English

Nettverkstrafikkregistrering for nettverksovervåking, analyse og sikkerhet: TAP vs. SPAN

Hovedforskjellen mellom å fange pakker ved hjelp av Network TAP- og SPAN-porter.

Portspeiling(også kjent som SPAN)

Nettverkstrykk(også kjent som replikasjonstap, aggregeringstap, aktivt tap, kobbertap, Ethernet-tap, osv.)TAP (Terminaltilgangspunkt)er en fullstendig passiv maskinvareenhet som passivt kan fange trafikk på et nettverk. Den brukes ofte til å overvåke trafikken mellom to punkter i nettverket. Hvis nettverket mellom disse to punktene består av en fysisk kabel, kan en nettverks-TAP være den beste måten å fange trafikk på.

Før vi forklarer forskjellene mellom de to løsningene (Port Mirror og Network Tap), er det viktig å forstå hvordan Ethernet fungerer. Ved 100 Mbit og over snakker verter vanligvis i full dupleks, noe som betyr at én vert kan sende (Tx) og motta (Rx) samtidig. Dette betyr at på en 100 Mbit-kabel koblet til én vert, er den totale mengden nettverkstrafikk som én vert kan sende/motta (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.

Portspeiling er aktiv pakkereplikering, som betyr at nettverksenheten er fysisk ansvarlig for å kopiere pakken til den speilede porten.

TAP SPENNE

Trafikkfangst: TAP vs. SPAN
Når du overvåker nettverkstrafikk, har du to hovedalternativer hvis du ikke vil operasjonalisere støtte direkte mens en bruker behandler en transaksjon. I den følgende artikkelen gir vi en oversikt over TAP (Test Access Point) og SPAN (Switch Port Analyzer). For en dypere analyse har pakkeinspeksjonsekspert Timo'Neill flere artikler på lovemytool.com som går i detalj, men her vil vi ta en mer generell tilnærming.

SPAN
Portspeiling er en metode for å overvåke nettverkstrafikk ved å videresende en kopi av hver innkommende og/eller utgående pakke fra en eller flere porter (eller VLAN-er) på en svitsj til en annen port som er koblet til en nettverkstrafikkanalysator. Span-er brukes ofte i enklere systemer for å overvåke flere steder samtidig. Det nøyaktige antallet nettverksoverføringer den kan overvåke, avhenger av hvor SPAN-en er installert i forhold til datasenterutstyret. Du vil sannsynligvis finne det du leter etter, men det er lett å ende opp med for mye data. For eksempel er det mulig å finne flere kopier av de samme dataene på tvers av et helt VLAN. Dette gjør LAN-feilsøking vanskeligere, og påvirker også hastigheten på svitsj-CPU-er eller påvirker Ethernet-en gjennom plasseringsdeteksjon. I utgangspunktet, jo flere span-er, desto mer sannsynlig er det å miste pakker. Sammenlignet med tappinger kan span-er administreres eksternt, noe som betyr at mindre tid brukes på å endre konfigurasjoner, men nettverksingeniører er fortsatt nødvendige.

SPAN-porter er ikke en passiv teknologi, slik noen hevder, fordi de kan ha andre målbare effekter på nettverkstrafikk, inkludert:
- Tid for å endre rammeinteraksjon

- Mister pakker på grunn av overdreven oppslag

- Korrupte pakker blir slettet uten varsel, noe som hindrer analysen
Derfor er SPAN-porter mer egnet for situasjoner der det å slippe pakker ikke påvirker analysen, eller der kostnader tas i betraktning.

TRYKK
I motsetning til dette må tapper bruke penger på maskinvare på forhånd, men de krever ikke mye oppsett. Siden de er passive, kan de faktisk kobles til og fra nettverket uten å påvirke det. Tapper er maskinvareenheter som gir en måte å få tilgang til data som flyter gjennom et datanettverk, og brukes ofte til nettverkssikkerhet og ytelsesovervåking. Den overvåkede trafikken kalles "gjennomstrømningstrafikk", og porten som brukes til overvåking kalles "overvåkingsport". For å undersøke nettverket tydeligere kan tapper plasseres mellom rutere og svitsjer.
Fordi TAP ikke påvirker pakker, kan det sees på som en virkelig passiv måte å se nettverkstrafikk på.
Det finnes i utgangspunktet tre typer TAP-løsninger:

- Nettverkssplitter (1:1)

- Samlet TAP (multi: 1)

- Regenerering TAP (1: multi)

TAP replikerer trafikk til et enkelt passivt overvåkingsverktøy, eller til en nettverkspakkereléenhet med høy tetthet, og betjener flere (ofte flere) QOS-testverktøy, nettverksovervåkingsverktøy og nettverkssnifferverktøy som Wireshark.
I tillegg varierer TAP-typer avhengig av kabeltypen, inkludert fiber-TAP og gigabit-kobber-TAP, som begge fungerer på i hovedsak samme måte ved å avlaste deler av signalet til nettverkstrafikkanalysatoren, mens hovedmodellen fortsetter å overføre uten avbrudd. For fiber-TAP er det for å dele strålen i to, mens det i kobberkabelsystemet er for å replikere det elektriske signalet.

