Home » Network TAP vs SPAN Port: เลือกวิธี Capture Traffic
Network TAP vs SPAN Port: เลือกวิธี Capture Traffic
Network TAP vs SPAN Port: เลือกวิธี Capture Traffic
Network TAP (Test Access Point) และ SPAN Port (Switched Port Analyzer) เป็น 2 วิธีหลักในการ capture network traffic สำหรับ monitoring, troubleshooting และ security analysis ทั้งสองวิธีมีข้อดีข้อเสียต่างกัน การเลือกวิธีที่เหมาะสมขึ้นกับ use case, budget และ requirements
การ capture traffic เป็นพื้นฐานของ network visibility ไม่ว่าจะเป็น IDS/IPS, network forensics, performance monitoring หรือ compliance audit ล้วนต้องการ copy ของ traffic เพื่อวิเคราะห์ ถ้า capture ไม่ครบหรือไม่ถูกต้อง ผลวิเคราะห์ก็ผิดพลาดตามไปด้วย
TAP vs SPAN
| คุณสมบัติ |
Network TAP |
SPAN Port |
| วิธีทำงาน |
Physical device ที่ต่อ inline กับ link |
Switch feature ที่ mirror traffic ไป port |
| Packet Loss |
ไม่มี (hardware copy) |
อาจมี (switch drop เมื่อ overloaded) |
| Full Duplex |
Capture ทั้ง TX และ RX แยกกัน (100%) |
อาจ drop เมื่อ duplex traffic > SPAN port capacity |
| Impact ต่อ Network |
ไม่มี (passive, inline) |
ใช้ switch CPU + bandwidth |
| Physical Errors |
Capture ได้ (CRC errors, runts) |
ไม่ได้ (switch drop ก่อน mirror) |
| Configuration |
ไม่ต้อง config (plug and play) |
ต้อง config บน switch |
| ราคา |
$200 – $5,000+ |
Free (built-in switch feature) |
| Scalability |
1 TAP = 1 link |
Multiple sources → 1 SPAN port |
| Fail Mode |
Fail-open (traffic still passes) |
N/A (ไม่กระทบ traffic) |
Network TAP Types
| TAP Type |
ลักษณะ |
เหมาะกับ |
| Passive Copper TAP |
No power needed, split electrical signal |
10/100 Mbps copper links |
| Active Copper TAP |
Requires power, regenerate signal |
1G/10G copper links |
| Fiber TAP |
Split optical signal (passive) |
Fiber links (1G/10G/40G/100G) |
| Aggregation TAP |
Combine multiple links → fewer monitor ports |
Multiple links ต้อง monitor |
| Filtering TAP |
Filter traffic ก่อนส่งไป monitoring tool |
ส่งเฉพาะ traffic ที่สนใจ |
| Bypass TAP |
Inline + bypass สำหรับ IPS/WAF |
Inline security tools (fail-safe) |
SPAN Port Types
| SPAN Type |
ลักษณะ |
Use Case |
| Local SPAN |
Mirror ports บน switch เดียวกัน |
Monitor traffic บน switch ตัวเดียว |
| RSPAN (Remote SPAN) |
Mirror ข้าม switches ผ่าน RSPAN VLAN |
Monitor traffic จาก switch อื่นใน network |
| ERSPAN (Encapsulated RSPAN) |
Mirror ข้าม L3 network (GRE encapsulation) |
Monitor traffic จากที่ไหนก็ได้ใน network |
SPAN Limitations
| Limitation |
รายละเอียด |
ผลกระทบ |
| Packet Loss |
Switch drop packets เมื่อ SPAN port oversubscribed |
ได้ traffic ไม่ครบ (miss attacks/issues) |
| CPU Impact |
SPAN ใช้ switch CPU |
Switch performance ลดลง |
| No Physical Layer Errors |
Switch drop CRC errors ก่อน mirror |
ไม่เห็น physical layer problems |
| Limited Sessions |
Switch รองรับ SPAN sessions จำกัด (2-4) |
Monitor ได้จำกัด ports |
| Duplex Oversubscription |
1G full-duplex link = 2G traffic → 1G SPAN port |
Drop 50% ใน worst case |
| Timestamp Accuracy |
Switch add latency ในการ mirror |
Timestamps อาจไม่แม่นยำ |
เลือก TAP หรือ SPAN
| สถานการณ์ |
แนะนำ |
เหตุผล |
| Security monitoring (IDS/IPS) |
TAP |
ต้องการ 100% traffic, no packet loss |
| Network forensics |
TAP |
ต้องการ physical errors + accurate timestamps |
| Compliance (PCI DSS, HIPAA) |
TAP |
ต้อง prove ว่า capture ครบ 100% |
| Quick troubleshooting |
SPAN |
ง่าย เร็ว ไม่ต้องซื้ออุปกรณ์ |
| Temporary monitoring |
SPAN |
ใช้ชั่วคราว ไม่ต้องลงทุน |
| Budget จำกัด |
SPAN |
Free (built-in) |
| High-speed links (40G/100G) |
TAP (fiber) |
SPAN ไม่ handle high-speed ได้ดี |
Network Packet Broker (NPB)
| Feature |
รายละเอียด |
| Aggregation |
รวม traffic จากหลาย TAPs/SPANs |
| Filtering |
Filter traffic ตาม IP, port, VLAN ก่อนส่งไป tools |
| Load Balancing |
กระจาย traffic ไปหลาย tools (per-flow) |
| Deduplication |
ลบ duplicate packets (จาก multiple capture points) |
| SSL Decryption |
Decrypt HTTPS traffic สำหรับ inspection |
| Vendors |
Gigamon, Keysight (Ixia), APCON, Profitap, cPacket |
ทิ้งท้าย: TAP + NPB = Enterprise Standard
Network TAP = 100% traffic capture, no packet loss, passive SPAN = free, easy, แต่มี limitations (packet loss, CPU impact) Production/security monitoring: ใช้ TAP Troubleshooting ชั่วคราว: ใช้ SPAN Large-scale: TAP + Network Packet Broker (aggregate + filter)
อ่านเพิ่มเติมเกี่ยวกับ NetFlow sFlow Traffic Analysis และ Network Forensics ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
