English

Capture du trafic réseau pour la surveillance, l'analyse et la sécurité du réseau : TAP vs SPAN

La principale différence entre la capture de paquets à l'aide des ports réseau TAP et SPAN.

Mise en miroir des ports(également connu sous le nom de SPAN)

Prise réseau(également connu sous le nom de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Point d'accès au terminal)Il s'agit d'un périphérique matériel entièrement passif capable de capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si le réseau reliant ces deux points est constitué d'un câble physique, un TAP réseau peut être la meilleure solution pour capturer le trafic.

Avant d'expliquer les différences entre les deux solutions (mise en miroir de port et tap réseau), il est important de comprendre le fonctionnement d'Ethernet. À 100 Mbit/s et plus, les hôtes communiquent généralement en duplex intégral, ce qui signifie qu'un hôte peut émettre (Tx) et recevoir (Rx) simultanément. Ainsi, sur un câble de 100 Mbit/s connecté à un hôte, le volume total de trafic réseau qu'un hôte peut émettre/recevoir (Tx/Rx) est de 2 × 100 Mbit/s = 200 Mbit/s.

La mise en miroir des ports est une réplication active des paquets, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet sur le port en miroir.

ENVERGURE DU ROBINET

Capture du trafic : TAP vs SPAN
Lors de la surveillance du trafic réseau, si vous ne souhaitez pas activer le support directement pendant qu'un utilisateur traite une transaction, deux options principales s'offrent à vous. Dans l'article suivant, nous présenterons TAP (Test Access Point) et SPAN (Switch Port Analyzer). Pour une analyse plus approfondie, l'expert en inspection de paquets Timo'Neill a publié plusieurs articles détaillés sur lovemytool.com, mais nous adopterons ici une approche plus générale.

PORTÉE
La mise en miroir des ports est une méthode de surveillance du trafic réseau qui consiste à transférer une copie de chaque paquet entrant et/ou sortant d'un ou plusieurs ports (ou VLAN) d'un commutateur vers un autre port connecté à un analyseur de trafic réseau. Les spans sont souvent utilisés dans les systèmes simples pour surveiller simultanément plusieurs sites. Le nombre exact de transmissions réseau qu'ils peuvent surveiller dépend de l'emplacement du SPAN par rapport à l'équipement du centre de données. Vous trouverez probablement ce que vous cherchez, mais il est facile de se retrouver avec une quantité excessive de données. Par exemple, il est possible de trouver plusieurs copies des mêmes données sur l'ensemble d'un VLAN. Cela complique le dépannage du LAN et affecte également la vitesse des processeurs du commutateur ou la détection de l'emplacement Ethernet. En résumé, plus il y a de spans, plus le risque de perte de paquets est élevé. Comparés aux taps, les spans peuvent être gérés à distance, ce qui réduit le temps passé à modifier les configurations, mais nécessite toujours l'intervention d'ingénieurs réseau.

Les ports SPAN ne sont pas une technologie passive, comme certains le prétendent, car ils peuvent avoir d'autres effets mesurables sur le trafic réseau, notamment :
- Il est temps de changer l'interaction du cadre

- Perte de paquets en raison de recherches excessives

- Les paquets corrompus sont supprimés sans préavis, ce qui entrave l'analyse
Par conséquent, les ports SPAN sont plus adaptés aux situations dans lesquelles la suppression de paquets n'affecte pas l'analyse ou lorsque le coût est pris en compte.

ROBINET
En revanche, les taps nécessitent un investissement matériel initial, mais leur configuration est simple. En effet, passifs, ils peuvent être connectés et déconnectés du réseau sans l'affecter. Les taps sont des périphériques matériels permettant d'accéder aux données circulant sur un réseau informatique et sont couramment utilisés à des fins de sécurité et de surveillance des performances réseau. Le trafic surveillé est appelé « trafic de transit » et le port utilisé pour la surveillance est appelé « port de surveillance ». Pour une analyse plus précise du réseau, des taps peuvent être placés entre les routeurs et les commutateurs.
Étant donné que TAP n’affecte pas les paquets, il peut être considéré comme un moyen véritablement passif de visualiser le trafic réseau.
Il existe essentiellement trois types de solutions TAP :

- Répartiteur de réseau (1 : 1)

- Agrégat TAP (multi : 1)

- Régénération TAP (1 : multi)

TAP réplique le trafic vers un seul outil de surveillance passive ou vers un périphérique de relais de paquets réseau haute densité et sert plusieurs (souvent plusieurs) outils de test QOS, outils de surveillance réseau et outils de renifleur de réseau tels que Wireshark.
De plus, les types de TAP varient selon le type de câble. Ils comprennent le TAP fibre et le TAP cuivre gigabit, tous deux fonctionnant essentiellement de la même manière : ils déchargent une partie du signal vers l'analyseur de trafic réseau, tandis que le modèle principal continue de transmettre sans interruption. Le TAP fibre divise le faisceau en deux, tandis que le TAP cuivre réplique le signal électrique.

