流量采集方式（TAP分流器、端口镜像）

流量采集方式（分光器、端口镜像）

流量采集方式

IP网中流量采集方式很多，例如端口镜像、WCCP协议（Web Cache Communication Protocol）流量重定向、分光器采集、四层交换机的流量重定向等。

这里主要介绍比较流行的两种：分光器和端口镜像

分光器（Optical Splitter）

对于某些节点，宽带接入服务器通过光口GE链路直接与核心路由器相连，宽带接入服务器及核心路由器均不支持端口镜像，这时采用分光器进行流量采集比较好。当某些节点的核心交换机、汇聚层交换机没有足够的GE端口，就不适合采用端口镜像进行流量采集，或希望在出口采集网络流量，就可以采用分光器进行流量采集，分光器是一种无源光器件，通过在物理层上进行光复制来进行用户访问请求数据的采集。

优点：

性能好：可支持GE在2.5Gbps POS链路上通过分光器进行流量采集

故障保护：当采集系统故障时，对现有网络及业务无任何影响

无需修改现有网络设备的任何配置，不改变网络结构，可采集到所有的网络流量，和网络无缝集成

缺点：

需要将设备的上联光纤改为分光器，这涉及到一次简单的网络割接，这将导致网络瞬时中断（不超过5秒钟），对业务有细微的影响

端口镜像（Port Monitoring）

通过在网络的核心层或汇聚层交换机上设置端口镜像，将交换机上联端口的出境流量复制（镜像）一份到Openet BSMP前置机上，即可采集到所有用户访问网络的请求。目前，绝大部分中高端交换机均支持端口镜像功能，如Cisco Catalyst 序列、3Com CoreBuilder序列、华为的S8000序列、Foundry的BigIron 4000/8000序列、Extreme的BD6800/AP3800序列等

优点：

成本低廉，不需要增加任何网络设备；

启动端口镜像会话(Session)时，对交换机的性能基本无影响；

可从交换机上采集到所有用户访问请求数据；

故障保护，当采集系统或前置机出现故障时，对现有的网络和业务没有任何影响。

缺点：

占用交换机端口：采集系统需要和交换机直连，将占用交换机一定数量的GE和FE端口；

需要修改交换机配置：需要修改交换机的配置，将合适的流量复制到镜像端口，但在修改配置时不会对交换机性能和业务有影响；

什么是 SPAN？

SPAN（Switched Port Analyzer），中文叫端口镜像。

它是交换机上的一种功能：你可以指定一（些）端口，把它们的进出流量复制一份，再镜像到另一个接口上（比如接流量采集设备）。

优点：

成本低，只需要配置交换机，不需要额外硬件

灵活配置，可以快速变更镜像端口或策略

适合临时排障、调试、小规模部署

缺点：

存在丢包风险：交换机处理镜像流量是“顺带”，优先级低，镜像口可能收到不完整数据

容易引入干扰：多个端口合并镜像可能造成流量冲突

不支持硬件时间戳，精确度低

适用场景：

临时排障

开发测试环境

对实时性、完整性要求不高的流量观察

什么是 TAP？

TAP（Test Access Point） 是一种硬件设备，直接串联在链路中，把过往数据完全复制给分析设备。

它像一块“透明玻璃”：数据包正常流过时，被悄悄“复制”一份下来，不干扰正常通信。

优点：

数据完整性强，不丢包

不影响链路性能

可加硬件时间戳，精度高

长期部署更稳定可靠

缺点：

需要额外硬件，增加成本

安装需中断链路，部署相对繁琐

数量多时需要规划配套管理设备

适用场景：

数据中心骨干链路采集

安全分析 / 合规审计场景

要求高精度、高还原度的长期流量采集任务

举个例子更直观

设想你想知道某条办公网络中“为什么某个时间段突然带宽打满”。

你有两个选择：

SPAN：你在交换机上打开镜像，把该端口流量复制到分析器。快速上线、马上可用，但高峰期容易丢包，不一定能抓住全部数据。

TAP：你插一个TAP设备在链路中，所有进出流量100%复刻，但安装要断网一次、买设备。

结语

SPAN 是快用快走的“软件镜像”，TAP 是长期可靠的“硬件镜像”。

临时用SPAN，长期跑分析、跑合规审计还是建议用TAP。