Den Haaptunterschied tëscht dem Erfaassen vu Paketen iwwer Network TAP- a SPAN-Ports.
Port-Spiegelung(och bekannt als SPAN)
Netzwierk-Tap(och bekannt als Replikatiounstapp, Aggregatiounstapp, Aktivtapp, Koffertapp, Ethernettapp, etc.)TAP (Terminal Zougangspunkt)ass en voll passivt Hardwaregerät, dat passiv den Traffic an engem Netzwierk erfassen kann. Et gëtt dacks benotzt fir den Traffic tëscht zwou Punkten am Netzwierk ze iwwerwaachen. Wann den Netzwierk tëscht dësen zwou Punkten aus engem physesche Kabel besteet, kéint en Netzwierk-TAP dee beschte Wee sinn fir den Traffic z'erfassen.
Ier mer d'Ënnerscheeder tëscht den zwou Léisungen (Port Mirror an Network Tap) erklären, ass et wichteg ze verstoen, wéi den Ethernet funktionéiert. Bei 100Mbit a méi schwätze Hosts normalerweis am Full-Duplex, dat heescht, datt een Host gläichzäiteg schécken (Tx) an empfänke (Rx) kann. Dëst bedeit, datt op engem 100 Mbit Kabel, deen un en Host ugeschloss ass, déi total Quantitéit vum Netzwierkverkéier, deen een Host schécken/empfänke kann (Tx/Rx)) 2 × 100 Mbit = 200 Mbit ass.
D'Port-Spiegelung ass aktiv Pakettreplikatioun, dat heescht, datt den Netzwierkapparat kierperlech verantwortlech ass fir de Pakett op de gespigelte Port ze kopéieren.
Traffic erfassen: TAP vs. SPAN
Wann Dir den Netzwierkverkéier iwwerwaacht a keng direkt Ënnerstëtzung wëllt benotzen, während e Benotzer eng Transaktioun veraarbecht, hutt Dir zwou Haaptméiglechkeeten. Am folgenden Artikel gi mir eng Iwwersiicht iwwer TAP (Test Access Point) a SPAN (Switch Port Analyzer). Fir eng méi déifgräifend Analyse huet den Expert fir Paketinspektioun, Timo'Neill, e puer Artikelen op lovemytool.com publizéiert, déi ganz detailléiert sinn, awer hei wäerte mir e méi allgemenge Wee verfollegen.
SPAN
Port Mirroring ass eng Method fir den Netzwierkverkéier ze iwwerwaachen, andeems eng Kopie vun all ukommenden an/oder ausgehenden Pakett vun engem oder méi Ports (oder VLans) vun engem Switch op en anere Port weidergeleet gëtt, deen mat engem Netzwierkverkéiersanalysator verbonnen ass. Span ginn dacks a méi einfache Systemer benotzt fir verschidde Site gläichzäiteg ze iwwerwaachen. Déi genee Zuel vun Netzwierktransmissiounen, déi iwwerwaache kënnen, hänkt dovun of, wou de SPAN am Verhältnes zu der Ausrüstung vum Datenzentrum installéiert ass. Dir fannt wahrscheinlech wat Dir sicht, awer et ass einfach, sech mat ze vill Daten ze befannen. Zum Beispill ass et méiglech, verschidde Kopie vun de selwechten Daten iwwer e ganze VLAN ze fannen. Dëst mécht d'Feelerléisung am LAN méi schwéier an beaflosst och d'Geschwindegkeet vun de Switch-CPUs oder den Ethernet duerch d'Placementdetektioun. Am Fong ass et sou, datt wat méi Spanen et gëtt, wat méi wahrscheinlech et ass, Paketen ze verléieren. Am Verglach mat Taps kënnen d'Spanen op Distanz geréiert ginn, wat bedeit, datt manner Zäit fir d'Ännere vu Konfiguratiounen investéiert gëtt, awer et gi weiderhin Netzwierkingenieuren gebraucht.
SPAN-Ports sinn keng passiv Technologie, wéi verschidde behaapten, well se aner moosbar Auswierkungen op den Netzwierkverkéier hunn kënnen, dorënner:
- Zäit fir d'Interaktioun mam Frame ze änneren
- Paketen verléieren wéinst exzessiven Opsich
- Korrupt Pakete ginn ouni Préavis ewechgehäit, wat d'Analyse behënnert.
Dofir si SPAN-Ports besser gëeegent fir Situatiounen, wou d'Drop-Ofginn vun Paketen d'Analyse net beaflosst oder wou d'Käschte berécksiichtegt ginn.
TAP
Am Géigesaz dozou mussen Taps am Viraus fir Hardware ausginn, awer si brauchen net vill Setup. Well se passiv sinn, kënne se vum Netz ugeschloss an ofgetrennt ginn, ouni datt et beaflosst gëtt. Taps sinn Hardwaregeräter, déi eng Méiglechkeet bidden, op Daten zouzegräifen, déi duerch e Computernetz fléissen, a gi meeschtens fir Netzwierksécherheet an d'Performance-Iwwerwaachung benotzt. Den iwwerwaachte Verkéier gëtt "Pass-Through"-Verkéier genannt an de Port, deen fir d'Iwwerwaachung benotzt gëtt, gëtt "Monitoring Port" genannt. Fir d'Netzwierk méi kloer ze iwwerpréiwen, kënnen Taps tëscht Routeren a Switche placéiert ginn.
Well TAP keng Pakete beaflosst, kann et als eng wierklech passiv Manéier ugesi ginn, fir den Netzwierkverkéier ze gesinn.
