English

Captura de trànsit de xarxa per a la monitorització, anàlisi i seguretat de la xarxa: TAP vs SPAN

La principal diferència entre capturar paquets mitjançant ports Network TAP i SPAN.

Port Drilling(també conegut com a SPAN)

Toc de xarxa(també conegut com a Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Punt d'accés al terminal)és un dispositiu de maquinari totalment passiu, que pot capturar passivament el trànsit d'una xarxa. S'utilitza habitualment per monitoritzar el trànsit entre dos punts de la xarxa. Si la xarxa entre aquests dos punts consisteix en un cable físic, un TAP de xarxa pot ser la millor manera de capturar el trànsit.

Abans d'explicar les diferències entre les dues solucions (Port Mirror i Network Tap), és important entendre com funciona Ethernet. A 100 Mbit i més, els hosts solen comunicar-se en full dúplex, és a dir, que un host pot enviar (Tx) i rebre (Rx) simultàniament. Això significa que en un cable de 100 Mbit connectat a un host, la quantitat total de trànsit de xarxa que un host pot enviar/rebre (Tx/Rx) és de 2 × 100 Mbit = 200 Mbit.

La rèplica de ports és una replicació activa de paquets, la qual cosa significa que el dispositiu de xarxa és físicament responsable de copiar el paquet al port rèplicat.

Abast de toc

Captura de trànsit: TAP vs SPAN
Quan superviseu el trànsit de xarxa, si no voleu operacionalitzar el suport directament mentre un usuari processa una transacció, teniu dues opcions principals. En el següent article, donarem una visió general de TAP (Test Access Point) i SPAN (Switch Port Analyzer). Per a una anàlisi més profunda, l'expert en inspecció de paquets Timo'Neill té diversos articles a lovemytool.com que aprofundeixen en detalls, però aquí adoptarem un enfocament més general.

ESPAI
La rèplica de ports és un mètode per monitoritzar el trànsit de xarxa reenviant una còpia de cada paquet entrant i/o sortint d'un o més ports (o VLAN) d'un commutador a un altre port connectat a un analitzador de trànsit de xarxa. Els spans s'utilitzen sovint en sistemes més senzills per monitoritzar diversos llocs simultàniament. El nombre exacte de transmissions de xarxa que pot monitoritzar depèn d'on estigui instal·lat l'SPAN en relació amb l'equip del centre de dades. Probablement trobareu el que busqueu, però és fàcil trobar-vos amb massa dades. Per exemple, és possible trobar diverses còpies de les mateixes dades a tota una VLAN. Això dificulta la resolució de problemes de LAN i també afecta la velocitat de les CPU del commutador o afecta l'Ethernet mitjançant la detecció de la col·locació. Bàsicament, com més spans hi hagi, més probable és que es perdin paquets. En comparació amb els taps, els spans es poden gestionar de forma remota, cosa que significa que es dedica menys temps a canviar configuracions, però encara es necessiten enginyers de xarxa.

Els ports SPAN no són una tecnologia passiva, com alguns afirmen, perquè poden tenir altres efectes mesurables sobre el trànsit de xarxa, com ara:
- Temps per canviar la interacció del marc

- Descartar paquets a causa de cerques excessives

- Els paquets corruptes es descarten sense previ avís, cosa que dificulta l'anàlisi
Per tant, els ports SPAN són més adequats per a situacions en què la descartació de paquets no afecta l'anàlisi o on es té en compte el cost.

TOCA
En canvi, els taps han de gastar diners en maquinari inicialment, però no requereixen gaire configuració. De fet, com que són passius, es poden connectar i desconnectar de la xarxa sense afectar-la. Els taps són dispositius de maquinari que proporcionen una manera d'accedir a les dades que flueixen a través d'una xarxa informàtica i s'utilitzen habitualment per a la seguretat de la xarxa i la supervisió del rendiment. El trànsit supervisat s'anomena trànsit "pass-through" i el port utilitzat per a la supervisió s'anomena "port de supervisió". Per sondejar la xarxa amb més claredat, es poden col·locar taps entre encaminadors i commutadors.
Com que el TAP no afecta els paquets, es pot considerar una manera veritablement passiva de visualitzar el trànsit de xarxa.
Bàsicament hi ha tres tipus de solucions TAP:

- Divisor de xarxa (1:1)

- TAP agregat (múltiple: 1)

- Regeneració TAP (1: multi)

TAP replica el trànsit a una única eina de monitorització passiva o a un dispositiu de retransmissió de paquets de xarxa d'alta densitat i serveix diverses (sovint diverses) eines de prova de QOS, eines de monitorització de xarxa i eines de rastreig de xarxa com ara Wireshark.
A més, els tipus de TAP varien segons el tipus de cable, incloent-hi el TAP de fibra i el TAP de coure gigabit, tots dos funcionant essencialment de la mateixa manera descarregant part del senyal a l'analitzador de trànsit de xarxa, mentre que el model principal continua transmetent sense interrupcions. Per al TAP de fibra, es tracta de dividir el feix en dos, mentre que en el sistema de cable de coure, es tracta de replicar el senyal elèctric.

