Я уверен, что вы знаете о борьбе между Network Tap (тестовой точкой доступа) и анализатором портов коммутатора (портом SPAN) для целей мониторинга сети. Оба имеют возможность зеркалировать трафик в сети и отправлять его на внешние инструменты безопасности, такие как системы обнаружения вторжений, сетевые регистраторы или сетевые анализаторы. Span-порты настраиваются на сетевых корпоративных коммутаторах, которые имеют функцию зеркалирования портов. Это выделенный порт на управляемом коммутаторе, который берет зеркальную копию сетевого трафика с коммутатора для отправки на инструменты безопасности. TAP, с другой стороны, является устройством, которое пассивно распределяет сетевой трафик из сети на инструмент безопасности. TAP получает сетевой трафик в обоих направлениях в режиме реального времени и по отдельному каналу.
Вот пять основных преимуществ TAP через порт SPAN:
1. TAP захватывает каждый отдельный пакет!
Span Удаляет поврежденные пакеты и пакеты размером меньше минимального. Поэтому средства безопасности не могут получить весь трафик, поскольку порты span отдают более высокий приоритет сетевому трафику. Кроме того, трафик RX и TX агрегируется на одном порту, поэтому пакеты с большей вероятностью будут потеряны. TAP захватывает весь двусторонний трафик на каждом целевом порту, включая ошибки порта.
2. Полностью пассивное решение, не требующее настройки IP или источника питания.
Пассивный TAP в основном используется в оптоволоконных сетях. В пассивном TAP он получает трафик с обоих направлений сети и разделяет входящий свет, чтобы 100% трафика было видно на инструменте мониторинга. Пассивный TAP не требует источника питания. В результате они добавляют уровень избыточности, требуют небольшого обслуживания и снижают общие затраты. Если вы планируете отслеживать медный трафик Ethernet, вам необходимо использовать активный TAP. Активный TAP требует электричества, но активный TAP от Niagra включает в себя технологию отказоустойчивого обхода, которая устраняет риск прерывания обслуживания в случае отключения электроэнергии.
3. Нулевая потеря пакетов
Сетевой TAP контролирует оба конца соединения, чтобы обеспечить 100% видимость двустороннего сетевого трафика. TAP не отбрасывает никакие пакеты, независимо от их пропускной способности.
4. Подходит для сетей со средней и высокой загрузкой.
Порт SPAN не может обрабатывать сильно загруженные сетевые соединения без потери пакетов. Поэтому в этих случаях требуется сетевой TAP. Если из SPAN выходит больше трафика, чем принимается, порт SPAN становится переподписанным и вынужден отбрасывать пакеты. Для захвата 10 Гбит двустороннего трафика порту SPAN требуется 20 Гбит емкости, а сетевой TAP 10 Гбит сможет захватить все 10 Гбит емкости.
5. TAP Пропускает весь трафик, включая теги VLAN.
Span-порты обычно не пропускают метки VLAN, что затрудняет обнаружение проблем VLAN и создание ложных проблем. TAP избегает таких проблем, пропуская весь трафик.
Время публикации: 18 июля 2022 г.
