A principale differenza trà a cattura di pacchetti utilizendu i porti Network TAP è SPAN.
Mirroring di u portu(cunnisciutu ancu cum'è SPAN)
Tocca di rete(cunnisciutu ancu cum'è Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)TAP (Puntu d'Accessu à u Terminale)hè un dispusitivu hardware cumpletamente passivu, chì pò catturà passivamente u trafficu nantu à una rete. Hè cumunemente adupratu per monitorà u trafficu trà dui punti in a rete. Se a rete trà questi dui punti hè custituita da un cavu fisicu, un TAP di rete pò esse u megliu modu per catturà u trafficu.
Prima di spiegà e differenze trà e duie suluzioni (Port Mirror è Network Tap), hè impurtante capisce cumu funziona Ethernet. À 100Mbit è più, l'ospiti parlanu di solitu in full duplex, vale à dì chì un ospite pò mandà (Tx) è riceve (Rx) simultaneamente. Questu significa chì nantu à un cavu di 100 Mbit cunnessu à un ospite, a quantità tutale di u trafficu di rete chì un ospite pò mandà/riceve (Tx/Rx) hè 2 × 100 Mbit = 200 Mbit.
U mirroring di u portu hè una replicazione attiva di pacchetti, ciò chì significa chì u dispusitivu di rete hè fisicamente rispunsevule di copià u pacchettu à u portu specchiatu.
Cattura di u trafficu: TAP vs SPAN
Quandu si surveglia u trafficu di a rete, sè ùn vulete micca mette in opera u supportu direttamente mentre un utilizatore processa una transazzione, avete duie opzioni principali. In l'articulu seguente, daremu una panoramica di TAP (Test Access Point) è SPAN (Switch Port Analyzer). Per un'analisi più approfondita, l'espertu di ispezione di pacchetti Timo'Neill hà parechji articuli in lovemytool.com chì entranu in dettagliu, ma quì, piglieremu un approcciu più generale.
SPAN
U mirroring di i porti hè un metudu di monitoraghju di u trafficu di rete trasmettendu una copia di ogni pacchettu entrante è/o in uscita da unu o più porti (o VLan) di un switch à un altru portu cunnessu à un analizzatore di trafficu di rete. L'span sò spessu usati in sistemi più simplici per monitorà parechji siti simultaneamente. U numeru esattu di trasmissioni di rete chì hè capace di monitorà dipende da induve u SPAN hè installatu in relazione à l'equipaggiu di u centru di dati. Probabilmente truverete ciò chì cercate, ma hè faciule truvà si cù troppu dati. Per esempiu, hè pussibule truvà parechje copie di i stessi dati in una VLAN sana. Questu rende a risoluzione di i prublemi LAN più difficiule, è affetta ancu a velocità di e CPU di u switch o affetta l'Ethernet per via di a rilevazione di u piazzamentu. In fondu, più ci sò span, più hè prubabile di perde pacchetti. Paragunatu à i tap, l'span ponu esse gestiti à distanza, ciò chì significa chì si passa menu tempu à cambià e cunfigurazioni, ma l'ingegneri di rete sò sempre richiesti.
I porti SPAN ùn sò micca una tecnulugia passiva, cum'è certi dicenu, perchè ponu avè altri effetti misurabili nantu à u trafficu di a rete, cumpresi:
- Tempu di cambià l'interazione di u quadru
- Perdita di pacchetti per via di ricerche eccessive
- I pacchetti currutti sò abbandunati senza preavvisu, impedendu l'analisi
Dunque, i porti SPAN sò più adatti per situazioni induve a perdita di pacchetti ùn influenza micca l'analisi, o induve u costu hè cunsideratu.
TAPPU
À u cuntrariu, i tap anu bisognu di spende soldi in hardware in anticipu, ma ùn necessitanu micca assai cunfigurazione. Infatti, postu chì sò passivi, ponu esse cunnessi è disconnessi da a rete senza affettalla. I tap sò dispositivi hardware chì furniscenu un modu per accede à i dati chì scorrenu per una rete di computer è sò cumunemente usati per scopi di sicurezza di a rete è di monitoraghju di e prestazioni. U trafficu monitoratu hè chjamatu trafficu "pass-through" è u portu utilizatu per u monitoraghju hè chjamatu "portu di monitoraghju". Per sondà a rete più chjaramente, i tap ponu esse piazzati trà i router è i switch.
Siccomu TAP ùn affetta micca i pacchetti, pò esse vistu cum'è un modu veramente passivu per vede u trafficu di a rete.
Ci sò basicamente trè tippi di suluzioni TAP:
- Splitter di rete (1: 1)
- TAP aggregatu (multi: 1)
- Rigenerazione TAP (1 : multi)
TAP replica u trafficu versu un unicu strumentu di monitoraghju passivu, o versu un dispositivu di relè di pacchetti di rete ad alta densità, è serve parechji (spessu parechji) strumenti di test QOS, strumenti di monitoraghju di rete è strumenti sniffer di rete cum'è wireshark.
