A principal diferenza entre capturar paquetes usando portos Network TAP e SPAN.
Duplicación de portos(tamén coñecido como SPAN)
Toque de rede(tamén coñecido como Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Punto de acceso ao terminal)é un dispositivo de hardware totalmente pasivo, que pode capturar pasivamente o tráfico nunha rede. Úsase habitualmente para monitorizar o tráfico entre dous puntos da rede. Se a rede entre estes dous puntos consiste nun cable físico, un TAP de rede pode ser a mellor maneira de capturar o tráfico.
Antes de explicar as diferenzas entre as dúas solucións (Port Mirror e Network Tap), é importante entender como funciona Ethernet. A 100 Mbit e superiores, os hosts adoitan comunicarse en full dúplex, o que significa que un host pode enviar (Tx) e recibir (Rx) simultaneamente. Isto significa que nun cable de 100 Mbit conectado a un host, a cantidade total de tráfico de rede que un host pode enviar/recibir (Tx/Rx) é de 2 × 100 Mbit = 200 Mbit.
A duplicación de portos é unha replicación activa de paquetes, o que significa que o dispositivo de rede é fisicamente responsable de copiar o paquete ao porto duplicado.
Captura de tráfico: TAP vs SPAN
Ao monitorizar o tráfico da rede, se non queres poñer en funcionamento o soporte directamente mentres un usuario procesa unha transacción, tes dúas opcións principais. No seguinte artigo, daremos unha visión xeral de TAP (Test Access Point) e SPAN (Switch Port Analyzer). Para unha análise máis profunda, o experto en inspección de paquetes Timo'Neill ten varios artigos en lovemytool.com que afondan en gran detalle, pero aquí adoptaremos unha abordaxe máis xeral.
ESPACIO
A creación de espellos de portos é un método de monitorización do tráfico de rede mediante o reenvío dunha copia de cada paquete entrante e/ou saínte dun ou máis portos (ou VLAN) dun conmutador a outro porto conectado a un analizador de tráfico de rede. Os spans úsanse a miúdo en sistemas máis sinxelos para monitorizar varios sitios simultaneamente. O número exacto de transmisións de rede que pode monitorizar depende de onde estea instalado o SPAN en relación co equipo do centro de datos. Probablemente atopará o que busca, pero é fácil atoparse con demasiados datos. Por exemplo, é posible atopar varias copias dos mesmos datos en toda unha VLAN. Isto dificulta a resolución de problemas de LAN e tamén afecta á velocidade das CPU do conmutador ou afecta á Ethernet mediante a detección de colocación. Basicamente, cantos máis spans, maior será a probabilidade de perder paquetes. En comparación cos taps, os spans pódense xestionar de forma remota, o que significa que se dedica menos tempo a cambiar configuracións, pero aínda se requiren enxeñeiros de rede.
Os portos SPAN non son unha tecnoloxía pasiva, como algúns afirman, porque poden ter outros efectos medibles no tráfico da rede, incluíndo:
- Tempo para cambiar a interacción do cadro
- Perda de paquetes debido a buscas excesivas
- Os paquetes corruptos son eliminados sen previo aviso, o que dificulta a análise
Polo tanto, os portos SPAN son máis axeitados para situacións nas que descartar paquetes non afecta á análise ou nas que se ten en conta o custo.
TOQUE
Pola contra, os taps requiren un investimento inicial en hardware, pero non requiren moita configuración. De feito, como son pasivos, pódense conectar e desconectar da rede sen afectala. Os taps son dispositivos de hardware que proporcionan unha forma de acceder aos datos que flúen a través dunha rede informática e úsanse habitualmente para fins de seguridade de rede e monitorización do rendemento. O tráfico monitorizado chámase tráfico "de paso" e o porto utilizado para a monitorización chámase "porto de monitorización". Para sondar a rede con maior claridade, pódense colocar taps entre os enrutadores e os conmutadores.
Dado que TAP non afecta aos paquetes, pódese considerar unha forma verdadeiramente pasiva de ver o tráfico da rede.
Basicamente, existen tres tipos de solucións TAP:
- Divisor de rede (1:1)
- TAP agregado (múltiple: 1)
- TAP de rexeneración (1: múltiple)
TAP replica o tráfico a unha única ferramenta de monitorización pasiva ou a un dispositivo de retransmisión de paquetes de rede de alta densidade e serve varias (a miúdo varias) ferramentas de proba de QOS, ferramentas de monitorización de rede e ferramentas de rastrexo de rede como Wireshark.
