English

Netzwerkverkehrserfassung für Netzwerküberwachung, -analyse und -sicherheit: TAP vs. SPAN

Der Hauptunterschied zwischen dem Erfassen von Paketen über Network TAP- und SPAN-Ports.

Portspiegelung(auch bekannt als SPAN)

Netzwerk-Abhöre(auch bekannt als Replikations-Tap, Aggregations-Tap, aktiver Tap, Kupfer-Tap, Ethernet-Tap usw.)TAP (Terminalzugangspunkt)Ein Netzwerk-TAP ist ein rein passives Hardwaregerät, das den Netzwerkverkehr passiv erfassen kann. Es wird häufig zur Überwachung des Datenverkehrs zwischen zwei Punkten im Netzwerk eingesetzt. Besteht die Verbindung zwischen diesen beiden Punkten aus einem physischen Kabel, ist ein Netzwerk-TAP möglicherweise die beste Methode zur Datenerfassung.

Bevor wir die Unterschiede zwischen den beiden Lösungen (Port Mirroring und Network Tap) erläutern, ist es wichtig zu verstehen, wie Ethernet funktioniert. Bei 100 Mbit/s und mehr kommunizieren die Hosts üblicherweise im Vollduplex-Modus. Das bedeutet, dass ein Host gleichzeitig senden (Tx) und empfangen (Rx) kann. An einem 100-Mbit/s-Kabel, das an einen Host angeschlossen ist, beträgt die gesamte Datenmenge, die ein Host senden und empfangen kann (Tx/Rx), 2 × 100 Mbit/s = 200 Mbit/s.

Bei der Portspiegelung handelt es sich um eine aktive Paketreplikation, was bedeutet, dass das Netzwerkgerät physisch für das Kopieren des Pakets an den gespiegelten Port verantwortlich ist.

HAP SPAN

Verkehrserfassung: TAP vs SPAN
Wenn Sie den Netzwerkverkehr überwachen und den Support nicht direkt während einer Transaktion eines Benutzers implementieren möchten, stehen Ihnen zwei Hauptoptionen zur Verfügung. Im folgenden Artikel geben wir einen Überblick über TAP (Test Access Point) und SPAN (Switch Port Analyzer). Für eine detailliertere Analyse bietet der Paketinspektionsexperte Timo'Neill auf lovemytool.com mehrere Artikel an, die das Thema umfassend behandeln. Wir hier verfolgen jedoch einen allgemeineren Ansatz.

SPANNE
Port-Mirroring ist eine Methode zur Überwachung des Netzwerkverkehrs, bei der eine Kopie jedes eingehenden und/oder ausgehenden Pakets von einem oder mehreren Ports (oder VLANs) eines Switches an einen anderen, mit einem Netzwerk-Traffic-Analyzer verbundenen Port weitergeleitet wird. Spans werden häufig in einfacheren Systemen eingesetzt, um mehrere Standorte gleichzeitig zu überwachen. Die genaue Anzahl der überwachbaren Netzwerkübertragungen hängt von der Position des Spans relativ zur Rechenzentrumsausrüstung ab. Sie werden wahrscheinlich die gewünschten Informationen finden, aber es kann leicht zu einer Datenflut kommen. Beispielsweise können mehrere Kopien derselben Daten innerhalb eines gesamten VLANs vorhanden sein. Dies erschwert die Fehlersuche im LAN und kann die Geschwindigkeit der Switch-CPUs oder die Ethernet-Verbindung durch Platzierungserkennung beeinträchtigen. Grundsätzlich gilt: Je mehr Spans, desto höher die Wahrscheinlichkeit für Paketverluste. Im Vergleich zu Taps lassen sich Spans remote verwalten, was den Zeitaufwand für Konfigurationsänderungen reduziert. Netzwerktechniker sind jedoch weiterhin erforderlich.

SPAN-Ports sind keine passive Technologie, wie manche behaupten, denn sie können weitere messbare Auswirkungen auf den Netzwerkverkehr haben, darunter:
- Zeit, die Rahmeninteraktion zu ändern

- Paketverlust aufgrund übermäßiger Suchvorgänge

Beschädigte Pakete werden ohne Vorwarnung verworfen, was die Analyse behindert.
Daher eignen sich SPAN-Ports besser für Situationen, in denen das Verwerfen von Paketen die Analyse nicht beeinträchtigt oder in denen die Kosten eine Rolle spielen.

KLOPFEN
Im Gegensatz dazu erfordern Taps zwar eine anfängliche Hardwareinvestition, sind aber sehr einfach einzurichten. Da sie passiv arbeiten, können sie problemlos mit dem Netzwerk verbunden und wieder getrennt werden, ohne es zu beeinträchtigen. Taps sind Hardwaregeräte, die den Zugriff auf Daten ermöglichen, die durch ein Computernetzwerk fließen, und werden häufig für Netzwerksicherheit und Leistungsüberwachung eingesetzt. Der überwachte Datenverkehr wird als „Pass-Through-Verkehr“ bezeichnet, und der dafür verwendete Port heißt „Überwachungsport“. Um das Netzwerk genauer zu analysieren, können Taps zwischen Routern und Switches platziert werden.
Da TAP die Pakete nicht beeinflusst, kann es als eine wahrhaft passive Methode zur Beobachtung des Netzwerkverkehrs angesehen werden.
Grundsätzlich gibt es drei Arten von TAP-Lösungen:

- Netzwerk-Splitter (1 : 1)

- Aggregierter TAP (Multi : 1)

- Regenerations-TAP (1 : multi)

TAP repliziert den Datenverkehr an ein einzelnes passives Überwachungstool oder an ein Netzwerkpaket-Relay-Gerät mit hoher Dichte und dient mehreren (oftmals mehreren) QoS-Testtools, Netzwerküberwachungstools und Netzwerk-Sniffer-Tools wie Wireshark.
Darüber hinaus unterscheiden sich die TAP-Typen je nach Kabeltyp, darunter Glasfaser-TAP und Gigabit-Kupfer-TAP. Beide funktionieren im Prinzip gleich, indem sie einen Teil des Signals an den Netzwerk-Traffic-Analyzer auslagern, während das Hauptmodell weiterhin ohne Unterbrechung sendet. Beim Glasfaser-TAP wird der Strahl in zwei Teile aufgeteilt, während er im Kupferkabelsystem das elektrische Signal dupliziert.

