兴安盟西门子工业自动化授权总经销商---西门子授权一级代理商SIEMENS

我想这是大家经常使用的一种现场捕捉报文的方法。这种方式有一定的弊端，需要大家提前了解，这样才能更好的进行报文的分析。

01

交换机会对错误的报文进行过滤，网络中出现的错误报文是不会被捕捉到的，这意味在这种条件下，你可能无法判断错误报文所带来的原因，例如EMC干扰。

02

带宽的问题，图例中交换机的端口是百兆全双工，那么对于端口1和端口2的数据交互的带宽总量是200M（发送和接收的总和），因为端口1的数据全部被映像到端口3，而端口3的带宽Zui多是100M，这意味着当端口1的网络负荷超过50M的时候，捕捉的报文就会失真。

03

当捕捉PN IORT的报文时，需要对PC侧网卡进行设置，因为默认的状态下网卡会对报文中的VLAN标签是去除的，只有对网卡进行正确设置才能看到报文中的VLAN标签。

04

不能使用普通的交换机，例如SCALANCE X208进行捕捉PNIRT的报文，需要使用IRT的交换机，只能捕捉一侧的数据报文，要么是发送的，要么是接收的，不能接收到发送和接收的数据。

05

端口镜像不能一定保证被捕捉数据顺序的准确性，因为照镜子的过程需要复原，这个过程交换机可能会对报文顺序的处理产生错误。例如下图是正确的TCP的3次握手的报文顺序。

而端口镜像的方式可能扑捉到错误的TCP3次握手的结果。例如下图中对比正确的上图中的[SYN]和[SYN，ACK]两个报文的顺序发生了变化。这一点需要你事先要理解协议的工作原理，发生这种情况要有个心里准备，知道这是什么原因造成的，而不是认为TCP连接发生错误！

那么说了这么多弊端，大家可能就会说这种方式我不能用了，或者这种方式没有什么用啊等等。这里我需要和大家澄清的是这种方式是目前性价比zuijia的方式，没有之一。因为在你的网络中，管理型的交换机可能随处都有，需要设置端口镜像就能进行报文捕捉，没有，备用一台管理型交换机，需要监控哪一段网络，就放置到哪里，简单方便。我所说的弊端都是有条件的，例如VLAN标签的去除，你要想我是否需要捕捉到VLAN标签，它对我的用处是什么，还有带宽问题，你确信你要监控的网段带宽会超过50M？我想99%的现场不会出现，更何况你也不会让它出现。去除这些在某些条件下的弊端，这是目前对于大家zuihao的报文捕捉方式！

当然，西门子也有其它方式解决上述出现的弊端。在这里给大家推荐一个西门子专业的捕捉报文的硬件和软件，它们就是硬件为BUSANALYZER XM，软件为BanyScope。硬件实际上就是一个TAP，软件用于网络数据分析，如果需要查看报文，仍然需要使用Wireshark工具。具体的连接方式，这里给大家看一个简单的网络拓扑的实例。

对于使用BUS ANALYZER XM模块时，需要在PC侧安装BanyScope软件配合使用。因为硬件模块内部集成TAP，捕捉报文的结果即所见即所得，交换机捕捉报文时带来的上述缺点都不复存在了