Я переважно працюю в середовищі Cisco і розглядаю можливість придбати мережевий пристрій для крана для використання з Wireshark.
Чи може хтось надати плюси та мінуси свого досвіду між використанням мережевих кранів АБО налаштуванням дзеркального відображення порту з урахуванням простоти використання, вартості комплекту та чи є обмеження між двома підходами відповідно?
Відповіді:
(працюючи з цим уже десятиліття)
Руки вниз, найбільша функціональна різниця між краном і прольотом ... пасивний кран ніколи, ніколи не відкине кадр, ні за яких обставин - він електрично дублює кадр, помилки і все. Активні крани (регенеративні або сукупні) можуть скидати кадри, наприклад. якщо двонаправлений трафік перевищує швидкість зв'язку порту монітора. (1G-посилання не може нести трафік TX + RX 1G (2G))
Порти комутатора SPAN буде падіння трафіку. SPAN - найнижчий пріоритет для комутатора - він принесе жертву трафіку SPAN на користь підтримки живого трафіку. Злегка завантажений комутатор може ніколи цього не показувати, але у мене були десятки дзвінків клієнтів з усього світу, які скаржилися, що ми скинули трафік, коли насправді їх перемикач SPAN не надіслав його нам.
Однак SPAN - це дешево і вдосталь. Практично кожен керований комутатор підтримує налаштування сеансу монітора. І вони зазвичай тривіальні для налаштування та / або переналаштування. З іншого боку, крани надзвичайно дорогі і рідкісні. Крани вимагають відключення мережевих кабелів, що чинить опір майже всім. І вони завдають удару, коли втрачають силу. (миттєвий, а не "відключений підключений == пошкоджене посилання". Навіть прості бруди підтримуватимуть зв’язок, коли він не працює.)
Навіть незважаючи на те, що SPAN може (буде) скидати кадри, коли TAP не став, комутатори Cisco (а може й інші) мають цікаву функцію під назвою RSPAN .
Це дозволяє встановити віддалений SPAN, щоб транспортувати захоплені кадри по мережі до станції моніторингу:
На мій досвід, крани фізичної мережі дають вам набагато більше гнучкості. Багато платформ Cisco мають обмеження на кількість портів SPAN / сеанси моніторингу.
Використовуючи фізичні мережеві крани, ви можете безпосередньо контролювати декілька різних портів без використання накладних процесорів на самому пристрої Cisco.
Також варто врахувати вартість фізичних кранів. Фізичні крани вимагають додаткових витрат на капітал, при цьому немає додаткових витрат на використання вбудованого функціонального діапазону.
-
Нещодавно мені довелося встановити встановлення деякого програмного забезпечення для запису дзвінків для нашої реалізації Cisco VoIP. У кількох місцях було доцільно використовувати фізичні крани, щоб перетягнути голосовий трафік на сервер запису, оскільки кількість необхідних сеансів перевищила б можливість комутатора.
На додачу:
Підказки: не постраждають від буферизації / зміни часу, викликані сеансом SPAN в завантажених умовах - можуть бути важливими в умовах низької затримки, де наносекунди значні, а апаратні часові позначки використовуються.
SPAN: ви можете вибрати два порти як порти призначення, один для TX сторони та один для RX, але це залежить від платформи. Це вирішує задачу щодо переплати від 2 до 1.
В основному, справа зводиться до того, що SPAN може ввести додаткові штучні зміни в терміни і, можливо, впорядкування пакетів, що може бути проблемою для деяких типів аналізу.