네트워크 TAP과 SPAN 포트를 사용하여 패킷을 캡처하는 것의 주요 차이점은 다음과 같습니다.
포트 미러링(SPAN이라고도 함)
네트워크 탭(복제 탭, 집계 탭, 액티브 탭, 구리 탭, 이더넷 탭 등으로도 알려짐)TAP(터미널 접속 지점)네트워크 트래픽을 수동으로 캡처할 수 있는 완전 수동 하드웨어 장치입니다. 일반적으로 네트워크의 두 지점 간 트래픽을 모니터링하는 데 사용됩니다. 두 지점 간 네트워크가 물리적 케이블로 구성된 경우, 네트워크 TAP이 트래픽을 캡처하는 가장 좋은 방법일 수 있습니다.
두 솔루션(포트 미러와 네트워크 탭)의 차이점을 설명하기 전에 이더넷의 작동 방식을 이해하는 것이 중요합니다. 100Mbit 이상에서는 호스트가 일반적으로 전이중(full duplex) 방식으로 통신합니다. 즉, 한 호스트가 동시에 송신(Tx)과 수신(Rx)을 할 수 있습니다. 즉, 한 호스트에 연결된 100Mbit 케이블에서 한 호스트가 송수신할 수 있는 총 네트워크 트래픽 양은 2 × 100Mbit = 200Mbit입니다.
포트 미러링은 능동적인 패킷 복제로, 네트워크 장치가 패킷을 미러링된 포트로 물리적으로 복사하는 것을 의미합니다.
트래픽 캡처: TAP 대 SPAN
네트워크 트래픽을 모니터링할 때 사용자가 트랜잭션을 처리하는 동안 지원을 직접 실행하고 싶지 않다면 두 가지 주요 옵션이 있습니다. 다음 글에서는 TAP(테스트 액세스 포인트)와 SPAN(스위치 포트 분석기)에 대해 간략하게 살펴보겠습니다. 더 자세한 분석을 위해 패킷 검사 전문가 Timo'Neill이 lovemytool.com에 게시한 여러 글에서 자세한 내용을 확인할 수 있지만, 여기서는 보다 일반적인 접근 방식을 살펴보겠습니다.
기간
포트 미러링은 스위치의 하나 이상의 포트(또는 VLAN)에서 들어오는 패킷 및/또는 나가는 패킷의 사본을 네트워크 트래픽 분석기에 연결된 다른 포트로 전달하여 네트워크 트래픽을 모니터링하는 방법입니다. 스팬은 여러 사이트를 동시에 모니터링하기 위해 간단한 시스템에서 자주 사용됩니다. 모니터링할 수 있는 네트워크 전송 횟수는 데이터 센터 장비를 기준으로 SPAN이 설치된 위치에 따라 달라집니다. 원하는 것을 찾을 수 있겠지만, 데이터가 너무 많아지는 경우가 종종 있습니다. 예를 들어, 전체 VLAN에 걸쳐 동일한 데이터의 여러 사본이 발견될 수 있습니다. 이는 LAN 문제 해결을 더욱 어렵게 만들고, 스위치 CPU 속도나 배치 감지를 통한 이더넷 성능에도 영향을 미칩니다. 기본적으로 스팬이 많을수록 패킷 손실 가능성이 높아집니다. 탭과 비교했을 때 스팬은 원격으로 관리할 수 있으므로 구성 변경에 소요되는 시간이 단축되지만, 네트워크 엔지니어의 역할은 여전히 중요합니다.
SPAN 포트는 일부 사람들이 주장하는 것처럼 수동적인 기술이 아닙니다. SPAN 포트는 다음을 포함하여 네트워크 트래픽에 측정 가능한 다른 영향을 미칠 수 있기 때문입니다.
- 프레임 상호작용을 변경할 시간
- 과도한 조회로 인한 패킷 삭제
- 손상된 패킷은 사전 통지 없이 삭제되어 분석을 방해합니다.
따라서 SPAN 포트는 패킷 삭제가 분석에 영향을 미치지 않는 상황이나 비용을 고려하는 상황에 더 적합합니다.
수도꼭지
반면, 탭은 하드웨어에 초기 비용을 투자해야 하지만, 많은 설정이 필요하지 않습니다. 실제로 탭은 수동형이므로 네트워크에 영향을 주지 않고 연결 및 분리가 가능합니다. 탭은 컴퓨터 네트워크를 통해 흐르는 데이터에 접근할 수 있는 하드웨어 장치로, 네트워크 보안 및 성능 모니터링 목적으로 일반적으로 사용됩니다. 모니터링되는 트래픽은 "패스스루" 트래픽이라고 하며, 모니터링에 사용되는 포트는 "모니터링 포트"라고 합니다. 네트워크를 더욱 명확하게 탐색하기 위해 라우터와 스위치 사이에 탭을 배치할 수 있습니다.
TAP은 패킷에 영향을 미치지 않으므로 네트워크 트래픽을 보는 진정한 수동적인 방법으로 볼 수 있습니다.
기본적으로 TAP 솔루션에는 세 가지 유형이 있습니다.