Ademais, os tipos de TAP varían segundo o tipo de cable, incluíndo o TAP de fibra e o TAP de cobre gigabit, ambos funcionando esencialmente do mesmo xeito descargando parte do sinal ao analizador de tráfico de rede, mentres que o modelo principal continúa transmitindo sen interrupcións. Para o TAP de fibra, trátase de dividir o feixe en dous, mentres que no sistema de cable de cobre, trátase de replicar o sinal eléctrico.
Comparando o TAP e o SPAN
En primeiro lugar, o porto SPAN non é axeitado para unha ligazón 1G full-duplex e, mesmo cando está por debaixo da súa capacidade máxima, descarta paquetes rapidamente porque está sobrecargado ou simplemente porque o conmutador prioriza as datas regulares de porto a porto sobre os datos do porto SPAN. A diferenza dos taps de rede, os portos SPAN filtran os erros da capa física, o que dificulta algúns tipos de análise e, como vimos, os tempos de incremento incorrectos e as tramas modificadas poden causar outros problemas. Por outra banda, o TAP pode operar unha ligazón 1G full-duplex.
O TAP tamén pode realizar unha captura completa de paquetes e unha inspección exhaustiva de paquetes para protocolos, infraccións, intrusións, etc. Polo tanto, os datos do TAP pódense usar como probas nos tribunais, mentres que os datos do porto SPAN non.
A seguridade é outro aspecto no que existen diferenzas entre as dúas técnicas. Os portos SPAN adoitan configurarse para a comunicación unidireccional, pero tamén poden recibir comunicación nalgúns casos, o que causa vulnerabilidades graves. Pola contra, o TAP non é direccionable e non ten un enderezo IP, polo que non se pode piratear.
Normalmente, os portos SPAN non pasan etiquetas VLAN, o que pode dificultar a detección de fallos de VLAN, pero os taps non poden ver toda a rede VLAN á vez. Se non se usan taps agregados, o TAP non proporcionará o mesmo rastrexo para ambos os canais, pero débese ter coidado coa detección de exceso. Hai taps agregados, como Booster para Profitap, que agregan oito portos 10/100/1G nunha saída de 1G-10G.
O Booster pode introducir paquetes inserindo etiquetas VLAN. Deste xeito, a información do porto de orixe de cada paquete enviarase ao analizador.
Os portos SPAN seguen sendo unha ferramenta que os administradores de rede usarán, pero se a velocidade e o acceso fiable a todos os datos da rede son fundamentais, TAP é a mellor opción. Á hora de decidir que enfoque adoptar, os portos SPAN son máis axeitados para redes con baixa utilización, xa que os paquetes perdidos non afectan á análise ou son opcionais nos casos nos que o custo é unha preocupación. Non obstante, en redes con moito tráfico, a capacidade, a seguridade e a fiabilidade de TAP proporcionarán unha visibilidade completa do tráfico da súa rede sen medo á perda de paquetes ou ao filtrado de erros da capa física.
○ Totalmente visible
○ Replicar todo o tráfico (todos os paquetes de todos os tamaños e tipos)
○ Pasivo, non intrusivo (non altera os datos)
○ En serie, non se usan portos de conmutación para replicar o tráfico full-duplex nos arneses. Configuración sinxela (conectar e usar)
○ Non vulnerable aos piratas informáticos (dispositivo de monitorización invisible e illado da rede, sen enderezo IP/MAC)
○ Escalable
○ Apto para calquera situación
○ Visibilidade parcial
○ Non copiar todo o tráfico (descartar certos tamaños e tipos de paquetes)
○ Non pasivo (cambia a temporización dos paquetes, aumenta a latencia)
○ Usar porto de conmutación (cada porto SPAN usa un porto de conmutación)
○ Non se pode xestionar a comunicación full-duplex (os paquetes pérdense cando se sobrecargan, o que tamén pode interferir co funcionamento do conmutador principal)
○ Os enxeñeiros deben configurar
○ Perigoso (o sistema de monitorización forma parte da rede, posibles problemas de seguridade)
○ Non escalable
○ Só factible en determinadas circunstancias
Pode que che interese o artigo relacionado: Como capturar o tráfico da rede? Network Tap vs. Port Mirror
Data de publicación: 09-06-2025
