Пасивний оптичний TAP (точка доступу до трафіку) — це безпотужний вбудований апаратний пристрій, який розділяє світло на волоконно-оптоволоконному каналі для надсилання копії всього трафіку до засобу моніторингу. Він не потребує електрики, конфігурації та мікропрограми. Оскільки він працює на фізичному рівні, розділяючи фотони, він не може відкидати пакети, додавати затримку або ставати точкою збою, як це може зробити комутатор або пристрій з живленням.
Як працює пасивний оптичний кран
Всередині пристрою оптичний розгалужувач розділяє вхідне світло на два шляхи. У стандартному дуплексному волоконно-оптичному з’єднанні кожен напрямок (TX і RX) розділяється незалежно, виробляючи два виходи монітора - по одному на напрямок -, тому інструменти моніторингу бачать повну двонаправлену розмову.
Це процес-фізичного рівня. TAP не буферизує, не аналізує, не змінює та не передає жодних даних. Він просто розділяє світло. Порти монітора оптично ізольовані від мережевих портів, створюючи-односторонній шлях передачі даних. Навіть скомпрометований інструмент моніторингу не може повернути трафік або помилки назад у робоче посилання.
Втрата введення: основний компроміс
Розділене світло зменшує силу сигналу на шляху виробництва. Це зменшення називається внесеними втратами. На короткому каналі з’єднання центру обробки даних із великим оптичним запасом розділення 50/50 зазвичай не викликає проблем. У довшому одиночному-режимі, який уже працює поблизу порогу чутливості приймача, навіть розділення 70/30 потребує ретельної перевірки. Розрахунок оптичного бюджету до встановлення -, а не після - запобігає появі періодичних помилок через тижні чи місяці через старіння трансиверів.
Пасивний оптичний TAP проти активного TAP проти порту SPAN
| Пасивний оптичний кран | Активний TAP | Порт SPAN | |
|---|---|---|---|
| Необхідна потужність | немає | так | Ні (використовується вимикач живлення) |
| Режим відмови | Світло проходить наскрізь; посилання не працює | З’єднання може ненадовго втрачати живлення (залежить від конструкції байпасу) | Дзеркальний сеанс припиняється при перевантаженні комутатора або перезавантаженні |
| Повнота трафіку | 100%, включаючи помилкові кадри | 100% з регенерацією сигналу | Може скидати пакети під навантаженням; часто фільтрує помилкові кадри |
| Додано затримку | жодного | Мікросекунди (обробка) | Немає для моніторингу, але може завантажувати процесор комутатора |
| Охоронна поверхня | Немає - немає IP-адреси, немає інтерфейсу керування | Має прошивку та інтерфейс управління | Налаштовується через перемикач CLI/GUI |
| Найкраще підходить | Безперервний моніторинг волокна, де надійність і повнота є пріоритетними | Обмежений оптичний бюджет або посилання, які потребують регенерації сигналу | Тимчасове вирішення проблем або посилання без фізичного доступу через TAP |
Найважливіше обмеження SPAN: дзеркальне відображення має низький{0}}пріоритет на більшості комутаторів. Під високим навантаженням комутатор безшумно скидає дзеркальні пакети, створюючи сліпі зони в даних моніторингу саме в ті моменти, коли повне захоплення є найбільш важливим.
Типи пасивних оптичних відводів
За типом волокна
- Один-режим (OS2)- для-зв’язків на великі відстані (до десятків кілометрів). Використовує довжину хвилі 1310 нм або 1550 нм. Співвідношення розподілу 70/30 або 80/20 є звичайними для збереження обмежених оптичних бюджетів.
- Багатомодовий (OM3/OM4/OM5)- для коротких центрів обробки даних (до ~550 м) при 850 нм. Поділ 50/50 часто можливий завдяки великому оптичному запасу.
За типом роз'єму
- LC- стандарт для дуплексних з’єднань 1G і 10G. Найвища щільність портів у стійках-шасі.
- MPO/MTP- потрібно для паралельної оптики 40G SR4, 100G SR4 і 400G SR8. Підтримує конфігурації прориву для моніторингу окремих смуг.
- SC- старішого, більшого формату все ще можна знайти в деяких застарілих середовищах.
Як вибрати правильний пасивний оптичний кран
1. Зіставте тип оптоволокна та роз’єм
Одно-режимний та багаторежимний ТАР – це різні пристрої - вони не взаємозамінні. Роз’єм (LC, SC, MPO/MTP) також має відповідати вашому посиланню. Невідповідності потребують адаптерів, які додають непотрібні внесені втрати.
2. Виберіть коефіцієнт розподілу
| Співвідношення | Виробничий шлях | Шлях монітора | Типове використання |
|---|---|---|---|
| 50/50 | 50% | 50% | Короткі канали з’єднання центру обробки даних зі здоровим запасом; З’єднання 40G+, де інструментам моніторингу потрібен потужний сигнал |
| 70/30 | 70% | 30% | З’єднання 1G/10G на середніх-відстанях; найпоширеніший-коефіцієнт загального призначення |
| 80/20 або 90/10 | 80–90% | 10–20% | Довгі однорежимні -посилання з обмеженим бюджетом; Інструмент моніторингу повинен мати чутливий приймач |
3. Розрахуйте бюджет оптичного з’єднання
Цей крок запобігає більшості помилок розгортання. Перед покупкою:
- Знайдіть мінімальну вихідну потужність передавача та чутливість приймача в таблиці даних трансивера.
