Het belangrijkste verschil tussen het vastleggen van pakketten via Network TAP- en SPAN-poorten.
Poortspiegeling(ook bekend als SPAN)
Netwerktap(ook bekend als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Terminal Access Point)Een volledig passief hardwareapparaat dat passief verkeer op een netwerk kan vastleggen. Het wordt vaak gebruikt om het verkeer tussen twee punten in het netwerk te monitoren. Als het netwerk tussen deze twee punten uit een fysieke kabel bestaat, is een netwerk-TAP mogelijk de beste manier om verkeer vast te leggen.
Voordat we de verschillen tussen de twee oplossingen (Port Mirror en Network Tap) uitleggen, is het belangrijk om te begrijpen hoe Ethernet werkt. Bij 100 Mbit en hoger communiceren hosts meestal in full-duplex, wat betekent dat één host tegelijkertijd kan verzenden (Tx) en ontvangen (Rx). Dit betekent dat over een 100 Mbit-kabel die op één host is aangesloten, de totale hoeveelheid netwerkverkeer die één host kan verzenden/ontvangen (Tx/Rx) 2 × 100 Mbit = 200 Mbit is.
Poortspiegeling is actieve pakketreplicatie, wat betekent dat het netwerkapparaat fysiek verantwoordelijk is voor het kopiëren van het pakket naar de gespiegelde poort.
Verkeer vastleggen: TAP versus SPAN
Als u bij het monitoren van netwerkverkeer de ondersteuning niet direct wilt operationaliseren terwijl een gebruiker een transactie verwerkt, hebt u twee belangrijke opties. In het volgende artikel geven we een overzicht van TAP (Test Access Point) en SPAN (Switch Port Analyzer). Voor een diepgaandere analyse heeft pakketinspectie-expert Timo'Neill verschillende artikelen op lovemytool.com die hier uitgebreid op ingaan, maar hier hanteren we een meer algemene benadering.
SPAN
Port mirroring is een methode om netwerkverkeer te monitoren door een kopie van elk inkomend en/of uitgaand pakket van een of meer poorten (of VLAN's) van een switch door te sturen naar een andere poort die is aangesloten op een netwerkverkeersanalysator. Spans worden vaak gebruikt in eenvoudigere systemen om meerdere locaties tegelijkertijd te monitoren. Het exacte aantal netwerktransmissies dat kan worden gemonitord, hangt af van de locatie van de SPAN ten opzichte van de datacenterapparatuur. U vindt waarschijnlijk wel wat u zoekt, maar het is gemakkelijk om te veel data te hebben. Het is bijvoorbeeld mogelijk om meerdere kopieën van dezelfde data over een volledig VLAN te vinden. Dit bemoeilijkt het oplossen van problemen met LAN's en heeft ook invloed op de snelheid van switch-CPU's of op het Ethernet via plaatsingsdetectie. Kortom, hoe meer spans, hoe groter de kans op pakketverlies. In vergelijking met taps kunnen spans op afstand worden beheerd, wat betekent dat er minder tijd wordt besteed aan het wijzigen van configuraties, maar er zijn nog steeds netwerktechnici nodig.
SPAN-poorten zijn geen passieve technologie, zoals sommigen beweren, omdat ze andere meetbare effecten op het netwerkverkeer kunnen hebben, waaronder:
- Tijd om de frame-interactie te veranderen
- Pakketten laten vallen vanwege overmatig opzoeken
- Corrupte pakketten worden zonder waarschuwing verwijderd, waardoor de analyse wordt belemmerd
SPAN-poorten zijn daarom geschikter voor situaties waarbij het verwijderen van pakketten geen invloed heeft op de analyse, of waarbij de kosten in overweging worden genomen.
KRAAN
Taps daarentegen vereisen vooraf hardware-investeringen, maar vereisen niet veel installatie. Omdat ze passief zijn, kunnen ze worden aangesloten op en losgekoppeld van het netwerk zonder dat dit gevolgen heeft. Taps zijn hardwareapparaten die toegang bieden tot gegevens die via een computernetwerk stromen en worden vaak gebruikt voor netwerkbeveiliging en prestatiebewaking. Het gemonitorde verkeer wordt "pass-through"-verkeer genoemd en de poort die voor de monitoring wordt gebruikt, wordt "monitoringpoort" genoemd. Om het netwerk beter te kunnen analyseren, kunnen taps tussen routers en switches worden geplaatst.
Omdat TAP geen invloed heeft op pakketten, kun je het zien als een echt passieve manier om netwerkverkeer te bekijken.
Er zijn in principe drie soorten TAP-oplossingen:
- Netwerksplitter (1:1)
- Geaggregeerde TAP (multi : 1)
- Regeneratie TAP (1: multi)
TAP repliceert verkeer naar één passieve bewakingstool of naar een pakketdoorgifteapparaat voor netwerken met hoge dichtheid en bedient meerdere (vaak meerdere) QOS-testtools, netwerkbewakingstools en netwerksniffertools zoals Wireshark.
