（已经与此合作十年了）

毫无疑问，tap 和 span 之间最大的功能区别……在任何情况下，被动 tap 永远不会丢帧——它会以电子方式复制帧、错误等等。活动抽头（再生或聚合）可能会丢帧，例如。如果双向流量超过监控端口的链路速度。（一条1G链路不能承载TX+RX 1G（2G）的流量）

交换机 SPAN 端口将丢弃流量。SPAN 是交换机的最低优先级——它会牺牲 SPAN 流量来维护实时流量。负载较轻的交换机可能永远不会显示这一点，但我收到了来自世界各地的数十个客户电话，他们抱怨我们掉了流量，而实际上是他们的交换机 SPAN 没有将流量发送给我们。

然而，SPAN 既便宜又丰富。几乎每个管理型交换机都支持设置监控会话。而且它们通常很容易设置和/或重新配置。另一方面，水龙头非常昂贵且稀有。Tap 需要拔掉网线，这对几乎每个人都有很大的阻力。当他们失去权力时，他们会造成打击。（暂时，不是“拔掉 ==​​ 断开的链接”。即使是简单的污垢也会在关闭时保持链接。）

尽管 SPAN 可以（将）丢帧而 TAP 不能，但 Cisco 交换机（可能还有其他）有一个很酷的功能，称为RSPAN。

它允许设置远程 SPAN，通过网络将捕获的帧传输到监控站：

根据我的经验，物理网络分路器为您提供了更大的灵活性。许多 Cisco 平台对 SPAN 端口/监控会话的数量有限制。

通过使用物理网络分路器，您可以直接监控多个不同的端口，而无需使用 Cisco 设备本身的 CPU 开销。

同样值得考虑的是物理点击的成本。物理分接头会产生额外的资本支出，而使用内置跨度功能无需额外支出。

——

最近，我不得不为我们的 Cisco VoIP 实施指定一些呼叫录音软件的安装。在一些地方，使用物理分路器将语音流量跨越到录音服务器是有意义的，因为所需的会话数量将超过交换机的能力。

此外：

Taps：在加载条件下不会受到 SPAN 会话引起的缓冲/时间变化的影响 - 在纳秒很重要并且正在使用硬件时间戳的低延迟环境中可能很重要。

SPAN：可以选择两个端口作为目的端口，一个用于TX端，一个用于RX端，但这取决于平台。这解决了 2 比 1 的超额认购问题。

基本上，它归结为 SPAN 可以在时间和潜在的数据包排序中引入额外的人为变化，这对于某些类型的分析来说可能是一个问题。