Inoltre, i tipi di TAP varianu secondu u tipu di cavu, cumpresi u TAP in fibra è u TAP in rame gigabit, tramindui chì funzionanu essenzialmente in u listessu modu scaricendu una parte di u signale à l'analizzatore di trafficu di rete, mentre u mudellu principale cuntinueghja à trasmette senza interruzzione. Per u TAP in fibra, si tratta di dividisce u fasciu in dui, mentre chì in u sistema di cavu in rame, si tratta di replicà u signale elettricu.
Paragunendu u TAP è u SPAN
Prima, u portu SPAN ùn hè micca adattatu per un ligame 1G full-duplex, è ancu quandu hè sottu à a so capacità massima, abbanduneghja rapidamente i pacchetti perchè hè sovraccaricatu, o semplicemente perchè u switch dà priorità à e date regulari da portu à portu rispetto à i dati di u portu SPAN. À u cuntrariu di i tap di rete, i porti SPAN filtranu l'errori di u stratu fisicu, rendendu certi tipi d'analisi più difficiuli, è cum'è avemu vistu, i tempi d'incrementu sbagliati è i frames cambiati ponu causà altri prublemi. D’altronde, TAP pò fà funziunà un ligame 1G full-duplex.
TAP pò ancu fà una cattura cumpleta di pacchetti è fà un'ispezione approfondita di pacchetti per protokolli, violazioni, intrusioni, ecc. Cusì, i dati TAP ponu esse aduprati cum'è prova in tribunale, mentre chì i dati di u portu SPAN ùn ponu micca.
A sicurità hè un altru aspettu induve ci sò differenze trà e duie tecniche. I porti SPAN sò generalmente cunfigurati per a cumunicazione unidirezionale, ma ponu ancu riceve cumunicazione in certi casi, causendu vulnerabilità serie. In cuntrastu, TAP ùn hè micca indirizzabile è ùn hà micca un indirizzu IP, dunque ùn pò esse pirate.
I porti SPAN ùn passanu micca tipicamente i tag VLAN, ciò chì pò rende difficiule a rilevazione di i guasti VLAN, ma i tap ùn ponu micca vede tutta a rete VLAN in una volta. Se i tap aggregati ùn sò micca aduprati, u TAP ùn furnisce micca a stessa traccia per i dui canali, ma ci vole à fà attenzione à a rilevazione di sovraccaricu. Ci sò tap aggregati, cum'è Booster per Profitap, chì aggreganu ottu porti 10/100/1G in una uscita 1G-10G.
Booster hè capace di inserisce pacchetti inserendu tag VLAN. In questu modu, l'infurmazioni di u portu surghjente di ogni pacchettu saranu trasmesse à l'analizzatore.
I porti SPAN sò sempre un strumentu chì l'amministratori di rete utilizanu, ma se a velocità è l'accessu affidabile à tutti i dati di rete sò critichi, TAP hè a megliu scelta. Quandu si decide quale approcciu aduttà, i porti SPAN sò più adatti per e rete cù bassa utilizzazione, postu chì i pacchetti persi ùn influenzanu micca l'analisi o sò opzionali in i casi induve u costu hè una preoccupazione. Tuttavia, nantu à e rete cù trafficu elevatu, a capacità, a sicurezza è l'affidabilità di TAP furnisceranu una visibilità cumpleta di u trafficu nantu à a vostra rete senza a paura di a perdita di pacchetti o di filtrà l'errori di u stratu fisicu.
○ Cumpletamente visibile
○ Replicà tuttu u trafficu (tutti i pacchetti di tutte e dimensioni è tipi)
○ Passivu, micca intrusivu (ùn cambia micca i dati)
○ In serie, nisun portu di switch hè utilizatu per replicà u trafficu full-duplex in i cablaggi Facile installazione (plug and play)
○ Micca vulnerabile à i pirati informàtichi (dispositivu di monitoraghju invisibile, isolatu da a rete, senza indirizzu IP/MAC)
○ Scalabile
○ Adattu à ogni situazione
○ Visibilità parziale
○ Ùn copia micca tuttu u trafficu (abbandunendu certe dimensioni è tipi di pacchetti)
○ Non passivu (cambia u timing di i pacchetti, aumenta a latenza)
○ Aduprà u portu di switch (ogni portu SPAN usa un portu di switch)
○ Incapace di gestisce a cumunicazione full-duplex (i pacchetti sò persi quandu sò sovraccarichi, ponu ancu interferisce cù u funziunamentu di u switch primariu)
○ L'ingegneri anu bisognu di cunfigurà
○ Periculosu (U sistema di monitoraghju face parte di a rete, prublemi di sicurezza putenziali)
○ Micca scalabile
○ Fattibile solu in certe circustanze
Pò esse interessante per voi l'articulu cunnessu: Cumu catturà u trafficu di rete? Network Tap vs Port Mirror
Data di publicazione: 09 di ghjugnu di u 2025
