当需要对网络中的流量进行监控，例如用户上网行为分析、异常流量监测、网络应用监控等，就需要收集网络流量，这里说收集可能不太准确，实际上就是copy一份当前网络流量发送给监控设备，当然这里的copy要讲究实时性。网络分流器，又称network tap，就是做这个工作的，下面先看下关于网络分流器的定义：

A network tap is a hardware device which provides a way to access the data flowing across a computer network.（from wikipedia）

网路分流器(Network Tap)，也叫做测试接入端口(TAP，Test Access Port)，是一个硬件设备，它直接插入到网络电缆和发送一份网络通信给其它设备。网络分流器通常用于网络***检测系统(IPS)，网络探测器和分析器。给网络设备复制通信现在典型的由通过交换端口分析器(SPAN端口)完成，在网络交换中也称作端口镜像。（from http://www.javvin.net/networkterms/NetworkTap.php）

Network taps are used to create permanent access ports for passive monitoring. A tap, or Test Access Port, can be set up between any two network devices, such as switches, routers and firewalls. It can function as an access port for monitoring device used to collect in-line data, including Intrusion detection system, Intrusion prevention system deployed in passive mode, protocol analyzers and remote monitoring tools. (from NetOptics).

从上面的三个定义中，我们基本上可以得出网络分流器(Network tap)的几个特征：

硬件、在线、透明

下面就专门介绍一下这几个特性：

1、它是一个独立的硬件，也正因为此，它不会对已有网络设备的负载带来任何影响，这与端口镜像等方式相比具有极大的优势

2、它是一种在线（in-line）的设备，简单一点说就是它需要串接到网络中，这个可以理解，如果旁接的话，又怎么能看到不经过自己的网络流量呢？但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，当然具体中断的影响需要看它部署的地方。

3、透明的含义是指针对当前网络。接入网络分流器后，对于当前网络中的所有设备，没有任何影响，对于它们而言完全是透明的，当然这也包含网络分流器将流量送给监控设备，这个监控设备对网络而言也是透明的，这就好像你在某个电源插座上新接入了一个新的电器一样，对其它已有电器而言，没有任何影响，包括你最后又把这个电器移走，突然想起一首诗，“挥一挥衣袖，不带走一片云彩”......

很多人熟悉端口镜像（port mirroring)，是的，端口镜像也能达到同样的效果，下面比较一下，网络分流器与端口镜像：

1、由于交换机的端口本身会对一些错误包、size太小的包做过滤，所以端口镜像并不能保证可以获取到所有的流量，而分流器因为是通过物理层面的完整“复制”，所以保证了数据的完整性

2、在实时性方面，在一些低端的交换机上，端口镜像在将流量拷贝至镜像端口时，可能会引入延迟，在将10/100M的端口拷贝至giga端口时，也会引入延迟

3、在接口的要求方面，端口镜像要求镜像端口的带宽要大于等于所有其他被镜像端口的带宽之和，而这种要求未必所有交换机都能够满足

4、端口镜像需要在交换机上做配置，一旦需要监控的地方需要调整，则需要对交换机重新进行配置，而分流器则只需要调整其位置即可，对已有网络设备没有任何影响。

未完待续......