Pracuję głównie w środowisku Cisco i zastanawiam się nad zakupem urządzenia z kranem sieciowym do użytku z Wireshark.
Czy ktoś może przedstawić zalety i wady na podstawie swojego doświadczenia między używaniem zaczepów sieciowych LUB konfiguracją dublowania portów, biorąc pod uwagę takie kwestie, jak łatwość użycia, koszt zestawu i czy istnieją ograniczenia odpowiednio między tymi dwoma podejściami?
Odpowiedzi:
(pracując z tym od dekady)
Mówiąc wprost, największa funkcjonalna różnica pomiędzy dotknięciem a rozpiętością ... pasywne dotknięcie nigdy nie upuści ramki, pod żadnym pozorem - elektrycznie powiela ramkę, błędy i wszystko. Aktywne dotknięcia (regeneracyjne lub agregujące) mogą upuszczać ramki, np. jeśli ruch dwukierunkowy przekracza prędkość łącza portu monitora. (łącze 1G nie może przenosić ruchu TX + RX 1G (2G))
Przełączanie portów SPAN spowoduje spadek ruchu. SPAN ma najniższy priorytet dla przełącznika - poświęci ruch SPAN na rzecz utrzymania ruchu na żywo. Lekko obciążony przełącznik może tego nigdy nie pokazać, ale miałem dziesiątki połączeń z klientami z całego świata, narzekających, że zmniejszyliśmy ruch, podczas gdy w rzeczywistości ich SPAN przełącznika nie wysłał nam tego.
Jednak SPAN są tanie i obfite. Prawie każdy zarządzany przełącznik obsługuje konfigurowanie sesji monitorowania. Zazwyczaj są one trywialne w konfiguracji i / lub rekonfiguracji. Z drugiej strony kurki są niezwykle drogie i rzadkie. Krany wymagają odłączenia kabli sieciowych, które mają duży opór od prawie wszystkich. I powodują trafienie, gdy tracą moc. (chwilowe, nie „odłączone == uszkodzony link”. nawet proste brudne utrzymają link, gdy są wyłączone).
Chociaż SPAN może (będzie) upuszczać ramki, gdy TAP tego nie zrobi, przełączniki Cisco (i być może inne) mają fajną funkcję o nazwie RSPAN .
Pozwala skonfigurować zdalny SPAN, aby transportować przechwycone ramki przez sieć do stacji monitorującej:
Z mojego doświadczenia wynika, że fizyczne krany sieciowe zapewniają znacznie większą elastyczność. Wiele platform Cisco ma ograniczenia dotyczące liczby portów SPAN / sesji monitorowania.
Korzystając z fizycznych zaczepów sieciowych, możesz bezpośrednio monitorować kilka różnych portów, bez obciążania procesora na samym urządzeniu Cisco.
Warto również wziąć pod uwagę koszt fizycznych odczepów. Stuknięcia fizyczne wiążą się z dodatkowymi kosztami inwestycyjnymi, a korzystanie z wbudowanej funkcji zakresu nie wiąże się z dodatkowymi nakładami.
-
Ostatnio musiałem sprecyzować instalację oprogramowania do nagrywania połączeń dla naszej implementacji Cisco VoIP. W kilku lokalizacjach sensowne było użycie fizycznych zaczepów, aby rozszerzyć ruch głosowy do serwera nagrań, ponieważ liczba potrzebnych sesji przekroczyłaby możliwości przełącznika.
Dodatkowo:
Krany: nie będą cierpieć na zmiany buforowania / synchronizacji wywołane sesją SPAN w obciążonych warunkach - mogą być ważne w środowiskach o niskim opóźnieniu, w których nanosekundy są znaczące, a używane są sprzętowe znaczniki czasu.
SPAN: możesz wybrać dwa porty jako porty docelowe, jeden dla strony TX i jeden dla strony RX, ale zależy to od platformy. To rozwiązuje problem nadsubskrypcji od 2 do 1.
Zasadniczo sprowadza się to do tego, że SPAN może wprowadzić dodatkowe sztuczne zmiany w taktowaniu i potencjalnie uporządkowaniu pakietów, co może stanowić problem w przypadku niektórych rodzajów analiz.