旁路监控与串联监控

转载自：http://www.imfirewall.com/blog/post/108.html

常见的网络监控模式可以分为两种：一种是串联监控模式，另一种是旁路监控模式。

旁路模式一般是指通过交换机等网络设备的“端口镜像”功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口，所以形象的称之为“旁路监控”；而串联模式一般是通过网关或者网桥的模式来进行监控，由于监控设备做为网关或者网桥串联在网络中，所以称之为“串联监控模式”。


旁路模式和串联模式各有其优缺点，比较如下：


旁路模式的优点：


1. 旁路监控模式部署起来比较灵活方便，只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥，所以需要对现有网络结构进行变动。


2. 旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。而串联模式是串联在网络中的，那么所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。


3. 旁路监控设备一旦故障或者停止运行，不会影响现有网络的正常原因。而串联监控设备如果出现故障，会导致网络中断，导致网络单点故障。


旁路模式的缺点：


1. 需要交换机支持端口镜像才可以实现监控。


2. 旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。而串联模式不存在该问题。


3. 旁路模式不处理原始数据包，所以无法分配实时带宽。关于如何在旁路模式下实现流量监控和局域网限速，请参见：www.imfirewall.com/blog/post/48.html