Port Mirroring: Ist ein TAP wirklich besser als ein SPAN Port?

Port Mirroring: Ist ein TAP wirklich besser als ein SPAN Port?

Jedem Informatiker mit Netzwerkkenntnissen ist die Diskussion über die Vor- und Nachteile zwischen TAPs (Test Access Points) und Mirror Ports (Port Spiegelung) bekannt. Sind TAPs wirklich das einzige Mittel, um Sichtbarkeit im Netzwerk zu gewähren? Wir führen verschiedene Argumente für beide Seiten ins Feld und ziehen ein Fazit.

SPAN Ports (Switch Port ANalyser) und TAPs dienen dazu, Netzwerkverkehr zu spiegeln und an Out-of-Band-Tools wie Intrusion-Detection-Systeme, Netzwerkrekorder oder Netzwerkanalyse-Tools zu senden. Bei einem SPAN Port handelt es sich um einen dedizierten Port auf einem verwalteten Switch, um Kopien von Netzwerkpaketen an dort angeschlossene Tools zu senden. Dem gegenüber ist ein TAP ein dediziertes Gerät, um Netzwerkverkehr passiv aufzuteilen. TAPs spiegeln Netzwerkverkehr in Echtzeit und auf getrennten Kanälen in beiden Richtungen.

SPAN Port

Argumente für SPAN Ports sind schnell abgehandelt:

  • Geringe Kosten, da vorhandene Hardware genutzt wird.
  • Fernkonfigurierbar über das Netzwerk.
  • Optimal, um mehrere Geräte „mal eben“ mit einem Notebook zu überwachen.

Ebenso sind Nachteile übersichtlich:

  • Verwirft Pakete auf stark beanspruchten Vollduplex-Verbindungen.
  • Eine Überbuchung beeinträchtigt zusätzlich das Timestamping, wodurch Antwortzeiten verfälscht und dementsprechend eine Analyse zusätzlich erschwert werden.
  • Filtert Fehler der physikalischen Schicht heraus.
  • Das Kopieren der Pakete belastet die CPU des Switches.
  • SPAN Ports sind im Vergleich zu der Anzahl der Ports, die möglicherweise überwacht werden müssen, in ihrer Anzahl begrenzt und verbrauchen Ports, die andernfalls den produktiven Netzwerkverkehr übertragen würden.

SPAN-Ports eignen sich daher besser für Situationen, in denen verloren gegangene Pakete die Netzwerkanalyse nicht beeinträchtigen und in denen Kosten eine Rolle spielen. Um „mal eben“ einen Drucker und drei Rechner zu überwachen, eignen sich SPAN Ports somit hervorragend.

TAP

TAPs erfassen den gesamten bidirektionalen Verkehr, spiegeln diesen jeweils auf einen separaten Kanal und verwerfen keine Pakete. Damit bieten TAPs 100% Sichtbarkeit. Passive TAPs benötigen keinen Strom und werden vor allem in Glasfasernetzwerken verwendet, wo das eintreffende Licht so aufgeteilt wird, dass 100% des Verkehrs auf den gespiegelten Fasern zu sehen sind. Kupfer-Ethernet-TAPs benötigen zwar Strom, verfügen jedoch häufig über eine ausfallsichere Bypass-Technologie, die das Risiko von Service-Unterbrechungen im Falle eines Stromausfalls eliminiert. 
Die Vorteile von TAPs lassen sich wie folgt zusammenfassen:

  • TAPs spiegeln oder kopieren bidirektionale Datenströme gleichzeitig und sind von Bandbreiten und Auslastung unabhängig, wodurch das Risiko von Paketverlust vollständig eliminiert wird.
  • TAPs bieten volle Transparenz in Vollduplex-Netzwerken.
  • Erfasst alle Pakete (auch physische Fehler) und sind damit Protokollunabhängig

Die Verwendung von TAPs erfordert allerdings finanzielle Mittel für Kauf und Einbau.

Fazit

Einfach zusammengefasst: TAPs sind eine Schlüsselkomponente und sollten in jedem System eingesetzt werden, das 100%ige Sichtbarkeit und Verlässlichkeit erfordert. In Netzwerkumgebungen mit mittlerer bis hoher Auslastung ist es empfehlenswert, TAPs einzusetzen. Hierbei gilt zu beachten, dass die Installation eines TAP in eine bestehende Netzwerkverbindung eine kurze Kabeltrennung erfordert, sodass TAPs in der Regel während eines Wartungsfensters installiert werden sollten. TAPs bereits in Planungsphasen für neue Netzwerke zu berücksichtigen reduziert Ausfälle und bietet 100%ige Sichtbarkeit des Netzwerkverkehrs.

Für Ad-hoc-Überwachungen und Analysen mit geringen Datenmengen eigenen sich dagegen SPAN Ports am besten.

Es besteht kein Zweifel daran, dass sowohl TAPs als auch SPAN Ports bei korrekter Verwendung Sichtbarkeit auf den Netzwerkverkehr bieten können. Daher können wir folgenden Merksatz formulieren: TAPs sollten verwendet werden, wo die Anforderungen an die Infrastruktur es rechtfertigen und SPAN Ports, wenn es nicht anders möglich ist.

< Zurück zur Übersicht
Home | Insights | Blog | Port Mirroring: Ist ein TAP wirklich besser als ein SPAN Port?