English

Captura de tráfego de rede para monitoramento, análise e segurança de rede: TAP vs SPAN

A principal diferença entre capturar pacotes usando portas Network TAP e SPAN.

Espelhamento de portas(também conhecido como SPAN)

Conexão de rede(também conhecido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Ponto de Acesso ao Terminal)Um TAP (Network TAP) é um dispositivo de hardware totalmente passivo, capaz de capturar tráfego em uma rede de forma passiva. É comumente usado para monitorar o tráfego entre dois pontos na rede. Se a rede entre esses dois pontos consistir em um cabo físico, um TAP pode ser a melhor maneira de capturar o tráfego.

Antes de explicar as diferenças entre as duas soluções (Port Mirror e Network Tap), é importante entender como funciona o Ethernet. Em velocidades de 100 Mbit/s e superiores, os hosts geralmente se comunicam em modo full-duplex, o que significa que um host pode enviar (Tx) e receber (Rx) dados simultaneamente. Isso significa que, em um cabo de 100 Mbit/s conectado a um host, a quantidade total de tráfego de rede que esse host pode enviar/receber (Tx/Rx) é de 2 × 100 Mbit/s = 200 Mbit/s.

O espelhamento de portas é uma replicação ativa de pacotes, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.

TAP SPAN

Captura de tráfego: TAP vs SPAN
Ao monitorar o tráfego de rede, se você não quiser implementar suporte diretamente enquanto um usuário está processando uma transação, você tem duas opções principais. No artigo a seguir, apresentaremos uma visão geral do TAP (Test Access Point) e do SPAN (Switch Port Analyzer). Para uma análise mais aprofundada, o especialista em inspeção de pacotes Timo'Neill possui diversos artigos em lovemytool.com que abordam o assunto com grande detalhe, mas aqui, adotaremos uma abordagem mais geral.

SPAN
O espelhamento de portas é um método de monitoramento de tráfego de rede que consiste em encaminhar uma cópia de cada pacote de entrada e/ou saída de uma ou mais portas (ou VLANs) de um switch para outra porta conectada a um analisador de tráfego de rede. Os spans são frequentemente usados ​​em sistemas mais simples para monitorar vários sites simultaneamente. O número exato de transmissões de rede que podem ser monitoradas depende de onde o SPAN está instalado em relação aos equipamentos do data center. Você provavelmente encontrará o que procura, mas é fácil se deparar com um excesso de dados. Por exemplo, é possível encontrar várias cópias dos mesmos dados em toda uma VLAN. Isso dificulta a solução de problemas na LAN e também afeta a velocidade das CPUs do switch ou a Ethernet por meio da detecção de posicionamento. Basicamente, quanto mais spans, maior a probabilidade de perda de pacotes. Comparados aos taps, os spans podem ser gerenciados remotamente, o que significa menos tempo gasto em alterações de configuração, mas ainda exigem a presença de engenheiros de rede.

As portas SPAN não são uma tecnologia passiva, como alguns afirmam, pois podem ter outros efeitos mensuráveis ​​no tráfego de rede, incluindo:
- Hora de mudar a interação do quadro

- Descarte de pacotes devido a buscas excessivas

- Pacotes corrompidos são descartados sem aviso prévio, dificultando a análise.
Portanto, as portas SPAN são mais adequadas para situações em que a perda de pacotes não afeta a análise ou em que o custo é um fator importante.

TOCAR
Em contraste, os taps exigem investimento inicial em hardware, mas não requerem muita configuração. De fato, como são passivos, podem ser conectados e desconectados da rede sem afetá-la. Os taps são dispositivos de hardware que permitem o acesso aos dados que trafegam em uma rede de computadores e são comumente usados ​​para fins de segurança de rede e monitoramento de desempenho. O tráfego monitorado é chamado de tráfego "pass-through" e a porta usada para monitoramento é chamada de "porta de monitoramento". Para sondar a rede com mais precisão, os taps podem ser instalados entre roteadores e switches.
Como o TAP não afeta os pacotes, ele pode ser visto como uma forma verdadeiramente passiva de visualizar o tráfego de rede.
Existem basicamente três tipos de soluções TAP:

- Divisor de rede (1 : 1)

- TAP agregado (múltiplo: 1)

- Regeneração TAP (1 : multi)

O TAP replica o tráfego para uma única ferramenta de monitoramento passivo ou para um dispositivo de retransmissão de pacotes de rede de alta densidade, e serve a várias (frequentemente múltiplas) ferramentas de teste de QoS, ferramentas de monitoramento de rede e ferramentas de análise de rede, como o Wireshark.
Além disso, os tipos de TAP variam dependendo do tipo de cabo, incluindo TAP de fibra e TAP de cobre gigabit, ambos operando essencialmente da mesma maneira, desviando parte do sinal para o analisador de tráfego de rede, enquanto o modelo principal continua a transmitir sem interrupção. No caso do TAP de fibra, isso significa dividir o feixe em dois, enquanto no sistema de cabo de cobre, o objetivo é replicar o sinal elétrico.

