La principal diferencia entre capturar paquetes usando puertos Network TAP y SPAN.
Duplicación de puertos(también conocido como SPAN)
Conexión de red(también conocido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)TAP (Punto de Acceso Terminal)Es un dispositivo de hardware totalmente pasivo que permite capturar el tráfico de una red de forma pasiva. Se utiliza habitualmente para monitorizar el tráfico entre dos puntos de la red. Si la red entre estos dos puntos consiste en un cable físico, un TAP de red puede ser la mejor opción para capturar el tráfico.
Antes de explicar las diferencias entre las dos soluciones (Duplicación de Puertos y Derivación de Red), es importante comprender cómo funciona Ethernet. A 100 Mbit/s o más, los hosts suelen comunicarse en modo dúplex completo, lo que significa que un host puede enviar (Tx) y recibir (Rx) simultáneamente. Esto implica que, en un cable de 100 Mbit/s conectado a un host, la cantidad total de tráfico de red que un host puede enviar/recibir (Tx/Rx) es de 2 × 100 Mbit/s = 200 Mbit/s.
La duplicación de puertos es una replicación activa de paquetes, lo que significa que el dispositivo de red es el responsable físico de copiar el paquete al puerto duplicado.
Captura de tráfico: TAP vs SPAN
Al monitorizar el tráfico de red, si no desea activar el soporte directamente mientras un usuario procesa una transacción, tiene dos opciones principales. En el siguiente artículo, ofreceremos una descripción general de TAP (Test Access Point) y SPAN (Switch Port Analyzer). Para un análisis más profundo, el experto en inspección de paquetes Timo'Neill tiene varios artículos en lovemytool.com que profundizan en el tema, pero aquí adoptaremos un enfoque más general.
DURAR
El reflejo de puertos es un método para monitorizar el tráfico de red mediante el reenvío de una copia de cada paquete entrante y/o saliente de uno o más puertos (o VLAN) de un switch a otro puerto conectado a un analizador de tráfico de red. Los SPAN se utilizan a menudo en sistemas más sencillos para monitorizar varios sitios simultáneamente. El número exacto de transmisiones de red que puede monitorizar depende de su ubicación con respecto al equipo del centro de datos. Probablemente encontrará lo que busca, pero es fácil encontrarse con un exceso de datos. Por ejemplo, es posible encontrar varias copias de los mismos datos en toda una VLAN. Esto dificulta la resolución de problemas de la LAN y también afecta a la velocidad de las CPU del switch o a la Ethernet mediante la detección de ubicación. Básicamente, cuantos más SPAN haya, mayor será la probabilidad de perder paquetes. En comparación con los taps, los SPAN se pueden gestionar de forma remota, lo que significa que se dedica menos tiempo a cambiar las configuraciones, pero aún se requiere la intervención de ingenieros de red.
Los puertos SPAN no son una tecnología pasiva, como algunos afirman, ya que pueden tener otros efectos medibles en el tráfico de la red, entre ellos:
- Es hora de cambiar la interacción del marco
- Pérdida de paquetes debido a búsquedas excesivas
- Los paquetes corruptos se descartan sin previo aviso, lo que dificulta el análisis.
Por lo tanto, los puertos SPAN son más adecuados para situaciones en las que la pérdida de paquetes no afecta al análisis o en las que se tiene en cuenta el coste.
GRIFO
En cambio, los taps requieren una inversión inicial en hardware, pero su configuración es mínima. De hecho, al ser pasivos, pueden conectarse y desconectarse de la red sin afectarla. Los taps son dispositivos de hardware que permiten acceder a los datos que fluyen a través de una red informática y se utilizan habitualmente para la seguridad y la monitorización del rendimiento de la red. El tráfico monitorizado se denomina tráfico de paso y el puerto utilizado para la monitorización se denomina puerto de monitorización. Para analizar la red con mayor precisión, los taps pueden colocarse entre routers y switches.
Dado que TAP no afecta a los paquetes, puede considerarse una forma verdaderamente pasiva de visualizar el tráfico de red.
Básicamente existen tres tipos de soluciones TAP:
- Divisor de red (1:1)
- Agregado TAP (múltiple: 1)
- Regeneración TAP (1: múltiple)
TAP replica el tráfico a una única herramienta de monitorización pasiva o a un dispositivo de retransmisión de paquetes de red de alta densidad, y da servicio a múltiples (a menudo varias) herramientas de prueba de QoS, herramientas de monitorización de red y herramientas de análisis de red como Wireshark.
