Network TAP 포트와 SPAN 포트를 사용하여 패킷을 캡처하는 것의 주요 차이점은 다음과 같습니다.
포트 미러링(SPAN이라고도 함)
네트워크 탭(복제 탭, 집계 탭, 활성 탭, 구리 탭, 이더넷 탭 등으로도 알려져 있습니다.)TAP(단말기 접속 지점)네트워크 TAP은 네트워크 트래픽을 수동적으로 캡처할 수 있는 완전 수동형 하드웨어 장치입니다. 일반적으로 네트워크상의 두 지점 간 트래픽을 모니터링하는 데 사용됩니다. 두 지점 사이의 네트워크가 물리적인 케이블로 구성되어 있는 경우, 네트워크 TAP은 트래픽을 캡처하는 가장 효과적인 방법일 수 있습니다.
포트 미러링과 네트워크 탭 두 솔루션의 차이점을 설명하기 전에 이더넷의 작동 방식을 이해하는 것이 중요합니다. 100Mbit 이상의 속도에서는 호스트들이 일반적으로 전이중 통신을 사용합니다. 즉, 하나의 호스트가 동시에 송신(Tx)과 수신(Rx)을 할 수 있다는 뜻입니다. 따라서 100Mbit 케이블이 하나의 호스트에 연결되면, 해당 호스트가 송신/수신할 수 있는 총 네트워크 트래픽 양은 2 × 100Mbit = 200Mbit가 됩니다.
포트 미러링은 능동적인 패킷 복제 방식입니다. 즉, 네트워크 장치가 물리적으로 패킷을 미러링된 포트로 복사하는 역할을 담당합니다.
트래픽 포착: TAP vs SPAN
네트워크 트래픽을 모니터링할 때, 사용자가 거래를 처리하는 동안 직접적인 지원을 제공하고 싶지 않다면 크게 두 가지 옵션이 있습니다. 다음 글에서는 TAP(Test Access Point)와 SPAN(Switch Port Analyzer)에 대한 개요를 제공합니다. 더 심층적인 분석을 위해서는 패킷 검사 전문가인 Timo'Neill이 lovemytool.com에 작성한 여러 관련 글을 참고하시기 바랍니다. 하지만 여기서는 보다 일반적인 접근 방식을 취하겠습니다.
기간
포트 미러링은 스위치의 하나 이상의 포트(또는 VLAN)에서 들어오고 나가는 각 패킷의 복사본을 네트워크 트래픽 분석기에 연결된 다른 포트로 전달하여 네트워크 트래픽을 모니터링하는 방법입니다. 스팬(SPAN)은 여러 사이트를 동시에 모니터링하는 간단한 시스템에서 자주 사용됩니다. 모니터링할 수 있는 네트워크 전송의 정확한 수는 데이터 센터 장비에 대한 스팬의 설치 위치에 따라 달라집니다. 원하는 정보를 찾을 수는 있겠지만, 너무 많은 데이터가 생성되는 경우도 발생할 수 있습니다. 예를 들어, 전체 VLAN에 걸쳐 동일한 데이터의 복사본이 여러 개 생성될 수 있습니다. 이로 인해 LAN 문제 해결이 어려워지고, 스위치 CPU 속도나 이더넷 스루 배치 감지 기능에도 영향을 미칠 수 있습니다. 기본적으로 스팬이 많을수록 패킷 손실 가능성이 높아집니다. 탭과 비교했을 때 스팬은 원격으로 관리할 수 있으므로 구성 변경에 소요되는 시간을 줄일 수 있지만, 네트워크 엔지니어의 개입은 여전히 필요합니다.
일부에서 주장하는 것과는 달리 SPAN 포트는 수동적인 기술이 아닙니다. SPAN 포트는 네트워크 트래픽에 다음과 같은 측정 가능한 영향을 미칠 수 있기 때문입니다.
- 프레임 상호 작용 변경 시간
- 과도한 조회로 인한 패킷 손실
- 손상된 패킷은 예고 없이 삭제되어 분석을 방해합니다.
따라서 SPAN 포트는 패킷 손실이 분석에 영향을 미치지 않거나 비용이 중요한 상황에 더 적합합니다.
수도꼭지
반면, 탭은 초기 하드웨어 구매 비용이 필요하지만 설치 과정은 매우 간단합니다. 탭은 수동형 장치이므로 네트워크에 영향을 주지 않고 연결 및 분리할 수 있습니다. 탭은 컴퓨터 네트워크를 통해 흐르는 데이터에 접근할 수 있도록 해주는 하드웨어 장치로, 네트워크 보안 및 성능 모니터링 목적으로 널리 사용됩니다. 모니터링 대상 트래픽을 "패스스루" 트래픽이라고 하며, 모니터링에 사용되는 포트를 "모니터링 포트"라고 합니다. 네트워크를 더욱 자세히 분석하기 위해 라우터와 스위치 사이에 탭을 설치할 수 있습니다.
TAP는 패킷에 영향을 미치지 않으므로 네트워크 트래픽을 관찰하는 진정한 수동적 방법으로 볼 수 있습니다.
TAP 솔루션에는 기본적으로 세 가지 유형이 있습니다.
