![9e9e6891b34f28318bea27a617c9acc3.png](https://img-blog.csdnimg.cn/img_convert/9e9e6891b34f28318bea27a617c9acc3.png)
1.背景
我确定您已经意识到Network Tap和用于网络监视目的的交换机端口分析器(span端口)之间的斗争。这两种功能均具有在网络上镜像流量并将其发送到带外安全工具(例如入侵检测系统,网络记录器或网络分析器)的功能。span端口是通过具有端口镜像功能的网络企业交换机配置的。它是托管交换机上的专用端口,该端口从交换机上取走网络流量的镜像副本,以发送给安全工具。另一方面,TAP是一种无源分配从网络流向安全工具的网络流量的设备。TAP在两个方向上实时且在单独的通道上接收网络流量。
这是TAP通过span端口的五个主要优点:
1. TAP捕捉每个单包!
span端口删除损坏的数据包和小于最小大小的数据包。因此,由于span端口为网络流量赋予了更高的优先级,因此安全工具无法接收所有流量。此外,RX和TX流量在单个端口上聚合,因此丢弃数据包的可能性更大。TAP捕获在每个目标端口上传递的所有双向流量,包括端口错误。
2.完全被动的解决方案,无需IP配置或电源
无源TAP主要用于光纤网络,在无源TAP中,它从网络的两个方向接收流量,并将输入的光分割,以便在监视工具上看到100%的流量。被动式TAP不需要任何电源。因此,它们增加了一层冗余,几乎不需要维护,并减少了总费用。如果您计划监视铜质以太网流量,则需要使用有源TAP。有源TAP需要电力,但是,Niagra的有源TAP包括故障保护旁路技术,消除了停电时服务中断的风险。
3.零丢包
网络TAP可以分别监视链路的两端,从而提供双向网络流量的100%可见性。TAP不会丢弃任何数据包,无论其带宽如何。
![a43366d1bb6e7635a12af884396822a2.png](https://img-blog.csdnimg.cn/img_convert/a43366d1bb6e7635a12af884396822a2.png)
![631394fc62a301de227089314b10c2e9.png](https://img-blog.csdnimg.cn/img_convert/631394fc62a301de227089314b10c2e9.png)
4.适用于中等至较高的网络利用率环境
span端口在不丢弃数据包的情况下不能处理高利用率的网络链接。因此,在这些情况下需要网络TAP。如果从span流出的流量大于正在接收的流量,则span端口将被超额预订,并被迫丢弃数据包。要捕获10Gb的双向流量,span端口需要20Gb的容量,而10Gb的网络TAP将能够捕获所有10Gb的容量。
5. TAP允许所有流量通过,包括VLAN标签
span端口通常不允许VLAN标签通过,这使得检测VLAN问题和创建虚假问题变得困难。TAP允许所有流量通过,从而避免了此类问题。