Comparando o TAP e o SPAN

Primeiramente, a porta SPAN não é adequada para um enlace full-duplex de 1G e, mesmo quando abaixo de sua capacidade máxima, descarta pacotes rapidamente por estar sobrecarregada ou simplesmente porque o switch prioriza os dados regulares de porta a porta em detrimento dos dados da porta SPAN. Ao contrário dos taps de rede, as portas SPAN filtram erros da camada física, dificultando alguns tipos de análise e, como vimos, tempos de incremento incorretos e quadros alterados podem causar outros problemas. Por outro lado, o TAP pode operar em um enlace full-duplex de 1G.

O TAP também pode realizar a captura completa de pacotes e uma inspeção detalhada dos mesmos em busca de protocolos, violações, intrusões, etc. Portanto, os dados do TAP podem ser usados ​​como prova em tribunal, enquanto os dados da porta SPAN não podem.
A segurança é outro aspecto em que existem diferenças entre as duas técnicas. As portas SPAN geralmente são configuradas para comunicação unidirecional, mas também podem receber comunicação em alguns casos, causando sérias vulnerabilidades. Em contraste, o TAP não é endereçável e não possui um endereço IP, portanto não pode ser invadido.

As portas SPAN normalmente não transmitem tags VLAN, o que pode dificultar a detecção de falhas de VLAN, mas os taps não conseguem visualizar toda a rede VLAN simultaneamente. Se taps agregados não forem usados, o TAP não fornecerá o mesmo rastreamento para ambos os canais, mas é preciso ter cuidado com a detecção de sobrecarga. Existem taps agregados, como o Booster para Profitap, que agregam oito portas 10/100/1G em uma saída de 1G-10G.

O Booster consegue inserir pacotes através da inserção de tags VLAN. Dessa forma, as informações da porta de origem de cada pacote serão encaminhadas para o analisador.

As portas SPAN ainda são uma ferramenta utilizada por administradores de rede, mas se a velocidade e o acesso confiável a todos os dados da rede forem críticos, o TAP é a melhor escolha. Ao decidir qual abordagem adotar, as portas SPAN são mais adequadas para redes com baixa utilização, já que a perda de pacotes não afeta a análise ou é opcional em casos onde o custo é uma preocupação. No entanto, em redes com alto tráfego, a capacidade, a segurança e a confiabilidade do TAP proporcionarão visibilidade completa do tráfego em sua rede, sem o receio de perda de pacotes ou filtragem de erros da camada física.

TOCAR

 

○ Totalmente visível

○ Replicar todo o tráfego (todos os pacotes, de todos os tamanhos e tipos)

○ Passivo, não intrusivo (não altera os dados)

○ Em série, nenhuma porta de switch é usada para replicar o tráfego full-duplex nos chicotes de cabos. Configuração fácil (plug and play).

○ Não vulnerável a hackers (dispositivo de monitoramento invisível e isolado da rede, sem endereço IP/MAC)

○ Escalável

○ Adequado para qualquer situação

SPAN

 

○ Visibilidade parcial

○ Não copiar todo o tráfego (descartar pacotes de determinados tamanhos e tipos)

○ Não passivo (alteração do tempo de envio de pacotes, aumento da latência)

○ Usar porta de switch (cada porta SPAN usa uma porta de switch)

○ Incapaz de lidar com comunicação full-duplex (pacotes descartados quando sobrecarregado, podendo também interferir na operação do switch primário)

○ Os engenheiros precisam configurar

○ Inseguro (O sistema de monitoramento faz parte da rede, apresentando potenciais problemas de segurança)

○ Não escalável

○ Viável apenas em determinadas circunstâncias

Você pode se interessar pelo artigo relacionado: Como capturar tráfego de rede? Network Tap vs. Port Mirror

Data da publicação: 09/06/2025
Pressione Enter para pesquisar ou ESC para fechar.