Torneira de hardware versus espelhamento de porta - Alguma limitação?

13

Eu trabalho predominantemente em um ambiente Cisco e estou pensando em comprar um dispositivo de rede para uso com o Wireshark.

Alguém pode fornecer os prós e os contras de sua experiência entre usar torneiras de rede OU configurar o espelhamento de portas, considerando considerações como facilidade de uso, custo do kit e existem limitações entre as duas abordagens, respectivamente?

MattE
fonte

Respostas:

19

(tendo trabalhado com isso por uma década agora)

Mãos à obra, a maior diferença funcional entre uma torneira e um vão ... uma torneira passiva nunca, nunca cai um quadro, sob nenhuma circunstância - ele duplica eletricamente o quadro, erros e tudo. Os toques ativos (regenerativos ou agregados) podem eliminar quadros, por exemplo. se o tráfego bidirecional exceder a velocidade do link da porta do monitor. (um link 1G não pode transportar tráfego TX + RX 1G (2G))

As portas do switch SPAN reduzirão o tráfego. O SPAN é a prioridade mais baixa do switch - ele sacrificará o tráfego do SPAN em favor da manutenção do tráfego ao vivo. Um interruptor ligeiramente carregado nunca pode mostrar isso, mas eu tinha dezenas de chamadas de clientes de todo o mundo reclamando que nós caiu tráfego, quando era de fato sua chave SPAN que não enviá-lo para nós.

No entanto, os SPANs são baratos e abundantes. Quase todo switch gerenciado suporta a configuração de uma sessão de monitor. E eles geralmente são triviais para configurar e / ou reconfigurar. As torneiras, por outro lado, são extremamente caras e raras. As torneiras requerem desconectar os cabos de rede, o que tem muita resistência de quase todos. E eles causam um golpe quando perdem poder. (momentâneo, não "desconectado == link quebrado". até os mais simples e sujos manterão o link quando desligados.)

Ricky Beam
fonte
2
Ótima resposta. Acho que isso nos diz a maneira preferida pela NSA de pegar tráfego. ;-)
generalnetworkerror
11

Embora o SPAN possa (irá) soltar quadros quando o TAP não o faria, os comutadores Cisco (e talvez outros) têm um recurso interessante chamado RSPAN .

Permite configurar um SPAN remoto, para transportar quadros capturados pela rede para a estação de monitoramento:

cisco_rspan

petrus
fonte
Existem algumas limitações para o RSPAN, especificamente, é uma solução apenas da camada 2. Se você precisar enviar o tráfego para outra sub-rede, você tem que olhar para ERSPAN: cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/...
Brett Lykins
7

Na minha experiência, as torneiras de rede física oferecem muito mais flexibilidade. Muitas plataformas da Cisco têm restrições no número de portas SPAN / sessões de monitoramento.

Usando toques de rede físicos, você pode monitorar diretamente várias portas diferentes sem usar a sobrecarga da CPU no próprio dispositivo Cisco.

Também vale a pena considerar o custo de torneiras físicas. Os toques físicos incorrem em uma despesa de capital adicional, enquanto não há gastos adicionais para usar a funcionalidade de ampliação incorporada.

-

Recentemente, tive que especificar a instalação de algum software de gravação de chamadas para nossa implementação de VoIP da Cisco. Em vários locais, fazia sentido usar toques físicos para estender o tráfego de voz ao servidor de gravação, pois o número de sessões necessárias teria excedido a capacidade do comutador.

Brett Lykins
fonte
3

Além do que, além do mais:

Taps: não sofrerão alterações de buffer / tempo induzidas por uma sessão de SPAN sob condições carregadas - podem ser importantes em ambientes de baixa latência onde os nanossegundos são significativos e os carimbos de data / hora do hardware estão em uso.

SPAN: você pode selecionar duas portas como portas de destino, uma para o lado TX e outra para o lado RX, mas isso depende da plataforma. Isso resolve o problema de excesso de inscrições 2 a 1.

Basicamente, o que se resume é que o SPAN pode introduzir variações artificiais adicionais no tempo e potencialmente na ordem dos pacotes, o que pode ser um problema para alguns tipos de análise.

netdad
fonte