LAN-Traffic anzapfen
Für Datenmitschnitte im Netz bieten sich Switch Port Analyzer (SPAN) und Test Access Point (TAP) an.
Wenn es im lokalen Netz klemmt, benötigen Netzadmins fürs Troubleshooting oft einen Zugang zum gesamten Datenstrom. Aber auch für das laufende Monitoring durch IDS-/IPS-Systeme oder für VoIP-Sprachaufzeichnungen bedarf es dieser Zugriffsmöglichkeit – in geswitchten Infrastrukturen in Gestalt von SPAN oder TAP. Beide Varianten haben ihre Vor- und Nachteile.
Switch-Feature SPAN versus Zusatzkomponente TAP
SPAN – auch Portspiegelung genannt – ist eine Funktion in einem gemanagten Switch. Als Datenquelle kann man je nach Switch-Plattform einen physischen Port, eine Portgruppe oder ein VLAN (Virtual LAN) definieren. Dabei entscheiden Netzadmins, die Pakete in Sende- oder in Empfangsrichtung (TX oder RX) mitzuschneiden – oder in beiden zugleich. Als Ziel können physische Ports oder im Fall von Remote SPAN auch spezielle SPAN-VLANs definiert werden. Der Traffic lässt sich auch zu einer Monitoringstation oder an einen anderen Switch weiterleiten. Je nach Switch-Typ variiert die Anzahl der möglichen SPAN-Ports.