- 네트워크 분배기 (1:1)
- 집계 TAP (다중 : 1)
- 재생 탭 (1 : 멀티)
TAP는 트래픽을 단일 수동 모니터링 도구 또는 고밀도 네트워크 패킷 중계 장치로 복제하고, 여러(종종 여러 개) QoS 테스트 도구, 네트워크 모니터링 도구 및 Wireshark와 같은 네트워크 스니퍼 도구에 서비스를 제공합니다.
또한, TAP 유형은 케이블 종류에 따라 다양하며, 광섬유 TAP와 기가비트 구리 TAP가 있습니다. 두 유형 모두 기본적으로 동일한 방식으로 작동하는데, 신호의 일부를 네트워크 트래픽 분석기로 보내고 주 신호는 중단 없이 계속 전송합니다. 광섬유 TAP에서는 신호를 두 개로 분할하는 방식이고, 구리 케이블 시스템에서는 전기 신호를 복제하는 방식입니다.
TAP과 SPAN 비교
첫째, SPAN 포트는 전이중 1G 링크에 적합하지 않으며, 최대 용량에 미치지 못하더라도 과부하로 인해 패킷 손실이 빠르게 발생하거나, 스위치가 일반 포트 간 데이터보다 SPAN 포트 데이터를 우선시하기 때문에 문제가 됩니다. 네트워크 탭과 달리 SPAN 포트는 물리 계층 오류를 걸러내기 때문에 일부 유형의 분석이 어려워지고, 앞서 살펴본 바와 같이 잘못된 증가 시간이나 변경된 프레임으로 인해 다른 문제가 발생할 수 있습니다. 반면 TAP는 전이중 1G 링크에서 작동할 수 있습니다.
TAP는 완전한 패킷 캡처를 수행할 뿐만 아니라 프로토콜, 위반 사항, 침입 등에 대한 심층적인 패킷 검사를 수행할 수 있습니다. 따라서 TAP 데이터는 법정에서 증거로 사용될 수 있지만, SPAN 포트 데이터는 그렇지 않습니다.
보안 또한 두 기술의 차이점 중 하나입니다. SPAN 포트는 일반적으로 단방향 통신으로 구성되지만, 경우에 따라 양방향 통신도 가능하여 심각한 취약점을 야기할 수 있습니다. 반면 TAP는 주소 지정이 불가능하고 IP 주소가 없으므로 해킹의 위험이 없습니다.
SPAN 포트는 일반적으로 VLAN 태그를 전달하지 않으므로 VLAN 장애를 감지하기 어려울 수 있지만, 탭은 전체 VLAN 네트워크를 한 번에 볼 수 없습니다. 집계 탭을 사용하지 않으면 탭이 두 채널에 대해 동일한 트레이스를 제공하지 않으므로 오버에이지 감지에 주의해야 합니다. Profitap용 Booster와 같은 집계 탭은 8개의 10/100/1G 포트를 1G-10G 출력으로 집계합니다.
Booster는 VLAN 태그를 삽입하여 패킷을 전송할 수 있습니다. 이러한 방식으로 각 패킷의 소스 포트 정보가 분석기로 전달됩니다.
SPAN 포트는 여전히 네트워크 관리자가 사용하는 도구이지만, 모든 네트워크 데이터에 대한 속도와 안정적인 접근이 중요한 경우에는 TAP가 더 나은 선택입니다. 어떤 방식을 선택할지 결정할 때, SPAN 포트는 패킷 손실이 분석에 영향을 미치지 않거나 비용이 중요한 경우 선택 사항인 네트워크 사용률이 낮은 경우에 더 적합합니다. 그러나 트래픽이 많은 네트워크에서는 TAP의 용량, 보안 및 안정성이 패킷 손실이나 물리 계층 오류 필터링에 대한 걱정 없이 네트워크 트래픽에 대한 완벽한 가시성을 제공합니다.
○ 완전히 보임
○ 모든 트래픽(모든 크기와 유형의 패킷)을 복제합니다.
○ 수동적이고 비침습적임 (데이터를 변경하지 않음)
○ 직렬 연결 시, 하네스에서 전이중 트래픽 복제에 스위치 포트가 사용되지 않습니다. 간편한 설치(플러그 앤 플레이)
○ 해킹에 취약하지 않음 (네트워크와 격리된 보이지 않는 모니터링 장치, IP/MAC 주소 없음)
○ 확장 가능
○ 어떤 상황에도 적합합니다
○ 부분적 가시성
○ 모든 트래픽을 복사하지 않음 (특정 크기 및 유형의 패킷을 삭제함)
○ 비수동 방식 (패킷 타이밍 변경, 지연 시간 증가)
○ 스위치 포트를 사용하십시오 (각 SPAN 포트는 스위치 포트를 사용합니다).
○ 전이중 통신을 처리할 수 없음 (과부하 시 패킷 손실 발생, 주 스위치 작동에도 지장을 줄 수 있음)
○ 엔지니어는 설정을 구성해야 합니다
○ 안전하지 않음 (모니터링 시스템이 네트워크의 일부이므로 잠재적인 보안 문제가 발생할 수 있음)
○ 확장성이 떨어짐
○ 특정 상황에서만 실현 가능
관련 기사도 흥미로우실 수 있습니다. 네트워크 트래픽을 캡처하는 방법은 무엇일까요? 네트워크 탭과 포트 미러링의 차이점은 무엇일까요?
게시 시간: 2025년 6월 9일