Et ginn am Fong dräi Zorte vun TAP-Léisungen:
- Netzwierksplitter (1 : 1)
- Aggregéiert TAP (multi: 1)
- Regeneratiouns-TAP (1: Multi)
TAP replizéiert den Traffic op een eenzegt passivt Iwwerwaachungsinstrument oder op en Netzwierkpaket-Relaisgerät mat héijer Dicht a bedreift verschidde (dacks verschidde) QOS-Testinstrumenter, Netzwierkiwwerwaachungsinstrumenter an Netzwierk-Sniffer-Tools wéi Wireshark.
Zousätzlech variéieren d'TAP-Typen jee no der Aart vum Kabel, dorënner Glasfaser-TAP a Gigabit-Kupfer-TAP, déi allebéid am Fong op déiselwecht Aart a Weis funktionéieren, andeems se en Deel vum Signal un den Netzwierkverkéiersanalysator oflueden, während den Haaptmodell weider ouni Ënnerbriechung iwwerdroe gëtt. Fir de Glasfaser-TAP ass et fir de Stral an zwee ze deelen, während et am Kupferkabelsystem ass fir den elektresche Signal ze replizéieren.
Vergläich vum TAP a SPAN
Éischtens ass de SPAN-Port net gëeegent fir eng Full-Duplex 1G-Link, an och wann en ënner senger maximaler Kapazitéit ass, verléiert en séier Paketen, well en iwwerlaascht ass, oder einfach well de Switch reegelméisseg Port-zu-Port-Daten iwwer SPAN-Portdaten prioritär behandelt. Am Géigesaz zu Netzwierk-Taps filteren SPAN-Ports physesch Schichtfehler eraus, wat verschidden Aarte vun Analysen méi schwéier mécht, an, wéi mir gesinn hunn, kënnen falsch Inkrementzäiten an geännert Frames aner Problemer verursaachen. Op der anerer Säit kann TAP eng Full-Duplex 1G-Link bedreiwen.
TAP kann och eng komplett Pakett-Erfassung an eng detailléiert Pakett-Inspektioun op Protokoller, Verstéiss, Andrängungen, etc. duerchféieren. Sou kënnen TAP-Donnéeën als Beweis viru Geriicht benotzt ginn, während SPAN-Port-Donnéeën dat net kënnen.
Sécherheet ass en aneren Aspekt, wou et Ënnerscheeder tëscht den zwou Techniken gëtt. SPAN-Ports sinn normalerweis fir Een-Wee-Kommunikatioun konfiguréiert, awer si kënnen a verschiddene Fäll och Kommunikatioun empfänken, wat zu eeschte Schwachstelle féiert. Am Géigesaz dozou ass TAP net adresséierbar an huet keng IP-Adress, sou datt et net gehackt ka ginn.
SPAN-Ports ginn typescherweis keng VLAN-Tags weider, wat et schwéier maache kann, VLAN-Feeler z'entdecken, awer Taps kënnen net dat ganzt VLAN-Netzwierk gläichzäiteg gesinn. Wann net aggregéiert Taps benotzt ginn, liwwert den TAP net déiselwecht Trace fir béid Kanäl, awer et muss bei der Iwwerlagerungsdetektioun opgepasst ginn. Et gëtt aggregéiert Taps, wéi Booster fir Profitap, déi aacht 10/100/1G-Ports an engem 1G-10G-Ausgang aggregéieren.
De Booster kann Pakete mat VLAN-Tags aginn. Op dës Manéier ginn d'Quellportinformatioune vun all Paket un den Analysator weidergeleet.
SPAN-Ports sinn nach ëmmer en Tool, dat Netzwierkadministrateuren benotze wäerten, awer wann Geschwindegkeet an zouverléissege Zougang zu all Netzwierkdaten entscheedend sinn, ass TAP déi besser Wiel. Wann Dir entscheet, wéi eng Approche Dir verfollege sollt, si SPAN-Ports méi gëeegent fir Netzwierker mat gerénger Notzung, well verluer Paketen d'Analyse net beaflossen oder optional sinn a Fäll wou d'Käschte wichteg sinn. Awer a Netzwierker mat héijem Traffic bidden d'Kapazitéit, d'Sécherheet an d'Zouverlässegkeet vum TAP eng voll Iwwersiicht iwwer den Traffic an Ärem Netzwierk ouni Angscht viru Paketverloscht oder fir Feeler an der physescher Schicht ze filteren.
○ Voll siichtbar
○ Replikéiert all Traffic (all Pakete vun alle Gréissten an Typen)
○ Passiv, net-intrusiv (ännert keng Daten)
○ A Serie ginn keng Switchports benotzt fir de Vollduplex-Verkéier a Kabelbänner ze replizéieren Einfach Installatioun (Plug and Play)
○ Net ufälleg fir Hacker (onsichtbar, isoléiert Iwwerwaachungsgerät vum Netzwierk, keng IP/MAC-Adress)
○ Skalierbar
○ Gëeegent fir all Situatioun
○ Deelweis Siicht
○ Net all Traffic kopéieren (bestëmmt Gréissten an Zorte vu Paketen ewechloossen)
○ Net-passiv (Pakettiming änneren, Latenz erhéijen)
○ Switchport benotzen (all SPAN-Port benotzt e Switchport)
○ Kann net mat Full-Duplex-Kommunikatioun ëmgoen (Päcketen falen erof wann se iwwerlaascht sinn, kënnen och de Betrib vum Primärschalter stéieren)
○ Ingenieure mussen konfiguréieren
○ Onsécher (Iwwerwaachungssystem ass Deel vum Netzwierk, potenziell Sécherheetsproblemer)
○ Net skalierbar
○ Nëmmen ënner bestëmmten Ëmstänn machbar
Deen Artikel kéint Iech interesséieren: Wéi kann een den Netzwierkverkéier erfassen? Network Tap vs. Port Mirror
Zäitpunkt vun der Verëffentlechung: 09. Juni 2025
