Den primære forskel mellem at opfange pakker ved hjælp af Network TAP- og SPAN-porte.
Portspejling(også kendt som SPAN)
Netværkstryk(også kendt som replikeringstap, aggregeringstap, aktivt tap, kobbertap, Ethernet-tap osv.)TAP (Terminal adgangspunkt)er en fuldt passiv hardwareenhed, der passivt kan opfange trafik på et netværk. Den bruges almindeligvis til at overvåge trafikken mellem to punkter i netværket. Hvis netværket mellem disse to punkter består af et fysisk kabel, kan en netværks-TAP være den bedste måde at opfange trafik på.
Før vi forklarer forskellene mellem de to løsninger (Port Mirror og Network Tap), er det vigtigt at forstå, hvordan Ethernet fungerer. Ved 100 Mbit og derover taler værter normalt i fuld duplex, hvilket betyder, at én vært kan sende (Tx) og modtage (Rx) samtidigt. Det betyder, at på et 100 Mbit-kabel forbundet til én vært, er den samlede mængde netværkstrafik, som én vært kan sende/modtage (Tx/Rx)), 2 × 100 Mbit = 200 Mbit.
Portspejling er aktiv pakkereplikering, hvilket betyder, at netværksenheden er fysisk ansvarlig for at kopiere pakken til den spejlede port.
Trafikregistrering: TAP vs. SPAN
Hvis du ikke ønsker at operationalisere support direkte, mens en bruger behandler en transaktion, når du overvåger netværkstrafik, har du to hovedmuligheder. I den følgende artikel giver vi et overblik over TAP (Test Access Point) og SPAN (Switch Port Analyzer). For en dybere analyse har pakkeinspektionsekspert Timo'Neill flere artikler på lovemytool.com, der går meget i detaljer, men her vil vi have en mere generel tilgang.
SPAN
Portspejling er en metode til at overvåge netværkstrafik ved at videresende en kopi af hver indgående og/eller udgående pakke fra en eller flere porte (eller VLAN'er) på en switch til en anden port, der er forbundet til en netværkstrafikanalysator. Span'er bruges ofte i enklere systemer til at overvåge flere steder samtidigt. Det nøjagtige antal netværkstransmissioner, den er i stand til at overvåge, afhænger af, hvor SPAN'en er installeret i forhold til datacenterudstyret. Du finder sandsynligvis det, du leder efter, men det er nemt at ende med for mange data. For eksempel er det muligt at finde flere kopier af de samme data på tværs af et helt VLAN. Dette gør LAN-fejlfinding vanskeligere og påvirker også hastigheden på switch-CPU'er eller påvirker Ethernet'et gennem placeringsdetektion. Grundlæggende set gælder det, at jo flere span'er, desto mere sandsynligt er det at miste pakker. Sammenlignet med taps kan span'er administreres eksternt, hvilket betyder, at der bruges mindre tid på at ændre konfigurationer, men der er stadig behov for netværksingeniører.
SPAN-porte er ikke en passiv teknologi, som nogle hævder, fordi de kan have andre målbare effekter på netværkstrafikken, herunder:
- Tid til at ændre rammeinteraktion
- Tab af pakker på grund af for mange opslag
- Beskadigede pakker tabes uden varsel, hvilket hindrer analysen
Derfor er SPAN-porte mere egnede til situationer, hvor det at droppe pakker ikke påvirker analysen, eller hvor omkostninger tages i betragtning.
TRYK
I modsætning hertil kræver taps penge på hardware på forhånd, men de kræver ikke meget opsætning. Da de er passive, kan de tilsluttes og afbrydes fra netværket uden at påvirke det. Taps er hardwareenheder, der giver adgang til data, der flyder gennem et computernetværk, og bruges almindeligvis til netværkssikkerhed og ydeevneovervågning. Den overvågede trafik kaldes "pass-through"-trafik, og den port, der bruges til overvågning, kaldes "overvågningsport". For at undersøge netværket mere tydeligt kan taps placeres mellem routere og switche.
Fordi TAP ikke påvirker pakker, kan det ses som en virkelig passiv måde at se netværkstrafik på.
Der er grundlæggende tre typer TAP-løsninger:
- Netværkssplitter (1:1)
- Samlet TAP (multi: 1)
- Regenererings-TAP (1: multi)
TAP replikerer trafik til et enkelt passivt overvågningsværktøj eller til en netværkspakkerelæenhed med høj tæthed og betjener flere (ofte flere) QOS-testværktøjer, netværksovervågningsværktøjer og netværkssnifferværktøjer såsom Wireshark.
