Основное различие между захватом пакетов с использованием сетевых портов TAP и SPAN заключается в следующем.

Зеркалирование портов(также известный как SPAN)

Сетевой переходник(также известный как репликационный разъём, агрегационный разъём, активный разъём, медный разъём, разъём Ethernet и т. д.)ТАП (точка доступа к терминалу)TAP — это полностью пассивное аппаратное устройство, способное пассивно перехватывать трафик в сети. Оно обычно используется для мониторинга трафика между двумя точками в сети. Если сеть между этими двумя точками представляет собой физический кабель, то сетевой TAP может быть наилучшим способом перехвата трафика.

Прежде чем объяснять различия между двумя решениями (зеркалирование портов и сетевой перехват), важно понять, как работает Ethernet. На скоростях 100 Мбит/с и выше хосты обычно обмениваются данными в полнодуплексном режиме, что означает, что один хост может одновременно отправлять (Tx) и принимать (Rx). Это значит, что по кабелю 100 Мбит/с, подключенному к одному хосту, общий объем сетевого трафика, который один хост может отправить/получить (Tx/Rx), составляет 2 × 100 Мбит/с = 200 Мбит/с.

Зеркалирование портов — это активная репликация пакетов, что означает, что сетевое устройство физически отвечает за копирование пакета на зеркалируемый порт.

Перехват трафика: TAP против SPAN
При мониторинге сетевого трафика, если вы не хотите напрямую внедрять поддержку во время обработки пользователем транзакции, у вас есть два основных варианта. В следующей статье мы рассмотрим TAP (Test Access Point) и SPAN (Switch Port Analyzer). Для более глубокого анализа эксперт по анализу пакетов Тимо'Нил опубликовал несколько статей на lovemytool.com, где подробно рассматриваются эти вопросы, но здесь мы рассмотрим их в более общем плане.

ОХВАТЫВАТЬ
Зеркалирование портов — это метод мониторинга сетевого трафика путем пересылки копии каждого входящего и/или исходящего пакета с одного или нескольких портов (или VLAN) коммутатора на другой порт, подключенный к анализатору сетевого трафика. В более простых системах часто используются SPAN для одновременного мониторинга нескольких площадок. Точное количество сетевых передач, которые он может отслеживать, зависит от места установки SPAN относительно оборудования центра обработки данных. Вероятно, вы найдете то, что ищете, но легко может оказаться, что данных слишком много. Например, можно обнаружить несколько копий одних и тех же данных по всей VLAN. Это затрудняет поиск и устранение неисправностей в локальной сети, а также влияет на скорость процессоров коммутатора или на работу Ethernet через определение местоположения. В основном, чем больше SPAN, тем выше вероятность потери пакетов. По сравнению с ответвителями, SPAN можно управлять удаленно, что означает меньше времени на изменение конфигураций, но сетевые инженеры все равно требуются.

Порты SPAN не являются пассивной технологией, как утверждают некоторые, поскольку они могут оказывать и другие измеримые эффекты на сетевой трафик, в том числе:
- Время смены взаимодействия с кадром

— Потеря пакетов из-за чрезмерного количества запросов.

— Поврежденные пакеты данных отбрасываются без предупреждения, что затрудняет анализ.
Поэтому порты SPAN больше подходят для ситуаций, когда потеря пакетов не влияет на анализ или когда важна стоимость.

КРАН
В отличие от них, для установки ретрансляторов требуется предварительное вложение средств в оборудование, но они не требуют сложной настройки. Действительно, поскольку они пассивны, их можно подключать и отключать от сети, не влияя на её работу. Ретрансляторы — это аппаратные устройства, обеспечивающие доступ к данным, передаваемым по компьютерной сети, и обычно используются для обеспечения сетевой безопасности и мониторинга производительности. Контролируемый трафик называется «сквозным» трафиком, а порт, используемый для мониторинга, — «портом мониторинга». Для более детального исследования сети ретрансляторы можно размещать между маршрутизаторами и коммутаторами.
Поскольку TAP не влияет на пакеты, его можно рассматривать как действительно пассивный способ анализа сетевого трафика.
В основном существует три типа решений TAP:

- Сетевой разветвитель (1:1)

- Агрегированный TAP (мульти : 1)

- Регенерация TAP (1: мульти)

TAP дублирует трафик на один пассивный инструмент мониторинга или на устройство ретрансляции сетевых пакетов высокой плотности и обслуживает несколько (часто несколько) инструментов тестирования качества обслуживания, инструментов мониторинга сети и инструментов анализа сетевого трафика, таких как Wireshark.
Кроме того, типы TAP различаются в зависимости от типа кабеля, включая волоконно-оптический TAP и гигабитный медный TAP, оба работают по сути одинаково, передавая часть сигнала на анализатор сетевого трафика, в то время как основная модель продолжает передачу без перерыва. В волоконно-оптическом TAP происходит разделение луча на две части, тогда как в системе с медным кабелем — дублирование электрического сигнала.