网络盲点:TAP vs SPAN端口

网络盲点可以比作缓慢的煤气泄漏。它们是网络的隐藏区域,会对网络性能产生负面影响,因为它们不会出现在常规分析中。当无法分析或查看网络中某些网段之间的数据时,就会出现“盲点”,这可能是导致网络性能和危险安全问题的原因所在。

如果没有尽职工作来防止盲点和适当的网络监控基础设施,像工业控制系统(ICS)这样的关键环境可能会面临潜在的设备故障、性能问题、用户和客户不满、合规性问题,甚至严重的网络安全威胁。

首先,端口镜像(也称为SPAN或漫游分析)是一种监控网络流量的方法,它将每个传入和/或传出数据包的副本从交换机的一个或多个端口(或VLAN)转发到连接网络流量分析器的另一个端口。在较简单的系统上,SPAN通常用于同时监控多个站点。

另一种常见的访问监控数据的方式是通过测试访问端口(TAP):这是一种特制的设备,可以复制网络数据,但不改变数据,也不需要任何安装编程。相比之下,SPAN端口确实需要在每次想要编辑SPAN端口的设置时对交换机(或交换机)进行配置。

SPAN端口可能会对导致网络盲点问题的网络流量产生可衡量的影响,包括:
SPAN端口短缺:出于监控目的,SPAN端口经常供不应求。它们也很容易被错误配置,导致数据捕获不正确或丢失。
SPAN端口过载:如果交换机的CPU过载,SPAN端口可能会丢弃数据包。这可能会极大地降低性能和安全监控的有效性。
SPAN端口编程不正确:导致数据捕获错误或丢失。

网络分路器(TAP)提供了一种访问流经网络的数据的方法,以便将其转发到网络安全和性能监控工具。分路器(TAP)是部署在网络基础设施中两个点之间的关键位置(例如路由器、交换机或防火墙)的硬件设备,需要在这些位置访问数据以进行监控或故障排除。

让我们从两种类型的分路器(TAP)开始:

聚合分路器(多:1)将多个网络端口连接到一个监控端口(M:1),将所有传入流量流合并为单个传出流量流。

再生TAP(1:多)将单个传入的流量复制到多个输出,允许多个分析器监测单个网络线路。

网络分路器(TAP)将流量复制到一个单一的监测工具,或更经常地复制到一个TAP汇聚分流设备,为多个QOS测试工具、网络监测工具服务。

此外,根据介质类型的不同,有不同类型的分路器(TAP),包括光纤分路器(TAP)铜分路器(TAP)这两种类型都向网络流量分析器提供流量的精确副本,同时主信号不间断地继续。对于光纤分路器(TAP),光束被一分为二,而在铜缆系统中,电信号被复制。

分路器(TAP)还可以处理完整的数据包捕获,并对协议、不符合规定、入侵等进行深度数据包检测。正因为如此,分路器(TAP)数据在法庭上可以作为证据被接受,而SPAN端口数据则不能。

安全性是这两种技术之间存在差异的另一个领域。SPAN端口通常被配置为单向流量,但它们在某些情况下也可以接收流量,这就造成了一个关键的漏洞。相反,分路器(TAP)不能被寻址,没有IP地址,因此不能被黑。

有一些聚合TAP,例如虹科 Booster SPAN,可以将8个10/100/1G的端口聚合到一个1G-10G的输出。Booster还可以在进入的数据包中插入VLAN标签。这样,每个数据包的源端口信息就会被转发到分析器上。

下表显示了SPAN与TAP在功能上的比较。

 SPAN vs TAP功能分析

 TAPSPAN
访问监控数据包

在你的物理和虚拟网络中实现完全的访问和可视性

获得对高速网络中实时流量的故障保护、永久内联网络访问

保护内联安全工具的网络链路可用性

消除了访问网络流量的单点故障风险

从多个内联链接或带外连接中提供无损的流量聚合

 

SPAN端口可以作为最后的手段使用,但当速度和对所有网络数据的可靠访问至关重要时,分路器是最佳选择。

在流量较大的网络上,分路器的安全性、容量和可靠性将使您的网络上的流量完全可见,而无需担心数据包会被丢弃。