Perbedaan utama antara menangkap paket menggunakan port Network TAP dan SPAN.
Pencerminan Port(juga dikenal sebagai SPAN)
Ketuk Jaringan(juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)TAP (Titik Akses Terminal)adalah perangkat keras yang sepenuhnya pasif, yang dapat menangkap lalu lintas di jaringan secara pasif. Perangkat ini umumnya digunakan untuk memantau lalu lintas antara dua titik dalam jaringan. Jika jaringan antara dua titik ini terdiri dari kabel fisik, TAP jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
Sebelum menjelaskan perbedaan antara kedua solusi (Port Mirror dan Network Tap), penting untuk memahami cara kerja Ethernet. Pada 100 Mbit ke atas, host biasanya berkomunikasi dalam mode dupleks penuh, artinya satu host dapat mengirim (Tx) dan menerima (Rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, total lalu lintas jaringan yang dapat dikirim/diterima (Tx/Rx) oleh satu host adalah 2 × 100 Mbit = 200 Mbit.
Pencerminan port adalah replikasi paket aktif, yang berarti bahwa perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port yang dicerminkan.
Menangkap Lalu Lintas: TAP vs SPAN
Saat memantau lalu lintas jaringan, jika Anda tidak ingin mengoperasionalkan dukungan secara langsung saat pengguna memproses transaksi, Anda memiliki dua opsi utama. Dalam artikel berikut, kami akan memberikan gambaran umum tentang TAP (Test Access Point) dan SPAN (Switch Port Analyzer). Untuk analisis yang lebih mendalam, pakar inspeksi paket Timo'Neill memiliki beberapa artikel di lovemytool.com yang membahasnya secara detail, tetapi di sini, kami akan mengambil pendekatan yang lebih umum.
MENJANGKAU
Port mirroring adalah metode pemantauan lalu lintas jaringan dengan meneruskan salinan setiap paket masuk dan/atau keluar dari satu atau lebih port (atau VLAN) switch ke port lain yang terhubung ke penganalisis lalu lintas jaringan. Span sering digunakan dalam sistem yang lebih sederhana untuk memantau beberapa situs secara bersamaan. Jumlah pasti transmisi jaringan yang dapat dipantau bergantung pada lokasi SPAN dipasang relatif terhadap peralatan pusat data. Anda mungkin menemukan apa yang Anda cari, tetapi Anda mungkin menemukan diri Anda dengan terlalu banyak data. Misalnya, ada kemungkinan menemukan beberapa salinan data yang sama di seluruh VLAN. Hal ini membuat pemecahan masalah LAN lebih sulit, dan juga memengaruhi kecepatan CPU switch atau memengaruhi Ethernet melalui deteksi penempatan. Pada dasarnya, semakin banyak span, semakin besar kemungkinan kehilangan paket. Dibandingkan dengan tap, span dapat dikelola dari jarak jauh, yang berarti lebih sedikit waktu yang dihabiskan untuk mengubah konfigurasi, tetapi teknisi jaringan tetap diperlukan.
Port SPAN bukanlah teknologi pasif, seperti yang diklaim beberapa pihak, karena port ini dapat memberikan dampak terukur lainnya pada lalu lintas jaringan, termasuk:
- Saatnya mengubah interaksi bingkai
- Menjatuhkan paket karena pencarian yang berlebihan
- Paket yang rusak dibuang tanpa pemberitahuan, sehingga menghambat analisis
Oleh karena itu, port SPAN lebih cocok untuk situasi di mana pembuangan paket tidak memengaruhi analisis, atau di mana biaya dipertimbangkan.
MENGETUK
Sebaliknya, tap perlu mengeluarkan biaya untuk perangkat keras di awal, tetapi tidak memerlukan banyak pengaturan. Bahkan, karena bersifat pasif, tap dapat dihubungkan dan diputuskan dari jaringan tanpa memengaruhinya. Tap adalah perangkat keras yang menyediakan cara untuk mengakses data yang mengalir melalui jaringan komputer dan umumnya digunakan untuk tujuan keamanan dan pemantauan kinerja jaringan. Lalu lintas yang dipantau disebut lalu lintas "pass-through" dan port yang digunakan untuk pemantauan disebut "port pemantauan". Untuk memeriksa jaringan dengan lebih jelas, tap dapat ditempatkan di antara router dan switch.
Karena TAP tidak memengaruhi paket, ia dapat dilihat sebagai cara yang benar-benar pasif untuk melihat lalu lintas jaringan.
Pada dasarnya ada tiga jenis solusi TAP:
- Pembagi jaringan (1 : 1)
- Agregat TAP (multi : 1)
- Regenerasi TAP (1 : multi)
TAP mereplikasi lalu lintas ke satu alat pemantauan pasif, atau ke perangkat relai paket jaringan kepadatan tinggi, dan melayani beberapa (seringkali beberapa) alat pengujian QOS, alat pemantauan jaringan, dan alat pengendus jaringan seperti wireshark.