- 네트워크 분배기(1 : 1)
- 집계 TAP (다중 : 1)
- 재생 TAP (1 : 멀티)
TAP은 트래픽을 단일 수동 모니터링 도구나 고밀도 네트워크 패킷 릴레이 장치에 복제하고, 여러 개의 QOS 테스트 도구, 네트워크 모니터링 도구, Wireshark와 같은 네트워크 스니퍼 도구에 서비스를 제공합니다.
또한 TAP 유형은 케이블 종류에 따라 다릅니다. 광섬유 TAP와 기가비트 구리 TAP가 있는데, 두 TAP 모두 신호의 일부를 네트워크 트래픽 분석기로 오프로드하는 방식으로 기본적으로 동일하게 작동하며, 메인 모델은 중단 없이 전송을 계속합니다. 광섬유 TAP의 경우 빔을 둘로 분할하는 반면, 구리 케이블 시스템에서는 전기 신호를 복제합니다.
TAP과 SPAN 비교
첫째, SPAN 포트는 전이중 1G 링크에 적합하지 않으며, 최대 용량보다 낮더라도 과부하 상태이거나 스위치가 SPAN 포트 데이터보다 일반 포트 간 데이터를 우선시하기 때문에 패킷이 빠르게 손실됩니다. 네트워크 TAP과 달리 SPAN 포트는 물리 계층 오류를 필터링하여 일부 유형의 분석을 더욱 어렵게 만들고, 앞서 살펴본 바와 같이 잘못된 증가 시간과 변경된 프레임은 다른 문제를 야기할 수 있습니다. 반면, TAP은 전이중 1G 링크를 운영할 수 있습니다.
TAP는 완전한 패킷 캡처를 수행하고 프로토콜, 위반, 침입 등에 대한 심층적인 패킷 검사를 수행할 수도 있습니다. 따라서 TAP 데이터는 법정에서 증거로 사용될 수 있지만 SPAN 포트 데이터는 그렇지 않습니다.
보안은 두 기술 간에 차이점이 있는 또 다른 측면입니다. SPAN 포트는 일반적으로 단방향 통신으로 구성되지만, 경우에 따라 통신을 수신할 수도 있어 심각한 취약점을 야기할 수 있습니다. 반면 TAP은 주소 지정이 불가능하고 IP 주소가 없으므로 해킹이 불가능합니다.
SPAN 포트는 일반적으로 VLAN 태그를 전달하지 않아 VLAN 장애 감지가 어려울 수 있지만, 탭은 전체 VLAN 네트워크를 한 번에 볼 수 없습니다. 집계 탭을 사용하지 않으면 TAP이 두 채널에 대해 동일한 추적을 제공하지 않으므로, 초과 감지에는 주의해야 합니다. Booster for Profitap과 같은 집계 탭은 8개의 10/100/1G 포트를 1G-10G 출력으로 집계합니다.
부스터는 VLAN 태그를 삽입하여 패킷을 입력할 수 있습니다. 이를 통해 각 패킷의 소스 포트 정보가 분석기로 전달됩니다.
SPAN 포트는 여전히 네트워크 관리자가 사용하는 도구이지만, 모든 네트워크 데이터에 대한 속도와 안정적인 액세스가 중요하다면 TAP이 더 나은 선택입니다. 어떤 방식을 선택할지 결정할 때, SPAN 포트는 사용률이 낮은 네트워크에 더 적합합니다. 패킷 손실이 분석에 영향을 미치지 않거나 비용이 우려되는 경우에는 선택 사항이므로, SPAN 포트는 더 적합합니다. 그러나 트래픽이 많은 네트워크에서는 TAP의 용량, 보안 및 안정성을 통해 패킷 손실이나 물리적 계층 오류 필터링 없이 네트워크 트래픽에 대한 완벽한 가시성을 제공합니다.
○ 완전히 보이는
○ 모든 트래픽(모든 크기 및 유형의 모든 패킷) 복제
○ 수동적, 비침입적(데이터를 변경하지 않음)
○ 직렬로, 하네스에서 풀 듀플렉스 트래픽을 복제하기 위해 스위치 포트가 사용되지 않습니다. 간편한 설정(플러그 앤 플레이)
○ 해커의 침입에 취약하지 않음(네트워크에서 보이지 않고 격리된 모니터링 장치, IP/MAC 주소 없음)
○ 확장 가능
○ 어떤 상황에도 적합
○ 부분적 가시성
○ 모든 트래픽을 복사하지 않음(특정 크기 및 유형의 패킷 삭제)
○ 비수동적(패킷 타이밍 변경, 지연 시간 증가)
○ 스위치 포트 사용 (각 SPAN 포트는 스위치 포트를 사용함)
○ 풀 듀플렉스 통신을 처리할 수 없음(과부하 시 패킷이 삭제되고 기본 스위치 작동을 방해할 수도 있음)
○ 엔지니어는 다음을 구성해야 합니다.
○ 안전하지 않음(모니터링 시스템이 네트워크의 일부이므로 보안 문제가 발생할 수 있음)
○ 확장 불가능
○ 특정 상황에서만 가능
관련 기사도 흥미로울 수 있습니다. 네트워크 트래픽을 캡처하는 방법? 네트워크 탭 vs 포트 미러
게시 시간: 2025년 6월 9일
