<div dir="ltr"><div>Don't forget about the full duplex problem either.  A single 1Gb/s link can support 2Gb/s of bi-directional bandwidth.  The port mirror will only have the original 1Gb/s of bandwidth available.<br><br>

</div>Jake G.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 9, 2013 at 8:28 AM, Duarte Silva <span dir="ltr"><<a href="mailto:duarte.silva@serializing.me" target="_blank">duarte.silva@serializing.me</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
one of the problems with port mirroring (SPAN) is that you're allways limited<br>
by the speed of the port to where you're copying the traffic too. For example,<br>
if you're mirroring 4 ports that in total are handling 3,5 Gbps of traffic and<br>
copying that traffic to a 1 Gbps port, you will observe packet loss (2,5 Gbps of<br>
it).<br>
<br>
The port to where the traffic is copied allways needs to be able to handle all<br>
the traffic of all the other ports together. Note that the Suricata server also<br>
needs to have a network card that is able to handle those loads.<br>
<br>
Best regards,<br>
Duarte Silva<br>
<div class="HOEnZb"><div class="h5"><br>
On Thursday 09 May 2013 15:10:32 Travel Factory S.r.l. wrote:<br>
> We are using VLAN RSPAN to mirror traffic but we are having packets<br>
> drop on the switches (not on suricata server) and can't understand<br>
> why.<br>
> So I'm looking for somebody that succesfully uses VLAN RSPAN to know<br>
> which traffic load he can achieve.<br>
><br>
> Thanks<br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</div></div></blockquote></div><br></div>