Perbedaan utama antara menangkap paket menggunakan port Network TAP dan SPAN.
Pencerminan Port(juga dikenal sebagai SPAN)
Ketuk Jaringan(juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)TAP (Titik Akses Terminal)adalah perangkat keras yang sepenuhnya pasif, yang dapat secara pasif menangkap lalu lintas pada suatu jaringan. Perangkat ini umumnya digunakan untuk memantau lalu lintas antara dua titik dalam jaringan. Jika jaringan antara dua titik ini terdiri dari kabel fisik, TAP jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
Sebelum menjelaskan perbedaan antara kedua solusi (Port Mirror dan Network Tap), penting untuk memahami cara kerja Ethernet. Pada 100 Mbit dan di atasnya, host biasanya berkomunikasi dalam dupleks penuh, yang berarti bahwa satu host dapat mengirim (Tx) dan menerima (Rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, jumlah total lalu lintas jaringan yang dapat dikirim/diterima (Tx/Rx) oleh satu host adalah 2 × 100 Mbit = 200 Mbit.
Pencerminan port adalah replikasi paket aktif yang berarti perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port yang dicerminkan.
Menangkap Lalu Lintas: TAP vs SPAN
Saat memantau lalu lintas jaringan, jika Anda tidak ingin mengoperasionalkan dukungan secara langsung saat pengguna memproses transaksi, Anda memiliki dua opsi utama. Dalam artikel berikut, kami akan memberikan gambaran umum tentang TAP (Test Access Point) dan SPAN (Switch Port Analyzer). Untuk analisis yang lebih mendalam, pakar inspeksi paket Timo'Neill memiliki beberapa artikel di lovemytool.com yang membahasnya secara terperinci, tetapi di sini, kami akan mengambil pendekatan yang lebih umum.
MENJANGKAU
Port mirroring adalah metode untuk memantau lalu lintas jaringan dengan meneruskan salinan setiap paket masuk dan/atau keluar dari satu atau beberapa port (atau VLAN) switch ke port lain yang terhubung ke penganalisis lalu lintas jaringan. Span sering digunakan dalam sistem yang lebih sederhana untuk memantau beberapa situs secara bersamaan. Jumlah pasti transmisi jaringan yang dapat dipantau bergantung pada lokasi pemasangan SPAN relatif terhadap peralatan pusat data. Anda mungkin akan menemukan apa yang Anda cari, tetapi Anda mungkin menemukan terlalu banyak data. Misalnya, ada kemungkinan untuk menemukan beberapa salinan data yang sama di seluruh VLAN. Hal ini membuat pemecahan masalah LAN menjadi lebih sulit, dan juga memengaruhi kecepatan CPU switch atau memengaruhi Ethernet melalui deteksi penempatan. Pada dasarnya, semakin banyak span, semakin besar kemungkinan paket akan hilang. Dibandingkan dengan tap, span dapat dikelola dari jarak jauh, yang berarti lebih sedikit waktu yang dihabiskan untuk mengubah konfigurasi, tetapi teknisi jaringan tetap diperlukan.
Port SPAN bukanlah teknologi pasif, seperti yang diklaim beberapa pihak, karena port ini dapat memberikan dampak terukur lainnya pada lalu lintas jaringan, termasuk:
- Saatnya mengubah interaksi bingkai
- Menjatuhkan paket karena pencarian yang berlebihan
- Paket yang rusak dibuang tanpa pemberitahuan, sehingga menghambat analisis
Oleh karena itu, port SPAN lebih cocok untuk situasi di mana pembuangan paket tidak memengaruhi analisis, atau di mana biaya menjadi pertimbangan.
MENGETUK
Sebaliknya, tap perlu mengeluarkan uang untuk perangkat keras di awal, tetapi tidak memerlukan banyak pengaturan. Bahkan, karena bersifat pasif, tap dapat dihubungkan dan diputuskan dari jaringan tanpa memengaruhinya. Tap adalah perangkat keras yang menyediakan cara untuk mengakses data yang mengalir melalui jaringan komputer dan umumnya digunakan untuk tujuan keamanan jaringan dan pemantauan kinerja. Lalu lintas yang dipantau disebut lalu lintas "pass-through" dan port yang digunakan untuk pemantauan disebut "port pemantauan". Untuk memeriksa jaringan dengan lebih jelas, tap dapat ditempatkan di antara router dan switch.
Karena TAP tidak memengaruhi paket, ia dapat dilihat sebagai cara yang benar-benar pasif untuk melihat lalu lintas jaringan.
Pada dasarnya ada tiga jenis solusi TAP:
- Pemisah jaringan (1 : 1)
- Agregat TAP (multi : 1)
- Regenerasi TAP (1 : multi)
TAP mereplikasi lalu lintas ke satu alat pemantauan pasif, atau ke perangkat relai paket jaringan kepadatan tinggi, dan melayani beberapa (seringkali beberapa) alat pengujian QOS, alat pemantauan jaringan, dan alat pengendus jaringan seperti wireshark.
