Sie kennen sicherlich den Konflikt zwischen Network Tap (Test Access Point) und Switch Port Analyzer (SPAN-Port) für die Netzwerküberwachung. Beide können den Netzwerkverkehr spiegeln und an externe Sicherheitstools wie Intrusion-Detection-Systeme, Netzwerk-Logger oder Netzwerk-Analyzer weiterleiten. SPAN-Ports werden an Enterprise-Switches mit Port-Mirroring-Funktion konfiguriert. Es handelt sich um einen dedizierten Port an einem Managed Switch, der eine Kopie des Netzwerkverkehrs vom Switch empfängt und an Sicherheitstools sendet. Ein TAP hingegen verteilt den Netzwerkverkehr passiv an ein Sicherheitstool. Ein TAP empfängt den Netzwerkverkehr in Echtzeit und in beide Richtungen über einen separaten Kanal.
Dies sind die fünf Hauptvorteile von TAP über den SPAN-Anschluss:
1. TAP erfasst jedes einzelne Paket!
Span löscht beschädigte Pakete und Pakete, die kleiner als die Mindestgröße sind. Daher können Sicherheitstools nicht den gesamten Datenverkehr erfassen, da Span-Ports dem Netzwerkverkehr eine höhere Priorität einräumen. Zusätzlich wird der Empfangs- und Sendeverkehr an einem einzigen Port zusammengefasst, wodurch Pakete häufiger verloren gehen. TAP erfasst den gesamten bidirektionalen Datenverkehr an jedem Zielport, einschließlich Portfehlern.
2. Vollständig passive Lösung, keine IP-Konfiguration oder Stromversorgung erforderlich
Passive TAP-Systeme werden hauptsächlich in Glasfasernetzen eingesetzt. Sie empfangen den Datenverkehr aus beiden Richtungen des Netzwerks und teilen das eingehende Lichtsignal so auf, dass der gesamte Datenverkehr auf dem Überwachungstool sichtbar ist. Passive TAP-Systeme benötigen keine Stromversorgung. Dadurch bieten sie eine zusätzliche Redundanzebene, sind wartungsarm und reduzieren die Gesamtkosten. Für die Überwachung von Kupfer-Ethernet-Datenverkehr ist ein aktives TAP-System erforderlich. Dieses benötigt Strom, die aktiven TAP-Systeme von Niagra verfügen jedoch über eine ausfallsichere Bypass-Technologie, die das Risiko von Dienstausfällen bei Stromausfall eliminiert.
3. Kein Paketverlust
Network TAP überwacht beide Enden einer Verbindung und bietet so vollständige Transparenz des bidirektionalen Netzwerkverkehrs. TAP verwirft keine Pakete, unabhängig von deren Bandbreite.
4. Geeignet für mittlere bis hohe Netzwerkauslastung
Der SPAN-Port kann stark ausgelastete Netzwerkverbindungen nicht ohne Paketverlust verarbeiten. Daher ist in diesen Fällen ein Netzwerk-TAP erforderlich. Wenn mehr Datenverkehr über den SPAN-Port fließt als empfangen wird, ist dieser überlastet und muss Pakete verwerfen. Um 10 Gbit/s bidirektionalen Datenverkehr zu erfassen, benötigt der SPAN-Port eine Kapazität von 20 Gbit/s. Der 10-Gbit/s-Netzwerk-TAP kann diese Kapazität von 10 Gbit/s vollständig nutzen.
5. TAP lässt den gesamten Datenverkehr passieren, einschließlich VLAN-Tags.
Span-Ports lassen im Allgemeinen keine VLAN-Labels durch, was die Erkennung von VLAN-Problemen erschwert und zu Fehlalarmen führen kann. TAP umgeht diese Probleme, indem es den gesamten Datenverkehr durchlässt.
Veröffentlichungsdatum: 18. Juli 2022
