【技術文章】TAP vs. SPAN

{版權宣告}本文由美國Garland Technology授權翰特科技翻譯使用

TAP vs SPAN


佈建流量擷取用的測試存取點是至關重要的。由於法規以及網路監控方法已成為標準,所以有時會因為這些 限制而無法取得流量的存取權。
網路測試存取點(Network test access point, Network TAP)和port mirroring (SPAN)是網路監控中兩種常用的 流量擷取獲得的方法。但這兩種方法存在著一些明顯的差異,例如分析流量的完整性,以及對網路效能的影響。 在作流量擷取時,無論是功能多樣性、使用的方便性,Network TAPs都是顯而易見的選擇。接下來,就讓我們 看看這兩種方式之間主要的差異。

Network Test Access Points (TAP)

Network TAP(Test Access Point)是用以監控網路的硬體工具,專門設計的硬體,用以100%複製網路流量至您的監控工具。 TAPs 將傳送和接收兩個方向流量同步進行複製,確保所有流量可以完整且即時送至網路監控或資安設備。

  • Network TAPs 100%複製全雙工網路流量,且不會對封包產生任何更動。
  • Network TAPs 佈建具有彈性,可以依需求提供一份複製,多份複製 (Regeneration),也可以合併流量(Aggregation)以最大程度地提高監 視工具的生產力。
  • Network TAPs 具備純passive特性(Fiber TAP)或是透過failsafe技 術,讓您可以用以管理網路監控和資訊安全工具而且不用擔心會成為 網路中的故障點。
  • 作為合法資料攔擷使用的建議搭配。TAP 可提供具鑑識性的證據, 因為其功能設計可確保所擷取的資料與時間戳記是100%準確的。


Switch Port Analyzer (SPAN)

Port mirroring 或常常稱為SPAN (switched Port Analyzer)是透過對交換器設定,將指定埠口(或指定VLAN)看 到的所有流量複製給分析工具進行分析。


  • 為監控提供存取流量的方式
  • SPAN   設定不影響交換器的正常操作
  • 可從連接到交換機的任何系統進行設定
  • 通常會禁止該埠口上的雙向流量,以防止流量回流到網路
 tapvsspan_002.png

 
”相對於一般流量,交換器會將SPAN歸類為優先序較低的流量。 最佳應對方式是依設定的流量級別 來決定,並且在有疑慮時,僅針對相對來說流量較低的狀況才使用SPAN。” - Cisco


最佳實踐方式


網路透視度是網路管理的關鍵。部署 TAP後,你將可以隨時探知網路存取點的流量內容。許多組織都採用在所有重要鏈路都安裝TAP的方式,以便當下或未來在需要排除障礙或資安維護時,能方便的取得 這些鏈路的流量。

SPAN(mirroring) 技術在一些有限的狀況下還是可用的。但當網路速度從10Mbps進步到Gigabit,甚至40/100Gbps,當需要取得所有封包以作為資訊安全偵測、深度封包擷取或是網路鑑識資料時,還是需要一台針對此目的專門設計的TAP,才能滿足現今複雜的分析及監控技術的需求。

2021-01-18
版權所有 抄襲必究 copyright © 2021 翰特科技股份有限公司 All rights reserved.