Comparació del TAP i l'SPAN

En primer lloc, el port SPAN no és adequat per a un enllaç 1G full-duplex, i fins i tot quan està per sota de la seva capacitat màxima, descarta paquets ràpidament perquè està sobrecarregat o simplement perquè el commutador prioritza les dates regulars de port a port sobre les dades del port SPAN. A diferència dels taps de xarxa, els ports SPAN filtren els errors de la capa física, cosa que dificulta alguns tipus d'anàlisi i, com hem vist, els temps d'increment incorrectes i els fotogrames modificats poden causar altres problemes. D'altra banda, el TAP pot operar un enllaç 1G full-duplex.

El TAP també pot realitzar una captura completa de paquets i una inspecció exhaustiva de paquets per a protocols, infraccions, intrusions, etc. Per tant, les dades del TAP es poden utilitzar com a prova al tribunal, mentre que les dades del port SPAN no.
La seguretat és un altre aspecte on hi ha diferències entre les dues tècniques. Els ports SPAN solen estar configurats per a la comunicació unidireccional, però també poden rebre comunicació en alguns casos, cosa que provoca vulnerabilitats greus. En canvi, el TAP no és adreçable i no té una adreça IP, per la qual cosa no es pot piratejar.

Els ports SPAN normalment no passen etiquetes VLAN, cosa que pot dificultar la detecció d'errors de VLAN, però els taps no poden veure tota la xarxa VLAN alhora. Si no s'utilitzen taps agregats, el TAP no proporcionarà el mateix rastre per a tots dos canals, però cal anar amb compte amb la detecció de sobredimensionament. Hi ha taps agregats, com ara Booster per a Profitap, que agreguen vuit ports 10/100/1G en una sortida 1G-10G.

El Booster pot introduir paquets inserint etiquetes VLAN. D'aquesta manera, la informació del port d'origen de cada paquet es reenviarà a l'analitzador.

Els ports SPAN continuen sent una eina que els administradors de xarxa utilitzaran, però si la velocitat i l'accés fiable a totes les dades de la xarxa són crítics, TAP és la millor opció. A l'hora de decidir quin enfocament prendre, els ports SPAN són més adequats per a xarxes amb baixa utilització, ja que els paquets perduts no afecten l'anàlisi o són opcionals en els casos en què el cost és una preocupació. Tanmateix, en xarxes amb trànsit elevat, la capacitat, la seguretat i la fiabilitat de TAP proporcionaran una visibilitat completa del trànsit de la vostra xarxa sense la por de la pèrdua de paquets ni de filtrar errors de la capa física.

TOCA

 

○ Totalment visible

○ Replicar tot el trànsit (tots els paquets de totes les mides i tipus)

○ Passiu, no intrusiu (no canvia les dades)

○ En sèrie, no s'utilitzen ports de commutació per replicar el trànsit full-duplex als arnesos. Configuració fàcil (connectar i utilitzar)

○ No vulnerable als pirates informàtics (dispositiu de monitorització invisible i aïllat de la xarxa, sense adreça IP/MAC)

○ Escalable

○ Apte per a qualsevol situació

ESPAI

 

○ Visibilitat parcial

○ No copiar tot el trànsit (descartar certes mides i tipus de paquets)

○ No passiu (canviant la sincronització dels paquets, augmentant la latència)

○ Utilitza el port de commutació (cada port SPAN utilitza un port de commutació)

○ No es pot gestionar la comunicació full-duplex (els paquets es perden quan es sobrecarrega, cosa que també pot interferir amb el funcionament del commutador principal)

○ Els enginyers han de configurar

○ No segur (el sistema de monitorització forma part de la xarxa, possibles problemes de seguretat)

○ No escalable

○ Només factible en determinades circumstàncies

Potser t'interessarà l'article relacionat: Com capturar el trànsit de xarxa? Network Tap vs Port Mirror

Data de publicació: 09 de juny de 2025
Premeu Intro per cercar o ESC per tancar