ฉันทำงานเป็นส่วนใหญ่ในสภาพแวดล้อมของ Cisco และพิจารณาซื้ออุปกรณ์เคาะเครือข่ายเพื่อใช้กับ Wireshark
ทุกคนสามารถให้ข้อดีและข้อเสียจากประสบการณ์ของพวกเขาระหว่างการใช้ก๊อกเครือข่ายหรือการตั้งค่าพอร์ตมิเรอร์ที่ได้รับการพิจารณาเช่นใช้งานง่ายค่าใช้จ่ายของชุดและมีข้อ จำกัด ระหว่าง 2 แนวทางตามลำดับ?
คำตอบ:
(เคยทำงานกับเรื่องนี้มาสิบปีแล้ว)
มือลงที่แตกต่างกันการทำงานที่ใหญ่ที่สุดระหว่างการแตะและคืบ ... แตะเรื่อย ๆ จะไม่เคยเคยวางกรอบภายใต้สถานการณ์ใด ๆ - ไฟฟ้าซ้ำกรอบข้อผิดพลาดและทั้งหมด ก๊อกแบบแอคทีฟ (รวมหรือรวม) สามารถวางเฟรมเช่น หากทราฟฟิกแบบสองทิศทางเกินความเร็วลิงก์ของพอร์ตจอภาพ (ลิงก์ 1G ไม่สามารถรับปริมาณข้อมูล TX + RX 1G (2G))
การเปลี่ยนพอร์ต SPAN จะลดทราฟฟิก SPAN เป็นลำดับความสำคัญต่ำสุดต่อสวิตช์ - ซึ่งจะเป็นการเสียสละการจราจร SPAN เพื่อรักษาสภาพการจราจรสด สวิตช์ที่มีการโหลดเล็กน้อยอาจไม่แสดงสิ่งนี้ แต่ฉันมีลูกค้าโทรมาหลายสิบคนจากทั่วโลกบ่นว่าเราลดทราฟฟิกลงจริง ๆ แล้วในความเป็นจริงแล้วสวิตช์ SPAN ของพวกเขาที่ไม่ได้ส่งมาให้เรา
อย่างไรก็ตาม SPAN นั้นมีราคาถูกและอุดมสมบูรณ์ สวิตช์ที่มีการจัดการเกือบทุกตัวรองรับการตั้งค่าเซสชันการตรวจสอบ และพวกเขามักจะตั้งค่าเล็กน้อยและ / หรือกำหนดค่าใหม่ ในทางกลับกันก๊อกมีราคาแพงและหายาก ก๊อกต้องถอดสายเคเบิลเครือข่ายซึ่งมีความต้านทานมากมายจากทุกคน และพวกเขาทำให้เกิดการโจมตีเมื่อพวกเขาสูญเสียพลังงาน (ชั่วขณะไม่ใช่ "unplugged == ลิงค์เสีย" แม้แต่สิ่งสกปรกง่าย ๆ จะยังคงลิงก์เมื่อปิด)
แม้ว่า SPAN สามารถ (จะ) เฟรมลดลงเมื่อ TAP จะไม่ซิสโก้สวิทช์ (และอาจจะคนอื่น ๆ ) มีคุณสมบัติเย็นที่เรียกว่าRSPAN
อนุญาตให้ตั้งค่า SPAN ระยะไกลเพื่อส่งเฟรมภาพที่ถ่ายผ่านเครือข่ายไปยังสถานีตรวจสอบ:
ในประสบการณ์ของฉันก๊อกเครือข่ายทางกายภาพให้ความยืดหยุ่นมากขึ้น แพลตฟอร์มของ Cisco หลายแห่งมีข้อ จำกัด เกี่ยวกับจำนวนพอร์ต SPAN / ช่วงการตรวจสอบ
ด้วยการใช้ก๊อกเครือข่ายแบบฟิสิคัลคุณสามารถตรวจสอบพอร์ตต่างๆได้โดยตรงโดยไม่ต้องใช้โอเวอร์เฮดของ CPU บนอุปกรณ์ Cisco
การพิจารณาที่คุ้มค่าก็คือค่าใช้จ่ายสำหรับก๊อกน้ำทางกายภาพ ก๊อกทางกายภาพต้องเสียค่าใช้จ่ายเพิ่มเติมในขณะที่ไม่มีค่าใช้จ่ายเพิ่มเติมในการใช้ฟังก์ชันการใช้งานในตัว
-
เมื่อเร็ว ๆ นี้ฉันต้องระบุการติดตั้งซอฟต์แวร์บันทึกการโทรสำหรับการใช้งาน Cisco VoIP ของเรา ในหลาย ๆ สถานที่มันสมเหตุสมผลที่จะใช้ฟิสิคัลก๊อกเพื่อขยายทราฟฟิกเสียงไปยังเซิร์ฟเวอร์การบันทึกเนื่องจากจำนวนเซสชันที่ต้องการจะเกินขีดความสามารถของสวิตช์
นอกจากนี้:
Taps: จะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงบัฟเฟอร์ / กำหนดเวลาที่เกิดจากเซสชัน SPAN ภายใต้เงื่อนไขการโหลด - อาจมีความสำคัญในสภาพแวดล้อมที่มีความหน่วงต่ำซึ่งมีนาโนวินาทีสำคัญและมีการใช้งานฮาร์ดแวร์เวลา
ช่วง: คุณสามารถเลือกสองพอร์ตเป็นพอร์ตปลายทางหนึ่งพอร์ตสำหรับฝั่ง TX และอีกพอร์ตหนึ่งสำหรับฝั่ง RX แต่ขึ้นอยู่กับแพลตฟอร์ม วิธีนี้จะช่วยแก้ปัญหา oversubscription แบบ 2 ต่อ 1
โดยพื้นฐานแล้วสิ่งที่เกิดขึ้นคือ SPAN สามารถนำเสนอรูปแบบการประดิษฐ์เพิ่มเติมในช่วงเวลาและการสั่งซื้อแพ็คเก็ตซึ่งอาจเป็นปัญหาสำหรับการวิเคราะห์บางประเภท