概要：網絡監測、分析工具和入侵檢測設備（IDS）正被越來越多的企業網絡用戶重視并加以 大量使用，這在網絡商業應用（互聯網、電子商務、存儲網絡）日益發展的今天，選擇網絡 監測、分析工具尤顯重要。在交換網絡出現之前，網絡工程師可以方便直接的獲取網絡中的 數據，隨著交換網絡的快速發展，客觀上要求有更新的數據捕獲技術出現。到現在，盡管實 際上交換網絡已經發展了 10 多年，但在數據捕獲技術的應用上仍然參差不齊，下面將對通 過企業交換網絡獲得和讀取數據的兩種基本方法進行書面比較。一種是鏡像端口方式，一 種是在線分路器方式。我們將介紹這兩種方式的各自優缺點和推薦使用方向。

數據獲得技術：

在交換網絡中，為了監測、分析網絡性能有兩種有效的獲得數據的方法。
1、 鏡像端口（Mirroring 或 Spanning）：高級的網絡交換機可以將交換機的一個或幾個端口 的數據包復制到一個指定的端口，分析儀可以接到鏡像端口接受數據。
2、 分路器 TAP：分路器 TAP 可以插入到半/全雙工的 10/100/1000M 網絡鏈路中，可將這條 鏈路的全部數據信息復制到分析儀。
這兩種技術在網絡監測、分析時普遍應用，每一種技術都有其優、缺點。所以兩種技術在所 有網絡監測、分析任務中是根據需要來采用的。

鏡像端口

端口鏡像技術可在企業級交換機上全面應用，在交換機上有一個指定的鏡像端口以便于分析 儀的接入，交換機一個端口或幾個端口的流量通過背板復制到指定的目的端口，網絡管理員 可以靈活的指定所選哪個端口為鏡像端口。為了避免錯誤的流量進入網絡，許多交換機過濾 掉錯誤的數據包，所以這些數據包就不能在鏡像端口捕獲到，而且一些交換機限制鏡像一些 不規則的數據包。

端口鏡像的優勢
1、 經濟的，不需要額外的設備。
2、 可同時監測一個交換機上一個 VLAN 上所有的流量。
3、 一臺分析儀可監測多條鏈路。
4、 使用方便簡捷。

端口鏡像的劣勢
1、 多端口流量鏡像到一個端口上，可引起緩存過載及丟包現象。
2、 數據包通過緩存時會被重定時，就不可能精確的確定時間尺度，如：抖動、數據包間隔 分析、延遲。
3、 大多數據鏡像端口過濾掉不規則的數據包，這就不能為故障排查提供詳盡有用的數據信息。
4、 因為鏡像端口的流量使得交換機的 CPU 負載加重，所以會引起交換機工作性能下降。

端口鏡像技術的典型應用
1、在帶寬較低且能有較的進行鏡像的鏈路（如分發層或底層網絡），可以進行多端口鏡像來 實現方便靈活的監測、分析。
2、趨勢監測：不需要精確的監測，只要不定期的數據統計就可以的情況下。
3、 協議和應用分析：從一個鏡像端口可以方便、經濟的提供相關的數據信息
4、 整個 VLAN 監測：利用多端口鏡像技術可以方便的監測一個交換機上的一個 VLAN 的 全部。

分路器 TAP 的優勢

1、 捕獲 100%的數據包，沒有丟包。

2、 可監測到不規則的數據包，方便于故障排查。

3、 精確的時間戳，沒有延遲和重定時。

4、 一次安裝，可方便分析儀接入和移動。

分路器 TAP 的劣勢

1、 需額外花費購買分路器 TAP。

2、 一次只能看一條鏈路。

3、 占用機架空間。

分路器技術的典型應用

1、 商業鏈路：這些鏈路需要極短的故障排除時間，在這些鏈路中安裝上分路器 TAP，網絡 工程師可迅速查找、排除突發的問題。
2、 核心或骨干鏈路。它們具有高帶寬利用率，同時在接入、移動分析儀時不能中斷鏈路。 分路器 TAP 保證了數據 100%的捕獲而沒有丟包，為精確分析這些鏈路提供了性能保障。
3、 VoIP  QoS：VoIP 服務質量測試需要精確的抖動和丟包率度量。分路器 TAP 可完全保障 這些測試，但鏡像端口會改變抖動值，提供不真實的丟包率。
4、 故障查找、排除：保證您能監測到不規則數據包及錯誤的數據包的唯一方式。鏡像端口 會將這些數據包全部過濾掉，這樣就不能為工程師查找故障提供重要而完整的數據信 息。
5、 IDS 應用：IDS 依靠完整的數據信息來識別入侵模式，分路器 TAP 能提供可靠的、完整 的數據流給入侵檢測系統。
6、 服務器群：多端口分路器可以同時連接 8/12 條鏈路，并可實現遠程自由切換，方便于隨 時監測、分析。

結論

通常重要的鏈路和臨界的應用，更喜歡分路器的應用。分路器 TAP 能提供一個完整、精確 數據監測的接入點。鏡像端口通常用在總體趨勢的監測或希望能同時監測到多條鏈路信息的 應用。由于鏡像端口的緩存，同步、丟包率不能精確的度量，不能應用在 VoIP 及其它對時 間要求精確的度量上。