La principale différence entre la capture de paquets à l'aide des ports Network TAP et SPAN.
Mise en miroir des ports(également connu sous le nom de SPAN)
Prise réseau(également connu sous le nom de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Point d'accès terminal)Il s'agit d'un dispositif matériel entièrement passif, capable de capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si ce réseau est constitué d'un câble physique, un TAP réseau peut s'avérer la solution la plus adaptée pour capturer le trafic.
Avant d'expliquer les différences entre les deux solutions (Port Mirror et Network Tap), il est important de comprendre le fonctionnement d'Ethernet. À partir de 100 Mbit/s, les hôtes communiquent généralement en duplex intégral, ce qui signifie qu'un hôte peut émettre (Tx) et recevoir (Rx) simultanément. Ainsi, sur un câble de 100 Mbit/s connecté à un hôte, le débit total de trafic réseau que cet hôte peut émettre/recevoir (Tx/Rx) est de 2 × 100 Mbit/s = 200 Mbit/s.
La mise en miroir de ports est une réplication active des paquets, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet vers le port mis en miroir.
Capture du trafic : TAP vs SPAN
Lors de la surveillance du trafic réseau, si vous ne souhaitez pas activer le support directement pendant qu'un utilisateur effectue une transaction, deux options principales s'offrent à vous. Cet article présente TAP (Test Access Point) et SPAN (Switch Port Analyzer). Pour une analyse plus approfondie, Timo'Neill, expert en inspection de paquets, propose plusieurs articles détaillés sur lovemytool.com ; nous adopterons ici une approche plus générale.
PORTÉE
La duplication de ports est une méthode de surveillance du trafic réseau qui consiste à transférer une copie de chaque paquet entrant et/ou sortant d'un ou plusieurs ports (ou VLAN) d'un commutateur vers un autre port connecté à un analyseur de trafic réseau. Les SPAN sont souvent utilisés dans les systèmes simples pour surveiller simultanément plusieurs sites. Le nombre exact de transmissions réseau qu'un SPAN peut surveiller dépend de son emplacement par rapport aux équipements du centre de données. Vous trouverez probablement ce que vous cherchez, mais attention à la quantité excessive de données. Par exemple, il est possible de trouver plusieurs copies des mêmes données sur l'ensemble d'un VLAN. Cela complique le dépannage du réseau local et affecte également la vitesse des processeurs des commutateurs ou le réseau Ethernet via la détection de l'emplacement. En résumé, plus le nombre de SPAN est élevé, plus le risque de perte de paquets est important. Contrairement aux TAP, les SPAN peuvent être gérés à distance, ce qui réduit le temps consacré aux modifications de configuration, mais l'intervention d'ingénieurs réseau reste nécessaire.
Les ports SPAN ne sont pas une technologie passive, comme certains l'affirment, car ils peuvent avoir d'autres effets mesurables sur le trafic réseau, notamment :
- Il est temps de changer d'interaction de cadre
- Abandon des paquets en raison d'un nombre excessif de requêtes
- Des paquets corrompus sont supprimés sans avertissement, ce qui entrave l'analyse.
Par conséquent, les ports SPAN sont plus adaptés aux situations où la perte de paquets n'affecte pas l'analyse, ou lorsque le coût est un facteur important.
ROBINET
À l'inverse, les points d'écoute nécessitent un investissement initial en matériel, mais leur configuration est très simple. En effet, étant passifs, ils peuvent être connectés et déconnectés du réseau sans l'affecter. Ces dispositifs permettent d'accéder aux données transitant par un réseau informatique et sont couramment utilisés pour la sécurité et la surveillance des performances du réseau. Le trafic surveillé est dit « pass-through » et le port utilisé pour la surveillance est appelé « port de surveillance ». Pour une analyse plus précise du réseau, les points d'écoute peuvent être placés entre les routeurs et les commutateurs.
Comme TAP n'affecte pas les paquets, il peut être considéré comme une méthode véritablement passive pour visualiser le trafic réseau.
Il existe essentiellement trois types de solutions TAP :
- Répartiteur réseau (1 : 1)
- TAP agrégé (multiple : 1)
- Régénération TAP (1 : multi)
TAP réplique le trafic vers un seul outil de surveillance passive ou vers un dispositif de relais de paquets réseau haute densité, et dessert plusieurs (souvent plusieurs) outils de test QoS, outils de surveillance réseau et outils d'analyse de réseau tels que Wireshark.
