Port Mirroring: TAPs vs. SPAN Ports – Was ist besser?
Port Mirroring: TAPs vs. SPAN Ports – Was ist besser?
Jedem Informatiker mit Netzwerkkenntnissen ist die Diskussion über die Vor- und Nachteile zwischen TAPs (Test Access Points) und Mirror Ports (Port Mirror) bekannt. Sind TAPs wirklich das einzige Mittel, um Sichtbarkeit im Netzwerk zu gewähren? Wir führen verschiedene Argumente für beide Seiten ins Feld und ziehen ein Fazit.
SPAN-Ports (Switch Port ANalyser) und TAPs werden genutzt, um Netzwerkverkehr zu spiegeln. Sie leiten die Daten an Out-of-Band-Tools wie Intrusion-Detection-Systeme, Netzwerkrekorder oder Netzwerkanalyse-Tools weiter.
Ein SPAN-Port ist ein dedizierter Port auf einem verwalteten Switch. Er sendet Kopien von Netzwerkpaketen an angeschlossene Tools. Dem gegenüber ist ein TAP ein dediziertes Gerät, um Netzwerkverkehr passiv aufzuteilen. TAPs spiegeln Netzwerkverkehr in Echtzeit und auf getrennten Kanälen in beiden Richtungen.
SPAN Port
SPAN-Ports bieten eine einfache und kostengünstige Möglichkeit zur Netzwerküberwachung, insbesondere in Umgebungen mit weniger anspruchsvollen Anforderungen. Durch die Nutzung vorhandener Hardware und die Fernkonfigurationsmöglichkeit lassen sich Geräte unkompliziert überwachen. Dies ist besonders ideal für schnelle Analysen und weniger kritische Anwendungen.
Argumente für SPAN Ports sind schnell abgehandelt:
- Geringe Kosten, da vorhandene Hardware genutzt wird.
- Fernkonfigurierbar über das Netzwerk.
- Optimal, um mehrere Geräte „mal eben“ mit einem Notebook zu überwachen.
Trotz ihrer Vorteile bringen SPAN-Ports auch einige Einschränkungen mit sich, die ihre Einsatzmöglichkeiten begrenzen. Insbesondere bei hoher Netzwerkauslastung und speziellen Analyseanforderungen werden diese Nachteile deutlich sichtbar.
Trotz ihrer Vorteile weisen SPAN-Ports einige signifikante Nachteile auf. Diese sollten unbedingt bei der Planung einer Netzwerküberwachungsstrategie berücksichtigt werden. Diese Einschränkungen können die Effektivität der Netzwerkanalyse beeinträchtigen und die betriebliche Effizienz verringern.
Ebenso sind Nachteile übersichtlich:
- Verwirft Pakete auf stark beanspruchten Vollduplex-Verbindungen.
- Eine Überbuchung beeinträchtigt zusätzlich das Timestamping, wodurch Antwortzeiten verfälscht und dementsprechend eine Analyse zusätzlich erschwert werden.
- Filtert Fehler der physikalischen Schicht heraus.
- Das Kopieren der Pakete belastet die CPU des Switches.
- SPAN-Ports sind in ihrer Anzahl begrenzt und reichen oft nicht aus, um alle erforderlichen Verbindungen zu überwachen. Zudem belegen sie Ports, die sonst für den produktiven Netzwerkverkehr genutzt werden könnten.
SPAN-Ports sind ideal, wenn Paketverluste die Netzwerkanalyse nicht entscheidend beeinflussen. Zudem sind sie eine kostengünstige Alternative für weniger kritische Anwendungen. Um „mal eben“ einen Drucker und drei Rechner zu überwachen, eignen sich SPAN Ports somit hervorragend.
TAP
TAPs sind speziell entwickelte Geräte, die den gesamten bidirektionalen Netzwerkverkehr erfassen. Sie spiegeln die Daten jeweils auf einen separaten Kanal, ohne dabei Pakete zu verwerfen. So gewährleisten TAPs vollständige Transparenz und stellen sicher, dass alle Daten zuverlässig und unverfälscht zur Analyse bereitstehen. Dies ist ein Vorteil, den SPAN-Ports in diesem Umfang nicht bieten können.
