我最近开始研究网络监控解决方案。我已经在我们的思科催化剂上配置了 SPAN,它工作正常,但我也一直在阅读有关分接头的文章。我看到的大多数文章都提到成本是主要缺点。除非我错过了这项技术的某些方面,否则它似乎可以用一台普通 PC 和三个 NIC(输入、输出和监控端口)来实现。这样的事情存在吗,还是我错了?
答案1
你可以做一些简单而被动的事情,比如飞镖网络水龙头或同等由插孔和电线制成。它不适用于千兆以太网,但它是一个非常便宜的小玩意儿(如果你用你手边的电线和插孔自己制作一个,则是免费的)。
就主动水龙头而言,我一直有兴趣尝试一些价格非常合理的产品DualComm 技术(这款 USB 供电的千兆以太网分接头看起来甜的!)。我个人没有使用过它们,所以我不能保证它们的效果如何,但它们看起来非常漂亮。
我经常在笔记本电脑上桥接 NIC,以主动分路器的形式嗅探流量。这是完全可行的。您可以使用 Linux 中的桥接代码来执行类似操作。几年前,我们为这样的客户进行了长期 WAN 电路协议分布分析 - 嗅探和编译Linux 接口tcpdump上的千兆和千兆捕获br,然后处理它们。如果您不使用专用分路器,主要缺点是“主动分路器”计算机发生故障可能会导致被分路设备断开连接。对于长期应用,最好使用具有锁存继电器的分路器,以允许您的分路器断电/发生故障而不会中断连接。