Der Hauptunterschied zwischen der Erfassung von Paketen mithilfe von Netzwerk-TAP- und SPAN-Ports.
Portspiegelung(auch bekannt als SPAN)
Netzwerk-Tap(auch bekannt als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap usw.)TAP (Terminal Access Point)ist ein vollständig passives Hardwaregerät, das den Datenverkehr in einem Netzwerk passiv erfassen kann. Es wird üblicherweise verwendet, um den Datenverkehr zwischen zwei Punkten im Netzwerk zu überwachen. Besteht das Netzwerk zwischen diesen beiden Punkten aus einem physischen Kabel, ist ein Netzwerk-TAP möglicherweise die beste Möglichkeit, den Datenverkehr zu erfassen.
Bevor wir die Unterschiede zwischen den beiden Lösungen (Port Mirror und Network Tap) erläutern, ist es wichtig zu verstehen, wie Ethernet funktioniert. Ab 100 Mbit/s kommunizieren Hosts in der Regel im Vollduplex-Modus, d. h. ein Host kann gleichzeitig senden (Tx) und empfangen (Rx). Das bedeutet, dass über ein 100-Mbit-Kabel, das mit einem Host verbunden ist, die Gesamtmenge des Netzwerkverkehrs, den ein Host senden/empfangen (Tx/Rx) kann, 2 × 100 Mbit/s = 200 Mbit/s beträgt.
Beim Port-Mirroring handelt es sich um eine aktive Paketreplikation, d. h. das Netzwerkgerät ist physisch dafür verantwortlich, das Paket auf den gespiegelten Port zu kopieren.
Datenverkehr erfassen: TAP vs. SPAN
Wenn Sie bei der Überwachung des Netzwerkverkehrs den Support nicht direkt während der Transaktionsverarbeitung eines Benutzers operationalisieren möchten, stehen Ihnen zwei Hauptoptionen zur Verfügung. Im folgenden Artikel geben wir einen Überblick über TAP (Test Access Point) und SPAN (Switch Port Analyzer). Für eine tiefergehende Analyse bietet Paketinspektionsexperte Timo'Neill auf lovemytool.com mehrere Artikel mit detaillierten Informationen. Hier verfolgen wir jedoch einen allgemeineren Ansatz.
SPANNE
Portspiegelung ist eine Methode zur Überwachung des Netzwerkverkehrs. Dabei wird eine Kopie jedes eingehenden und/oder ausgehenden Pakets von einem oder mehreren Ports (oder VLANs) eines Switches an einen anderen Port weitergeleitet, der mit einem Netzwerkverkehrsanalysator verbunden ist. Spans werden häufig in einfacheren Systemen verwendet, um mehrere Standorte gleichzeitig zu überwachen. Die genaue Anzahl der Netzwerkübertragungen, die überwacht werden können, hängt davon ab, wo der SPAN im Verhältnis zur Rechenzentrumsausrüstung installiert ist. Sie werden wahrscheinlich finden, wonach Sie suchen, aber es kann leicht passieren, dass Sie zu viele Daten haben. So ist es beispielsweise möglich, mehrere Kopien derselben Daten in einem ganzen VLAN zu finden. Dies erschwert die LAN-Fehlerbehebung und beeinträchtigt auch die Geschwindigkeit der Switch-CPUs oder das Ethernet durch Platzierungserkennung. Grundsätzlich gilt: Je mehr Spans, desto wahrscheinlicher ist es, dass Pakete verloren gehen. Im Vergleich zu Taps können Spans fernverwaltet werden, was weniger Zeit für Konfigurationsänderungen benötigt. Netzwerktechniker werden jedoch weiterhin benötigt.
SPAN-Ports sind keine passive Technologie, wie manche behaupten, da sie andere messbare Auswirkungen auf den Netzwerkverkehr haben können, darunter:
- Zeit zum Ändern der Frame-Interaktion
- Verlieren von Paketen aufgrund übermäßiger Suchvorgänge
- Beschädigte Pakete werden ohne Benachrichtigung gelöscht, was die Analyse behindert
Daher eignen sich SPAN-Ports besser für Situationen, in denen das Verlieren von Paketen die Analyse nicht beeinträchtigt oder die Kosten berücksichtigt werden.
KLOPFEN
Im Gegensatz dazu erfordern Taps zwar zunächst Investitionen in die Hardware, erfordern aber keinen großen Einrichtungsaufwand. Da sie passiv sind, können sie ohne Beeinträchtigung des Netzwerks an- und abgekoppelt werden. Taps sind Hardwaregeräte, die den Zugriff auf Daten ermöglichen, die durch ein Computernetzwerk fließen, und werden häufig für die Netzwerksicherheit und Leistungsüberwachung eingesetzt. Der überwachte Datenverkehr wird als „Pass-Through“-Datenverkehr bezeichnet, der zur Überwachung verwendete Port als „Monitoring-Port“. Um das Netzwerk genauer zu untersuchen, können Taps zwischen Routern und Switches platziert werden.
Da TAP keine Auswirkungen auf Pakete hat, kann es als eine wirklich passive Möglichkeit zur Anzeige des Netzwerkverkehrs angesehen werden.
