Ağırlıklı olarak bir Cisco ortamında çalışıyorum ve Wireshark ile kullanmak için bir ağ musluk cihazı satın almayı düşünüyorum.
Herkes, ağ musluklarını kullanma VEYA kullanım kolaylığı, kit maliyeti gibi hususlar göz önüne alındığında port aynalama ayarlama arasındaki deneyimlerinden artı ve eksileri sağlayabilir mi ve sırasıyla 2 yaklaşım arasında sınırlamalar var mı?
Yanıtlar:
(on yıldır bu konuda çalıştık)
Eller aşağı, bir musluk ve yayılma arasındaki en büyük işlevsel fark ... pasif bir musluk, asla hiç hiçbir koşulda, kare düşmesi - bu elektriksel çerçeve, hataları ve bütün kopyalar. Aktif musluklar (rejeneratif veya toplu) olabilir , örneğin kare bırakın. iki yönlü trafik monitör bağlantı noktasının bağlantı hızını aşarsa. (1G bağlantısı TX + RX 1G (2G) trafiği taşıyamaz)
Anahtarı SPAN portları olacaktır trafik bırakın. SPAN, anahtarın en düşük önceliğidir - SPAN trafiğini canlı trafiği korumak adına feda edecektir. Biraz yüklü bir anahtar bunu asla göstermeyebilir, ancak aslında tüm dünyadan düzinelerce müşteri çağrısı yaptık , trafiği düşürdüğümüzden şikayet ettim, aslında bize göndermeyen anahtar SPANıydı.
Ancak, SPAN'lar ucuz ve bol miktarda bulunur. Neredeyse yönetilen her anahtar bir monitör oturumu oluşturmayı destekler. Ve genellikle kurulum ve / veya yeniden yapılandırma için önemsizdirler. Diğer yandan, musluklar aşırı derecede pahalı ve nadirdir. Musluklar, hemen hemen herkesten çok fazla direnç gösteren ağ kablolarının çıkarılmasını gerektirir. Ve güçlerini kaybettiklerinde bir hit yapıyorlar. (anlık, "unplugged == bozuk bağlantı" değil. basit kirler bile kapalı olduğunda bağlantıyı koruyacaktır.)
SPAN, TAP'ın olmadığı zamanlarda kareleri düşürebilir (bırakacak olsa da), Cisco anahtarları (ve belki de diğerleri) RSPAN adlı harika bir özelliğe sahiptir .
Yakalanan çerçeveleri ağ üzerinden izleme istasyonuna taşımak için uzak bir SPAN kurulmasına izin verir:
Deneyimlerime göre fiziksel ağ muslukları size çok daha fazla esneklik sağlar. Birçok Cisco platformunda SPAN bağlantı noktası / izleme oturumu sayısı sınırlıdır.
Fiziksel ağ bağlantılarını kullanarak, Cisco cihazının kendisinde CPU ek yükü kullanmadan birkaç farklı bağlantı noktasını doğrudan izleyebilirsiniz.
Ayrıca dikkate değer fiziksel musluklar maliyeti. Fiziksel musluklar ek bir sermaye giderine neden olurken, yerleşik açıklık işlevini kullanmak için ek bir harcama yoktur.
-
Son zamanlarda Cisco VoIP uygulamamız için bazı çağrı kayıt yazılımının kurulumunu belirtmek zorunda kaldım. Çeşitli konumlarda, gereken oturum sayısı anahtarın kapasitesini aştığı için ses trafiğini kayıt sunucusuna yaymak için fiziksel tıklamalar kullanmak mantıklıydı.
Ek olarak:
Musluklar: yüklü koşullar altında bir SPAN oturumu tarafından tetiklenen tamponlama / zamanlama değişikliklerinden etkilenmez - nanosaniyelerin önemli olduğu ve donanım zaman damgalarının kullanımda olduğu düşük gecikmeli ortamlarda önemli olabilir.
SPAN: Hedef bağlantı noktası olarak biri TX tarafı diğeri RX tarafı için olmak üzere iki bağlantı noktası seçebilirsiniz, ancak bu platforma bağlıdır. Bu 2 ila 1 aşırı abonelik sorununu çözer.
Temel olarak, SPAN'ın bazı analiz türleri için sorun olabilecek paketlerin zamanlamasında ve potansiyel olarak siparişinde ek yapay varyasyon getirebilmesidir.