Основное различие между захватом пакетов с использованием портов Network TAP и SPAN.

Зеркалирование портов(также известный как SPAN)

Сетевой кран(также известный как репликационный ответвитель, агрегационный ответвитель, активный ответвитель, медный ответвитель, Ethernet-ответвитель и т. д.)TAP (Точка доступа терминала)Это полностью пассивное аппаратное устройство, способное пассивно перехватывать трафик в сети. Оно обычно используется для мониторинга трафика между двумя точками сети. Если сеть между этими двумя точками представляет собой физический кабель, сетевой ответвитель может быть наилучшим способом перехвата трафика.

Прежде чем объяснять различия между двумя решениями (Port Mirror и Network Tap), важно понять, как работает Ethernet. На скорости 100 Мбит/с и выше хосты обычно работают в полнодуплексном режиме, то есть один хост может одновременно отправлять (Tx) и принимать (Rx) данные. Это означает, что при подключении к одному хосту по кабелю со скоростью 100 Мбит/с общий объём сетевого трафика, который один хост может отправить/получить (Tx/Rx), составляет 2 × 100 Мбит = 200 Мбит/с.

Зеркалирование портов — это активная репликация пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.

Захват трафика: TAP против SPAN
Если при мониторинге сетевого трафика вы не хотите осуществлять поддержку непосредственно во время обработки транзакции пользователем, у вас есть два основных варианта. В следующей статье мы рассмотрим TAP (тестовую точку доступа) и SPAN (анализатор портов коммутатора). Для более глубокого анализа эксперт по анализу пакетов Тимо'Нилл опубликовал несколько статей на сайте lovemytool.com, которые содержат подробную информацию, но здесь мы рассмотрим более общий подход.

ОХВАТЫВАТЬ
Зеркалирование портов — это метод мониторинга сетевого трафика путем пересылки копии каждого входящего и/или исходящего пакета с одного или нескольких портов (или VLAN) коммутатора на другой порт, подключенный к анализатору сетевого трафика. Спаны часто используются в более простых системах для одновременного мониторинга нескольких объектов. Точное количество сетевых передач, которые он может отслеживать, зависит от расположения SPAN относительно оборудования центра обработки данных. Вы, вероятно, найдете то, что ищете, но легко обнаружить слишком много данных. Например, можно найти несколько копий одних и тех же данных во всей VLAN. Это затрудняет устранение неполадок в локальной сети, а также влияет на скорость работы процессора коммутатора или на Ethernet посредством определения местоположения. По сути, чем больше спанов, тем выше вероятность потери пакетов. По сравнению с ответвителями, спаны можно управлять удаленно, что означает меньше времени, затрачиваемого на изменение настроек, но сетевые инженеры по-прежнему требуются.

Порты SPAN не являются пассивной технологией, как утверждают некоторые, поскольку они могут оказывать другие измеримые воздействия на сетевой трафик, в том числе:
- Время для смены взаимодействия кадров

- Отбрасывание пакетов из-за чрезмерного количества поисков

- Поврежденные пакеты отбрасываются без предупреждения, что затрудняет анализ.
Таким образом, порты SPAN больше подходят для ситуаций, когда отбрасывание пакетов не влияет на анализ или когда учитывается стоимость.

КРАН
В отличие от них, для ответвителей трафика требуются первоначальные затраты на оборудование, но они не требуют сложной настройки. Более того, поскольку они пассивны, их можно подключать и отключать от сети, не влияя на её работу. Ответвители трафика — это аппаратные устройства, обеспечивающие доступ к данным, проходящим через компьютерную сеть, и обычно используемые для обеспечения безопасности и мониторинга производительности сети. Отслеживаемый трафик называется «сквозным», а порт, используемый для мониторинга, — «портом мониторинга». Для более точного анализа сети ответвители можно размещать между маршрутизаторами и коммутаторами.
Поскольку TAP не влияет на пакеты, его можно рассматривать как действительно пассивный способ просмотра сетевого трафика.
Существует три основных типа TAP-решений:

- Сетевой разветвитель (1:1)

- Агрегированный TAP (мульти : 1)

- Регенерация TAP (1 : мульти)

TAP реплицирует трафик на один пассивный инструмент мониторинга или на сетевое устройство ретрансляции пакетов высокой плотности и обслуживает несколько (часто несколько) инструментов тестирования QOS, инструментов мониторинга сети и инструментов сетевого сниффера, таких как Wireshark.
Кроме того, типы TAP различаются в зависимости от типа кабеля, включая оптоволоконный TAP и гигабитный медный TAP. Оба работают по сути одинаково, передавая часть сигнала на анализатор сетевого трафика, в то время как основная модель продолжает передачу без прерываний. В оптоволоконном TAP это разделение луча на две части, тогда как в системе с медным кабелем это дублирование электрического сигнала.