現(xiàn)在的網(wǎng)絡(luò)幾乎全部都采用交換技術(shù)，所以在獲取數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)分析時，我們常用的方法有以下三種：HUB、SPAN和TAP。本文將簡單介紹這三種方法的優(yōu)缺點。

HUB 有朋友認(rèn)為這很“弱智”，但這種方法卻是最早的數(shù)據(jù)包獲取方法。HUB是半雙工的以太網(wǎng)設(shè)備，在廣播數(shù)據(jù)包時，無法同時進(jìn)行反方向的數(shù)據(jù)流傳輸。而且，HUB一般只有百兆接口，隨著用戶網(wǎng)絡(luò)速率提升至千兆平臺，2000年以后就逐步遭到了淘汰。

優(yōu)點：實現(xiàn)簡單

缺點：1.降低鏈路一半以上的帶寬；2.導(dǎo)致錯誤沖突；3.無千兆方案；4.潛在網(wǎng)絡(luò)故障點。

SPAN 這是交換機本身就提供的一種功能，所以只要在交換機上進(jìn)行配置就可以了。但是這一功能會影響交換機的性能，當(dāng)數(shù)據(jù)過載時還會造成數(shù)據(jù)包的丟失，除此之外，一般的設(shè)備只有兩個SPAN口，無法同時滿足多個需求。

優(yōu)點：免費，無需額外投資

缺點：1.丟包問題（Span端口在交換機里的路由層級為低優(yōu)先權(quán)；全雙工監(jiān)測通常無法實現(xiàn)；不能監(jiān)測OSI第1.2層錯誤包）；2.對于避免網(wǎng)絡(luò)攻擊的隱蔽性有限；3.潛在網(wǎng)絡(luò)故障點。

TAP 是Test Access Point的首字母縮寫，是目前較流行的一種網(wǎng)絡(luò)數(shù)據(jù)獲取方法。即便是TAP電源掉電也不會中斷網(wǎng)絡(luò)連接，可提供全面可視的網(wǎng)絡(luò)數(shù)據(jù)流，對全線速的雙向會話進(jìn)行準(zhǔn)確無誤的監(jiān)測，并且無丟包和延遲。