It wichtichste ferskil tusken it fêstlizzen fan pakketten mei Network TAP- en SPAN-poarten.
Portspegeljen(ek wol bekend as SPAN)
Netwurktape(ek wol bekend as Replikaasjetap, Aggregaasjetap, Aktive Tap, Kopertap, Ethernettap, ensfh.)TAP (Terminal tagongspunt)is in folslein passyf hardware-apparaat, dat passyf ferkear op in netwurk kin fange. It wurdt faak brûkt om it ferkear tusken twa punten yn it netwurk te kontrolearjen. As it netwurk tusken dizze twa punten bestiet út in fysike kabel, kin in netwurk-TAP de bêste manier wêze om ferkear te fangen.
Foardat wy de ferskillen tusken de twa oplossingen (Port Mirror en Network Tap) útlizze, is it wichtich om te begripen hoe't Ethernet wurket. By 100Mbit en heger sprekke hosts meastentiids yn folsleine duplex, wat betsjut dat ien host tagelyk kin ferstjoere (Tx) en ûntfange (Rx). Dit betsjut dat op in 100 Mbit-kabel dy't ferbûn is mei ien host, de totale hoemannichte netwurkferkear dy't ien host kin ferstjoere/ûntfange (Tx/Rx)) 2 × 100 Mbit = 200 Mbit is.
Port mirroring is aktive pakketreplikaasje, wat betsjut dat it netwurkapparaat fysyk ferantwurdlik is foar it kopiearjen fan it pakket nei de spegele poarte.
Ferkear fêstlizze: TAP vs SPAN
As jo by it kontrolearjen fan netwurkferkear gjin stipe direkt operasjoneel meitsje wolle wylst in brûker in transaksje ferwurket, hawwe jo twa haadopsjes. Yn it folgjende artikel sille wy in oersjoch jaan fan TAP (Test Access Point) en SPAN (Switch Port Analyzer). Foar in djippere analyze hat pakketynspeksje-ekspert Timo'Neill ferskate artikels op lovemytool.com dy't yn detail geane, mar hjir sille wy in mear algemiene oanpak nimme.
SPAN
Port mirroring is in metoade foar it kontrolearjen fan netwurkferkear troch in kopy fan elk ynkommende en/of útgeande pakket fan ien of mear poarten (of VLans) fan in switch troch te stjoeren nei in oare poarte dy't ferbûn is mei in netwurkferkearsanalysator. Span's wurde faak brûkt yn ienfâldiger systemen om meardere siden tagelyk te kontrolearjen. It krekte oantal netwurktransmissies dat it kin kontrolearje hinget ôf fan wêr't de SPAN ynstalleare is relatyf oan de apparatuer fan it datasintrum. Jo sille wierskynlik fine wat jo sykje, mar it is maklik om josels mei tefolle gegevens te finen. Bygelyks, it is mooglik om meardere kopyen fan deselde gegevens te finen oer in heule VLAN. Dit makket LAN-problemen lestiger, en beynfloedet ek de snelheid fan switch-CPU's of beynfloedet it Ethernet fia pleatsingsdeteksje. Yn prinsipe, hoe mear spans, hoe wierskynliker it is om pakketten te ferliezen. Yn ferliking mei taps kinne spans op ôfstân beheard wurde, wat betsjut dat minder tiid bestege wurdt oan it feroarjen fan konfiguraasjes, mar netwurkyngenieurs binne noch altyd nedich.
SPAN-poarten binne gjin passive technology, lykas guon beweare, om't se oare mjitbere effekten kinne hawwe op netwurkferkear, ynklusyf:
- Tiid om frame-ynteraksje te feroarjen
- Pakketten falle litte fanwegen tefolle opsykjen
- Beskeadige pakketten wurde sûnder notice fuortsmiten, wat de analyze hinderet
Dêrom binne SPAN-poarten geskikter foar situaasjes wêrby't it fuortheljen fan pakketten gjin ynfloed hat op 'e analyze, of wêrby't kosten mei rekken holden wurde.
TAP
Yn tsjinstelling, taps moatte foarôf jild útjaan oan hardware, mar se fereaskje net folle ynstelling. Yndied, om't se passyf binne, kinne se ferbûn en loskeppele wurde fan it netwurk sûnder dat it beynfloede wurdt. Taps binne hardware-apparaten dy't in manier biede om tagong te krijen ta gegevens dy't troch in kompjûternetwurk streame en wurde faak brûkt foar netwurkfeiligens en prestaasjesmonitoring. It kontroleare ferkear wurdt "pass-through" ferkear neamd en de poarte dy't brûkt wurdt foar monitoring wurdt "monitoringpoarte" neamd. Om it netwurk dúdliker te ûndersiikjen, kinne taps tusken routers en switches pleatst wurde.
Omdat TAP gjin ynfloed hat op pakketten, kin it sjoen wurde as in wirklik passive manier om netwurkferkear te besjen.
Der binne yn prinsipe trije soarten TAP-oplossingen:
- Netwurksplitter (1 : 1)
- Aggregaat TAP (multi: 1)
- Regeneraasje TAP (1: mearfâldich)
TAP replikearret ferkear nei ien passyf monitoring-ark, of nei in netwurkpakketrelay-apparaat mei hege tichtheid, en tsjinnet meardere (faak meardere) QOS-testark, netwurkmonitoring-ark en netwurksniffer-ark lykas Wireshark.
