#1 楼
(已经使用了10年)放下手,这是分接头和跨度之间最大的功能区别……在任何情况下,无源分接头永远不会掉落框架-它以电子方式复制框架,错误和所有内容。主动抽头(再生或聚合)可能会丢帧,例如。如果双向流量超过监视端口的链接速度。 (1G链路不能承载TX + RX 1G(2G)的流量)
交换机SPAN端口将丢弃流量。 SPAN是交换机的最低优先级-它会牺牲SPAN流量,以保持实时流量。轻载的交换机可能永远不会显示此消息,但是我收到了来自世界各地的数十个客户电话,抱怨我们流量下降,而实际上却是交换机的SPAN没有将流量发送给我们。
但是,SPAN价格便宜且数量很多。几乎每个受管理的交换机都支持建立监视会话。而且,它们通常对于设置和/或重新配置很简单。另一方面,水龙头非常昂贵且稀有。分接头需要拔掉网络电缆,几乎每个人都有很大的阻力。当他们断电时,它们会造成打击。 (暂时的,不是“拔出==断开的链接”。即使是简单的污垢也可以在关闭时保持链接。)
#2 楼
即使SPAN可以(将)在TAP不能的情况下丢帧,但Cisco交换机(可能还有其他交换机)具有一项很酷的功能,称为RSPAN。它允许设置一个远程SPAN,以通过网络将捕获的帧传输到监视站:
评论
RSPAN有一些限制,特别是它是仅第2层的解决方案。如果需要将流量发送到另一个子网,则必须查看ERSPAN:cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/…
–布雷特·莱金斯(Brett Lykins)
13年5月20日下午4:24
#3 楼
以我的经验,物理网络分流器为您提供了更大的灵活性。许多Cisco平台都对SPAN端口/监视会话的数量有所限制。通过使用物理网络分路器,您可以直接监视多个不同的端口,而无需使用Cisco设备本身的CPU开销。 />
还值得考虑的是物理水龙头的成本。物理水龙头会产生额外的资本支出,而使用内置的跨接功能则没有额外的支出。一些用于我们的Cisco VoIP实施的呼叫记录软件。在某些地方,使用物理分路器将语音流量扩展到录音服务器是很有意义的,因为所需的会话数将超出交换机的功能。
#4 楼
另外:提示:在加载条件下,不会受到SPAN会话引起的缓冲/定时更改的影响-在纳秒级有效且使用硬件时间戳的低延迟环境中可能很重要。 br />
SPAN:您可以选择两个端口作为目标端口,一个用于TX端,一个用于RX端,但这取决于平台。这解决了2比1的超额预订问题。
基本上,归结为SPAN可能会在时间安排和数据包排序方面引入其他人为变化,这对于某些类型的分析可能是一个问题。
评论
好答案。我认为这告诉我们国家安全局获取流量的首选方式。 ;-)
–generalnetworkerror
13年5月20日在8:34