Основное различие между захватом пакетов с использованием сетевых портов TAP и SPAN.

Зеркалирование портов(также известный как СПАН)

Сетевой кран(также известный как репликационный ответвитель, агрегационный ответвитель, активный ответвитель, медный ответвитель, Ethernet-ответвитель и т. д.)TAP (Точка доступа терминала)полностью пассивное аппаратное устройство, которое может пассивно захватывать трафик в сети. Обычно используется для мониторинга трафика между двумя точками в сети. Если сеть между этими двумя точками состоит из физического кабеля, сетевой TAP может быть лучшим способом захвата трафика.

Прежде чем объяснять различия между двумя решениями (Port Mirror и Network Tap), важно понять, как работает Ethernet. На скорости 100 Мбит и выше хосты обычно работают в полнодуплексном режиме, что означает, что один хост может отправлять (Tx) и получать (Rx) одновременно. Это означает, что на 100-мегабитном кабеле, подключенном к одному хосту, общий объем сетевого трафика, который один хост может отправлять/получать (Tx/Rx)), составляет 2 × 100 Мбит = 200 Мбит.

Зеркалирование портов представляет собой активную репликацию пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.

Захват трафика: TAP против SPAN
При мониторинге сетевого трафика, если вы не хотите напрямую задействовать поддержку, пока пользователь обрабатывает транзакцию, у вас есть два основных варианта. В следующей статье мы дадим обзор TAP (Test Access Point) и SPAN (Switch Port Analyzer). Для более глубокого анализа эксперт по проверке пакетов Тимо'Нил опубликовал несколько статей на lovemytool.com, которые очень подробно описывают ситуацию, но здесь мы рассмотрим более общий подход.

ОХВАТЫВАТЬ
Зеркалирование портов — это метод мониторинга сетевого трафика путем пересылки копии каждого входящего и/или исходящего пакета с одного или нескольких портов (или VLAN) коммутатора на другой порт, подключенный к сетевому анализатору трафика. Span часто используется в более простых системах для одновременного мониторинга нескольких сайтов. Точное количество сетевых передач, которые он может отслеживать, зависит от того, где установлен SPAN относительно оборудования центра обработки данных. Вы, вероятно, найдете то, что ищете, но легко обнаружить себя со слишком большим объемом данных. Например, можно найти несколько копий одних и тех же данных по всей VLAN. Это затрудняет устранение неполадок в локальной сети, а также влияет на скорость работы ЦП коммутатора или влияет на Ethernet через обнаружение размещения. По сути, чем больше span, тем больше вероятность потери пакетов. По сравнению с ответвлениями span можно управлять удаленно, что означает, что на изменение конфигураций тратится меньше времени, но сетевые инженеры все равно требуются.

Порты SPAN не являются пассивной технологией, как утверждают некоторые, поскольку они могут оказывать иное измеримое воздействие на сетевой трафик, в том числе:
- Время для смены взаимодействия кадров

- Отбрасывание пакетов из-за чрезмерного количества поисков

- Поврежденные пакеты отбрасываются без предупреждения, что затрудняет анализ.
Поэтому порты SPAN больше подходят для ситуаций, когда отбрасывание пакетов не влияет на анализ или когда учитывается стоимость.

КРАН
Напротив, для ответвителей нужно тратить деньги на оборудование заранее, но они не требуют особой настройки. Действительно, поскольку они пассивны, их можно подключать и отключать от сети, не влияя на нее. Ответвители — это аппаратные устройства, которые предоставляют способ доступа к данным, проходящим через компьютерную сеть, и обычно используются для обеспечения безопасности сети и мониторинга производительности. Контролируемый трафик называется «сквозным» трафиком, а порт, используемый для мониторинга, называется «портом мониторинга». Чтобы более четко исследовать сеть, ответвители можно размещать между маршрутизаторами и коммутаторами.
Поскольку TAP не влияет на пакеты, его можно рассматривать как действительно пассивный способ просмотра сетевого трафика.
В основном существует три типа TAP-решений:

- Сетевой разветвитель (1:1)

- Агрегированный TAP (мульти : 1)

- Регенерация TAP (1: мульти)

TAP реплицирует трафик на один пассивный инструмент мониторинга или на сетевое устройство ретрансляции пакетов высокой плотности и обслуживает несколько (часто несколько) инструментов тестирования QOS, инструментов сетевого мониторинга и инструментов сетевого сниффера, таких как Wireshark.
Кроме того, типы TAP различаются в зависимости от типа кабеля, включая оптоволоконный TAP и гигабитный медный TAP, оба работают по сути одинаково, передавая часть сигнала на анализатор сетевого трафика, в то время как основная модель продолжает передавать без прерывания. Для оптоволоконного TAP это разделение луча на две части, тогда как в системе медного кабеля это репликация электрического сигнала.