Se eu estiver enviando tráfego do host A para B por um switch, a ativação de uma porta mirror / SPAN aumentará o tempo que meus quadros levam de A para B?
Nota: não estou preocupado com o tempo que o quadro espelhado leva para chegar ao meu host de monitoramento. Basta saber se isso afetará o desempenho da rede em um ambiente de tempo crítico.
Alguém já testou isso? (Eu também gostaria de receber qualquer link para um post / artigo sobre isso)
Respostas:
Normalmente, de acordo com a Cisco, "o impacto no comutador de alta velocidade é desprezível".
Obviamente, isso depende do seu switch, sua estrutura e a carga no próprio switch. A porta que está sendo enviada para os dados copiados pode descartar pacotes, se estiver com excesso de assinaturas em excesso. Pessoalmente, nunca tive nenhum tipo de prejuízo usando espelhamento ou SPAN.
Aqui está um documento da Cisco diretamente sobre o assunto em algumas de suas linhas cat: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41. html # anc48
fonte
É possível afetar as fontes (por exemplo, portas monitoradas) se o tráfego agregado exceder a capacidade do destino (por exemplo, a porta de monitoramento). Não tenho a referência em que estava pensando inicialmente, mas aqui está outra: Contrapressão de uma porta SPAN .
Imagine que você tenha um servidor em uma porta de dez GB que deseja ESPANHAR para um dispositivo de captura de pacotes (ou IDS / IPS, etc.). O dispositivo de monitoramento também está em uma interface de dez GB.
Lembre-se de que, ao configurar um SPAN, você tem a opção de SPANning transmitir (fora da interface do switch em direção ao servidor) ou receber (do servidor para o switch), ou ambos. Normalmente, gostaríamos de ver os dois lados de uma conversa, por isso optamos por ESPANHAR a transmissão e a recepção.
Agora imagine que o servidor está muito ocupado e os fluxos de transmissão e recepção estão bastante cheios, consistentemente acima de 5 GB em cada direção.
Agora você deseja enviar dois fluxos maiores que 5 GB para o dispositivo de monitoramento por meio da porta de destino do SPAN. O tráfego total enviado para o destino SPAN é maior que 10 GB. Mas, essa interface é SOMENTE 10 Gig para o dispositivo de monitoramento. Então o que acontece? Lembro que os documentos da Cisco disseram que, inicialmente, os pacotes seriam descartados do buffer de transmissão da interface para o dispositivo de monitoramento (ou seja, o buffer de transmissão de destino do SPAN). No entanto, no caso de fluxos de tráfego sustentados e de longa duração, acabará a capacidade do comutador de eliminar o tráfego em excesso do buffer de transmissão (o que não faz, e não fazia, na época, faz sentido para mim) e o comutador começará a usar outros mecanismos para diminuir o fluxo, incluindo 'contrapressão' usando 802.
E você já impactou seu tráfego de origem. Coisas ruins acontecem.
Esse problema é / foi especialmente significativo para uma rede grande, de alta velocidade e latência muito baixa, que tinha muitas fontes para o SPAN. O que foi uma consideração importante e resultou na substituição do uso de sessões SPAN com muitas fontes para TAPS ópticos, alimentando comutadores de agregação com ACLs de entrada (filtragem para tráfego interessante) e, em seguida, entroncando esse tráfego de entrada para vários consumidores de pacotes especializados de 10 Gig (para dados necessidades de arquivo e análise).
Moral da história: se você pretende usar muitas fontes SPAN, tenha certeza de que a largura de banda agregada de AMBOS TX e RX é menor que a largura de banda do seu dispositivo de captura.
Aqui está um tratado decente sobre o uso de portas SPAN
fonte