Taper du matériel contre la mise en miroir des ports - Des limitations?

13

Je travaille principalement dans un environnement Cisco et j'envisage d'acheter un appareil de prise réseau pour l'utiliser avec Wireshark.

Quelqu'un peut-il fournir les avantages et les inconvénients de son expérience entre l'utilisation de prises réseau OU la configuration de la mise en miroir de ports compte tenu de la facilité d'utilisation, du coût du kit et existe-t-il des limitations entre les 2 approches, respectivement?

Mat
la source

Réponses:

19

(ayant travaillé avec cela depuis une décennie maintenant)

De loin, la plus grande différence fonctionnelle entre un robinet et une portée ... un robinet passif ne fera jamais tomber un cadre, en aucun cas - il duplique électriquement le cadre, les erreurs et tout. Les prises actives (régénératives ou agrégées) peuvent supprimer des images, par exemple. si le trafic bidirectionnel dépasse la vitesse de liaison du port moniteur. (une liaison 1G ne peut pas transporter TX + RX 1G (2G) de trafic)

Les ports Switch SPAN réduiront le trafic. Le SPAN est la priorité la plus basse au commutateur - il sacrifiera le trafic SPAN au profit du maintien du trafic en direct. Un interrupteur légèrement chargé ne peut jamais montrer, mais j'ai eu des dizaines d'appels de clients de partout dans le monde se plaignant que nous largué le trafic, quand il était en fait leur commutateur SPAN qui n'a pas envoyé à nous.

Cependant, les SPAN sont bon marché et abondants. Presque tous les commutateurs gérés prennent en charge la configuration d'une session de surveillance. Et ils sont généralement simples à installer et / ou à reconfigurer. Les robinets, en revanche, sont extrêmement chers et rares. Les robinets nécessitent de débrancher les câbles réseau, ce qui résiste à peu près à tout le monde. Et ils causent un coup quand ils perdent du pouvoir. (momentané, pas "lien débranché == cassé". même les plus simples maintiennent le lien lorsqu'il est éteint.)

Ricky Beam
la source
2
Très bonne réponse. Je pense que cela nous indique la manière préférée que la NSA saisit le trafic. ;-)
generalnetworkerror
11

Même si SPAN peut (va) supprimer des trames alors que TAP ne le ferait pas, les commutateurs Cisco (et peut-être d'autres) ont une fonctionnalité intéressante appelée RSPAN .

Il permet de mettre en place un SPAN distant, pour transporter les trames capturées sur le réseau vers la station de surveillance:

cisco_rspan

petrus
la source
Il existe certaines limites à RSPAN, en particulier il s'agit d'une solution de couche 2 uniquement. Si vous devez envoyer le trafic vers un autre sous-réseau, vous devrez consulter ERSPAN: cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/…
Brett Lykins
7

D'après mon expérience, les prises de réseau physiques vous offrent beaucoup plus de flexibilité. De nombreuses plates-formes Cisco ont des restrictions sur le nombre de ports SPAN / sessions de surveillance.

En utilisant les prises de réseau physiques, vous pouvez surveiller directement plusieurs ports différents sans utiliser la surcharge du processeur sur le périphérique Cisco lui-même.

Il convient également de considérer le coût des robinets physiques. Les robinets physiques entraînent des dépenses en capital supplémentaires, alors qu'il n'y a pas de dépenses supplémentaires pour utiliser la fonctionnalité de travée intégrée.

-

Récemment, j'ai dû spécifier l'installation d'un logiciel d'enregistrement d'appels pour notre implémentation Cisco VoIP. À plusieurs endroits, il était logique d'utiliser des prises physiques pour répartir le trafic vocal vers le serveur d'enregistrement car le nombre de sessions nécessaires aurait dépassé la capacité du commutateur.

Brett Lykins
la source
3

En plus:

Taps: ne souffrira pas des modifications de la mise en tampon / du timing induites par une session SPAN dans des conditions chargées - pourrait être important dans des environnements à faible latence où les nanosecondes sont importantes et des horodatages matériels sont utilisés.

SPAN: vous pouvez sélectionner deux ports comme ports de destination, un pour le côté TX et un pour le côté RX, mais cela dépend de la plate-forme. Cela résout le problème de sursouscription 2 à 1.

Fondamentalement, ce qui revient à dire que SPAN peut introduire des variations artificielles supplémentaires dans le timing et potentiellement l'ordre des paquets, ce qui peut être un problème pour certains types d'analyse.

netdad
la source