Tôi chủ yếu làm việc trong môi trường của Cisco và dự tính mua một thiết bị nhấn mạng để sử dụng với Wireshark.
Bất cứ ai cũng có thể cung cấp những ưu và nhược điểm từ kinh nghiệm của họ giữa việc sử dụng vòi mạng HOẶC thiết lập phản chiếu cổng được xem xét như dễ sử dụng, chi phí cho bộ công cụ và có những hạn chế giữa hai cách tiếp cận tương ứng không?
Câu trả lời:
(đã làm việc với điều này trong một thập kỷ nay)
Tay xuống, sự khác biệt lớn nhất giữa chức năng một vòi nước và một khoảng ... một vòi thụ động sẽ không bao giờ, bao giờ thả một khung hình, trong mọi trường hợp - nó bằng điện bản sao khung, lỗi và tất cả. Vòi hoạt động (tái tạo hoặc tổng hợp) có thể thả khung, ví dụ. nếu lưu lượng hai chiều vượt quá tốc độ liên kết của cổng màn hình. (liên kết 1G không thể mang lưu lượng TX + RX 1G (2G))
Chuyển cổng SPAN sẽ giảm lưu lượng. SPAN là ưu tiên thấp nhất đối với chuyển đổi - nó sẽ hy sinh lưu lượng SPAN để duy trì lưu lượng truy cập trực tiếp. Một công tắc được tải nhẹ có thể không bao giờ hiển thị điều này, nhưng tôi đã có hàng tá cuộc gọi của khách hàng từ khắp nơi trên thế giới phàn nàn rằng chúng tôi đã giảm lưu lượng truy cập, trong khi thực tế, SPAN của họ đã không gửi cho chúng tôi.
Tuy nhiên, SPAN rẻ và phong phú. Hầu như mọi công tắc được quản lý đều hỗ trợ thiết lập phiên giám sát. Và chúng thường không quan trọng để thiết lập và / hoặc cấu hình lại. Vòi, mặt khác, cực kỳ đắt tiền và hiếm. Vòi yêu cầu rút cáp mạng, có rất nhiều điện trở từ mọi người. Và họ gây ra một cú đánh khi mất điện. (tạm thời, không "rút phích cắm == liên kết bị hỏng". ngay cả những liên kết đơn giản bẩn sẽ duy trì liên kết khi tắt.)
Mặc dù SPAN có thể (sẽ) bỏ khung khi TAP không hoạt động, các thiết bị chuyển mạch của Cisco (và có thể các thiết bị khác) có một tính năng thú vị gọi là RSPAN .
Nó cho phép thiết lập SPAN từ xa, để vận chuyển các khung đã chụp qua mạng đến trạm giám sát:
Theo kinh nghiệm của tôi, vòi mạng vật lý cho phép bạn linh hoạt hơn nhiều. Nhiều nền tảng của Cisco có các hạn chế về số lượng cổng SPAN / phiên giám sát.
Bằng cách sử dụng các vòi mạng vật lý, bạn có thể giám sát trực tiếp một số cổng khác nhau mà không cần sử dụng chi phí CPU trên chính thiết bị của Cisco.
Cũng đáng xem xét là chi phí cho vòi vật lý. Vòi vật lý phải chịu thêm chi phí vốn, trong khi không có chi phí bổ sung để sử dụng chức năng nhịp dựng sẵn.
-
Gần đây tôi đã phải chỉ định cài đặt một số phần mềm ghi âm cuộc gọi để triển khai Cisco VoIP của chúng tôi. Ở một số địa điểm, nên sử dụng các vòi vật lý để mở rộng lưu lượng thoại đến máy chủ ghi âm vì số phiên cần thiết sẽ vượt quá khả năng của công tắc.
Ngoài ra:
Vòi: sẽ không bị thay đổi bộ đệm / thời gian gây ra bởi phiên SPAN trong điều kiện được tải - có thể quan trọng trong môi trường có độ trễ thấp trong đó nano giây là đáng kể và sử dụng dấu thời gian phần cứng.
SPAN: bạn có thể chọn hai cổng làm cổng đích, một cho bên TX và một cho bên RX, nhưng điều này phụ thuộc vào nền tảng. Điều này giải quyết vấn đề quá mức 2 đến 1.
Về cơ bản, SPAN có thể đưa ra biến thể nhân tạo bổ sung về thời gian và khả năng sắp xếp các gói có thể là một vấn đề đối với một số loại phân tích.