Les deux points de vue se défendent en fonction des uses-cases.
Les taps (électriques) ont (pour la plupart) circuits de bypass, en cas
de coupure le flux prod n'est pas impacté. En optique c'est encore plus
simple, ils sont entièrement passifs, il suffit de faire attention au
budget optique, mais même en split ratio 50/50 je n'ai eu un soucis
qu'une fois et sur de la fibre qui avait déjà un soucis.
J'en installe depuis 10 ans sur les réseaux les plus sensibles et je
n'ai jamais eu le moindre soucis. (après oui c'est un équipement de
plus...)
C'est le seul moyen de ne pas altérer les informations envoyées sur les
équipements d'analyse : pas de pertes de paquets, pas de jitter induit
par les buffers des switchs et recopie des paquets mal formés niveau
Ethernet (possible de le voir sur les compteurs des switchs mais les
paquets sont discards avant d'être envoyé en SPAN dest.) De plus quand
on veut analyse du microburst, mieux vaut pas se faire avoir par les
buffer des switchs qui font du SPAN, et la pour faire de l'analyse micro
ou nano, il n'y a que le tap.
D'un autre côté le SPAN c'est facile, on interrompt pas la prod et on
peut être plus flexible et dynamique (encore plus sur du SDN avec des
règles Openflow bien faites). Par contre sur des gros liens fortement
chargés c'est l'assurance de perdre du paquet (pas sur la prod, quoique
les premières versions de certains switchs avaient des buffers partagés
entre prod et SPAN...c'était pas joli).
Je trouve que le meilleur compris c'est du SPAN sur du lien maîtrisé
pour du temporaire, et du tap sur du 24/24 et éventuellement passer par du
packet broker pour connecter le tout avant de connecter les équipements
d'analyse, mais comme toujours tout dépend de ce qu'on veut faire en
finalité, si c'est pour produire de la statistique de base, tous ces
problèmes de sont pas importants, si c'est pour faire de l'audit et du
troubleshooting fin alors là mieux vaut avoir une infra de monitoring
qui tient la route.
On Thu, Feb 18, 2021 at 02:37:37PM +0100, David Ponzone wrote:
Ouais enfin, avec la fonction port-mirror d’un switch, tu peux mettre ton TAP
pas en SPOF.
Et en plus tu vois pas que les flux d’un seul port.
Le 18 févr. 2021 à 14:23, Hugo SIMANCAS <hugo.siman...@data-expertise.com> a
écrit :
les TAP sont plus que cela car même en cas de coupure électrique le lien réseau
est conservé (ça évite le spof sur une sortie Internet)
C'est carrément du mirroring électrique à mon avis
/ ::1 Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com <https://www.data-expertise.com/>
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/
<https://conf.data-expertise.com/>
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
<https://pad.data-expertise.com/>
Les informations contenues dans ce courrier électronique sont confidentielles
et protégées par le secret professionnel. En tout état de cause, elles ne sont
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus.
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la
transmission de ce document. Si vous n'êtes pas le destinataire du présent
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des
copies, le divulguer ou le diffuser. La présence de cette note prouve également
que ce message électronique a été vérifié par un logiciel anti-virus.
Le 18/02/2021 à 13:43, Richard MATOS a écrit :
La question que je me pose c'est est-ce que les ports TAP sont juste des ports
ethernet simple en mode promiscuous ou ont ils une spécificité physique?
Merci
Le jeu. 18 févr. 2021 à 08:48, David Ponzone <david.ponz...@gmail.com
<mailto:david.ponz...@gmail.com>> a écrit :
L’OP essaie de diagnostiquer un problème de perfs sur un LAN/WAN, donc il a
besoin de toute sniffer, donc si Pi4 ne tient pas le wire-speed avec du trafic
Entreprise (donc 700-800 octets en moyenne)…
> Le 18 févr. 2021 à 04:56, Michel Py <mic...@arneill-py.sacramento.ca.us
<mailto:mic...@arneill-py.sacramento.ca.us>> a écrit :
>
>>>> Hugo SIMANCAS a écrit :
>>>> attention pour moi la donnée importante c'est le nombre de paquets à la
seconde, pas le débit. même si les deux sont liés
>
>>> Michel Py a écrit :
>>> Si c'est pas indiscret, tu pourrais nous expliquer pourquoi ? Est-ce que tu
essaies de diagnostiquer un problème lié à PPS ?
>
>> David Ponzone a écrit :
>> Mitchel, T’es fatigué ? :)
>
> Excuse moi, je viens de me réveiller de ma sieste.
> J'ai loupé quelque chose ?
>
> Michel.
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ <http://www.frnog.org/>
--
Richard MATOS
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Benoît
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