Vergleich von TAP und SPAN

Erstens ist der SPAN-Port nicht für eine Vollduplex-1-Gbit/s-Verbindung geeignet. Selbst bei Auslastung unterhalb seiner maximalen Kapazität verwirft er schnell Pakete, da er überlastet ist oder der Switch reguläre Port-zu-Port-Daten gegenüber SPAN-Port-Daten priorisiert. Im Gegensatz zu Netzwerk-Taps filtern SPAN-Ports Fehler der physikalischen Schicht heraus, was bestimmte Analysen erschwert. Wie bereits erwähnt, können fehlerhafte Inkrementzeiten und veränderte Frames weitere Probleme verursachen. TAP hingegen kann eine Vollduplex-1-Gbit/s-Verbindung betreiben.

TAP kann außerdem eine vollständige Paketerfassung durchführen und eine detaillierte Paketprüfung auf Protokolle, Verstöße, Eindringversuche usw. vornehmen. Daher können TAP-Daten vor Gericht als Beweismittel verwendet werden, SPAN-Port-Daten hingegen nicht.
Auch in puncto Sicherheit gibt es Unterschiede zwischen den beiden Techniken. SPAN-Ports sind üblicherweise für die unidirektionale Kommunikation konfiguriert, können aber in manchen Fällen auch Daten empfangen, was zu schwerwiegenden Sicherheitslücken führen kann. TAP-Ports hingegen sind nicht adressierbar und besitzen keine IP-Adresse, wodurch sie nicht gehackt werden können.

SPAN-Ports leiten üblicherweise keine VLAN-Tags weiter, was die Erkennung von VLAN-Ausfällen erschweren kann. Taps können jedoch nicht das gesamte VLAN-Netzwerk gleichzeitig erfassen. Werden keine aggregierten Taps verwendet, liefert der TAP nicht für beide Kanäle dieselbe Ablaufverfolgung. Dabei ist auf die Erkennung von Überschreitungen zu achten. Es gibt aggregierte Taps, wie beispielsweise Booster für Profitap, die acht 10/100/1G-Ports zu einem 1G-10G-Ausgang zusammenfassen.

Der Booster kann Pakete durch Einfügen von VLAN-Tags erfassen. Dadurch werden die Quellportinformationen jedes Pakets an den Analysator weitergeleitet.

SPAN-Ports sind nach wie vor ein nützliches Werkzeug für Netzwerkadministratoren. Sind jedoch Geschwindigkeit und zuverlässiger Zugriff auf alle Netzwerkdaten entscheidend, ist TAP die bessere Wahl. Bei der Entscheidung zwischen den beiden Ansätzen eignen sich SPAN-Ports besser für Netzwerke mit geringer Auslastung, da Paketverluste die Analyse nicht beeinträchtigen oder bei begrenzten Kosten optional sind. In stark frequentierten Netzwerken hingegen bieten die Kapazität, Sicherheit und Zuverlässigkeit von TAP vollständige Transparenz über den Netzwerkverkehr – ohne Paketverluste oder Filterung von Fehlern auf der physikalischen Schicht.

KLOPFEN

 

○ Vollständig sichtbar

○ Den gesamten Datenverkehr replizieren (alle Pakete aller Größen und Typen)

○ Passiv, nicht-intrusiv (verändert keine Daten)

○ In Reihe geschaltet werden keine Switch-Ports verwendet, um Vollduplex-Datenverkehr in Kabelbäumen zu replizieren. Einfache Einrichtung (Plug & Play).

○ Nicht anfällig für Hackerangriffe (unsichtbares, vom Netzwerk isoliertes Überwachungsgerät, keine IP-/MAC-Adresse)

○ Skalierbar

○ Für jede Situation geeignet

SPANNE

 

○ Teilweise Sichtbarkeit

○ Nicht den gesamten Datenverkehr kopieren (bestimmte Paketgrößen und -typen verwerfen)

○ Nicht passiv (Änderung des Paket-Timings, Erhöhung der Latenz)

○ Verwenden Sie einen Switch-Port (jeder SPAN-Port verwendet einen Switch-Port)

○ Kann keine Vollduplex-Kommunikation verarbeiten (Pakete gehen bei Überlastung verloren, kann auch den Betrieb des primären Switches beeinträchtigen)

○ Ingenieure müssen konfigurieren

○ Unsicher (Das Überwachungssystem ist Teil des Netzwerks, potenzielle Sicherheitsprobleme)

○ Nicht skalierbar

○ Nur unter bestimmten Umständen durchführbar

Der zugehörige Artikel könnte Sie interessieren: Wie kann man Netzwerkverkehr erfassen? Netzwerk-Tap vs. Port-Mirror

Veröffentlichungsdatum: 09.06.2025
Drücken Sie die Eingabetaste, um zu suchen, oder ESC, um zu schließen.