ポートのミラーリングにより、レイテンシが増加しますか？

ホストAからBにトラフィックをスイッチで送信している場合、ミラー/ SPANポートを有効にすると、フレームがAからBに到達するのにかかる時間が長くなりますか？

Nb：ミラーリングされたフレームが監視ホストに到達するのにかかる時間については心配していません。タイムクリティカルな環境でネットワークのパフォーマンスに影響するかどうか疑問に思っています。

誰かこれをテストしましたか？（これに関する投稿/論文へのリンクも歓迎します）

通常、シスコによれば、「高速スイッチングファブリックへの影響は無視できるほどです」。

もちろん、これはスイッチ、そのファブリック、およびスイッチ自体の負荷によって異なります。ただし、オーバーサブスクライブが多すぎる場合、コピーされたデータが送信されるポートはパケットをドロップする可能性があります。個人的には、ミラーリングやSPANを使用することで、なんらかの損害を経験したことはありません。

いくつかの猫の行の主題についての直接のシスコからのドキュメントは次のとおりです。http：//www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41。 html＃anc48

集約トラフィックが宛先（つまり、監視ポート）の能力を超えると、送信元（つまり、監視対象ポート）に影響を与える可能性があります。最初に考えていたリファレンスはありませんが、別の方法があります。SPANポートからのバックプレッシャーです。

したがって、パケットキャプチャデバイス（またはIDS / IPSなど）にスパンする10ギガポートのサーバーがあるとします。監視デバイスも10ギガのインターフェイス上にあります。

SPANをセットアップするときは、送信（スイッチインターフェイスからサーバーに向かう）、または受信（サーバーからスイッチへ）、またはその両方のSPANを選択できることに注意してください。通常、会話の両側を確認する必要があるため、送信と受信の両方をスパンすることを選択します。

サーバーが非常にビジーで、送信ストリームと受信ストリームの両方が非常にいっぱいで、各方向で常に5ギガを超えているとします。

次に、5ギガを超える2つのストリームを、SPAN宛先ポートを介して監視デバイスに送信します。SPAN宛先に送信されるトラフィックの合計は10ギガを超えます。ただし、そのインターフェイスは監視デバイスに対してのみ10ギガです。それで何が起こるのでしょうか？シスコのドキュメントでは、最初はインターフェイスの送信バッファからモニタリングデバイスに向かうパケット（つまり、SPAN宛先送信バッファ）がドロップされると述べたことを思い出します。ただし、長時間持続するトラフィックストリームの場合、最終的にスイッチが送信バッファから過剰なトラフィックをドロップする機能は使い果たされます（実際にはそうではなく、またそうではありませんでした）。次に、スイッチは、802を使用した「背圧」など、他のメカニズムを使用してフローを減らします。

これで、ソーストラフィックに影響が出ました。悪いことが起こります。

この問題は、SPANのソースが多数ある大規模で高速な非常に遅延の少ないネットワークにとって特に重要です。これは主要な考慮事項であり、光TAPSの多くのソースを持つSPANセッションの使用を置き換え、集約スイッチにインバウンドACLを供給し（対象トラフィックをフィルタリング）、そのインバウンドトラフィックを複数の10ギガ専用パケットコンシューマーにトランキングしました（データ用）アーカイブと分析のニーズ）。

話の教訓：多くのSPANソースを使用する場合は、txとrxの両方の合計帯域幅が、キャプチャデバイスの帯域幅よりも小さいことを確信してください。

これがSPANポートの使用に関するまともな論文です