Jika saya mengirim lalu lintas dari host A ke B dengan sebuah saklar, akankah memungkinkan port mirror / SPAN meningkatkan waktu yang dibutuhkan frame saya untuk berpindah dari A ke B?
Nb: Saya tidak khawatir tentang waktu yang dibutuhkan untuk bingkai cermin untuk mencapai host pemantauan saya. Hanya ingin tahu apakah itu akan memengaruhi kinerja jaringan dalam lingkungan yang kritis waktu.
Adakah yang menguji ini? (Saya juga akan menyambut tautan apa pun ke pos / makalah ini)
Jawaban:
Biasanya, menurut Cisco, "Dampak pada fabric switching berkecepatan tinggi diabaikan".
Ini tentu saja tergantung pada sakelar Anda, kainnya, dan beban sakelar itu sendiri. Port yang dikirim data yang disalin dapat menjatuhkan paket, jika terlalu banyak berlangganan. Secara pribadi, saya tidak pernah mengalami kerugian apa pun dengan menggunakan mirroring atau SPAN.
Berikut ini adalah dokumen dari Cisco secara langsung tentang subjek pada beberapa garis kucing mereka: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41. html # anc48
sumber
Dimungkinkan untuk mempengaruhi sumber (yaitu port yang dipantau) jika lalu lintas agregat melebihi kemampuan tujuan (yaitu port pemantauan). Saya tidak memiliki referensi yang awalnya saya pikirkan, tapi ini satu lagi: Tekanan balik dari port SPAN .
Jadi bayangkan Anda memiliki server pada port sepuluh-gig yang ingin Anda SPAN ke perangkat packet capture (atau IDS / IPS, dll.). Perangkat pemantauan juga menggunakan antarmuka sepuluh manggung.
Ingatlah bahwa ketika Anda mengatur SPAN, Anda memiliki opsi untuk mengirimkan SPANning (keluar dari antarmuka sakelar ke server), atau menerima (dari server ke sakelar), atau keduanya. Biasanya kami ingin melihat kedua sisi percakapan, jadi kami akan memilih untuk SPAN mengirim dan menerima.
Sekarang bayangkan bahwa server sangat sibuk, dan keduanya mengirim dan menerima aliran cukup penuh, secara konsisten di atas 5-manggung di setiap arah.
Anda sekarang ingin mengirim DUA, aliran yang lebih besar dari 5 manggung ke perangkat pemantauan melalui port tujuan SPAN. Total lalu lintas yang dikirim ke tujuan SPAN lebih besar dari 10-manggung. Tapi, antarmuka itu HANYA 10-Gig ke perangkat pemantauan. Jadi apa yang terjadi? Saya ingat bahwa dokumen Cisco mengatakan bahwa pada awalnya, paket akan dijatuhkan dari buffer pengiriman antarmuka ke perangkat pemantauan (yaitu buffer pengiriman tujuan SPAN). Namun, dalam kasus aliran lalu lintas jangka panjang, berkelanjutan, akhirnya kemampuan saklar untuk menjatuhkan kelebihan lalu lintas dari buffer transmisi akan habis (yang tidak, dan tidak pada saat itu, masuk akal bagi saya), dan maka saklar akan mulai menggunakan mekanisme lain untuk mengurangi aliran, termasuk 'tekanan balik' menggunakan 802.
Dan Anda sekarang telah memengaruhi traffic sumber Anda. Hal-hal buruk terjadi.
Masalah ini sangat penting bagi jaringan latensi besar, kecepatan tinggi sangat rendah, yang memiliki banyak sumber untuk SPAN. Yang merupakan pertimbangan utama dan menghasilkan penggantian penggunaan sesi SPAN yang memiliki banyak sumber untuk TAPS optik, saklar agregasi makan dengan ACL masuk (pemfilteran untuk lalu lintas yang menarik), kemudian trunking lalu lintas masuk itu ke beberapa konsumen paket 10-Gig khusus (untuk data kebutuhan arsip dan analisis).
Moral dari cerita ini: jika Anda berniat untuk menggunakan banyak sumber SPAN, yakinlah bahwa bandwidth agregat KEDUA tx dan rx kurang dari bandwidth untuk perangkat tangkapan Anda.
Berikut ini adalah risalah yang layak untuk menggunakan port SPAN
sumber