Principalmente trabajo en un entorno de Cisco y estoy considerando comprar un dispositivo de red para usar con Wireshark.
¿Alguien puede proporcionar los pros y los contras de su experiencia entre el uso de tomas de red O la configuración de la duplicación de puertos dadas consideraciones como la facilidad de uso, el costo del kit y existen limitaciones entre los dos enfoques, respectivamente?
Respuestas:
(después de haber trabajado con esto durante una década)
Sin duda, la mayor diferencia funcional entre un toque y un lapso ... un toque pasivo nunca, nunca dejará caer un cuadro, bajo ninguna circunstancia: duplica eléctricamente el cuadro, los errores y todo. Los grifos activos (regenerativos o agregados) pueden soltar cuadros, por ejemplo. si el tráfico bidireccional excede la velocidad del enlace del puerto del monitor. (un enlace 1G no puede transportar TX + RX 1G (2G) de tráfico)
Los puertos Switch SPAN dejarán caer el tráfico. El SPAN es la prioridad más baja para el conmutador: sacrificará el tráfico SPAN en favor del mantenimiento del tráfico en vivo. Es posible que un conmutador ligeramente cargado nunca muestre esto, pero he recibido docenas de llamadas de clientes de todo el mundo quejándose de que perdimos el tráfico, cuando en realidad fue su conmutador SPAN el que no nos lo envió.
Sin embargo, los SPAN son baratos y abundantes. Casi todos los conmutadores administrados admiten la configuración de una sesión de monitor. Y generalmente son triviales para configurar y / o reconfigurar. Los grifos, por otro lado, son extremadamente caros y raros. Los grifos requieren la desconexión de los cables de red, que tienen mucha resistencia de casi todos. Y causan un golpe cuando pierden poder. (momentáneo, no "desconectado == enlace roto". Incluso los sucios simples mantendrán el enlace cuando esté apagado).
Aunque SPAN puede (caerá) tramas cuando TAP no lo haría, los switches Cisco (y tal vez otros) tienen una característica genial llamada RSPAN .
Permite configurar un SPAN remoto para transportar las tramas capturadas a través de la red a la estación de monitoreo:
En mi experiencia, los grifos de red físicos le brindan mucha más flexibilidad. Muchas plataformas de Cisco tienen restricciones en la cantidad de puertos SPAN / sesiones de monitoreo.
Mediante el uso de tomas de red físicas, puede monitorear directamente varios puertos diferentes sin usar la sobrecarga de la CPU en el dispositivo Cisco.
También vale la pena considerar el costo de los grifos físicos. Los grifos físicos incurren en un gasto de capital adicional, mientras que no hay desembolso adicional para usar la funcionalidad de intervalo incorporada.
-
Recientemente tuve que especificar la instalación de algún software de grabación de llamadas para nuestra implementación de Cisco VoIP. En varios lugares, tenía sentido usar toques físicos para abarcar el tráfico de voz al servidor de grabación, ya que el número de sesiones necesarias habría excedido la capacidad del conmutador.
Adicionalmente:
Taps: no sufrirá los cambios de búfer / temporización inducidos por una sesión SPAN en condiciones de carga; podría ser importante en entornos de baja latencia donde los nanosegundos son significativos y se usan marcas de tiempo de hardware.
SPAN: puede seleccionar dos puertos como puertos de destino, uno para el lado TX y otro para el lado RX, pero esto depende de la plataforma. Esto resuelve el problema de sobresuscripción de 2 a 1.
Básicamente, todo se reduce a que SPAN puede introducir variaciones artificiales adicionales en el tiempo y potencialmente el orden de los paquetes, lo que puede ser un problema para algunos tipos de análisis.