A principal diferença entre capturar pacotes usando portas TAP e SPAN de rede.
Espelhamento de porta(também conhecido como SPAN)
Toque de rede(também conhecido como Tap de replicação, Tap de agregação, Tap ativo, Tap de cobre, Tap Ethernet, etc.)TAP (Ponto de Acesso ao Terminal)é um dispositivo de hardware totalmente passivo, capaz de capturar passivamente o tráfego em uma rede. É comumente usado para monitorar o tráfego entre dois pontos na rede. Se a rede entre esses dois pontos consistir em um cabo físico, um TAP de rede pode ser a melhor maneira de capturar o tráfego.
Antes de explicar as diferenças entre as duas soluções (Port Mirror e Network Tap), é importante entender como a Ethernet funciona. A 100 Mbits ou mais, os hosts geralmente se comunicam em full duplex, o que significa que um host pode enviar (Tx) e receber (Rx) simultaneamente. Isso significa que, em um cabo de 100 Mbits conectado a um host, a quantidade total de tráfego de rede que um host pode enviar/receber (Tx/Rx) é 2 × 100 Mbits = 200 Mbits.
O espelhamento de porta é uma replicação ativa de pacotes, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.
Capturando Tráfego: TAP vs SPAN
Ao monitorar o tráfego de rede, se você não quiser operacionalizar o suporte diretamente enquanto um usuário processa uma transação, você tem duas opções principais. No artigo a seguir, apresentaremos uma visão geral do TAP (Test Access Point) e do SPAN (Switch Port Analyzer). Para uma análise mais aprofundada, o especialista em inspeção de pacotes Timo'Neill publicou vários artigos em lovemytool.com que abordam detalhes, mas aqui, adotaremos uma abordagem mais geral.
ESPAÇO
O espelhamento de portas é um método de monitoramento do tráfego de rede por meio do encaminhamento de uma cópia de cada pacote de entrada e/ou saída de uma ou mais portas (ou VLANs) de um switch para outra porta conectada a um analisador de tráfego de rede. Spans são frequentemente usados em sistemas mais simples para monitorar vários sites simultaneamente. O número exato de transmissões de rede que ele consegue monitorar depende de onde o SPAN está instalado em relação ao equipamento do data center. Você provavelmente encontrará o que procura, mas é fácil se deparar com dados em excesso. Por exemplo, é possível encontrar várias cópias dos mesmos dados em uma VLAN inteira. Isso dificulta a solução de problemas de LAN e também afeta a velocidade das CPUs do switch ou a Ethernet por meio da detecção de posicionamento. Basicamente, quanto mais spans, maior a probabilidade de perda de pacotes. Comparados aos taps, os spans podem ser gerenciados remotamente, o que significa menos tempo gasto na alteração de configurações, mas ainda são necessários engenheiros de rede.
As portas SPAN não são uma tecnologia passiva, como alguns afirmam, porque podem ter outros efeitos mensuráveis no tráfego de rede, incluindo:
- Hora de mudar a interação do quadro
- Descartando pacotes devido a pesquisas excessivas
- Pacotes corrompidos são descartados sem aviso, dificultando a análise
Portanto, as portas SPAN são mais adequadas para situações em que a eliminação de pacotes não afeta a análise ou em que o custo é considerado.
TOCAR
Em contraste, os taps exigem investimento inicial em hardware, mas não exigem muita configuração. De fato, por serem passivos, podem ser conectados e desconectados da rede sem afetá-la. Taps são dispositivos de hardware que fornecem uma maneira de acessar dados que fluem por uma rede de computadores e são comumente usados para fins de segurança e monitoramento de desempenho de rede. O tráfego monitorado é chamado de tráfego "pass-through" e a porta usada para monitoramento é chamada de "porta de monitoramento". Para sondar a rede com mais clareza, taps podem ser colocados entre roteadores e switches.
Como o TAP não afeta os pacotes, ele pode ser visto como uma maneira verdadeiramente passiva de visualizar o tráfego de rede.
Existem basicamente três tipos de soluções TAP:
- Divisor de rede (1 : 1)
- TAP agregado (multi: 1)
- Regeneração TAP (1 : multi)
O TAP replica o tráfego para uma única ferramenta de monitoramento passivo ou para um dispositivo de retransmissão de pacotes de rede de alta densidade e atende a várias (geralmente várias) ferramentas de teste de QOS, ferramentas de monitoramento de rede e ferramentas de detecção de rede, como o Wireshark.
