概要:
网络监测、分析工具和入侵检测设备(IDS)正被越来越多的企业网络用户重视并加以 大量使用,这在网络商业应用(互联网、电子商务、存储网络)日益发展的今天,选择网络 监测、分析工具尤显重要。在交换网络出现之前,网络工程师可以方便直接的获取网络中的 数据,随着交换网络的快速发展,客观上要求有更新的数据捕获技术出现。到现在,尽管实 际上交换网络已经发展了 10 多年,但在数据捕获技术的应用上仍然参差不齐,下面将对通 过企业交换网络获得和读取数据的两种基本方法进行书面比较。一种是镜像端口方式,一 种是在线分路器方式。我们将介绍这两种方式的各自优缺点和推荐使用方向。
数据获得技术:
在交换网络中,为了监测、分析网络性能有两种有效的获得数据的方法。
1、 镜像端口(Mirroring 或 Spanning):高级的网络交换机可以将交换机的一个或几个端口 的数据包复制到一个指定的端口,分析仪可以接到镜像端口接受数据。
2、 分路器 TAP:分路器 TAP 可以插入到半/全双工的 10/100/1000M 网络链路中,可将这条 链路的全部数据信息复制到分析仪。
这两种技术在网络监测、分析时普遍应用,每一种技术都有其优、缺点。所以两种技术在所 有网络监测、分析任务中是根据需要来采用的。
镜像端口
端口镜像技术可在企业级交换机上全面应用,在交换机上有一个指定的镜像端口以便于分析 仪的接入,交换机一个端口或几个端口的流量通过背板复制到指定的目的端口,网络管理员 可以灵活的指定所选哪个端口为镜像端口。为了避免错误的流量进入网络,许多交换机过滤 掉错误的数据包,所以这些数据包就不能在镜像端口捕获到,而且一些交换机限制镜像一些 不规则的数据包。
端口镜像的优势
1、 经济的,不需要额外的设备。
2、 可同时监测一个交换机上一个 VLAN 上所有的流量。
3、 一台分析仪可监测多条链路。
4、 使用方便简捷。
端口镜像的劣势
1、 多端口流量镜像到一个端口上,可引起缓存过载及丢包现象。
2、 数据包通过缓存时会被重定时,就不可能精确的确定时间尺度,如:抖动、数据包间隔 分析、延迟。
3、 大多数据镜像端口过滤掉不规则的数据包,这就不能为故障排查提供详尽有用的数据信息。
4、 因为镜像端口的流量使得交换机的 CPU 负载加重,所以会引起交换机工作性能下降。
端口镜像技术的典型应用
1、在带宽较低且能有较的进行镜像的链路(如分发层或底层网络),可以进行多端口镜像来 实现方便灵活的监测、分析。
2、趋势监测:不需要精确的监测,只要不定期的数据统计就可以的情况下。
3、 协议和应用分析:从一个镜像端口可以方便、经济的提供相关的数据信息
4、 整个 VLAN 监测:利用多端口镜像技术可以方便的监测一个交换机上的一个 VLAN 的 全部。
分路器 TAP 的优势
1、 捕获 100%的数据包,没有丢包。
2、 可监测到不规则的数据包,方便于故障排查。
3、 精确的时间戳,没有延迟和重定时。
4、 一次安装,可方便分析仪接入和移动。
分路器 TAP 的劣势
1、 需额外花费购买分路器 TAP。
2、 一次只能看一条链路。
3、 占用机架空间。
分路器技术的典型应用
1、 商业链路:这些链路需要极短的故障排除时间,在这些链路中安装上分路器 TAP,网络 工程师可迅速查找、排除突发的问题。
2、 核心或骨干链路。它们具有高带宽利用率,同时在接入、移动分析仪时不能中断链路。 分路器 TAP 保证了数据 100%的捕获而没有丢包,为精确分析这些链路提供了性能保障。
3、 VoIP QoS:VoIP 服务质量测试需要精确的抖动和丢包率度量。分路器 TAP 可完全保障 这些测试,但镜像端口会改变抖动值,提供不真实的丢包率。
4、 故障查找、排除:保证您能监测到不规则数据包及错误的数据包的唯一方式。镜像端口 会将这些数据包全部过滤掉,这样就不能为工程师查找故障提供重要而完整的数据信 息。
5、 IDS 应用:IDS 依靠完整的数据信息来识别入侵模式,分路器 TAP 能提供可靠的、完整 的数据流给入侵检测系统。
6、 服务器群:多端口分路器可以同时连接 8/12 条链路,并可实现远程自由切换,方便于随 时监测、分析。
结论
通常重要的链路和临界的应用,更喜欢分路器的应用。分路器 TAP 能提供一个完整、精确 数据监测的接入点。镜像端口通常用在总体趋势的监测或希望能同时监测到多条链路信息的 应用。由于镜像端口的缓存,同步、丢包率不能精确的度量,不能应用在 VoIP 及其它对时 间要求精确的度量上。
