Wenn ich Datenverkehr von Host A nach B über einen Switch sende, erhöht die Aktivierung eines Spiegel- / SPAN-Ports die Zeit, die meine Frames benötigen, um von A nach B zu gelangen?
Nb: Ich mache mir keine Sorgen darüber, wie lange es dauert, bis der gespiegelte Frame meinen Überwachungshost erreicht. Ich frage mich nur, ob sich dies auf die Netzwerkleistung in einer zeitkritischen Umgebung auswirkt.
Hat jemand das getestet? (Ich würde auch alle Links zu einem Beitrag / Artikel dazu begrüßen)
Antworten:
Laut Cisco sind "die Auswirkungen auf die Hochgeschwindigkeits-Switching-Struktur in der Regel vernachlässigbar".
Dies hängt natürlich von Ihrem Switch, seiner Struktur und der Belastung des Switch selbst ab. Der Port, an den die kopierten Daten gesendet werden, kann jedoch Pakete verwerfen, wenn sie zu stark überzeichnet sind. Persönlich habe ich durch Spiegelung oder SPAN noch nie einen Nachteil erlebt.
Hier ist ein Dokument von Cisco direkt zu diesem Thema in einigen ihrer Katzenzeilen: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41. html # anc48
quelle
Es ist möglich, die Quellen (dh überwachte Ports) zu beeinflussen, wenn der Gesamtverkehr die Fähigkeit des Ziels (dh des Überwachungsports) überschreitet. Ich habe nicht die Referenz, an die ich ursprünglich gedacht habe, aber hier ist eine andere: Gegendruck von einem SPAN-Port .
Stellen Sie sich vor, Sie haben einen Server an einem 10-Gig-Port, den Sie auf ein Paketerfassungsgerät (oder IDS / IPS usw.) SPANEN möchten. Das Überwachungsgerät befindet sich ebenfalls auf einer 10-Gig-Schnittstelle.
Denken Sie daran, dass Sie beim Einrichten eines SPAN die Option haben, SPANning zu senden (von der Switch-Schnittstelle zum Server) oder zu empfangen (vom Server in den Switch) oder beides. Normalerweise möchten wir beide Seiten eines Gesprächs sehen, also würden wir uns dafür entscheiden, sowohl das Senden als auch das Empfangen zu SPANEN.
Stellen Sie sich nun vor, dass der Server sehr ausgelastet ist und sowohl die Sende- als auch die Empfangsströme ziemlich voll sind und in jeder Richtung konstant über 5 Gig liegen.
Sie möchten jetzt ZWEI Streams mit mehr als 5 Gig über den SPAN-Zielport an das Überwachungsgerät senden. Der Gesamtverkehr, der zum SPAN-Ziel gesendet wird, ist größer als 10 Gig. Diese Schnittstelle ist jedoch NUR 10 Gig für das Überwachungsgerät. Was passiert also? Ich erinnere mich, dass in den Dokumenten von Cisco angegeben wurde, dass anfangs Pakete aus dem Sendepuffer der Schnittstelle in Richtung des Überwachungsgeräts (dh des SPAN-Zielübertragungspuffers) verworfen würden. Im Fall von lang anhaltenden, anhaltenden Verkehrsströmen wird jedoch möglicherweise die Fähigkeit des Switches, überschüssigen Verkehr aus dem Sendepuffer zu entfernen, erschöpft sein (was für mich zu diesem Zeitpunkt nicht sinnvoll war und war) Dann beginnt der Schalter, andere Mechanismen zu verwenden, um den Durchfluss zu verringern, einschließlich des Gegendrucks unter Verwendung von 802.
Und Sie haben jetzt Ihren Quelldatenverkehr beeinflusst. Es passieren schlimme Dinge.
Dieses Problem ist / war besonders bedeutsam für ein großes Hochgeschwindigkeitsnetzwerk mit sehr geringer Latenz, das viele Quellen für das SPAN hatte. Dies war eine wichtige Überlegung und führte dazu, dass die Verwendung von SPAN-Sitzungen mit vielen Quellen für optisches TAPS ersetzt wurde, Aggregations-Switches mit eingehenden ACLs gespeist wurden (Filterung nach interessantem Datenverkehr) und dieser eingehende Datenverkehr dann an mehrere spezialisierte 10-Gig-Paketkonsumenten weitergeleitet wurde (für Daten) Archivierungs- und Analysebedarf).
Moral der Geschichte: Wenn Sie beabsichtigen, viele SPAN-Quellen zu verwenden, stellen Sie sicher, dass die Gesamtbandbreite von BEIDEM TX und RX geringer ist als die Bandbreite Ihres Erfassungsgeräts.
Hier ist eine anständige Abhandlung über die Verwendung von SPAN-Ports
quelle