Passive TAPs benötigen keinen Strom und werden überwiegend in Glasfasernetzwerken eingesetzt. In diesem System wird das Licht, das die Daten überträgt, aufgeteilt. Dadurch bleibt der gesamte Verkehr auf den gespiegelten Fasern sichtbar. Dadurch werden 100 % der Informationen erfasst und stehen für die Analyse zur Verfügung.
Kupfer-Ethernet-TAPs hingegen benötigen eine Stromquelle, sind jedoch häufig mit einer ausfallsicheren Bypass-Technologie ausgestattet. Diese Funktion sorgt dafür, dass die Netzwerkverbindung selbst im Fall eines Stromausfalls erhalten bleibt. Dadurch wird das Risiko unerwarteter Service-Unterbrechungen reduziert.
TAPs bieten eine stabile und umfassende Lösung für kritische Netzwerkanalysen. Sie erfüllen die hohen Ansprüche an Sichtbarkeit und Verlässlichkeit in anspruchsvollen Anwendungen.
Die Vorteile von TAPs lassen sich wie folgt zusammenfassen:
- TAPs spiegeln oder kopieren bidirektionale Datenströme simultan und sind unabhängig von Bandbreite und Auslastung. Dadurch wird das Risiko von Paketverlusten vollständig eliminiert.
- TAPs bieten volle Transparenz in Vollduplex-Netzwerken.
- Erfasst alle Pakete (auch physische Fehler) und sind damit Protokollunabhängig
Die Verwendung von TAPs erfordert allerdings finanzielle Mittel für Kauf und Einbau.
Trotz der zahlreichen Vorteile, die TAPs bieten, bestehen auch einige Nachteile. Diese sollten unbedingt bei der Entscheidungsfindung berücksichtigt werden. Diese Herausforderungen können sich auf Kosten, Installation und Verfügbarkeit auswirken.
Daher ist es wichtig, die potenziellen Einschränkungen zu verstehen. Nur so können fundierte Entscheidungen getroffen werden. Diese sollten unbedingt bei der Entscheidungsfindung berücksichtigt werden. Ein Netzwerk-Tap kann hier die optimale Lösung sein.
Die Nachteile von TAPs sind:
- Kosten: Höhere Anschaffungs- und Installationskosten im Vergleich zu SPAN-Ports.
- Installation: Erfordert physische Eingriffe in die Netzwerkverkabelung, was zeitaufwendig sein kann.
- Hardwareabhängigkeit: Passive TAPs benötigen möglicherweise spezielle Hardware, die nicht in allen Netzwerken verfügbar ist.
- Verfügbarkeitsrisiko: Bei einem Ausfall des TAPs kann die Sichtbarkeit des Netzwerkverkehrs verloren gehen. Dies ist jedoch nicht der Fall, wenn eine Bypass-Technologie vorhanden ist.
- Platzbedarf: Braucht zusätzlichen Platz im Rack oder in der Infrastruktur für die Installation.
Fazit
Kurz gesagt: TAPs sind eine Schlüsselkomponente für Systeme, die volle Sichtbarkeit und Verlässlichkeit benötigen. Sie sollten überall dort eingesetzt werden, wo 100 % Überwachung unerlässlich ist. In Netzwerkumgebungen mit mittlerer bis hoher Auslastung ist es empfehlenswert, TAPs einzusetzen. Die Installation eines TAPs in eine bestehende Netzwerkverbindung erfordert eine kurze Kabeltrennung.
Daher sollten TAPs idealerweise während eines Wartungsfensters installiert werden. TAPs bereits in Planungsphasen für neue Netzwerke zu berücksichtigen reduziert Ausfälle und bietet 100%ige Sichtbarkeit des Netzwerkverkehrs. Für Ad-hoc-Überwachungen und Analysen mit geringen Datenmengen eigenen sich dagegen SPAN Ports am besten.
Sowohl TAPs als auch SPAN-Ports können bei korrekter Verwendung Einblicke in den Netzwerkverkehr gewähren. An ihrer Fähigkeit zur Bereitstellung von Netzwerk-Sichtbarkeit besteht kein Zweifel. Einfacher Merksatz: TAPs sind ideal, wenn die Infrastruktur-Anforderungen es rechtfertigen. SPAN-Ports sollten nur genutzt werden, wenn keine andere Option besteht.