Selain itu, jenis TAP bervariasi tergantung jenis kabelnya, termasuk TAP serat optik dan TAP tembaga gigabit. Keduanya beroperasi dengan cara yang pada dasarnya sama, yaitu memindahkan sebagian sinyal ke penganalisis lalu lintas jaringan, sementara model utama tetap mentransmisikan tanpa gangguan. Pada TAP serat optik, tujuannya adalah membagi berkas menjadi dua, sementara pada sistem kabel tembaga, tujuannya adalah mereplikasi sinyal listrik.
Membandingkan TAP dan SPAN
Pertama, port SPAN tidak cocok untuk tautan 1G dupleks penuh, dan bahkan ketika kapasitasnya di bawah maksimum, port tersebut dengan cepat membuang paket karena kelebihan beban, atau hanya karena switch memprioritaskan data port-ke-port reguler daripada data port SPAN. Tidak seperti penyadapan jaringan, port SPAN menyaring kesalahan lapisan fisik, sehingga beberapa jenis analisis menjadi lebih sulit, dan seperti yang telah kita lihat, waktu penambahan yang salah dan perubahan frame dapat menyebabkan masalah lain. Di sisi lain, TAP dapat mengoperasikan tautan 1G dupleks penuh.
TAP juga dapat melakukan penangkapan paket secara menyeluruh dan melakukan pemeriksaan paket secara mendalam untuk protokol, pelanggaran, intrusi, dll. Dengan demikian, data TAP dapat digunakan sebagai bukti di pengadilan, sedangkan data port SPAN tidak dapat.
Keamanan merupakan aspek lain yang membedakan kedua teknik ini. Port SPAN biasanya dikonfigurasi untuk komunikasi satu arah, tetapi dalam beberapa kasus juga dapat menerima komunikasi, yang menyebabkan kerentanan serius. Sebaliknya, TAP tidak dapat dialamatkan dan tidak memiliki alamat IP, sehingga tidak dapat diretas.
Port SPAN biasanya tidak melewati tag VLAN, yang dapat menyulitkan pendeteksian kegagalan VLAN. Namun, tap tidak dapat melihat seluruh jaringan VLAN sekaligus. Jika tap agregat tidak digunakan, TAP tidak akan memberikan jejak yang sama untuk kedua kanal, tetapi deteksi kelebihan beban harus diperhatikan. Terdapat tap agregat, seperti Booster untuk Profitap, yang menggabungkan delapan port 10/100/1G dalam output 1G-10G.
Booster dapat memasukkan paket dengan memasukkan tag VLAN. Dengan cara ini, informasi port sumber setiap paket akan diteruskan ke penganalisis.
Port SPAN masih merupakan alat yang akan digunakan oleh administrator jaringan, tetapi jika kecepatan dan akses yang andal ke semua data jaringan sangat penting, TAP adalah pilihan yang lebih baik. Saat memutuskan pendekatan mana yang akan diambil, port SPAN lebih cocok untuk jaringan dengan utilisasi rendah, karena paket yang hilang tidak memengaruhi analisis atau bersifat opsional jika biaya menjadi pertimbangan. Namun, pada jaringan dengan lalu lintas tinggi, kapasitas, keamanan, dan keandalan TAP akan memberikan visibilitas penuh ke dalam lalu lintas di jaringan Anda tanpa khawatir kehilangan paket atau kesalahan penyaringan lapisan fisik.
○ Terlihat sepenuhnya
○ Replikasi semua lalu lintas (semua paket dengan semua ukuran dan jenis)
○ Pasif, tidak mengganggu (tidak mengubah data)
○ Secara seri, tidak ada port switch yang digunakan untuk mereplikasi lalu lintas dupleks penuh dalam harness Pengaturan mudah (plug and play)
○ Tidak rentan terhadap peretas (perangkat pemantauan tidak terlihat, terisolasi dari jaringan, tidak ada alamat IP/MAC)
○ Dapat diskalakan
○ Cocok untuk situasi apa pun
○ Visibilitas parsial
○ Tidak menyalin semua lalu lintas (menghilangkan ukuran dan jenis paket tertentu)
○ Non-pasif (mengubah waktu paket, meningkatkan latensi)
○ Gunakan port switch (setiap port SPAN menggunakan port switch)
○ Tidak dapat menangani komunikasi dupleks penuh (paket dijatuhkan saat kelebihan beban, juga dapat mengganggu operasi sakelar utama)
○ Insinyur perlu mengonfigurasi
○ Tidak aman (Sistem pemantauan merupakan bagian dari jaringan, potensi masalah keamanan)
○ Tidak dapat diskalakan
○ Hanya dapat dilakukan dalam kondisi tertentu
Anda mungkin tertarik dengan artikel terkait: Bagaimana Cara Menangkap Lalu Lintas Jaringan? Network Tap vs Port Mirror
Waktu posting: 09-Jun-2025