Além disso, os tipos de TAP variam dependendo do tipo de cabo, incluindo o TAP de fibra e o TAP de cobre gigabit, ambos operando essencialmente da mesma maneira, transferindo parte do sinal para o analisador de tráfego de rede, enquanto o modelo principal continua transmitindo sem interrupção. No caso do TAP de fibra, a função é dividir o feixe em dois, enquanto no sistema de cabo de cobre, a função é replicar o sinal elétrico.
Comparando o TAP e o SPAN
Em primeiro lugar, a porta SPAN não é adequada para um link 1G full-duplex e, mesmo abaixo de sua capacidade máxima, descarta pacotes rapidamente por estar sobrecarregada ou simplesmente porque o switch prioriza dados regulares de porta a porta em detrimento dos dados da porta SPAN. Ao contrário dos taps de rede, as portas SPAN filtram erros da camada física, dificultando alguns tipos de análise e, como vimos, tempos de incremento incorretos e quadros alterados podem causar outros problemas. Por outro lado, o TAP pode operar um link 1G full-duplex.
O TAP também pode executar captura completa de pacotes e inspeção detalhada de pacotes para protocolos, violações, intrusões, etc. Assim, os dados do TAP podem ser usados como evidência em tribunal, enquanto os dados da porta SPAN não podem.
A segurança é outro aspecto em que há diferenças entre as duas técnicas. As portas SPAN geralmente são configuradas para comunicação unidirecional, mas também podem receber comunicação em alguns casos, causando vulnerabilidades graves. Em contraste, o TAP não é endereçável e não possui um endereço IP, portanto, não pode ser hackeado.
As portas SPAN normalmente não passam por tags de VLAN, o que pode dificultar a detecção de falhas de VLAN, mas os taps não conseguem ver toda a rede VLAN de uma só vez. Se taps agregados não forem utilizados, o TAP não fornecerá o mesmo rastreamento para ambos os canais, mas é preciso ter cuidado com a detecção de excesso de tráfego. Existem taps agregados, como o Booster para Profitap, que agregam oito portas 10/100/1G em uma saída 1G-10G.
O Booster consegue inserir pacotes inserindo tags de VLAN. Dessa forma, as informações da porta de origem de cada pacote serão encaminhadas ao analisador.
As portas SPAN ainda são uma ferramenta que os administradores de rede usarão, mas se a velocidade e o acesso confiável a todos os dados da rede forem essenciais, o TAP é a melhor escolha. Ao decidir qual abordagem adotar, as portas SPAN são mais adequadas para redes com baixa utilização, já que a perda de pacotes não afeta a análise ou é opcional em casos onde o custo é uma preocupação. No entanto, em redes com alto tráfego, a capacidade, a segurança e a confiabilidade do TAP fornecerão visibilidade total do tráfego em sua rede sem o medo de perda de pacotes ou de filtragem de erros na camada física.
○ Totalmente visível
○ Replicar todo o tráfego (todos os pacotes de todos os tamanhos e tipos)
○ Passivo, não intrusivo (não altera dados)
○ Em série, nenhuma porta de switch é usada para replicar o tráfego full-duplex em chicotes. Fácil configuração (plug and play)
○ Não vulnerável a hackers (dispositivo de monitoramento invisível e isolado da rede, sem endereço IP/MAC)
○ Escalável
○ Adequado para qualquer situação
○ Visibilidade parcial
○ Não copiar todo o tráfego (descartar certos tamanhos e tipos de pacotes)
○ Não passivo (alteração do tempo do pacote, aumento da latência)
○ Use a porta do switch (cada porta SPAN usa uma porta do switch)
○ Incapaz de lidar com comunicação full-duplex (pacotes perdidos quando sobrecarregados, também podem interferir na operação do switch primário)
○ Os engenheiros precisam configurar
○ Inseguro (o sistema de monitoramento faz parte da rede, possíveis problemas de segurança)
○ Não escalável
○ Viável apenas em certas circunstâncias
Você pode se interessar pelo artigo relacionado: Como capturar tráfego de rede? Tap de rede vs. Port Mirror
Horário da publicação: 09/06/2025