Selain itu, jenis TAP bervariasi tergantung pada jenis kabel, termasuk TAP fiber dan TAP tembaga gigabit, keduanya beroperasi dengan cara yang pada dasarnya sama dengan memindahkan sebagian sinyal ke penganalisa lalu lintas jaringan, sementara model utama terus mentransmisikan tanpa gangguan. Untuk TAP fiber, tujuannya adalah untuk membagi berkas menjadi dua, sedangkan pada sistem kabel tembaga, tujuannya adalah untuk mereplikasi sinyal listrik.
Membandingkan TAP dan SPAN
Pertama, port SPAN tidak cocok untuk tautan 1G dupleks penuh, dan bahkan saat kapasitasnya di bawah kapasitas maksimum, port tersebut akan segera membuang paket karena kelebihan beban, atau hanya karena switch memprioritaskan tanggal antar-port reguler daripada data port SPAN. Tidak seperti penyadapan jaringan, port SPAN menyaring kesalahan lapisan fisik, sehingga membuat beberapa jenis analisis menjadi lebih sulit, dan seperti yang telah kita lihat, waktu penambahan yang salah dan bingkai yang berubah dapat menyebabkan masalah lain. Di sisi lain, TAP dapat mengoperasikan tautan 1G dupleks penuh.
TAP juga dapat melakukan penangkapan paket secara menyeluruh dan melakukan pemeriksaan paket secara mendalam untuk protokol, pelanggaran, intrusi, dll. Dengan demikian, data TAP dapat digunakan sebagai bukti di pengadilan, sedangkan data port SPAN tidak dapat.
Keamanan adalah aspek lain yang membedakan kedua teknik tersebut. Port SPAN biasanya dikonfigurasi untuk komunikasi satu arah, tetapi dalam beberapa kasus port tersebut juga dapat menerima komunikasi, yang menyebabkan kerentanan serius. Sebaliknya, TAP tidak dapat dialamatkan dan tidak memiliki alamat IP, sehingga tidak dapat diretas.
Port SPAN biasanya tidak melewati tag VLAN, yang dapat mempersulit pendeteksian kegagalan VLAN, tetapi tap tidak dapat melihat seluruh jaringan VLAN sekaligus. Jika tap agregat tidak digunakan, TAP tidak akan menyediakan jejak yang sama untuk kedua saluran, tetapi kehati-hatian harus dilakukan dengan deteksi kelebihan beban. Ada tap agregat, seperti Booster for Profitap, yang menggabungkan delapan port 10/100/1G dalam output 1G-10G.
Booster dapat memasukkan paket dengan memasukkan tag VLAN. Dengan cara ini, informasi port sumber setiap paket akan diteruskan ke penganalisa.
Port SPAN masih merupakan alat yang akan digunakan oleh administrator jaringan, tetapi jika kecepatan dan akses yang andal ke semua data jaringan sangat penting, TAP adalah pilihan yang lebih baik. Saat memutuskan pendekatan mana yang akan diambil, port SPAN lebih cocok untuk jaringan dengan pemanfaatan rendah, karena paket yang hilang tidak memengaruhi analisis atau bersifat opsional dalam kasus di mana biaya menjadi perhatian. Namun, pada jaringan dengan lalu lintas tinggi, kapasitas, keamanan, dan keandalan TAP akan memberikan visibilitas penuh ke dalam lalu lintas di jaringan Anda tanpa takut kehilangan paket atau memfilter kesalahan lapisan fisik.
○ Terlihat sepenuhnya
○ Replikasi semua lalu lintas (semua paket dengan semua ukuran dan jenis)
○ Pasif, tidak mengganggu (tidak mengubah data)
○ Secara seri, tidak ada port switch yang digunakan untuk mereplikasi lalu lintas dupleks penuh dalam harness Pengaturan mudah (plug and play)
○ Tidak rentan terhadap peretas (perangkat pemantauan tidak terlihat, terisolasi dari jaringan, tidak ada alamat IP/MAC)
○ Dapat diskalakan
○ Cocok untuk situasi apa pun
○ Visibilitas parsial
○ Tidak menyalin semua lalu lintas (menghilangkan ukuran dan jenis paket tertentu)
○ Non-pasif (mengubah waktu paket, meningkatkan latensi)
○ Gunakan port switch (setiap port SPAN menggunakan port switch)
○ Tidak dapat menangani komunikasi dupleks penuh (paket terputus saat kelebihan beban, juga dapat mengganggu operasi sakelar utama)
○ Insinyur perlu mengonfigurasi
○ Tidak aman (Sistem pemantauan merupakan bagian dari jaringan, potensi masalah keamanan)
○ Tidak dapat diskalakan
○ Hanya dapat dilakukan dalam kondisi tertentu
Anda mungkin tertarik dengan artikel terkait: Bagaimana cara menangkap lalu lintas jaringan? Network Tap vs Port Mirror
Waktu posting: 09-Jun-2025
