La differenza principale tra l'acquisizione di pacchetti tramite porte Network TAP e SPAN.
Mirroring delle porte(noto anche come SPAN)
Rubinetto di rete(noto anche come Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)TAP (Punto di accesso terminale)È un dispositivo hardware completamente passivo, in grado di catturare passivamente il traffico su una rete. Viene comunemente utilizzato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un TAP di rete potrebbe essere il modo migliore per catturare il traffico.
Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 Mbit e oltre, gli host di solito comunicano in full duplex, il che significa che un host può inviare (Tx) e ricevere (Rx) simultaneamente. Ciò significa che su un cavo da 100 Mbit collegato a un host, la quantità totale di traffico di rete che un host può inviare/ricevere (Tx/Rx) è 2 × 100 Mbit = 200 Mbit.
Il port mirroring è una replicazione attiva dei pacchetti, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta sottoposta a mirroring.
Cattura del traffico: TAP vs SPAN
Quando si monitora il traffico di rete, se non si desidera rendere operativo il supporto direttamente mentre un utente elabora una transazione, si hanno due opzioni principali. Nel seguente articolo, forniremo una panoramica di TAP (Test Access Point) e SPAN (Switch Port Analyzer). Per un'analisi più approfondita, l'esperto di ispezione dei pacchetti Timo'Neill ha pubblicato diversi articoli su lovemytool.com che approfondiscono i dettagli, ma qui adotteremo un approccio più generale.
SPAN
Il port mirroring è un metodo di monitoraggio del traffico di rete che inoltra una copia di ogni pacchetto in entrata e/o in uscita da una o più porte (o VLAN) di uno switch a un'altra porta connessa a un analizzatore di traffico di rete. Gli span vengono spesso utilizzati nei sistemi più semplici per monitorare più siti contemporaneamente. Il numero esatto di trasmissioni di rete che è in grado di monitorare dipende da dove è installato lo SPAN rispetto alle apparecchiature del data center. Probabilmente troverai quello che stai cercando, ma è facile ritrovarsi con troppi dati. Ad esempio, è possibile trovare più copie degli stessi dati su un'intera VLAN. Questo rende più difficile la risoluzione dei problemi della LAN e influisce anche sulla velocità delle CPU degli switch o sulla rete Ethernet attraverso il rilevamento del posizionamento. In sostanza, più span sono presenti, maggiore è la probabilità di perdere pacchetti. Rispetto ai tap, gli span possono essere gestiti da remoto, il che significa che si impiega meno tempo per modificare le configurazioni, ma è comunque necessario l'intervento di tecnici di rete.
Le porte SPAN non sono una tecnologia passiva, come alcuni sostengono, perché possono avere altri effetti misurabili sul traffico di rete, tra cui:
- È ora di cambiare l'interazione dei frame
- Eliminazione di pacchetti a causa di ricerche eccessive
- I pacchetti corrotti vengono eliminati senza preavviso, ostacolando l'analisi
Pertanto, le porte SPAN sono più adatte alle situazioni in cui l'eliminazione dei pacchetti non influisce sull'analisi o in cui è necessario tenere conto dei costi.
RUBINETTO
Al contrario, i tap richiedono un investimento iniziale in hardware, ma non richiedono una configurazione complessa. Infatti, essendo passivi, possono essere collegati e scollegati dalla rete senza interferire con essa. I tap sono dispositivi hardware che consentono di accedere ai dati che fluiscono attraverso una rete di computer e sono comunemente utilizzati per scopi di sicurezza e monitoraggio delle prestazioni della rete. Il traffico monitorato è chiamato traffico "pass-through" e la porta utilizzata per il monitoraggio è chiamata "porta di monitoraggio". Per sondare la rete in modo più preciso, i tap possono essere posizionati tra router e switch.
Poiché il TAP non influisce sui pacchetti, può essere considerato un modo realmente passivo di visualizzare il traffico di rete.
Esistono fondamentalmente tre tipi di soluzioni TAP:
- Splitter di rete (1:1)
- Aggregato TAP (multi : 1)
- Rigenerazione TAP (1: multi)
TAP replica il traffico su un singolo strumento di monitoraggio passivo o su un dispositivo di inoltro di pacchetti di rete ad alta densità e serve più strumenti (spesso più di uno) di test QOS, strumenti di monitoraggio di rete e strumenti sniffer di rete come Wireshark.
