在获取数据包进行网络分析时,常用的方法有三种:HUB、SPAN和TAP。
一 HUB
HUB 很“弱智”,但这种方法却是最早的数据包获取方法。HUB是半双工的以太网设备,在广播数据包时,无法同时进行反方向的数据流传输。
优势:便宜
劣势
1、降低链路一半以上的带宽
2、导致错误冲突,潜在的网络故障点
3、无千兆方案
二 SPAN
SPAN(Switch Port Analysis)也就是镜像端口。
高级的交换机可以将其一个或几个端口的数据包复制到一个指定的端口,分析仪可以接到镜像端口接受数据。但这一功能会影响交换机的性能,当数据过载时还会造成数据包的丢失。
优势
1、 经济的,不需要额外的设备。
2、 可同时监测一个交换机上一个 VLAN 上所有的流量。
3、 一台分析仪可监测多条链路。
劣势
1、 多端口流量镜像到一个端口上,可引起缓存过载及丢包现象。
2、 数据包通过缓存时会被重定时,就不可能精确的确定时间尺度,如:抖动、数据包间隔 分析、延迟。
3、 不能监测OSI第1.2层错误包,大多数据镜像端口过滤掉不规则的数据包,这就不能为故障排查提供详尽有用的数据信息。
4、 因为镜像端口的流量使得交换机的 CPU 负载加重,所以会引起交换机工作性能下降。
镜像技术的典型应用
1、在带宽较低且能有较的进行镜像的链路,可进行多端口镜像来灵活的分析、监测。
2、趋势监测:不需要精确的监测,只要不定期的数据统计就可以的情况下。
3、协议和应用分析:从一个镜像端口可以方便、经济的提供相关的数据信息
4、整个 VLAN 监测:利用多端口镜像技术可以方便的监测一个交换机上的一个 VLAN 的 全部。
三 TAP
TAP(Test Access Point)也叫分路器,是目前较流行的一种网络数据获取方法。
即便是TAP电源掉电也不会中断网络连接,可提供全面可视的网络数据流,对全线速的双向会话进行准确无误的监测,并且无丢包和延迟。
优势
1、 捕获 100%的数据包,没有丢包。
2、 可监测到不规则的数据包,方便于故障排查。
3、 精确的时间戳,没有延迟和重定时。
4、 一次安装,可方便分析仪接入和移动。
劣势
1、 需额外花费购买分路器TAP,很贵,还占用机架空间
2、 一次只能看一条链路。
分路器技术的典型应用
1、 商业链路:这些链路需要极短的故障排除时间,在这些链路中安装上分路器 TAP,网络工程师可迅速查找、排除突发的问题。
2、 核心或骨干链路。它们具有高带宽利用率,同时在接入、移动分析仪时不能中断链路。TAP保证了数据 100%的捕获而没有丢包,为精确分析这些链路提供了性能保障。
3、 VoIP和QoS:VoIP 服务质量测试需要精确的抖动和丢包率度量。TAP可完全保障这些测试,但镜像端口会改变抖动值,提供不真实的丢包率。
4、 故障排查:保证能监测到不规则数据包及错误的数据包。镜像端口会将这些数据包全部过滤掉,这样就不能为工程师查找故障提供重要而完整的数据信息。
5、 IDS 应用:IDS 依靠完整的数据信息来识别入侵模式,TAP能提供可靠完整的数据流给入侵检测系统。
6、 服务器群:多端口分路器可以同时连接8/12条链路,可实现远程自由切换,方便于随时监测、分析。
结论
通常重要的链路和临界的应用,更喜欢分路器的应用。
分路器TAP能提供一个完整、精确数据监测的接入点。
镜像端口通常用在总体趋势的监测或希望能同时监测到多条链路信息的应用。
由于镜像端口的缓存,同步、丢包率不能精确的度量,不能应用在 VoIP 及其它对时间要求精确的度量上。