Pasivní optický TAP (traffic access point) je bezmocné, inline hardwarové zařízení, které rozděluje světlo na optickém spoji a posílá kopii veškerého provozu do monitorovacího nástroje. Nevyžaduje žádnou elektřinu, žádnou konfiguraci a žádný firmware. Protože funguje na fyzické vrstvě dělením fotonů, nemůže zahazovat pakety, přidávat latenci nebo se stát bodem selhání jako přepínač nebo napájené zařízení.
Jak funguje pasivní optický TAP
Uvnitř zařízení je optický splitter rozdělující příchozí světlo do dvou cest. Na standardním duplexním optickém spoji je každý směr (TX a RX) rozdělen nezávisle a vytváří dva monitorové výstupy - jeden na směr -, takže monitorovací nástroje vidí celou obousměrnou konverzaci.
Toto je proces fyzické-vrstvy. TAP neukládá do vyrovnávací paměti, neanalyzuje, neupravuje ani nepřenáší žádná data. Jednoduše rozděluje světlo. Porty monitoru jsou opticky izolovány od síťových portů a vytvářejí tak-jednosměrnou datovou cestu. Dokonce ani kompromitovaný monitorovací nástroj nemůže vrátit provoz nebo chyby zpět do produkčního spojení.
Ztráta vložení: Základní kompromis
Rozdělení světla snižuje sílu signálu na výrobní cestě. Toto snížení se nazývá vložný útlum. Na krátkém spojení datového centra se spoustou optické rezervy rozdělení 50/50 obvykle nezpůsobuje žádné problémy. Při delším provozu v jednom režimu, který již funguje blízko prahu citlivosti přijímače, vyžaduje pečlivé ověření i rozdělení 70/30. Výpočet optického rozpočtu před instalací -, nikoli po -, zabrání tomu, aby se občasné chyby objevily o týdny nebo měsíce později, protože vysílače a přijímače stárnou.
Pasivní optický TAP vs. aktivní TAP vs. SPAN port
| Pasivní optický TAP | Aktivní TAP | Port SPAN | |
|---|---|---|---|
| Potřebné napájení | Žádný | Ano | Ne (používá vypínač) |
| Režim selhání | Světlo prochází; odkaz zůstane nahoře | Spojení může při ztrátě napájení krátce přepadnout (závisí na konstrukci bypassu) | Relace zrcadlení se zastaví při přetížení přepínače nebo restartu |
| Úplnost provozu | 100 %, včetně chybových snímků | 100% s regenerací signálu | Může zahazovat pakety při zatížení; často filtruje chybové rámce |
| Přidána latence | Žádný | Mikrosekundy (zpracování) | Žádné k monitorování, ale může zatížit přepínací CPU |
| Bezpečnostní povrch | Žádná - žádná IP, žádné rozhraní pro správu | Má firmware a rozhraní pro správu | Konfigurováno pomocí přepínače CLI/GUI |
| Nejlépe sedí | Nepřetržité monitorování vláken, kde je prioritou spolehlivost a úplnost | Napjaté optické rozpočty nebo spoje vyžadující regeneraci signálu | Dočasné odstraňování problémů nebo odkazy bez fyzického přístupu TAP |
Nejdůležitější omezení SPAN: zrcadlení je funkce s nízkou{0}}prioritou na většině přepínačů. Při velkém zatížení přepínač tiše zahazuje zrcadlené pakety a vytváří slepá místa ve vašich monitorovacích datech přesně ve chvílích, kdy je úplné zachycení nejdůležitější.
Typy pasivních optických TAP
Podle typu vlákna
- Jeden-režim (OS2)- pro dálkové-linky (až desítky kilometrů). Používá vlnové délky 1310 nm nebo 1550 nm. Dělicí poměry 70/30 nebo 80/20 jsou běžné pro zachování napjatých optických rozpočtů.
- Multimode (OM3/OM4/OM5)- pro krátké datové centrum (až do ~550 m) při 850 nm. Rozdělení 50/50 je často možné díky velkorysé optické rezervě.
Podle typu konektoru
- LC- standard pro duplexní propojení 1G a 10G. Nejvyšší hustota portů v šasi pro montáž-do racku.
- MPO/MTP- je vyžadováno pro paralelní optiku 40G SR4, 100G SR4 a 400G SR8. Podporuje konfigurace breakout pro sledování jednotlivých jízdních pruhů.
- SCV některých starších prostředích se stále vyskytuje - starší větší formát.
Jak vybrat správný pasivní optický TAP
1. Přizpůsobte typ vlákna a konektor
Jedno{0}}režimové TAP a vícerežimové TAP jsou různá zařízení - a nelze je vzájemně zaměňovat. Konektor (LC, SC, MPO/MTP) musí také odpovídat vašemu propojení. Neshody vyžadují adaptéry, které zvyšují zbytečnou ztrátu vložení.
