Le tecnologie TAP (Test Access Point) e SPAN (Switch Port Analyzer) forniscono accesso diretto real-time ai pacchetti che navigano attraverso le reti, ma quale tecnologia è migliore per le infrastrutture di oggi?

Introduzione

Le tecnologie TAP (Test Access Point) e SPAN (Switch Port ANalyzer) forniscono accesso diretto real-time ai pacchetti che navigano attraverso le reti, ma quale tecnologia è migliore per le infrastrutture di oggi? Quando si dovrebbe usare una tecnologia sull'altra? TAP o SPAN? Questo è il problema.

Le reti diventano sempre più grandi e più complesse, dovendo trasportare volumi di dati senza precedenti a velocità crescenti. Per esempio, 400Gb e 1Tb Ethernet sono in sviluppo, Internet of Things (IoT) e cloud computing aggiungono livelli di complessità e tutti rendono l’accesso al singolo pacchetto problematico. Allo stesso tempo, le minacce informatiche si evolvono rapidamente. Di conseguenza, la visibilità è essenziale per monitorare, gestire e proteggere la tua rete. L'accesso ai dati in movimento fino al livello del pacchetto è il primo passo per acquisire quella visibilità. I due metodi più comuni per estrarre queste informazioni sono le tecnologie SPAN e TAP. Ma come si decide quale usare?

Basic TAP and SPAN Technologies

Un Network TAP è un dispositivo che si collega direttamente all'infrastruttura di cablaggio. Invece di due switch o router che si connettono direttamente tra loro, la rete TAP si trova tra i due dispositivi e viene attraversata da tutti i flussi. Utilizzando uno splitter interno, il TAP crea una copia dei dati per il monitoraggio mentre i dati originali proseguono per il loro percorso. Sono quindi una componente chiave per la visibilità di rete.

Una porta SPAN (o porta mirror) è una funzionalità software integrata in uno switch o in un router che crea una copia dei pacchetti selezionati passati attraverso il dispositivo e li invia a una porta dedicata. Tramite software, si possono facilmente configurare o modificare quali dati debbano essere monitorati. Dato che lo scopo principale di uno switch o router è di inoltrare pacchetti di produzione, ai dati SPAN viene data una priorità inferiore dal dispositivo. Lo SPAN utilizza anche una singola porta di uscita per aggregare più collegamenti, quindi è facilmente suscettibile ai sovraccarichi.

Entrambe queste situazioni possono portare alla perdita di pacchetti. Gli SPAN non sono intesi per il monitoraggio a lungo termine. Piuttosto, funzionano meglio per monitoraggio ad-hoc di bassi volumi di dati in posizioni dove i TAP non sono stati installati. Tuttavia gli SPAN rappresentano ancora l'unico mezzo per accedere ad alcuni tipi di dati, come i quelli che passano da una porta all'altra sullo stesso switch.

 

Perché i TAP sono meglio delle porte SPAN?

Nelle reti moderne il TAP è preferibile ad una porta mirrror. I TAP passivi sono invisibili alla rete e non hanno bisogno di alimentatore: possono quindi funzionare senza problemi per anni. Il loro design non concepisce la sovrascrittura durante l'acquisizione di ogni pacchetto. Sebbene le porte SPAN funzionino bene a bassi livelli di utilizzo, entrambi i flussi di dati trasmessi (Tx) e ricevuti (Rx) vengono inoltrati ad una singola porta di uscita SPAN.

Ciò significa che una singola porta switch esegue il traffico bidirezionale e un utilizzo del 60% invierebbe i dati alla porta SPAN al 120%. Almeno il 20% dei dati verrebbe perso. Se più porte simili sono aggregate ad una singola porta SPAN, solo una minima parte dei dati potrebbe arrivare agli strumenti di monitoraggio.

Ci sono altri motivi per cui i TAP sono preferibili rispetto alle porte SPAN. Gli switch accodano i dati SPAN come priorità bassa, oltre a perdere pacchetti, è possibile che arrivino allo strumento di monitoraggio in ordine diverso o avere variazioni di latenza in modo che i dati di SPAN siano consegnati prima o dopo i dati di produzione. Questo non succede mai con un TAP poiché ogni pacchetto viene inoltrato nell'ordine esatto alla velocità di rete.  

Per riassumere, ecco i 10 principali motivi per cui i TAP sono migliori delle porte SPAN:

1. I TAP creano una copia esatta a livello fisico del flusso in maniera bidirezionale a velocità di linea, fornendo piena fedeltà per la rete di monitoraggio, analisi e sicurezza.

2. I TAP passivi forniscono accesso continuo al traffico e non richiedono alcun intervento o configurazione da parte dell'utente.

3. Le porte SPAN si saturano facilmente, risultano in grosse quantità di pacchetti persi.

4. Il traffico SPAN ha priorità più bassa nell'inoltro e potrebbe non raggiungere la piena velocità di linea.

5. Lo SPAN può avere prestazioni negative sullo switch stesso, a volte influendo sulla rete.

6. Poiché il traffico SPAN è spesso riconfigurato, l’uscita SPAN può cambiare di giorno in giorno o di ora in ora - risultando in una bassa attendibilità dei dati.

7. Le normative legali o conformità aziendale a volte impongono che tutto il traffico, per un particolare segmento, sia monitorato e questo può essere garantito solo con un TAP.

8. Porte SPAN configurate in modo errato possono influire sulle prestazioni della rete o persino causare interruzioni della rete.

9. Le porte SPAN sono limitate in numero rispetto al numero di porte che potrebbero richiedere il monitoraggio, e occupano porte che potrebbero altrimenti trasportare traffico.

10. I TAP non si preoccupano di quale protocollo viene trasportato nel traffico o se è IPv4 o IPv6. Tutto il traffico passa attraverso un TAP, compresi i pacchetti con errori.

 

Per maggiori informazioni, contattaci a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o compila il modulo nella sezione Contatti.

Approfondimenti sull'argomento si trovano nella pagina dedicata