Verursacht die Portspiegelung zusätzliche Latenz?

9

Wenn ich Datenverkehr von Host A nach B über einen Switch sende, erhöht die Aktivierung eines Spiegel- / SPAN-Ports die Zeit, die meine Frames benötigen, um von A nach B zu gelangen?

Nb: Ich mache mir keine Sorgen darüber, wie lange es dauert, bis der gespiegelte Frame meinen Überwachungshost erreicht. Ich frage mich nur, ob sich dies auf die Netzwerkleistung in einer zeitkritischen Umgebung auswirkt.

Hat jemand das getestet? (Ich würde auch alle Links zu einem Beitrag / Artikel dazu begrüßen)

switch  mirror 
Saftig
quelle
1
Kurz gesagt, nein. So etwas passiert ständig mit Frames, die unbekannte Ziele haben oder gesendet werden. In der Regel erfolgt die Vervielfältigung und Weiterleitung in Hardware mit Kabelgeschwindigkeit.
Ron Maupin
1
Wie Ron Maupin bereits bemerkt hat, im Allgemeinen nein. Allerdings konnte niemand diese pauschale Aussage mit Sicherheit über alle Anbieter und Plattformen hinweg machen. Könnten Sie das eingrenzen?
YLearn
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

7

Laut Cisco sind "die Auswirkungen auf die Hochgeschwindigkeits-Switching-Struktur in der Regel vernachlässigbar".

Dies hängt natürlich von Ihrem Switch, seiner Struktur und der Belastung des Switch selbst ab. Der Port, an den die kopierten Daten gesendet werden, kann jedoch Pakete verwerfen, wenn sie zu stark überzeichnet sind. Persönlich habe ich durch Spiegelung oder SPAN noch nie einen Nachteil erlebt.

Hier ist ein Dokument von Cisco direkt zu diesem Thema in einigen ihrer Katzenzeilen: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41. html # anc48

stevieb
quelle
1
Vielleicht sollte man dem noch etwas hinzufügen: Seien Sie vorsichtiger mit "RSPAN" oder Remote Mirroring. Wenn Sie viel gespiegelten Datenverkehr über Ihr Netzwerk weiterleiten, können Ihre Links leicht überlastet werden. Wie stevieb sagte, sollte es Ihnen gut gehen, wenn Sie SPAN / Port-Mirror auf demselben Gerät mit einem dedizierten Mirror-Port ausführen.
Sebastian Wiesinger
3

Es ist möglich, die Quellen (dh überwachte Ports) zu beeinflussen, wenn der Gesamtverkehr die Fähigkeit des Ziels (dh des Überwachungsports) überschreitet. Ich habe nicht die Referenz, an die ich ursprünglich gedacht habe, aber hier ist eine andere: Gegendruck von einem SPAN-Port .

Stellen Sie sich vor, Sie haben einen Server an einem 10-Gig-Port, den Sie auf ein Paketerfassungsgerät (oder IDS / IPS usw.) SPANEN möchten. Das Überwachungsgerät befindet sich ebenfalls auf einer 10-Gig-Schnittstelle.

Denken Sie daran, dass Sie beim Einrichten eines SPAN die Option haben, SPANning zu senden (von der Switch-Schnittstelle zum Server) oder zu empfangen (vom Server in den Switch) oder beides. Normalerweise möchten wir beide Seiten eines Gesprächs sehen, also würden wir uns dafür entscheiden, sowohl das Senden als auch das Empfangen zu SPANEN.

Stellen Sie sich nun vor, dass der Server sehr ausgelastet ist und sowohl die Sende- als auch die Empfangsströme ziemlich voll sind und in jeder Richtung konstant über 5 Gig liegen.

Sie möchten jetzt ZWEI Streams mit mehr als 5 Gig über den SPAN-Zielport an das Überwachungsgerät senden. Der Gesamtverkehr, der zum SPAN-Ziel gesendet wird, ist größer als 10 Gig. Diese Schnittstelle ist jedoch NUR 10 Gig für das Überwachungsgerät. Was passiert also? Ich erinnere mich, dass in den Dokumenten von Cisco angegeben wurde, dass anfangs Pakete aus dem Sendepuffer der Schnittstelle in Richtung des Überwachungsgeräts (dh des SPAN-Zielübertragungspuffers) verworfen würden. Im Fall von lang anhaltenden, anhaltenden Verkehrsströmen wird jedoch möglicherweise die Fähigkeit des Switches, überschüssigen Verkehr aus dem Sendepuffer zu entfernen, erschöpft sein (was für mich zu diesem Zeitpunkt nicht sinnvoll war und war) Dann beginnt der Schalter, andere Mechanismen zu verwenden, um den Durchfluss zu verringern, einschließlich des Gegendrucks unter Verwendung von 802.

Und Sie haben jetzt Ihren Quelldatenverkehr beeinflusst. Es passieren schlimme Dinge.

Dieses Problem ist / war besonders bedeutsam für ein großes Hochgeschwindigkeitsnetzwerk mit sehr geringer Latenz, das viele Quellen für das SPAN hatte. Dies war eine wichtige Überlegung und führte dazu, dass die Verwendung von SPAN-Sitzungen mit vielen Quellen für optisches TAPS ersetzt wurde, Aggregations-Switches mit eingehenden ACLs gespeist wurden (Filterung nach interessantem Datenverkehr) und dieser eingehende Datenverkehr dann an mehrere spezialisierte 10-Gig-Paketkonsumenten weitergeleitet wurde (für Daten) Archivierungs- und Analysebedarf).

Moral der Geschichte: Wenn Sie beabsichtigen, viele SPAN-Quellen zu verwenden, stellen Sie sicher, dass die Gesamtbandbreite von BEIDEM TX und RX geringer ist als die Bandbreite Ihres Erfassungsgeräts.

Hier ist eine anständige Abhandlung über die Verwendung von SPAN-Ports

Jason
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.