- Обчисліть загальне загасання волокна (відстань × втрати на км). Довідкові значення: ~3,5 дБ/км для багатомодового OM4 при 850 нм; ~0,4 дБ/км для одного-режиму при 1310 нм.
- Додайте втрати роз’єму (~0,2–0,5 дБ на сполучену пару для якісних роз’ємів).
- Додайте внесені втрати TAP для вибраного коефіцієнта розподілу.
- Включіть щонайменше 3 дБ системного запасу на старіння, ремонт і коливання температури.
- Переконайтеся, що загальні втрати залишаються в межах бюджету потужності трансивера.
Також переконайтеся, що приймач інструменту моніторингу достатньо чутливий, щоб працювати зі зниженою потужністю на порту монітора TAP.
4. Уникайте цих типових помилок
- Пропуск розрахунку бюджету- TAP, який пройшов стендове тестування, все ще може спричиняти помилки CRC на виробничій лінії з малим запасом.
- Вибір коефіцієнта розподілу лише для сторони монітора- поділ 50/50 дає сильніший сигнал моніторингу, але якщо маржа виробничої ланки невелика, це може підштовхнути живий шлях до надійного порогу.
- Забути про втрати роз’ємів і патч-панелей- кожна поєднана пара додає втрат. У сильно забрудненому середовищі вони накопичуються.
- Припускаючи, що всі пасивні TAP еквівалентні- два TAP з однаковим коефіцієнтом розподілу можуть мати різні характеристики внесених втрат. Перевірте таблицю даних.
Коли використовувати пасивний оптичний кран
- Вам потрібен безперервний, постійний-моніторинг на волоконно-оптичному з’єднанні з достатнім оптичним запасом.
- Повнота трафіку має значення - IDS, криміналістичне захоплення, журнал відповідності.
- Вам потрібен моніторинг, відокремлений від конфігурації комутатора та ресурсів комутатора.
- Вам не потрібна нульова енергозалежність і відсутність атакуваної поверхні керування.
- Структури відповідності (NERC CIP, PCI DSS, IEC 62443, HIPAA) вимагають розділення інфраструктури моніторингу та виробництва.
Коли пасивний оптичний кран не підходить
- Невеликий оптичний бюджет- якщо посилання вже близько до чутливості приймача, додаткове розділення може спричинити помилки. Замість цього використовуйте активний TAP з регенерацією сигналу.
- Ланки мідні- пасивні оптичні ТАР працюють лише на оптоволокні. Для моніторингу мідної мережі потрібен мідний порт TAP або SPAN.
- Потрібна маніпуляція трафікомДля - фільтрації, агрегації, дедуплікації або перетворення протоколів потрібен брокер пакетів або активний TAP у низхідній частині.
- Тимчасове усунення несправностей- сеанс SPAN налаштовується швидше, коли вам потрібно просто швидко переглянути посилання з низькою-критичністю.
Часті запитання
Чи потрібне живлення для пасивного оптичного ТАР?
Ні. Він повністю працює через оптичне розділення без активної електроніки.
Чи підтримує двонаправлений трафік?
так Кожен напрям дуплексного зв’язку розділяється незалежно, створюючи два виходи монітора.
Чи може це вплинути на виробничий трафік?
Він створює вставні втрати (зменшення потужності сигналу), але не може вводити трафік або помилки. Правильне планування оптичного бюджету гарантує, що виробнича ланка залишається здоровою.
Чи кращий пасивний TAP, ніж порт SPAN?
Для постійного моніторингу, де має значення повнота трафіку - так. Пасивний TAP захоплює 100% трафіку, включаючи кадри помилок, і ніколи не скидає пакети під навантаженням. Порт SPAN легше налаштувати без змін фізичного кабелю, але він безшумно відкидає дзеркальні пакети, коли комутатор зайнятий.
Як вибрати між 50/50 і 70/30?
Почніть з оптичного бюджету виробничої лінії. Короткі канали з’єднання центру обробки даних із-приймачами-передавачами високої потужності зазвичай можуть обслуговувати 50/50. Довші перспективи або обмежені бюджети вимагають 70/30 або вище. Завжди перевіряйте, чи виробничий приймач і приймач інструменту моніторингу мають достатній сигнал.
Чи можуть зловмисники виявити пасивний TAP?
Ні. Він не має IP-адреси, MAC-адреси та інтерфейсу керування. Він невидимий для будь-якого мережевого-сканування.
Скільки тривають пасивні TAP?
Вони не містять компонентів, які руйнуються під час використання. Розгортання зазвичай триває 10–20 років. Єдине технічне обслуговування – періодичне очищення оптоволоконного роз’єму.
