Tap vs SPAN&Hub
说到数据获取方式,我们最常用到的就是交换机镜像(SPAN)的方式,在最早的时候,就连Hub这样的在今天看来很“弱智”方式也曾被使用过。下面就说说Tap和SPAN及Hub这几种方式的比较。 搬椅子来听SPAN方式
SPAN(端口镜像)方式,这是一种在交换机上对端口进行操作的一种方式,优点是灵活方便、不需要额外再部署Tap设备,但同时也要考虑到以下不足之处:– 流量不能超过端口速率的50%(全双工 vs. 半双工);
– 大多路由器没有SPAN功能,无法监控任何你想要的链路;
– 不能保证原始数据包顺序,为安全分析带来额外的困难;
– SPAN的优先级比较低,交换机负载高时会丢包;
– Span会话(Session)数的限制:比如2900一个,3550两个,6500 四个SESSION
– 故障数据包不能通过SPAN获得
– 无法分辨进出方向(有的交换机可以通过把两个方向的流量分别镜像到两个端口来实现)
Hub方式
Hub方式是最古老的一种数据源获取方式,利用hub的广播功能,将数据散到每个端口,这样再接到分析设备上,这种方式的缺点非常明显,目前已经没有人再这么傻做啦,哈,主要劣势如下:– 包冲突Collison
– 新增单一故障点
– 网络服务质量下降
– 不适用于千兆环境 原帖由 chungway 于 2008-9-18 16:29 发表 http://www.netexpert.cn/images/common/back.gif
Hub方式是最古老的一种数据源获取方式,利用hub的广播功能,将数据散到每个端口,这样再接到分析设备上,这种方式的缺点非常明显,目前已经没有人再这么傻做啦,哈,主要劣势如下:
– 包冲突Collison
– 新增单一 ...
而且在发生故障时再接入HUB会断网。 原帖由 chungway 于 2008-9-18 16:25 发表 http://www.netexpert.cn/images/common/back.gif
SPAN(端口镜像)方式,这是一种在交换机上对端口进行操作的一种方式,优点是灵活方便、不需要额外再部署Tap设备,但同时也要考虑到以下不足之处:
– 流量不能超过端口速率的50%(全双工 vs. 半双工);
– 大多路由 ...
SPAN会增加交换机负担,RSPAN会增加网络流量。此外部分交换机的SPAN本身就有BUG,不一定能够100%真实反应当前网络的状况。
btw,对于CISCO RSPAN后可以配置ACL,过滤掉一部分不想看的流量。
Tap的优势
那接下来就该说说Tap这种接入方式的特点了。Tap方式,通常来讲是一种将设备串接到链路当中去的一种新型接入方式,当然,也有那种专门接收SPAN流量或者Tap流量的Tap,比如有一份交换机的镜像流量,可是我有两套、三套或者更多的系统都想要这份流量,那OK,这时就可以选用专门接收镜像流量的Tap,将这一份SPAN流量分成若干份同样的,供多个分析系统使用。
Tap方式的优势:
[*]link safe,此功能保证Tap不会成为单一故障点,当Tap一端出现故障,Tap会将此故障告知另一端,并断定此链路中断,以启用备份链路;[*]Tap保证了原始数据包的顺序;[*]Tap保留了所有原始数据包,包括错包、坏包、异常包等;[*]支持各种链路,包括10/100M、10/100/1000M铜缆,SX/LX/ZX的Gigabit、ATM、POS等等[*]各种Tap丰富了监测部署接入方式,有一分多、多汇聚到一、转换Tap(光口电口转换)、过滤Tap等等。
页:
[1]