Además, los tipos de TAP varían según el tipo de cable, incluyendo TAP de fibra óptica y TAP de cobre Gigabit. Ambos funcionan prácticamente igual, enviando parte de la señal al analizador de tráfico de red, mientras que el modelo principal continúa transmitiendo sin interrupción. En el caso del TAP de fibra óptica, la función es dividir el haz en dos, mientras que en el sistema de cable de cobre, se replica la señal eléctrica.
Comparación de TAP y SPAN
En primer lugar, el puerto SPAN no es adecuado para un enlace full-duplex de 1G, e incluso cuando está por debajo de su capacidad máxima, descarta paquetes rápidamente debido a la sobrecarga o simplemente porque el conmutador prioriza los datos regulares de puerto a puerto sobre los datos del puerto SPAN. A diferencia de los taps de red, los puertos SPAN filtran los errores de la capa física, lo que dificulta algunos tipos de análisis, y como hemos visto, los tiempos de incremento incorrectos y las tramas modificadas pueden causar otros problemas. Por otro lado, TAP puede operar un enlace full-duplex de 1G.
TAP también puede realizar una captura completa de paquetes y una inspección exhaustiva de los mismos para detectar protocolos, infracciones, intrusiones, etc. Por lo tanto, los datos de TAP pueden utilizarse como prueba en un tribunal, mientras que los datos del puerto SPAN no.
La seguridad es otro aspecto en el que existen diferencias entre ambas técnicas. Los puertos SPAN suelen configurarse para comunicación unidireccional, pero en algunos casos también pueden recibir comunicaciones, lo que genera graves vulnerabilidades. En cambio, TAP no es direccionable ni tiene una dirección IP, por lo que no puede ser pirateado.
Los puertos SPAN normalmente no transmiten etiquetas VLAN, lo que puede dificultar la detección de fallos de VLAN, pero los taps no pueden ver toda la red VLAN a la vez. Si no se utilizan taps agregados, el TAP no proporcionará el mismo rastro para ambos canales, pero se debe tener cuidado con la detección de sobrecarga. Existen taps agregados, como Booster para Profitap, que agregan ocho puertos 10/100/1G en una salida de 1G-10G.
Booster puede procesar paquetes insertando etiquetas VLAN. De esta forma, la información del puerto de origen de cada paquete se enviará al analizador.
Los puertos SPAN siguen siendo una herramienta útil para los administradores de red, pero si la velocidad y el acceso fiable a todos los datos de la red son cruciales, TAP es la mejor opción. Al decidir qué enfoque adoptar, los puertos SPAN son más adecuados para redes con baja utilización, ya que la pérdida de paquetes no afecta al análisis o es opcional en casos donde el coste es un factor importante. Sin embargo, en redes con alto tráfico, la capacidad, la seguridad y la fiabilidad de TAP proporcionan una visibilidad completa del tráfico de la red sin temor a la pérdida de paquetes ni a que se filtren los errores de la capa física.
○ Totalmente visible
○ Replicar todo el tráfico (todos los paquetes de todos los tamaños y tipos)
○ Pasivo, no intrusivo (no modifica los datos)
○ En serie, no se utilizan puertos de conmutación para replicar el tráfico full-duplex en los arneses. Configuración sencilla (conectar y usar).
○ No vulnerable a los hackers (dispositivo de monitorización invisible y aislado de la red, sin dirección IP/MAC)
○ Escalable
○ Adecuado para cualquier situación
○ Visibilidad parcial
○ No copiar todo el tráfico (descartar ciertos tamaños y tipos de paquetes)
○ No pasivo (cambio de la temporización de los paquetes, aumento de la latencia)
○ Utilice un puerto de conmutación (cada puerto SPAN utiliza un puerto de conmutación).
○ No puede gestionar la comunicación dúplex completo (se pierden paquetes cuando hay sobrecarga, lo que también puede interferir con el funcionamiento del conmutador principal).
○ Los ingenieros necesitan configurar
○ Inseguro (El sistema de monitorización forma parte de la red, posibles problemas de seguridad)
○ No escalable
○ Factible solo en determinadas circunstancias
Puede que te interese el artículo relacionado: ¿Cómo capturar el tráfico de red? Intercepción de red frente a duplicación de puertos.
Fecha de publicación: 9 de junio de 2025
