Lavoro principalmente in un ambiente Cisco e sto pensando di acquistare un dispositivo di rete da utilizzare con Wireshark.
Qualcuno può fornire i vantaggi e gli svantaggi della propria esperienza nell'uso dei tocchi di rete O nell'impostare il mirroring delle porte date considerazioni come la facilità d'uso, il costo del kit e ci sono limitazioni tra i 2 approcci rispettivamente?
Risposte:
(avendo lavorato con questo per un decennio ormai)
Giù le mani, la più grande differenza funzionale tra un tocco e un arco ... un tocco passivo non lascerà mai e poi mai un frame, in nessun caso - duplica elettricamente il frame, gli errori e tutto il resto. I tocchi attivi (rigenerativi o aggregati) possono eliminare frame, ad es. se il traffico bidirezionale supera la velocità di collegamento della porta del monitor. (un collegamento 1G non può trasportare traffico TX + RX 1G (2G))
Le porte Switch SPAN faranno cadere il traffico. Lo SPAN è la priorità più bassa per lo switch: sacrificherà il traffico SPAN a favore del mantenimento del traffico in tempo reale. Un interruttore leggermente caricata non può mai mostrare questo, ma ho avuto decine di chiamate dei clienti provenienti da tutto il mondo lamentando che abbiamo lasciato cadere il traffico, quando era in realtà il loro interruttore SPAN che non ha mandato a noi.
Tuttavia, gli SPAN sono economici e abbondanti. Quasi ogni switch gestito supporta l'impostazione di una sessione di monitoraggio. E di solito sono banali da installare e / o riconfigurare. I rubinetti, d'altra parte, sono estremamente costosi e rari. I rubinetti richiedono di scollegare i cavi di rete, che hanno molta resistenza da quasi tutti. E causano un colpo quando perdono potere. (momentaneo, non "unplugged == collegamento interrotto". Anche quelli sporchi manterranno il collegamento quando spento.)
Anche se SPAN può (lascerà) cadere i frame quando TAP no, gli switch Cisco (e forse altri) hanno una funzionalità interessante chiamata RSPAN .
Permette di impostare uno SPAN remoto, per trasportare i frame acquisiti attraverso la rete alla stazione di monitoraggio:
Nella mia esperienza, i tocchi fisici di rete ti offrono molta più flessibilità. Molte piattaforme Cisco hanno restrizioni sul numero di porte SPAN / sessioni di monitoraggio.
Utilizzando i tocchi di rete fisici, è possibile monitorare direttamente diverse porte senza utilizzare l'overhead della CPU sul dispositivo Cisco stesso.
Vale anche la pena considerare il costo per i tocchi fisici. I tocchi fisici comportano una spesa in conto capitale aggiuntiva, mentre non vi sono costi aggiuntivi per utilizzare la funzionalità di span integrata.
-
Di recente ho dovuto specificare l'installazione di alcuni software di registrazione delle chiamate per la nostra implementazione di VoIP Cisco. In diverse località, era logico utilizzare i tocchi fisici per estendere il traffico vocale al server di registrazione poiché il numero di sessioni necessarie avrebbe superato la capacità dello switch.
Inoltre:
Rubinetti: non subiranno cambiamenti nel buffering / timing indotti da una sessione SPAN in condizioni di carico - potrebbero essere importanti in ambienti a bassa latenza in cui i nanosecondi sono significativi e sono in uso timestamp hardware.
SPAN: è possibile selezionare due porte come porte di destinazione, una per il lato TX e una per il lato RX, ma questo dipende dalla piattaforma. Questo risolve il problema di abbonamento 2 a 1.
Fondamentalmente, ciò che si riduce è che SPAN può introdurre ulteriori variazioni artificiali nei tempi e potenzialmente nell'ordinamento dei pacchetti che possono essere un problema per alcuni tipi di analisi.