De plus, les types de TAP varient selon le type de câble, notamment les TAP fibre optique et les TAP cuivre gigabit. Leur fonctionnement est similaire : une partie du signal est déchargée vers l’analyseur de trafic réseau, tandis que le signal principal continue d’être transmis sans interruption. Le TAP fibre optique divise le faisceau en deux, tandis que dans un système de câble cuivre, il réplique le signal électrique.
Comparaison des scores TAP et SPAN
Premièrement, le port SPAN n'est pas adapté à une liaison 1G bidirectionnelle. Même en dessous de sa capacité maximale, il perd rapidement des paquets, soit par surcharge, soit parce que le commutateur privilégie les données de port à port classiques aux données du port SPAN. Contrairement aux points d'accès réseau (TAP), les ports SPAN filtrent les erreurs de la couche physique, ce qui complexifie certains types d'analyse. De plus, comme nous l'avons vu, des temps d'incrémentation incorrects et des trames modifiées peuvent engendrer d'autres problèmes. En revanche, un TAP peut gérer une liaison 1G bidirectionnelle.
TAP peut également effectuer une capture complète des paquets et une inspection approfondie de ceux-ci afin de détecter les protocoles, les violations, les intrusions, etc. Ainsi, les données TAP peuvent être utilisées comme preuve devant les tribunaux, contrairement aux données des ports SPAN.
La sécurité est un autre point de divergence entre les deux techniques. Les ports SPAN sont généralement configurés pour une communication unidirectionnelle, mais ils peuvent également recevoir des communications dans certains cas, ce qui engendre de graves vulnérabilités. À l'inverse, le protocole TAP n'est pas adressable et ne possède pas d'adresse IP, ce qui le rend inviolable.
Les ports SPAN ne transmettent généralement pas les étiquettes VLAN, ce qui peut compliquer la détection des pannes VLAN. Cependant, les points d'accès (TAP) ne peuvent pas visualiser l'intégralité du réseau VLAN simultanément. Si aucun point d'accès agrégé n'est utilisé, le TAP ne fournira pas la même trace pour les deux canaux, et il convient d'être vigilant lors de la détection de dépassement de bande passante. Certains points d'accès agrégés, comme Booster pour Profitap, regroupent huit ports 10/100/1G en une sortie de 1G à 10G.
Le Booster peut traiter les paquets en y insérant des balises VLAN. Ainsi, les informations relatives au port source de chaque paquet seront transmises à l'analyseur.
Les ports SPAN restent un outil utilisé par les administrateurs réseau, mais si la vitesse et la fiabilité de l'accès à toutes les données du réseau sont essentielles, le TAP est la meilleure solution. Pour les réseaux à faible charge, les ports SPAN sont plus adaptés, car les pertes de paquets n'affectent pas l'analyse ou sont optionnelles lorsque le coût est un facteur important. En revanche, sur les réseaux à fort trafic, la capacité, la sécurité et la fiabilité du TAP offrent une visibilité complète sur le trafic, sans risque de perte de paquets ni d'erreurs de couche physique.
○ Entièrement visible
○ Répliquer tout le trafic (tous les paquets de toutes tailles et de tous types)
○ Passif, non intrusif (ne modifie pas les données)
○ En série, aucun port de commutation n'est utilisé pour répliquer le trafic en duplex intégral dans les faisceaux. Installation facile (plug and play).
○ Non vulnérable aux pirates informatiques (dispositif de surveillance invisible et isolé du réseau, sans adresse IP/MAC)
○ Évolutif
○ Convient à toutes les situations
○ Visibilité partielle
○ Ne pas copier tout le trafic (suppression de paquets de certaines tailles et types)
○ Non passif (modification du timing des paquets, augmentation de la latence)
○ Utiliser un port de commutation (chaque port SPAN utilise un port de commutation)
○ Incapable de gérer la communication en duplex intégral (des paquets sont perdus en cas de surcharge, ce qui peut également interférer avec le fonctionnement du commutateur principal)
○ Les ingénieurs doivent configurer
○ Non sécurisé (Le système de surveillance fait partie du réseau, problèmes de sécurité potentiels)
○ Non évolutif
○ Faisable seulement dans certaines circonstances
Cet article pourrait vous intéresser : Comment capturer le trafic réseau ? Capture réseau ou duplication de port ?
Date de publication : 9 juin 2025
