在监视网络流量时,如果你不想直接在用户处理事务时直接站在用户身后,则有两个主要选择。在以下页面中,我们将概述TAP(测试访问点)和SPAN(交换机端口分析器)。
SPAN
端口镜像,也称为SPAN或漫游分析,是一种监视网络流量的方法,该方法将每个传入和/或传出数据包的副本从交换机的一个或多个端口(或VLAN)转发到连接网络流量分析器的另一个端口。SPAN通常在较简单的系统上使用,以一次监视多个工作站。
它能够监控的网络传输的确切数量,取决于SPAN相对于数据中心设备的安装位置。你可能会找到你想要看到的东西,但很容易就会得到过多的数据。例如,跨越整个VLAN可能找到同一数据的多个副本。这使得LAN故障排除更加困难,并且还会通过放置检测影响交换机CPU的速度或影响以太网的吞吐量。
基本上,SPAN越多,丢弃数据包的可能性就越大。与TAP相比,SPAN可以远程管理,这意味着更改配置耗时会较少,但仍需要配备网络工程师。
SPAN端口并不像一些人所说的那样是一种被动技术,因为它们可以对网络传输产生其他可测量的影响,包括:
- 改变帧交互的时间
- 由于查阅过多而丢弃数据包
- 在不通知的情况下丢弃损坏的数据包,这会妨碍分析
因此,SPAN端口更适合丢包不影响网络分析或成本问题的情况。
TAP
相比之下,网络TAP(测试访问点)需要在硬件上预先花钱,但相对的,它不需要太多设置。实际上,由于它是无源设备,因此该设备连接和断开与网络的连接时,不会影响网络。
TAP是硬件设备,它为网络安全和性能监视工具,提供了一种访问跨计算机网络流数据的方法。被监视的流量称为“直通”流量,用于监视的端口称为“监视端口”。为了更清晰地探测网络,可以在路由器和交换机之间放置TAP。
- 网络TAP(1:1)
- 聚合TAP(多:1)
- 再生TAP(1:多)
TAP将流量复制到单个无源监视工具,或者更经常复制到高密度网络包代理,该代理服务于多个(通常是多个)QOS测试工具、网络监视工具和网络嗅探器工具(如Wireshark)。
此外,根据电缆的类型,TAP的类型也不同,包括光纤TAP和千兆铜TAP。两者的工作原理基本相同,都是将部分信号分流到网络流量分析器,而主信号继续不间断地传输。对于光纤TAP,光束被一分为二,而在铜线系统中,电信号被复制。
两者比较
首先,SPAN端口不足以用于全双工1G链路。即使在看起来低于最大容量的情况下,或者仅仅是因为交换机将常规端口到端口日期的优先级设置在SPAN端口数据之上,它们也可能很快变得负担沉重,从而丢弃数据包。与网络TAP不同,SPAN端口会过滤物理层错误,从而使某些类型的分析更加困难,并且如我们所见,不正确的增量时间和更改的帧可能会导致其他问题。另一方面,TAP可以运行全双工1G链路。
TAP还可以处理完整的数据包捕获,并对协议、违规、入侵等进行深度数据包检查。因此,TAP数据在法庭上可作为证据接受,而SPAN端口数据则不可。
安全是这两种技术之间存在差异的另一个领域。SPAN端口通常配置为单向通信,但在某些情况下它们也可以接收通信,从而造成严重漏洞。相反,TAP无法寻址,也没有IP地址,因此无法被黑客入侵。
SPAN端口通常不会传递VLAN标记,这可能导致查找VLAN问题很困难,但是TAP也无法一次看到整个VLAN。TAP在不使用聚合分路器的情况下,不会在同一条轨迹中提供两个通道,但是在超额订阅时必须要小心。有一些聚合分路器,例如Profitap Booster,可以将八个10/100/1G端口聚合到一个1G-10G输出。我们的 Booster能够将VLAN标签插入输入数据包。这样,每个数据包的源端口信息都将转发到分析器。
SPAN端口对于网络管理员仍然是有用的工具,但是当速度和可靠性访问至关重要时,TAP是更好的选择。在决定采用哪种方法时,SPAN端口更适合利用率较低的网络,在这种网络中丢包不会影响分析,或者在需要考虑成本因素的情况下。
但是,在流量较大的网络上,TAP的容量、安全性和可靠性将为您的网络流量提供至关重要的全面可视化,并且无需担心数据包丢失或物理层错误被滤除。
