IT系统运维监控--相关知识汇总

1、  什么是SPAN

百度链接：

http://baike.baidu.com/link?url=RYdku_OTsiMdPaOlnLuO9sa7U7McydVUmTvZzec7V3fJjXJRVHu5KWx74gxFSp6-TgDUl59vd050DmVUCA_HFK

SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched PortAnalyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和 监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。

简介

SPAN，全称为Switched Port Analyzer，直译为交换端口分析器。是一种交换机的端口镜像技术。作用主要是为了给某种网络分析器提供网络数据流，SPAN并不会影响源端口的数据交换，它只是将源端口发送或接收的数据包副本发送到监控端口。

RSPAN（Remote SPAN），即远程SPAN，和SPAN类似，但可以跨越交换网络为多层交换机提供远程监控。

详解

SPAN Session--SPAN会话

SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出流量及VLAN的外出流量进行监控，可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，

但只要相关的接口被打开，SPAN就会变为活动的。

监控端口最好是>=受控端口的带宽，否则可能会出现丢包的情况

SPAN Traffic--SPAN的流量

使用本地SPAN可以监控所有的网络流量，包括multicast、bridge protocol data unit (BPDU)，和CDP、VTP、DTP、STP、PagP、LACP packets.RSPAN不能监控二层协议。

2、  监控工具

Sniffer、IDS、Imperva、NetScout、NetisDali、WinPacp、splunk

3、  Gigamon实现方案

Gigamon的技术实现

GigaVUE的架构设计

1. 基于ASIC硬件的带外数据接入设备，不基于软件，没有操作系统，没有CPU，采用模块化设计，所有的端口/电源/风扇均为模块化，支持热插拔

2. 专用的，无拥塞的，交叉连接硬件交换，基于电路交换，端口到端口之间低时延(低于8微妙)

GigaVUE的强大功能

1. 线速性能：单一设备支持超过4000条的过滤/映射规则开启所有过滤时，所有端口都完全实现100%的线速性能。

2. 端口灵活定义：所有端口均可定义为数据输入或输出端口，灵活适应各种业务需求和变化

3. 高扩展性

−       模块化扩展

−       快速适应增长的更复杂的业务要求

−       支持堆叠，最大可堆叠至23台

4. 智能过滤能力

能对数据包128字节报头进行过滤

−       允许（allow）或阻止（deny）模式匹配

−       同时使用“and”（与）或“or”（或）模式

基于硬件的过滤几乎消除了延时。

             技术亮点：

1. 数据包切片：切片后，使数据包的私密性更为安全，减轻了监测设备的处理压力，减少开销损耗，提高了监测工具的工作效率

2．屏蔽关键词：对数据包中的私密信息部分进行屏蔽修改，防止了私密保证了商业安全。

3. 数据包时间戳：对于从Network port进入的数据包，在包头或包尾部分加入时间戳，以实现数据包的时间性。便于基于标准时间来对网络事件进行分析，实现了分析的准确性和实时性。

4.源端口标签：对于从Network port进入的数据，在包头或包尾加入network port标签可以区分出每个数据包来自于网络中的哪条链路，快速准确的分析出是哪条链路出现故障。

4、  监控管理

5、  然而近年来随着技术的发展，基于网络旁路数据监控的业务系统监控方式得到了行业内运维者的广泛认可：这种方式具有不需要对业务系统进行改造、无运行风险、实时性高、部署快速等传统应用管理方案所不具备的优势。