Ich arbeite hauptsächlich in einer Cisco-Umgebung und überlege, ein Netzwerk-Tap-Gerät für die Verwendung mit Wireshark zu kaufen.
Kann jemand die Vor- und Nachteile der Erfahrung mit der Verwendung von Netzwerk-Taps oder der Einrichtung der Port-Spiegelung unter Berücksichtigung von Gesichtspunkten wie Benutzerfreundlichkeit und Kosten des Kits erläutern, und gibt es Einschränkungen zwischen den beiden Ansätzen?
Antworten:
(seit einem Jahrzehnt damit gearbeitet)
Hände nach unten, die größte funktionelle Unterschied zwischen einem Hahn und einer Spannweite ... ein passiver Hahn wird nie, nie fallen lassen einen Rahmen, unter keinen Umständen - es dupliziert elektrisch den Rahmen, Fehler und alle. Aktive Taps (regenerativ oder aggregiert) können Frames ablegen, z. wenn der bidirektionale Datenverkehr die Verbindungsgeschwindigkeit des Monitorports überschreitet. (Eine 1G-Verbindung kann keine TX + RX 1G (2G) -Verkehrsdaten übertragen.)
Schalter SPAN - Ports wird Verkehr fallen. Das SPAN hat die niedrigste Priorität für den Switch - er opfert den SPAN-Verkehr zugunsten der Aufrechterhaltung des Live-Verkehrs. Ein leicht beladener Switch zeigt dies möglicherweise nie, aber ich habe Dutzende Kundenanrufe aus der ganzen Welt erhalten, die sich darüber beschwerten, dass wir den Datenverkehr eingestellt haben, obwohl der SPAN des Switches ihn nicht an uns gesendet hat.
SPANs sind jedoch billig und reichlich. Nahezu jeder verwaltete Switch unterstützt das Einrichten einer Monitorsitzung. Und sie sind in der Regel einfach einzurichten und / oder neu zu konfigurieren. Wasserhähne hingegen sind außerordentlich teuer und selten. Abgriffe erfordern das Herausziehen von Netzwerkkabeln, die von nahezu jedem eine Menge Widerstand bieten. Und sie verursachen einen Treffer, wenn sie an Kraft verlieren. (Momentan, nicht "Unplugged == Broken Link". Sogar schmutzige werden den Link behalten, wenn sie ausgeschaltet sind.)
Auch wenn SPAN Frames ablegen kann (wird), wenn TAP dies nicht tun würde, haben Cisco-Switches (und möglicherweise andere) eine coole Funktion namens RSPAN .
Sie können ein Remote-SPAN einrichten, um erfasste Frames über das Netzwerk zur Überwachungsstation zu transportieren:
Nach meiner Erfahrung bieten physische Netzwerk-Taps viel mehr Flexibilität. Viele Cisco-Plattformen haben Einschränkungen hinsichtlich der Anzahl der SPAN-Ports / Überwachungssitzungen.
Durch die Verwendung physischer Netzwerk-Taps können Sie mehrere verschiedene Ports direkt überwachen, ohne CPU-Overhead auf dem Cisco-Gerät selbst zu verwenden.
Erwägenswert sind auch die Kosten für physische Abzweigungen. Für physische Abgriffe fallen zusätzliche Kapitalkosten an, während für die Verwendung der integrierten Bereichsfunktionalität kein zusätzlicher Aufwand anfällt.
-
Vor kurzem musste ich die Installation einer Anrufaufzeichnungssoftware für unsere Cisco VoIP-Implementierung festlegen. An mehreren Standorten war es sinnvoll, den Sprachverkehr zum Aufzeichnungsserver mit physischen Tastatureingaben zu überbrücken, da die Anzahl der erforderlichen Sitzungen die Kapazität des Switch überschritten hätte.
Zusätzlich:
Taps: leiden nicht unter Puffer- / Timing-Änderungen, die durch eine SPAN-Sitzung unter geladenen Bedingungen hervorgerufen werden - können in Umgebungen mit geringer Latenz, in denen Nanosekunden von Bedeutung sind und Hardware-Zeitstempel verwendet werden, wichtig sein.
SPAN: Sie können zwei Ports als Zielports auswählen, einen für die TX-Seite und einen für die RX-Seite. Dies hängt jedoch von der Plattform ab. Dies löst das Problem der 2 zu 1 Überzeichnung.
Grundsätzlich kommt es darauf an, dass SPAN zusätzliche künstliche Variationen im Timing und möglicherweise in der Reihenfolge der Pakete hervorrufen kann, was für einige Analysetypen ein Problem sein kann.