre valet. När man ska bestämma vilken metod man ska använda är SPAN-portar mer lämpade för nätverk med låg användning, eftersom förlorade paket inte påverkar analysen eller är valfria i fall där kostnaden är en faktor. I nätverk med hög trafik ger dock TAP:s kapacitet, säkerhet och tillförlitlighet fullständig insyn i trafiken i ditt nätverk utan rädsla för paketförlust eller att filtrera bort fel i det fysiska lagret.

KNACKA

 

○ Fullt synlig

○ Replikera all trafik (alla paket av alla storlekar och typer)

○ Passiv, icke-påträngande (ändrar inte data)

○ I serie används inga switchportar för att replikera fullduplextrafik i kablage Enkel installation (plug and play)

○ Inte sårbar för hackare (osynlig, isolerad övervakningsenhet från nätverket, ingen IP-/MAC-adress)

○ Skalbar

○ Lämplig för alla situationer

SPÄNNA

 

○ Delvis sikt

○ Kopierar inte all trafik (tar bort vissa storlekar och typer av paket)

○ Icke-passiv (ändrar pakettiming, ökar latensen)

○ Använd switchport (varje SPAN-port använder en switchport)

○ Kan inte hantera fullduplexkommunikation (paket tappas bort vid överbelastning, kan också störa primärväxelns funktion)

○ Ingenjörer behöver konfigurera

○ Osäkert (Övervakningssystemet är en del av nätverket, potentiella säkerhetsproblem)

○ Inte skalbar

○ Endast genomförbart under vissa omständigheter

Du kanske är intresserad av den relaterade artikeln: Hur man fångar nätverkstrafik? Network Tap vs Port Mirror

Publiceringstid: 9 juni 2025
Tryck enter för att söka eller ESC för att stänga