Inoltre, i tipi di TAP variano a seconda del tipo di cavo, inclusi il TAP in fibra e il TAP in rame Gigabit, entrambi operanti essenzialmente allo stesso modo, scaricando parte del segnale all'analizzatore di traffico di rete, mentre il modello principale continua a trasmettere senza interruzioni. Nel caso del TAP in fibra, il suo scopo è quello di dividere il fascio in due, mentre nel sistema in cavo in rame, il suo scopo è quello di replicare il segnale elettrico.
Confronto tra TAP e SPAN
In primo luogo, la porta SPAN non è adatta a un collegamento 1G full-duplex e, anche al di sotto della sua capacità massima, perde rapidamente pacchetti perché sovraccarica o semplicemente perché lo switch dà priorità alle normali date porta-porta rispetto ai dati della porta SPAN. A differenza dei TAP di rete, le porte SPAN filtrano gli errori del livello fisico, rendendo più difficili alcuni tipi di analisi e, come abbiamo visto, tempi di incremento errati e frame modificati possono causare altri problemi. D'altra parte, il TAP può gestire un collegamento 1G full-duplex.
TAP può anche eseguire la cattura completa dei pacchetti e un'ispezione approfondita dei pacchetti per protocolli, violazioni, intrusioni, ecc. Pertanto, i dati TAP possono essere utilizzati come prova in tribunale, mentre i dati della porta SPAN non possono.
La sicurezza è un altro aspetto in cui le due tecniche presentano differenze. Le porte SPAN sono solitamente configurate per la comunicazione unidirezionale, ma in alcuni casi possono anche ricevere comunicazioni, causando gravi vulnerabilità. Al contrario, il TAP non è indirizzabile e non ha un indirizzo IP, quindi non può essere hackerato.
Le porte SPAN in genere non passano i tag VLAN, il che può rendere difficile il rilevamento di guasti VLAN, ma i tap non possono vedere l'intera rete VLAN contemporaneamente. Se non vengono utilizzati tap aggregati, il TAP non fornirà la stessa traccia per entrambi i canali, ma è necessario prestare attenzione al rilevamento del sovraffollamento. Esistono tap aggregati, come Booster per Profitap, che aggregano otto porte 10/100/1G in un output 1G-10G.
Booster è in grado di accedere ai pacchetti inserendo tag VLAN. In questo modo, le informazioni sulla porta sorgente di ogni pacchetto vengono inoltrate all'analizzatore.
Le porte SPAN sono ancora uno strumento utilizzato dagli amministratori di rete, ma se la velocità e l'accesso affidabile a tutti i dati di rete sono critici, TAP è la scelta migliore. Nella scelta dell'approccio da adottare, le porte SPAN sono più adatte alle reti con basso utilizzo, poiché i pacchetti persi non influiscono sull'analisi o sono opzionali nei casi in cui i costi rappresentano un problema. Tuttavia, sulle reti con traffico elevato, la capacità, la sicurezza e l'affidabilità di TAP forniranno una visibilità completa del traffico di rete senza il timore di perdite di pacchetti o di dover filtrare errori a livello fisico.
○ Completamente visibile
○ Replicare tutto il traffico (tutti i pacchetti di tutte le dimensioni e tipologie)
○ Passivo, non intrusivo (non modifica i dati)
○ In serie, non vengono utilizzate porte switch per replicare il traffico full-duplex nei cablaggi. Configurazione semplice (plug and play)
○ Non vulnerabile agli hacker (dispositivo di monitoraggio invisibile e isolato dalla rete, nessun indirizzo IP/MAC)
○ Scalabile
○ Adatto a qualsiasi situazione
○ Visibilità parziale
○ Non copiare tutto il traffico (eliminando determinate dimensioni e tipi di pacchetti)
○ Non passivo (modifica della temporizzazione dei pacchetti, aumento della latenza)
○ Utilizza la porta dello switch (ogni porta SPAN utilizza una porta dello switch)
○ Impossibile gestire la comunicazione full-duplex (i pacchetti vengono eliminati in caso di sovraccarico e possono interferire anche con il funzionamento dello switch primario)
○ Gli ingegneri devono configurare
○ Non sicuro (il sistema di monitoraggio fa parte della rete, potenziali problemi di sicurezza)
○ Non scalabile
○ Fattibile solo in determinate circostanze
Potrebbe interessarti l'articolo correlato: Come catturare il traffico di rete? Network Tap vs Port Mirror
Data di pubblicazione: 09-06-2025