2. Vyberte Split Ratio
| Rozdělovací poměr | Výrobní cesta | Sledovat cestu | Typické použití |
|---|---|---|---|
| 50/50 | 50% | 50% | Krátké propojení datových center se zdravou rezervou; Odkazy 40G+, kde monitorovací nástroje potřebují silný signál |
| 70/30 | 70% | 30% | spojení 1G/10G na středně dlouhé{2}}vzdálenosti; nejběžnější obecný-poměr |
| 80/20 nebo 90/10 | 80–90% | 10–20% | Dlouhá propojení s jedním-režimem s omezenými rozpočty; monitorovací nástroj musí mít citlivý přijímač |
3. Vypočítejte rozpočet optického spoje
Tento krok zabrání většině selhání nasazení. Před nákupem:
- Vyhledejte minimální výstupní výkon vysílače a citlivost přijímače v datovém listu transceiveru.
- Vypočítejte celkový útlum vlákna (vzdálenost × ztráta na km). Referenční hodnoty: ~3,5 dB/km pro OM4 multimode při 850 nm; ~0,4 dB/km pro jeden-režim při 1310 nm.
- Přidejte ztráty konektoru (~0,2–0,5 dB na sdružený pár pro kvalitní konektory).
- Přidejte vložný útlum TAP pro zvolený dělicí poměr.
- Zahrňte alespoň 3 dB rezervy systému pro stárnutí, opravy a teplotní výkyvy.
- Potvrďte, že celková ztráta zůstane v rámci energetického rozpočtu transceiveru.
Ověřte také, že přijímač monitorovacího nástroje je dostatečně citlivý, aby fungoval se sníženým výkonem na monitorovacím portu TAP.
4. Vyvarujte se těchto běžných chyb
- Přeskočení výpočtu rozpočtu- TAP, který projde testovacím testem, může stále způsobovat chyby CRC na produkčním spojení s malou rezervou.
- Výběr poměru rozdělení pouze pro stranu monitoru- rozdělení 50/50 poskytuje silnější monitorovací signál, ale pokud je marže produkčního odkazu malá, může posunout živou cestu pod svou spolehlivou hranici.
- Zapomeňte na ztráty konektorů a patch panelů- každý spárovaný pár přidá ztrátu. V silně záplatovaném prostředí se tyto hromadí.
- Za předpokladu, že všechny pasivní TAP jsou ekvivalentní- dva TAP se stejným dělicím poměrem mohou mít různé specifikace ztráty vložení. Zkontrolujte datový list.
Kdy použít pasivní optický TAP
- Potřebujete nepřetržité{0}}sledování na optickém spoji s dostatečnou optickou rezervou.
- Na úplnosti provozu záleží - IDS, forenzní zachycení, protokolování souladu.
- Chcete monitorování oddělené od konfigurace přepínače a prostředků přepínače.
- Potřebujete nulovou závislost na napájení a žádný napadnutelný povrch pro správu.
- Rámce shody (NERC CIP, PCI DSS, IEC 62443, HIPAA) vyžadují oddělení monitorovací a produkční infrastruktury.
Když pasivní optický TAP není to pravé
- Napjatý optický rozpočet- pokud je odkaz již blízko citlivosti přijímače, další rozdělení může způsobit chyby. Místo toho použijte aktivní TAP s regenerací signálu.
- Měděné odkazy- pasivní optické TAP fungují pouze na vláknech. Monitorování mědi vyžaduje měděný port TAP nebo SPAN.
- Nutná dopravní manipulace- filtrování, agregace, deduplikace nebo převod protokolu vyžaduje zprostředkovatele paketů nebo aktivní TAP.
- Dočasné odstraňování problémů- nastavení relace SPAN je rychlejší, když se potřebujete rychle podívat na odkaz s nízkou{1}}kritickostí.
Často kladené otázky
Vyžaduje pasivní optický TAP napájení?
Ne. Funguje výhradně prostřednictvím optického dělení bez aktivní elektroniky.
Podporuje obousměrný provoz?
Ano. Každý směr na duplexním spoji je rozdělen nezávisle a vytváří dva monitorové výstupy.
Může to ovlivnit provoz ve výrobě?
Zavádí ztrátu vložení (snížená síla signálu), ale nemůže způsobit provoz nebo chyby. Správné plánování optického rozpočtu zajišťuje, že produkční spojení zůstane zdravé.
Je pasivní TAP lepší než SPAN port?
Pro nepřetržité sledování tam, kde záleží na úplnosti provozu - ano. Pasivní TAP zachycuje 100 % provozu včetně chybových rámců a nikdy nezahazuje pakety při zatížení. Port SPAN se snadněji nastavuje bez fyzických změn kabeláže, ale tiše zahazuje zrcadlené pakety, když je přepínač zaneprázdněn.
Jak si mohu vybrat mezi 50/50 a 70/30?
Začněte z optického rozpočtu produkčního spoje. Krátká propojení datových center s-vysílači a přijímači obvykle zvládnou 50/50. Delší běhy nebo přísnější rozpočty vyžadují 70/30 nebo vyšší. Vždy ověřte, že produkční přijímač i přijímač monitorovacího nástroje mají dostatek signálu.
Mohou útočníci detekovat pasivní TAP?
Ne. Nemá žádnou IP adresu, MAC adresu ani rozhraní pro správu. Je neviditelný pro jakékoli síťové-prohledávání.
Jak dlouho vydrží pasivní TAP?
Neobsahují žádné složky, které se používáním zhoršují. Nasazení obvykle trvají 10–20 let. Jedinou údržbou je občasné čištění vláknového konektoru.