Bovendien variëren de TAP-typen afhankelijk van het type kabel, waaronder glasvezel-TAP en gigabit koper-TAP. Beide werken in wezen op dezelfde manier: een deel van het signaal wordt overgedragen naar de netwerkverkeersanalysator, terwijl het hoofdmodel zonder onderbreking blijft verzenden. Bij glasvezel-TAP wordt de bundel in tweeën gesplitst, terwijl het bij koperkabelsystemen het elektrische signaal wordt gerepliceerd.
Vergelijking van TAP en SPAN
Ten eerste is de SPAN-poort niet geschikt voor een full-duplex 1G-verbinding. Zelfs onder de maximale capaciteit laat hij snel pakketten vallen, omdat hij overbelast is of simpelweg omdat de switch prioriteit geeft aan reguliere poort-naar-poort-data boven SPAN-poortgegevens. In tegenstelling tot netwerktaps filteren SPAN-poorten fouten op de fysieke laag, waardoor sommige soorten analyses moeilijker worden. Zoals we hebben gezien, kunnen onjuiste incrementtijden en gewijzigde frames bovendien andere problemen veroorzaken. TAP daarentegen kan wel een full-duplex 1G-verbinding bedienen.
TAP kan ook volledige pakketregistratie uitvoeren en een diepgaande pakketinspectie uitvoeren op protocollen, overtredingen, indringers, enz. TAP-gegevens kunnen daarom als bewijs in de rechtbank worden gebruikt, in tegenstelling tot SPAN-poortgegevens.
Beveiliging is een ander aspect waar de twee technieken van elkaar verschillen. SPAN-poorten zijn meestal geconfigureerd voor eenrichtingscommunicatie, maar kunnen in sommige gevallen ook communicatie ontvangen, wat ernstige kwetsbaarheden kan veroorzaken. TAP daarentegen is niet adresseerbaar en heeft geen IP-adres, waardoor het niet gehackt kan worden.
SPAN-poorten geven doorgaans geen VLAN-tags door, wat het detecteren van VLAN-storingen kan bemoeilijken. Taps kunnen echter niet het volledige VLAN-netwerk in één keer zien. Als er geen geaggregeerde taps worden gebruikt, zal de TAP niet dezelfde trace voor beide kanalen bieden, maar wees voorzichtig met overschrijdingsdetectie. Er zijn geaggregeerde taps, zoals Booster voor Profitap, die acht 10/100/1G-poorten samenvoegen in een 1G-10G-uitgang.
Booster kan pakketten invoeren door VLAN-tags in te voegen. Op deze manier wordt de bronpoortinformatie van elk pakket doorgestuurd naar de analyzer.
SPAN-poorten zijn nog steeds een hulpmiddel dat netwerkbeheerders gebruiken, maar als snelheid en betrouwbare toegang tot alle netwerkgegevens cruciaal zijn, is TAP de betere keuze. Bij het bepalen van de te kiezen aanpak zijn SPAN-poorten geschikter voor netwerken met een lage bezettingsgraad, omdat verloren pakketten de analyse niet beïnvloeden of optioneel zijn in gevallen waarin de kosten een probleem vormen. Op netwerken met veel verkeer bieden de capaciteit, beveiliging en betrouwbaarheid van TAP echter volledig inzicht in het netwerkverkeer, zonder dat u bang hoeft te zijn voor pakketverlies of het uitfilteren van fouten op de fysieke laag.
○ Volledig zichtbaar
○ Repliceer al het verkeer (alle pakketten van alle grootten en typen)
○ Passief, niet-intrusief (verandert geen gegevens)
○ In serie worden geen switchpoorten gebruikt om full-duplex verkeer in kabelbomen te repliceren Eenvoudige installatie (plug and play)
○ Niet kwetsbaar voor hackers (onzichtbaar, geïsoleerd bewakingsapparaat van het netwerk, geen IP/MAC-adres)
○ Schaalbaar
○ Geschikt voor elke situatie
○ Gedeeltelijk zicht
○ Niet al het verkeer kopiëren (bepaalde pakketgroottes en -typen laten vallen)
○ Niet-passief (verandert pakkettiming, verhoogt latentie)
○ Gebruik switchpoort (elke SPAN-poort gebruikt een switchpoort)
○ Kan geen full-duplexcommunicatie verwerken (pakketten vallen weg bij overbelasting, wat ook de werking van de primaire switch kan verstoren)
○ Ingenieurs moeten configureren
○ Onveilig (Monitoringsysteem is onderdeel van het netwerk, potentiële veiligheidsproblemen)
○ Niet schaalbaar
○ Alleen haalbaar onder bepaalde omstandigheden
Het gerelateerde artikel kan u interesseren: Hoe netwerkverkeer vastleggen? Netwerktap versus poortspiegel
Plaatsingstijd: 09-06-2025
