SPAN-агрегация и пакетные брокеры. Дедупликация пакетов

Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.

Реалистичность математики производительности пакетных брокеров

Навеяно, опять же, семинаром IXIA. Поскольку на таких мероприятиях часто рассказывают некоторые довольно рекламные вещи, приходится потом искать информацию самостоятельно, чтобы перепроверить и проанализировать.

Я заметил на опыте работы с решениями SPAN-агрегации определенные несовместимости.

Рассмотрим на примере одной из моделей IXIA, но это применимо и к другим производителям, использующих ту же математику.

1. Пропускная способность. 

Возьмем решение, к примеру, IXIA xStream 10. В спецификации говорится, что пропускная способность фабрики - 480 Gbps

при количестве портов 24 по 10 Gbps.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 2. Определение производительности

Обработка сетевого трафика системами обнаружения и предотвращения вторжений в корпоративных сетях, как правило, производится без потенциального влияния на сетевые сервисы, то есть, в режиме IDS (Intrusion Detection Systems). IDS также может быть интегрирован с активным сетевым оборудованием для возможности временной блокировки хостов и подсетей, генерирующих трафик, определяемый как вредоносный (IDS shun). Реже используются системы предотвращения вторжений в режиме IPS (Intrusion Prevention Systems), полностью пропускающие через себя трафик (inline IPS), либо с возможностью внедрения в TCP-сессию и принудительного ее обрыва посредством отсылки TCP RST-пакетов участникам сессии. Рассмотрим общие характеристики режимов IDS и IPS с точки зрения интеграции сетевых сенсоров в существующую корпоративную сеть.