硬件分接头与端口镜像-有任何限制吗？

我主要在思科环境中工作，并打算购买用于Wireshark的网络分接头设备。

在使用网络分路器或设置端口镜像之间的考虑（如易用性，工具包成本）以及这两种方法之间是否分别存在限制，任何人都可以根据他们的经验提供优缺点。

（已经为此工作了十年）

放下手，这是分接头和跨度之间最大的功能区别……无源分接头在任何情况下都不会掉落框架-它会电气复制框架，错误和所有内容。主动抽头（再生或聚合）可能会丢帧，例如。如果双向流量超过了监视端口的链接速度。（1G链接不能承载TX + RX 1G（2G）流量）

交换机SPAN端口将丢弃流量。SPAN是交换机的最低优先级-它将牺牲SPAN流量，以保持实时流量。轻载的交换机可能永远不会显示此信息，但是我收到了来自世界各地的数十个客户电话，抱怨我们丢弃了流量，而实际上是交换机的SPAN没有将流量发送给我们。

但是，SPAN价格便宜且数量很多。几乎每个受管交换机都支持建立监视会话。而且它们通常对于安装和/或重新配置来说很简单。另一方面，水龙头非常昂贵且稀有。分接头需要拔掉网络电缆，几乎每个人都承受很大的阻力。当它们断电时，它们会造成打击。（暂时的，不是“拔出==断开的链接”。即使是简单的污垢也可以在关闭时保持链接。）

即使SPAN可以（将）在TAP不能的情况下丢帧，但Cisco交换机（可能还有其他交换机）具有一项很酷的功能，称为RSPAN。

它允许设置远程SPAN，以通过网络将捕获的帧传输到监视站：

以我的经验，物理网络分流器为您提供了更大的灵活性。许多Cisco平台对SPAN端口/监控会话的数量都有限制。

通过使用物理网络分路器，您可以直接监视几个不同的端口，而无需使用Cisco设备本身的CPU开销。

同样值得考虑的是物理水龙头的成本。物理分接头会产生额外的资本支出，而使用内置跨接功能不会产生其他支出。

-

最近，我不得不为我们的Cisco VoIP实施指定安装某些呼叫记录软件。在某些地方，使用物理分路器将语音流量扩展到录音服务器是很有意义的，因为所需的会话数将超出交换机的能力。

此外：

分路器：在负载条件下，不会受到SPAN会话引起的缓冲/时序变化的影响-在纳秒级有效且使用硬件时间戳的低延迟环境中可能很重要。

SPAN：您可以选择两个端口作为目标端口，一个用于TX端，一个用于RX端，但这取决于平台。这解决了2比1的超额预订问题。

基本上，归结为SPAN可能会在时序和数据包排序方面引入其他人为变化，这对于某些类型的分析可能是一个问题。