He estado buscando un toque de red de hardware como este para reemplazar un SPAN pseudopermanente que se está ejecutando en un conmutador Catalyst. Todos los grifos que encuentro tienen cuatro interfaces: A, B y dos puertos de salida (uno para cada dirección). Idealmente, preferiría canalizar el tráfico de ambas direcciones en un cable, por lo que solo tengo que capturar desde una interfaz. ¿Por qué los grifos siempre parecen tener dos puertos de salida?
tap
packet-analysis
Jeremy Stretch
fuente
fuente
Respuestas:
Las tomas de red de hardware proporcionan un puerto de salida en cada dirección para garantizar que el tráfico se pueda replicar a velocidad de línea. Por ejemplo, una conexión Ethernet de 100 Mbps proporciona un máximo teórico de 200 Mbps de ancho de banda total; 100 Mbps en cada sentido. Si intentó capturar el tráfico de una línea que transportaba 75 Mbps en cada dirección, necesitaría al menos 150 Mbps de ancho de banda unidireccional: más de una conexión de 100 Mbps puede transportar. Por lo tanto, los grifos incluyen dos puertos de salida que funcionan a la misma velocidad que la línea que se está monitoreando.
fuente
No todos los grifos son "pasivos". Mire algunas pestañas hacia abajo para ver los grifos de "agregación"
Sí, la razón citada más común es permitir el monitoreo de velocidad lineal, pero la verdad es mucho más simple ... no se necesita prácticamente ninguna lógica para reflejar individualmente la señalización eléctrica en cada dirección. (al menos para 10/100, el concierto usa los cuatro pares) [Tengo varios toques pasivos 10/100. La mayoría de ellos tienen quizás $ 5 de lógica en ellos. Los buenos grifos de agregación son pequeñas computadoras de alta velocidad.]
fuente
Como dijo Jeremy, solo puede tocar a velocidad de línea en una dirección porque las conexiones normales son full duplex; solo estás recibiendo. Un beneficio adicional / efecto secundario / razón para hacerlo es asegurarse de no volver a colocar ningún paquete en el cable (para tomas pasivas).
fuente