摘要:当你要采集企业网络中的流量做分析时,第一步往往是:“把流量拷一份出来”。
当你要采集企业网络中的流量做分析时,第一步往往是:“把流量拷一份出来”。
这时,你会听到两个词:SPAN 和 TAP。
它们都是实现“流量镜像”的方式,但不少人分不清两者区别,也不确定该用哪个。
今天这篇文章就来搞清楚:
SPAN 和 TAP 有啥不一样?实际使用中怎么选?
什么是 SPAN?
SPAN(Switched Port Analyzer),中文叫端口镜像。
它是交换机上的一种功能:你可以指定一(些)端口,把它们的进出流量复制一份,再镜像到另一个接口上(比如接流量采集设备)。
优点:
成本低,只需要配置交换机,不需要额外硬件灵活配置,可以快速变更镜像端口或策略适合临时排障、调试、小规模部署缺点:
存在丢包风险:交换机处理镜像流量是“顺带”,优先级低,镜像口可能收到不完整数据容易引入干扰:多个端口合并镜像可能造成流量冲突不支持硬件时间戳,精确度低适用场景:
临时排障开发测试环境对实时性、完整性要求不高的流量观察什么是 TAP?
TAP(Test Access Point) 是一种硬件设备,直接串联在链路中,把过往数据完全复制给分析设备。
它像一块“透明玻璃”:数据包正常流过时,被悄悄“复制”一份下来,不干扰正常通信。
优点:
数据完整性强,不丢包不影响链路性能可加硬件时间戳,精度高长期部署更稳定可靠缺点:
需要额外硬件,增加成本安装需中断链路,部署相对繁琐数量多时需要规划配套管理设备适用场景:
数据中心骨干链路采集安全分析 / 合规审计场景要求高精度、高还原度的长期流量采集任务举个例子更直观
设想你想知道某条办公网络中“为什么某个时间段突然带宽打满”。
你有两个选择:
SPAN:你在交换机上打开镜像,把该端口流量复制到分析器。快速上线、马上可用,但高峰期容易丢包,不一定能抓住全部数据。
TAP:你插一个TAP设备在链路中,所有进出流量100%复刻,但安装要断网一次、买设备。
总结来说:
结语
SPAN 是快用快走的“软件镜像”,TAP 是长期可靠的“硬件镜像”。
临时用SPAN,长期跑分析、跑合规审计还是建议用TAP。
来源:犀思云
