Основна відмінність між захопленням пакетів за допомогою портів Network TAP та SPAN.

Дзеркальне відображення портів(також відомий як SPAN)

Мережевий відвідний канал(також відомий як реплікаційний відгалужувач, агрегаційний відгалужувач, активний відгалужувач, мідний відгалужувач, відгалужувач Ethernet тощо)TAP (Точка доступу до терміналу)– це повністю пасивний апаратний пристрій, який може пасивно захоплювати трафік у мережі. Він зазвичай використовується для моніторингу трафіку між двома точками мережі. Якщо мережа між цими двома точками складається з фізичного кабелю, мережевий TAP може бути найкращим способом захоплення трафіку.

Перш ніж пояснювати відмінності між двома рішеннями (Port Mirror та Network Tap), важливо зрозуміти, як працює Ethernet. При швидкості 100 Мбіт/с і вище хости зазвичай взаємодіють у повному дуплексному режимі, що означає, що один хост може одночасно надсилати (Tx) та отримувати (Rx). Це означає, що по кабелю 100 Мбіт/с, підключеному до одного хоста, загальний обсяг мережевого трафіку, який один хост може надсилати/отримувати (Tx/Rx), становить 2 × 100 Мбіт/с = 200 Мбіт/с.

Дзеркальне відображення порту – це активна реплікація пакетів, що означає, що мережевий пристрій фізично відповідає за копіювання пакета на дзеркальний порт.

Захоплення трафіку: TAP проти SPAN
Під час моніторингу мережевого трафіку, якщо ви не хочете безпосередньо запускати підтримку, поки користувач обробляє транзакцію, у вас є два основні варіанти. У наступній статті ми наведемо огляд TAP (тестової точки доступу) та SPAN (аналізатора портів комутатора). Для глибшого аналізу експерт з перевірки пакетів Тімо'Нілл написав кілька статей на сайті lovemytool.com, які детально розглядають цю тему, але тут ми розглянемо більш загальний підхід.

SPAN
Дзеркальне відображення портів – це метод моніторингу мережевого трафіку шляхом пересилання копії кожного вхідного та/або вихідного пакета з одного або кількох портів (або віртуальних локальних мереж) комутатора на інший порт, підключений до аналізатора мережевого трафіку. Проміжні мережі (Span) часто використовуються в простіших системах для одночасного моніторингу кількох сайтів. Точна кількість мережевих передач, які він може контролювати, залежить від того, де SPAN встановлено відносно обладнання центру обробки даних. Ви, ймовірно, знайдете те, що шукаєте, але легко опинитися з занадто великою кількістю даних. Наприклад, можна знайти кілька копій одних і тих самих даних по всій VLAN. Це ускладнює усунення несправностей локальної мережі, а також впливає на швидкість процесорів комутатора або впливає на Ethernet через виявлення розташування. По суті, чим більше проміжних мереж (Span), тим більша ймовірність втрати пакетів. Порівняно з відгалуженнями (taps), проміжними мережами (Span) можна керувати віддалено, що означає менше часу витрачається на зміну конфігурацій, але мережеві інженери все одно потрібні.

SPAN-порти не є пасивною технологією, як деякі стверджують, оскільки вони можуть мати інші вимірні впливи на мережевий трафік, зокрема:
- Час зміни взаємодії з кадром

- Втрата пакетів через надмірну кількість пошуків

- Пошкоджені пакети втрачаються без попередження, що перешкоджає аналізу
Таким чином, порти SPAN більше підходять для ситуацій, коли скидання пакетів не впливає на аналіз або коли враховується вартість.

НАТИСНІТЬ
На відміну від цього, відгалуження потребують початкових витрат на обладнання, але вони не потребують значного налаштування. Дійсно, оскільки вони пасивні, їх можна підключати та відключати від мережі, не впливаючи на неї. Відгалуження – це апаратні пристрої, які забезпечують спосіб доступу до даних, що проходять через комп'ютерну мережу, і зазвичай використовуються для цілей безпеки мережі та моніторингу продуктивності. Контрольований трафік називається "наскрізним" трафіком, а порт, який використовується для моніторингу, називається "портом моніторингу". Для більш чіткого дослідження мережі відгалуження можна розмістити між маршрутизаторами та комутаторами.
Оскільки TAP не впливає на пакети, його можна розглядати як справді пасивний спосіб перегляду мережевого трафіку.
Існує три основні типи рішень TAP:

- Мережевий розгалужувач (1:1)

- Агрегатний TAP (багато : 1)

- Регенерація TAP (1: багатоканальна)

TAP реплікує трафік на один пасивний інструмент моніторингу або на пристрій ретрансляції пакетів мережі високої щільності та обслуговує кілька (часто кілька) інструментів тестування QOS, інструментів моніторингу мережі та інструментів мережевого сніфера, таких як Wireshark.
Крім того, типи TAP різняться залежно від типу кабелю, включаючи оптоволоконний TAP та гігабітний мідний TAP, обидва працюють по суті однаково, передаючи частину сигналу аналізатору мережевого трафіку, тоді як основна модель продовжує передачу без перерв. У оптоволоконному TAP це розділяє промінь на дві частини, тоді як у мідній кабельній системі це реплікує електричний сигнал.