La principale differenza tra l'acquisizione di pacchetti tramite porte Network TAP e SPAN.
Mirroring delle porte(anche noto come SPAN)
Intercettazione di rete(noto anche come Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)TAP (Terminal Access Point)Si tratta di un dispositivo hardware completamente passivo, in grado di acquisire passivamente il traffico di rete. Viene comunemente utilizzato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un TAP di rete può rappresentare la soluzione migliore per acquisire il traffico.
Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 Mbit e oltre, gli host comunicano solitamente in full duplex, il che significa che un host può inviare (Tx) e ricevere (Rx) simultaneamente. Questo significa che su un cavo da 100 Mbit collegato a un host, la quantità totale di traffico di rete che un host può inviare/ricevere (Tx/Rx) è pari a 2 × 100 Mbit = 200 Mbit.
Il mirroring delle porte è una replica attiva dei pacchetti, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta replicata.
Acquisizione del traffico: TAP vs SPAN
Quando si monitora il traffico di rete, se non si desidera fornire supporto operativo direttamente mentre un utente sta elaborando una transazione, si hanno due opzioni principali. Nell'articolo seguente, forniremo una panoramica di TAP (Test Access Point) e SPAN (Switch Port Analyzer). Per un'analisi più approfondita, l'esperto di ispezione dei pacchetti Timo'Neill ha pubblicato diversi articoli su lovemytool.com che trattano l'argomento in dettaglio, ma qui adotteremo un approccio più generale.
SPA
Il port mirroring è un metodo per monitorare il traffico di rete inoltrando una copia di ogni pacchetto in entrata e/o in uscita da una o più porte (o VLAN) di uno switch a un'altra porta collegata a un analizzatore di traffico di rete. Gli SPAN sono spesso utilizzati nei sistemi più semplici per monitorare più siti contemporaneamente. Il numero esatto di trasmissioni di rete che è possibile monitorare dipende dalla posizione dello SPAN rispetto alle apparecchiature del data center. Probabilmente troverete ciò che cercate, ma è facile ritrovarsi con una quantità eccessiva di dati. Ad esempio, è possibile trovare più copie degli stessi dati su un'intera VLAN. Questo rende più difficile la risoluzione dei problemi della LAN e influisce anche sulla velocità delle CPU dello switch o sulla rete Ethernet tramite il rilevamento della posizione. In sostanza, maggiore è il numero di SPAN, maggiore è la probabilità di perdere pacchetti. Rispetto ai TAP, gli SPAN possono essere gestiti da remoto, il che significa che si impiega meno tempo a modificare le configurazioni, ma è comunque necessario l'intervento di ingegneri di rete.
Le porte SPAN non sono una tecnologia passiva, come alcuni sostengono, perché possono avere altri effetti misurabili sul traffico di rete, tra cui:
- È ora di cambiare l'interazione del frame
- Perdita di pacchetti a causa di un numero eccessivo di ricerche
- I pacchetti corrotti vengono scartati senza preavviso, ostacolando l'analisi
Pertanto, le porte SPAN sono più adatte a situazioni in cui la perdita di pacchetti non influisce sull'analisi o in cui il costo è un fattore determinante.
RUBINETTO
Al contrario, i dispositivi di intercettazione (tap) richiedono un investimento iniziale in hardware, ma non necessitano di una configurazione complessa. Infatti, essendo passivi, possono essere collegati e scollegati dalla rete senza influenzarne il funzionamento. I tap sono dispositivi hardware che consentono di accedere ai dati che transitano attraverso una rete informatica e sono comunemente utilizzati per la sicurezza e il monitoraggio delle prestazioni di rete. Il traffico monitorato è chiamato traffico "pass-through" e la porta utilizzata per il monitoraggio è chiamata "porta di monitoraggio". Per analizzare la rete in modo più approfondito, i tap possono essere posizionati tra router e switch.
Poiché TAP non influisce sui pacchetti, può essere considerato un metodo veramente passivo per visualizzare il traffico di rete.
Esistono fondamentalmente tre tipi di soluzioni TAP:
- Divisore di rete (1:1)
- Aggregazione TAP (multi : 1)
- Rigenerazione TAP (1: multi)
TAP replica il traffico verso un singolo strumento di monitoraggio passivo o verso un dispositivo di inoltro pacchetti di rete ad alta densità e supporta diversi (spesso più di uno) strumenti di test QoS, strumenti di monitoraggio di rete e strumenti di analisi del traffico di rete come Wireshark.