网络监测、分析工具和入侵检测设备(IDS)正被越来越多的企业网络用户重视并加以 大量使用,这在网络商业应用(互联网、电子商务、存储网络)日益发展的今天,选择网络 监测、分析工具尤显重要。在交换网络出现之前,网络工程师可以方便直接的获取网络中的 数据,随着交换网络的快速发展,客观上要求有更新的数据捕获技术出现。到现在,尽管实 际上交换网络已经发展了 10 多年,但在数据捕获技术的应用上仍然参差不齐,下面将对通 过企业交换网络获得和读取数据的两种基本方法进行书面比较。一种是镜像端口方式,一 种是在线分路器方式。我们将介绍这两种方式的各自优缺点和推荐使用方向。
数据获得技术:
在交换网络中,为了监测、分析网络性能有两种有效的获得数据的方法。
1、 镜像端口(Mirroring 或 Spanning):高级的网络交换机可以将交换机的一个或几个端口 的数据包复制到一个指定的端口,分析仪可以接到镜像端口接受数据。
2、 分路器 TAP:分路器 TAP 可以插入到半/全双工的 10/100/1000M 网络链路中,可将这条 链路的全部数据信息复制到分析仪。
这两种技术在网络监测、分析时普遍应用,每一种技术都有其优、缺点。所以两种技术在所 有网络监测、分析任务中是根据需要来采用的。
镜像端口
端口镜像技术可在企业级交换机上全面应用,在交换机上有一个指定的镜像端口以便于分析 仪的接入,交换机一个端口或几个端口的流量通过背板复制到指定的目的端口,网络管理员 可以灵活的指定所选哪个端口为镜像端口。为了避免错误的流量进入网络,许多交换机过滤 掉错误的数据包,所以这些数据包就不能在镜像端口捕获到,而且一些交换机限制镜像一些 不规则的数据包。
端口镜像的优势
1、 经济的,不需要额外的设备。
2、 可同时监测一个交换机上一个 VLAN 上所有的流量。
3、 一台分析仪可监测多条链路。
4、 使用方便简捷。
端口镜像的劣势
1、 多端口流量镜像到一个端口上,可引起缓存过载及丢包现象。
2、 数据包通过缓存时会被重定时,就不可能精确的确定时间尺度,如:抖动、数据包间隔 分析、延迟。
3、 大多数据镜像端口过滤掉不规则的数据包,这就不能为故障排查提供详尽有用的数据信息。
4、 因为镜像端口的流量使得交换机的 CPU 负载加重,所以会引起交换机工作性能下降。
端口镜像技术的典型应用
1、在带宽较低且能有较的进行镜像的链路(如分发层或底层网络),可以进行多端口镜像来 实现方便灵活的监测、分析。
2、趋势监测:不需要精确的监测,只要不定期的数据统计就可以的情况下。
3、 协议和应用分析:从一个镜像端口可以方便、经济的提供相关的数据信息
4、 整个 VLAN 监测:利用多端口镜像技术可以方便的监测一个交换机上的一个 VLAN 的 全部。
分路器 TAP 的优势
1、 捕获 100%的数据包,没有丢包。
2、 可监测到不规则的数据包,方便于故障排查。
3、 精确的时间戳,没有延迟和重定时。
4、 一次安装,可方便分析仪接入和移动。
分路器 TAP 的劣势
1、 需额外花费购买分路器 TAP。
2、 一次只能看一条链路。
3、 占用机架空间。
分路器技术的典型应用
1、 商业链路:这些链路需要极短的故障排除时间,在这些链路中安装上分路器 TAP,网络 工程师可迅速查找、排除突发的问题。
2、 核心或骨干链路。它们具有高带宽利用率,同时在接入、移动分析仪时不能中断链路。 分路器 TAP 保证了数据 100%的捕获而没有丢包,为精确分析这些链路提供了性能保障。
3、 VoIP QoS:VoIP 服务质量测试需要精确的抖动和丢包率度量。分路器 TAP 可完全保障 这些测试,但镜像端口会改变抖动值,提供不真实的丢包率。
4、 故障查找、排除:保证您能监测到不规则数据包及错误的数据包的唯一方式。镜像端口 会将这些数据包全部过滤掉,这样就不能为工程师查找故障提供重要而完整的数据信 息。
5、 IDS 应用:IDS 依靠完整的数据信息来识别入侵模式,分路器 TAP 能提供可靠的、完整 的数据流给入侵检测系统。
6、 服务器群:多端口分路器可以同时连接 8/12 条链路,并可实现远程自由切换,方便于随 时监测、分析。
结论
通常重要的链路和临界的应用,更喜欢分路器的应用。分路器 TAP 能提供一个完整、精确 数据监测的接入点。镜像端口通常用在总体趋势的监测或希望能同时监测到多条链路信息的 应用。由于镜像端口的缓存,同步、丢包率不能精确的度量,不能应用在 VoIP 及其它对时 间要求精确的度量上。