Sammenligning av TAP og SPAN

For det første er SPAN-porten ikke egnet for en fulldupleks 1G-lenke, og selv når den er under maksimal kapasitet, mister den raskt pakker fordi den er overbelastet, eller rett og slett fordi svitsjen prioriterer vanlige port-til-port-datoer fremfor SPAN-portdata. I motsetning til nettverkstappinger filtrerer SPAN-porter ut fysiske lagfeil, noe som gjør noen typer analyser vanskeligere, og som vi har sett, kan feil inkrementeringstider og endrede rammer forårsake andre problemer. På den annen side kan TAP drive en fulldupleks 1G-lenke.

TAP kan også utføre fullstendig pakkefangst og utføre grundig pakkeinspeksjon for protokoller, brudd, inntrenging osv. Dermed kan TAP-data brukes som bevis i retten, mens SPAN-portdata ikke kan.
Sikkerhet er et annet aspekt der det er forskjeller mellom de to teknikkene. SPAN-porter er vanligvis konfigurert for enveiskommunikasjon, men de kan også motta kommunikasjon i noen tilfeller, noe som forårsaker alvorlige sårbarheter. TAP er derimot ikke adresserbar og har ikke en IP-adresse, så den kan ikke hackes.

SPAN-porter sender vanligvis ikke VLAN-tagger, noe som kan gjøre det vanskelig å oppdage VLAN-feil, men tapper kan ikke se hele VLAN-nettverket samtidig. Hvis aggregerte tapper ikke brukes, vil ikke TAP-en gi samme spor for begge kanalene, men man må være forsiktig med overforbruksdeteksjon. Det finnes aggregerte tapper, for eksempel Booster for Profitap, som aggregerer åtte 10/100/1G-porter i en 1G-10G-utgang.

Boosteren kan legge inn pakker ved å sette inn VLAN-tagger. På denne måten vil kildeportinformasjonen for hver pakke bli videresendt til analysatoren.

SPAN-porter er fortsatt et verktøy som nettverksadministratorer vil bruke, men hvis hastighet og pålitelig tilgang til alle nettverksdata er avgjørende, er TAP det bedre valget. Når du skal bestemme hvilken tilnærming du skal ta, er SPAN-porter mer egnet for nettverk med lav utnyttelse, siden tapte pakker ikke påvirker analysen eller er valgfrie i tilfeller der kostnaden er en bekymring. I nettverk med høy trafikk vil imidlertid TAPs kapasitet, sikkerhet og pålitelighet gi full oversikt over trafikken på nettverket ditt uten frykt for pakketap eller filtrering av fysiske lagfeil.

TRYKK

 

○ Fullt synlig

○ Repliker all trafikk (alle pakker i alle størrelser og typer)

○ Passiv, ikke-påtrengende (endrer ikke data)

○ I serie brukes ingen svitsjporter til å gjenskape fullduplekstrafikk i ledningsnett Enkel oppsett (plug and play)

○ Ikke sårbar for hackere (usynlig, isolert overvåkingsenhet fra nettverket, ingen IP/MAC-adresse)

○ Skalerbar

○ Passer for enhver situasjon

SPAN

 

○ Delvis sikt

○ Ikke kopiere all trafikk (droppe visse størrelser og typer pakker)

○ Ikke-passiv (endre pakketiming, øke latens)

○ Bruk svitsjport (hver SPAN-port bruker en svitsjport)

○ Kan ikke håndtere fullduplekskommunikasjon (pakker mistes ved overbelastning, kan også forstyrre driften av primærsvitsjen)

○ Ingeniører må konfigurere

○ Usikkert (Overvåkingssystemet er en del av nettverket, potensielle sikkerhetsproblemer)

○ Ikke skalerbar

○ Kun mulig under visse omstendigheter

Du kan være interessert i den relaterte artikkelen: Hvordan fange opp nettverkstrafikk? Nettverkstrykk vs. portspeil

Publisert: 09.06.2025
Trykk enter for å søke eller ESC for å lukke