Derneist fariearje TAP-typen ôfhinklik fan it type kabel, ynklusyf glêstried-TAP en gigabit-koper-TAP, dy't beide yn essinsje op deselde manier wurkje troch in diel fan it sinjaal nei de netwurkferkearsanalysator te stjoeren, wylst it haadmodel sûnder ûnderbrekking trochgiet mei ferstjoeren. Foar de glêstried-TAP is it om de striel yn twaen te splitsen, wylst it yn it koperen kabelsysteem is om it elektryske sinjaal te replikearjen.
Fergelykjen fan de TAP en SPAN
Earst is de SPAN-poarte net geskikt foar in full-duplex 1G-keppeling, en sels as er ûnder syn maksimale kapasiteit is, lit er gau pakketten falle, om't er oerbelêst is, of gewoan om't de switch prioriteit jout oan reguliere poarte-nei-poarte-datums boppe SPAN-poartegegevens. Oars as netwurktaps filterje SPAN-poarten fysike laachflaters út, wêrtroch guon soarten analyse dreger wurde, en lykas wy sjoen hawwe, kinne ferkearde ynkrementtiden en feroare frames oare problemen feroarsaakje. Oan 'e oare kant kin TAP in full-duplex 1G-keppeling betsjinje.
TAP kin ek folsleine pakketfêstlizzen útfiere en yngeande pakketynspeksje útfiere op protokollen, oertredings, ynbraken, ensfh. Sa kinne TAP-gegevens as bewiis yn 'e rjochtbank brûkt wurde, wylst SPAN-poartegegevens dat net kinne.
Feiligens is in oar aspekt dêr't ferskillen binne tusken de twa techniken. SPAN-poarten binne meastal konfigurearre foar ienrjochtingskommunikaasje, mar se kinne yn guon gefallen ek kommunikaasje ûntfange, wat serieuze kwetsberheden feroarsaket. TAP is lykwols net adressearber en hat gjin IP-adres, sadat it net hackt wurde kin.
SPAN-poarten jouwe typysk gjin VLAN-tags troch, wat it lestich meitsje kin om VLAN-flaters te detektearjen, mar taps kinne it heule VLAN-netwurk net tagelyk sjen. As aggregearre taps net brûkt wurde, sil de TAP net itselde trace leverje foar beide kanalen, mar der moat foarsichtichheid betracht wurde mei it detektearjen fan oerskot. Der binne aggregearre taps, lykas Booster foar Profitap, dy't acht 10/100/1G-poarten aggregearje yn in 1G-10G-útfier.
Booster kin pakketten ynfiere troch VLAN-tags yn te foegjen. Op dizze manier wurdt de boarnepoarteynformaasje fan elk pakket trochstjoerd nei de analysator.
SPAN-poarten binne noch altyd in ark dat netwurkbehearders brûke sille, mar as snelheid en betroubere tagong ta alle netwurkgegevens kritysk binne, is TAP de bettere kar. By it besluten hokker oanpak te nimmen, binne SPAN-poarten geskikter foar netwurken mei leech gebrûk, om't ferlerne pakketten gjin ynfloed hawwe op 'e analyze of opsjoneel binne yn gefallen wêr't kosten in soarch binne. Op netwurken mei in soad ferkear sil de kapasiteit, feiligens en betrouberens fan TAP lykwols folslein ynsjoch jaan yn it ferkear op jo netwurk sûnder eangst foar pakketferlies of it filterjen fan fysike laachflaters.
○ Folslein sichtber
○ Replisearje al it ferkear (alle pakketten fan alle grutte en typen)
○ Passyf, net-yndringend (feroaret gjin gegevens)
○ Yn searje wurde gjin skeakelpoarten brûkt om full-duplex ferkear yn kabelbomen te replikearjen Maklike ynstallaasje (plug and play)
○ Net kwetsber foar hackers (ûnsichtber, isolearre tafersjochapparaat fan netwurk, gjin IP/MAC-adres)
○ Skalberber
○ Geskikt foar elke situaasje
○ Gedeeltelike sichtberens
○ Net al it ferkear kopiearje (bepaalde grutte en soarten pakketten fuortsmite)
○ Net-passyf (pakkettiming feroarje, latency ferheegje)
○ Brûk switchpoarte (elke SPAN-poarte brûkt in switchpoarte)
○ Kin gjin full-duplex kommunikaasje behannelje (pakketten falle falle as se oerladen binne, kinne ek de wurking fan 'e primêre switch bemuoie)
○ Yngenieurs moatte konfigurearje
○ Unfeilich (Monitorsysteem is ûnderdiel fan it netwurk, potinsjele feiligensproblemen)
○ Net skalberber
○ Allinnich mooglik ûnder bepaalde omstannichheden
Jo kinne ynteressearre wêze yn it relatearre artikel: Hoe kinne jo netwurkferkear fêstlizze? Network Tap vs Port Mirror
Pleatsingstiid: 9 juny 2025