Derudover varierer TAP-typer afhængigt af kabeltypen, herunder fiber-TAP og gigabit-kobber-TAP, der begge fungerer på stort set samme måde ved at aflæsse en del af signalet til netværkstrafikanalysatoren, mens hovedmodellen fortsætter med at transmittere uden afbrydelse. For fiber-TAP'en er det for at dele strålen i to, mens den i kobberkabelsystemet er for at replikere det elektriske signal.
Sammenligning af TAP og SPAN
For det første er SPAN-porten ikke egnet til et fuld-duplex 1G-link, og selv når den er under dens maksimale kapacitet, taber den hurtigt pakker, fordi den er overbelastet, eller simpelthen fordi switchen prioriterer regelmæssige port-til-port-datoer frem for SPAN-portdata. I modsætning til netværkstaps filtrerer SPAN-porte fejl i fysiske lag fra, hvilket gør nogle typer analyser vanskeligere, og som vi har set, kan forkerte inkrementeringstider og ændrede frames forårsage andre problemer. På den anden side kan TAP fungere med et fuld-duplex 1G-link.
TAP kan også udføre komplet pakkeopsamling og udføre dybdegående pakkeinspektion for protokoller, overtrædelser, indtrængen osv. Således kan TAP-data bruges som bevis i retten, hvorimod SPAN-portdata ikke kan.
Sikkerhed er et andet aspekt, hvor der er forskelle mellem de to teknikker. SPAN-porte er normalt konfigureret til envejskommunikation, men de kan også modtage kommunikation i nogle tilfælde, hvilket forårsager alvorlige sårbarheder. I modsætning hertil er TAP ikke adresserbar og har ikke en IP-adresse, så den kan ikke hackes.
SPAN-porte sender typisk ikke VLAN-tags videre, hvilket kan gøre det vanskeligt at detektere VLAN-fejl, men taps kan ikke se hele VLAN-netværket på én gang. Hvis aggregerede taps ikke bruges, vil TAP'en ikke give det samme spor for begge kanaler, men man skal være forsigtig med overbelastningsdetektion. Der findes aggregerede taps, såsom Booster for Profitap, der aggregerer otte 10/100/1G-porte i en 1G-10G-udgang.
Boosteren kan indtaste pakker ved at indsætte VLAN-tags. På denne måde vil kildeportinformationen for hver pakke blive videresendt til analysatoren.
SPAN-porte er stadig et værktøj, som netværksadministratorer vil bruge, men hvis hastighed og pålidelig adgang til alle netværksdata er afgørende, er TAP det bedre valg. Når man skal beslutte, hvilken tilgang man skal bruge, er SPAN-porte mere egnede til netværk med lav udnyttelse, da mistede pakker ikke påvirker analysen eller er valgfrie i tilfælde, hvor omkostningerne er en bekymring. På netværk med høj trafik vil TAP's kapacitet, sikkerhed og pålidelighed dog give fuld indsigt i trafikken på dit netværk uden frygt for pakketab eller filtrering af fejl i det fysiske lag.
○ Fuldt synlig
○ Replikér al trafik (alle pakker i alle størrelser og typer)
○ Passiv, ikke-påtrængende (ændrer ikke data)
○ I serie bruges der ingen switchporte til at replikere fuld-duplex-trafik i ledningsnettet. Nem opsætning (plug and play).
○ Ikke sårbar over for hackere (usynlig, isoleret overvågningsenhed fra netværket, ingen IP/MAC-adresse)
○ Skalerbar
○ Velegnet til enhver situation
○ Delvis synlighed
○ Ikke kopiering af al trafik (fjernelse af bestemte størrelser og typer af pakker)
○ Ikke-passiv (ændring af pakketiming, øgning af latenstid)
○ Brug switchport (hver SPAN-port bruger en switchport)
○ Kan ikke håndtere fuld-duplex kommunikation (pakker tabes ved overbelastning, kan også forstyrre den primære switchs drift)
○ Ingeniører skal konfigurere
○ Usikker (Overvågningssystemet er en del af netværket, potentielle sikkerhedsproblemer)
○ Ikke skalerbar
○ Kun muligt under visse omstændigheder
Du kunne måske være interesseret i den relaterede artikel: Hvordan opfanger man netværkstrafik? Network Tap vs. Port Mirror
Opslagstidspunkt: 9. juni 2025
