考虑本页底部的流量监控设置:https : //www.ntop.org/pf_ring/port-mirror-vs-network-tap/
网络分路器的两条线路连接到交换机,该交换机将流量合并,然后将流量发送到 PC 进行分析。但是,我不确定当使用多个连接时这将如何工作,因为所描述的结果之一是包将被广播到所有其他端口。例如,我们希望通过铜缆监控 3 个 100mbit 连接并使用无源分接头。从每个连接中,两条电缆将连接到交换机,总共 6 个端口将被占用。然后,交换机会将所有这些端口镜像到单个(TX ?)连接,例如到带有 SFP 适配器的端口。因为,根据该网站,监控 PC 的流量不应发送回交换机,只需将 SFP 的 TX 连接到 PC 上的 SFP 的 RX 就足够了。
但是从端口 1 到端口 6 的广播流量会发生什么?端口 6 会将该流量再次广播到所有其他不同的端口,从而导致广播风暴吗?如果是,什么是适当的对策?是否可以禁用广播并仅将流量发送到特定的 SFP 端口?
这在很大程度上取决于您的交换机。
例如,在 HP Provision 交换机上,受监控的端口入口和出口流量被复制到镜像端口。当您同时监控端口 A 和端口 B 时,您会得到 A->B,反之亦然,某些设备在镜像端口上流过两次,而在另一些设备上只流过一次。我不确定广播,但您可能会从每个受监控的端口获得一份副本。
由于转发仅对入口帧进行,因此退出镜像端口的帧不会成倍增加。
通常,您只需监控单个端口上双向的流量,这不是问题。
使用无源分接头时,分接头是单向连接(或者更确切地说是两个这样的连接),因此任何东西都不会回流。通过交换机聚合多个抽头的问题在于交换机几乎没有任何帧的目标端口,因此所有帧都可能被淹没到所有交换机端口(模仿中继集线器)。学习所有被窃听的 MAC 地址属于其中一个窃听端口 - 这可能会导致频繁出现在窃听端口上接收到的帧被转发出(无处)另一个窃听端口的情况。你不会得到一个完整的捕获。
此外,您不得将该交换机连接回受监控的网络 - 这会创建桥接环路,从而导致广播风暴和 SAT 不稳定。
切断传输端(对于双单工连接,如 10BASE-T、100BASE-TX、1000BASE-SX 等)可能不起作用。使用自动协商需要双方看到对方,这是行不通的。您需要在端口上强制使用速度和双工,以便连接仅依赖于运营商。这可能不适用于现代 NIC(因为通常您无法真正停用 autoneg,只需将其限制为单速和双工模式)。
由于 Tap 端口不接收而只传输,因此交换机不知道端口后面是谁。结果是它将数据包广播到所有端口。
不正确。交换机通过观察进入每个端口的流量来了解节点的位置。如果带有 src MAC X 的帧到达端口 1,则交换机记录 X=1。当它看到任何带有 dst MAC X 的后续帧时,该帧将仅发送到端口 1。端口 3 上的监控系统将看不到任何内容。
简而言之,您不能使用标准开关来聚合抽头或跨度。
(如果你的开关有一个旋钮来关闭 mac 学习,那么它会起作用——因为你已经创建了一个集线器。)