Comparaison du TAP et du SPAN

Premièrement, le port SPAN n'est pas adapté à une liaison 1G full duplex. Même en dessous de sa capacité maximale, il abandonne rapidement des paquets, soit parce qu'il est surchargé, soit simplement parce que le commutateur privilégie les données de port à port habituelles aux données du port SPAN. Contrairement aux TAP réseau, les ports SPAN filtrent les erreurs de la couche physique, ce qui complique certains types d'analyse. De plus, comme nous l'avons vu, des temps d'incrémentation incorrects et des trames modifiées peuvent entraîner d'autres problèmes. En revanche, le TAP peut exploiter une liaison 1G full duplex.

TAP peut également effectuer une capture complète des paquets et effectuer une inspection approfondie des paquets pour les protocoles, les violations, les intrusions, etc. Ainsi, les données TAP peuvent être utilisées comme preuve devant les tribunaux, contrairement aux données du port SPAN.
La sécurité est un autre aspect qui diffère entre les deux techniques. Les ports SPAN sont généralement configurés pour une communication unidirectionnelle, mais ils peuvent également recevoir des communications dans certains cas, ce qui entraîne de graves vulnérabilités. En revanche, le TAP n'est pas adressable et ne possède pas d'adresse IP ; il est donc invulnérable.

Les ports SPAN ne transmettent généralement pas les balises VLAN, ce qui peut compliquer la détection des pannes VLAN. De plus, les taps ne peuvent pas voir l'intégralité du réseau VLAN simultanément. Si les taps agrégés ne sont pas utilisés, le TAP ne fournira pas la même trace pour les deux canaux. Il faut toutefois être vigilant lors de la détection des dépassements. Il existe des taps agrégés, comme Booster pour Profitap, qui regroupent huit ports 10/100/1G en une sortie 1G-10G.

Booster peut saisir des paquets en insérant des balises VLAN. Ainsi, les informations du port source de chaque paquet sont transmises à l'analyseur.

Les ports SPAN restent un outil utilisé par les administrateurs réseau, mais si la vitesse et un accès fiable à toutes les données réseau sont essentiels, TAP est le meilleur choix. Pour choisir l'approche à adopter, les ports SPAN sont plus adaptés aux réseaux peu utilisés, car les paquets perdus n'affectent pas l'analyse ou sont optionnels lorsque le coût est un facteur déterminant. En revanche, sur les réseaux à fort trafic, la capacité, la sécurité et la fiabilité de TAP offrent une visibilité complète du trafic sans crainte de perte de paquets ni filtrage des erreurs de la couche physique.

ROBINET

 

○ Entièrement visible

○ Répliquer tout le trafic (tous les paquets de toutes tailles et de tous types)

○ Passif, non intrusif (ne modifie pas les données)

○ En série, aucun port de commutation n'est utilisé pour répliquer le trafic en duplex intégral dans les faisceaux. Configuration facile (plug and play)

○ Non vulnérable aux pirates (dispositif de surveillance invisible et isolé du réseau, pas d'adresse IP/MAC)

○ Évolutif

○ Convient à toutes les situations

PORTÉE

 

○ Visibilité partielle

○ Ne pas copier tout le trafic (supprimer certaines tailles et certains types de paquets)

○ Non passif (modification du timing des paquets, augmentation de la latence)

○ Utiliser le port de commutation (chaque port SPAN utilise un port de commutation)

○ Impossible de gérer la communication en duplex intégral (les paquets sont abandonnés en cas de surcharge, ce qui peut également interférer avec le fonctionnement du commutateur principal)

○ Les ingénieurs doivent configurer

○ Dangereux (le système de surveillance fait partie du réseau, problèmes de sécurité potentiels)

○ Non évolutif

○ Possible uniquement dans certaines circonstances

Vous pourriez être intéressé par l'article connexe : Comment capturer le trafic réseau ? Tap réseau ou miroir de port

Date de publication : 09/06/2025
Appuyez sur Entrée pour rechercher ou ESC pour fermer