Inoltre, i tipi di TAP variano a seconda del tipo di cavo, includendo TAP in fibra e TAP in rame gigabit, entrambi funzionanti essenzialmente allo stesso modo, ovvero trasferendo parte del segnale all'analizzatore di traffico di rete, mentre il modello principale continua a trasmettere senza interruzioni. Nel caso del TAP in fibra, si tratta di dividere il fascio in due, mentre nel sistema con cavo in rame si tratta di replicare il segnale elettrico.
Confronto tra TAP e SPAN
Innanzitutto, la porta SPAN non è adatta a un collegamento full-duplex a 1 Gbps e, anche al di sotto della sua capacità massima, scarta rapidamente i pacchetti a causa del sovraccarico o semplicemente perché lo switch dà priorità ai dati regolari porta-porta rispetto ai dati della porta SPAN. A differenza dei TAP di rete, le porte SPAN filtrano gli errori a livello fisico, rendendo più difficili alcuni tipi di analisi e, come abbiamo visto, tempi di incremento errati e frame modificati possono causare altri problemi. D'altra parte, il TAP può operare su un collegamento full-duplex a 1 Gbps.
TAP è in grado di effettuare anche l'acquisizione completa dei pacchetti e un'analisi approfondita degli stessi per individuare protocolli, violazioni, intrusioni, ecc. Pertanto, i dati TAP possono essere utilizzati come prova in tribunale, a differenza dei dati delle porte SPAN.
La sicurezza è un altro aspetto in cui le due tecniche presentano delle differenze. Le porte SPAN sono generalmente configurate per la comunicazione unidirezionale, ma in alcuni casi possono anche ricevere comunicazioni, creando gravi vulnerabilità. Al contrario, TAP non è indirizzabile e non possiede un indirizzo IP, quindi non può essere violato.
Le porte SPAN in genere non trasmettono tag VLAN, il che può rendere difficile rilevare i guasti VLAN, ma i TAP non possono visualizzare l'intera rete VLAN contemporaneamente. Se non si utilizzano TAP aggregati, il TAP non fornirà la stessa traccia per entrambi i canali, ma è necessario prestare attenzione al rilevamento del sovraccarico. Esistono TAP aggregati, come Booster per Profitap, che aggregano otto porte 10/100/1G in un'uscita da 1G a 10G.
Booster è in grado di inserire pacchetti tramite l'aggiunta di tag VLAN. In questo modo, le informazioni sulla porta sorgente di ciascun pacchetto verranno inoltrate all'analizzatore.
Le porte SPAN sono ancora uno strumento utilizzato dagli amministratori di rete, ma se la velocità e l'accesso affidabile a tutti i dati di rete sono fondamentali, TAP rappresenta la scelta migliore. Nella scelta tra le due soluzioni, le porte SPAN sono più adatte a reti con un basso utilizzo, poiché la perdita di pacchetti non influisce sull'analisi o è facoltativa nei casi in cui il costo è un fattore determinante. Tuttavia, su reti con traffico elevato, la capacità, la sicurezza e l'affidabilità di TAP offrono una visibilità completa sul traffico di rete, senza il rischio di perdita di pacchetti o di filtraggio di errori a livello fisico.
○ Completamente visibile
○ Replicare tutto il traffico (tutti i pacchetti di tutte le dimensioni e tipologie)
○ Passivo, non intrusivo (non modifica i dati)
○ In serie, non vengono utilizzate porte di commutazione per replicare il traffico full-duplex nei cablaggi. Installazione semplice (plug and play).
○ Non vulnerabile agli hacker (dispositivo di monitoraggio invisibile e isolato dalla rete, senza indirizzo IP/MAC)
○ Scalabile
○ Adatto a qualsiasi situazione
○ Visibilità parziale
○ Non copiare tutto il traffico (eliminando pacchetti di determinate dimensioni e tipologie)
○ Non passivo (modifica della temporizzazione dei pacchetti, aumento della latenza)
○ Utilizzare una porta switch (ogni porta SPAN utilizza una porta switch)
○ Impossibile gestire la comunicazione full-duplex (i pacchetti vengono persi in caso di sovraccarico, può anche interferire con il funzionamento dello switch primario)
○ Gli ingegneri devono configurare
○ Non sicuro (il sistema di monitoraggio fa parte della rete, potenziali problemi di sicurezza)
○ Non scalabile
○ Fattibile solo in determinate circostanze
Potrebbe interessarti anche questo articolo correlato: Come catturare il traffico di rete? Network Tap vs Port Mirroring
Data di pubblicazione: 9 giugno 2025
