Аппаратный тап против зеркалирования портов - есть ли ограничения?
13
Я работаю преимущественно в среде Cisco и обдумываю покупку сетевого устройства для использования с Wireshark.
Может ли кто-нибудь рассказать о своих плюсах и минусах из своего опыта между использованием сетевых отводов ИЛИ настройкой зеркалирования портов с учетом таких соображений, как простота использования, стоимость комплекта и существуют ли ограничения между двумя подходами соответственно?
Вниз, самое большое функциональное различие между касанием и пролетом ... пассивное нажатие никогда и никогда не уронит кадр ни при каких обстоятельствах - оно электрически дублирует кадр, ошибки и все остальное. Активные отводы (регенеративные или совокупные) могут сбрасывать кадры, например. если двунаправленный трафик превышает скорость соединения порта монитора. (канал 1G не может переносить трафик TX + RX 1G (2G))
Переключение портов SPAN приведет к потере трафика. SPAN является самым низким приоритетом для коммутатора - он жертвует трафиком SPAN в пользу поддержания живого трафика. Слегка нагруженный коммутатор может никогда этого не показать, но мне приходили десятки звонков клиентов со всего мира с жалобами на то, что мы отбросили трафик, хотя фактически их коммутатор SPAN не отправил его нам.
Тем не менее, SPAN являются дешевыми и многочисленными. Почти каждый управляемый коммутатор поддерживает настройку сеанса монитора. И они обычно тривиальны для настройки и / или перенастройки. Метчики, с другой стороны, чрезвычайно дороги и редки. Отводы требуют отсоединения сетевых кабелей, которые имеют большое сопротивление практически у всех. И они вызывают удар, когда теряют власть. (мгновенно, а не «отключен == неработающая ссылка». даже самые простые ссылки сохранят связь, когда отключены.)
Отличный ответ. Я думаю, что это говорит нам о предпочтительном способе захвата трафика АНБ. ;-)
generalnetworkerror
11
Несмотря на то, что SPAN может (будет) отбрасывать кадры, когда TAP этого не делает, коммутаторы Cisco (и, возможно, другие) имеют классную функцию, называемую RSPAN .
Позволяет настроить удаленный SPAN, транспортировать захваченные кадры по сети на станцию мониторинга:
По моему опыту, физические сетевые ответвления дают вам гораздо больше гибкости. Многие платформы Cisco имеют ограничения по количеству портов SPAN / сеансов мониторинга.
Используя физические сетевые ответвления, вы можете напрямую контролировать несколько разных портов без использования ЦП на самом устройстве Cisco.
Также стоит учитывать стоимость физических отводов. Физические отводы сопряжены с дополнительными капитальными затратами, при этом нет дополнительных затрат на использование встроенной функциональности пролета.
-
Недавно мне пришлось определить установку некоторого программного обеспечения для записи вызовов для нашей реализации Cisco VoIP. В нескольких местах имело смысл использовать физические отводы для передачи голосового трафика на сервер записи, поскольку необходимое количество сеансов превысило бы возможности коммутатора.
Отводы: не будут страдать от изменений буферизации / синхронизации, вызванных сеансом SPAN в нагруженных условиях, - могут быть важны в средах с низкой задержкой, где наносекунды значительны и используются аппаратные метки времени.
SPAN: вы можете выбрать два порта в качестве портов назначения, один для стороны TX и один для стороны RX, но это зависит от платформы. Это решает проблему переподписки 2: 1.
По сути, все сводится к тому, что SPAN может вносить дополнительные искусственные изменения во времени и, возможно, в порядок упорядочения пакетов, что может быть проблемой для некоторых типов анализа.
Несмотря на то, что SPAN может (будет) отбрасывать кадры, когда TAP этого не делает, коммутаторы Cisco (и, возможно, другие) имеют классную функцию, называемую RSPAN .
Позволяет настроить удаленный SPAN, транспортировать захваченные кадры по сети на станцию мониторинга:
источник
По моему опыту, физические сетевые ответвления дают вам гораздо больше гибкости. Многие платформы Cisco имеют ограничения по количеству портов SPAN / сеансов мониторинга.
Используя физические сетевые ответвления, вы можете напрямую контролировать несколько разных портов без использования ЦП на самом устройстве Cisco.
Также стоит учитывать стоимость физических отводов. Физические отводы сопряжены с дополнительными капитальными затратами, при этом нет дополнительных затрат на использование встроенной функциональности пролета.
-
Недавно мне пришлось определить установку некоторого программного обеспечения для записи вызовов для нашей реализации Cisco VoIP. В нескольких местах имело смысл использовать физические отводы для передачи голосового трафика на сервер записи, поскольку необходимое количество сеансов превысило бы возможности коммутатора.
источник
К тому же:
Отводы: не будут страдать от изменений буферизации / синхронизации, вызванных сеансом SPAN в нагруженных условиях, - могут быть важны в средах с низкой задержкой, где наносекунды значительны и используются аппаратные метки времени.
SPAN: вы можете выбрать два порта в качестве портов назначения, один для стороны TX и один для стороны RX, но это зависит от платформы. Это решает проблему переподписки 2: 1.
По сути, все сводится к тому, что SPAN может вносить дополнительные искусственные изменения во времени и, возможно, в порядок упорядочения пакетов, что может быть проблемой для некоторых типов анализа.
источник