Grundsätzlich gibt es drei Arten von TAP-Lösungen:
Netzwerksplitter (1: 1)
- Aggregierter TAP (Multi: 1)
- Regenerations-TAP (1: Multi)
TAP repliziert den Datenverkehr auf ein einzelnes passives Überwachungstool oder auf ein Netzwerkpaket-Relay-Gerät mit hoher Dichte und bedient mehrere (häufig mehrere) QOS-Testtools, Netzwerküberwachungstools und Netzwerk-Sniffer-Tools wie Wireshark.
Darüber hinaus variieren die TAP-Typen je nach Kabeltyp, darunter Glasfaser-TAP und Gigabit-Kupfer-TAP. Beide funktionieren im Wesentlichen gleich, indem sie einen Teil des Signals an den Netzwerkverkehrsanalysator auslagern, während das Hauptmodell ohne Unterbrechung weitersendet. Beim Glasfaser-TAP wird der Strahl in zwei Hälften geteilt, während er im Kupferkabelsystem das elektrische Signal repliziert.
Vergleich von TAP und SPAN
Erstens ist der SPAN-Port nicht für eine Vollduplex-1G-Verbindung geeignet. Selbst unterhalb seiner maximalen Kapazität verwirft er schnell Pakete, weil er überlastet ist oder der Switch reguläre Port-zu-Port-Daten gegenüber SPAN-Port-Daten priorisiert. Im Gegensatz zu Netzwerk-Taps filtern SPAN-Ports Fehler auf der physischen Schicht heraus, was einige Analysen erschwert. Wie wir gesehen haben, können falsche Inkrementzeiten und geänderte Frames weitere Probleme verursachen. Andererseits kann TAP eine Vollduplex-1G-Verbindung betreiben.
TAP kann außerdem eine vollständige Paketerfassung durchführen und eine eingehende Paketprüfung auf Protokolle, Verstöße, Eindringlinge usw. durchführen. Daher können TAP-Daten als Beweismittel vor Gericht verwendet werden, SPAN-Portdaten hingegen nicht.
Ein weiterer Aspekt, bei dem es Unterschiede zwischen den beiden Techniken gibt, ist die Sicherheit. SPAN-Ports sind in der Regel für die Einwegkommunikation konfiguriert, können aber in manchen Fällen auch Kommunikation empfangen, was zu schwerwiegenden Sicherheitslücken führt. TAP hingegen ist nicht adressierbar und verfügt nicht über eine IP-Adresse, sodass es nicht gehackt werden kann.
SPAN-Ports geben in der Regel keine VLAN-Tags weiter, was die Erkennung von VLAN-Ausfällen erschweren kann. Taps können jedoch nicht das gesamte VLAN-Netzwerk gleichzeitig erfassen. Werden keine aggregierten Taps verwendet, liefert der TAP nicht für beide Kanäle den gleichen Trace. Bei der Überschreitungserkennung ist jedoch Vorsicht geboten. Es gibt aggregierte Taps, wie beispielsweise Booster für Profitap, die acht 10/100/1G-Ports in einem 1G-10G-Ausgang aggregieren.
Booster kann Pakete durch Einfügen von VLAN-Tags eingeben. Auf diese Weise werden die Quellportinformationen jedes Pakets an den Analysator weitergeleitet.
SPAN-Ports sind nach wie vor ein von Netzwerkadministratoren genutztes Tool. Sind Geschwindigkeit und zuverlässiger Zugriff auf alle Netzwerkdaten jedoch entscheidend, ist TAP die bessere Wahl. Bei der Entscheidung für einen Ansatz eignen sich SPAN-Ports besser für Netzwerke mit geringer Auslastung, da verlorene Pakete die Analyse nicht beeinträchtigen oder bei Kostenproblemen optional sind. In Netzwerken mit hohem Datenverkehr bieten die Kapazität, Sicherheit und Zuverlässigkeit von TAP jedoch vollständige Transparenz über den Datenverkehr in Ihrem Netzwerk, ohne dass Paketverluste oder das Herausfiltern von Fehlern auf der physischen Schicht befürchtet werden müssen.
○ Vollständig sichtbar
○ Replizieren Sie den gesamten Datenverkehr (alle Pakete aller Größen und Typen)
○ Passiv, nicht-intrusiv (ändert keine Daten)
○ In Reihe werden keine Switch-Ports verwendet, um den Vollduplex-Verkehr in Kabelbäumen zu replizieren. Einfache Einrichtung (Plug-and-Play).
○ Nicht anfällig für Hacker (unsichtbares, vom Netzwerk isoliertes Überwachungsgerät, keine IP/MAC-Adresse)
○ Skalierbar
○ Für jede Situation geeignet
○ Teilweise Sichtbarkeit
○ Nicht den gesamten Datenverkehr kopieren (Verwerfen bestimmter Paketgrößen und -typen)
○ Nicht passiv (Änderung des Paket-Timings, Erhöhung der Latenz)
○ Switch-Port verwenden (jeder SPAN-Port verwendet einen Switch-Port)
○ Vollduplex-Kommunikation kann nicht verarbeitet werden (Pakete werden bei Überlastung gelöscht, was auch den Betrieb des primären Switches beeinträchtigen kann)
○ Ingenieure müssen konfigurieren
○ Unsicher (Überwachungssystem ist Teil des Netzwerks, potenzielle Sicherheitsprobleme)
○ Nicht skalierbar
○ Nur unter bestimmten Umständen möglich
Der zugehörige Artikel könnte für Sie von Interesse sein: Wie erfasst man Netzwerkverkehr? Netzwerk-Tap vs. Port-Mirror
Beitragszeit: 09.06.2025
