Pasivni optički TAP (traffic access point) je nemoćni, ugrađeni hardverski uređaj koji dijeli svjetlo na fiber linku kako bi poslao kopiju cjelokupnog prometa alatu za nadzor. Ne zahtijeva struju, konfiguraciju i firmver. Budući da radi na fizičkom sloju dijeljenjem fotona, ne može ispustiti pakete, dodati latenciju ili postati tačka kvara kao što to može prekidač ili uređaj sa napajanjem.
Kako radi pasivni optički TAP
Unutar uređaja, optički razdjelnik dijeli dolaznu svjetlost na dva puta. Na standardnom duplex fiber linku, svaki smjer (TX i RX) se dijeli nezavisno, proizvodeći dva izlaza monitora - jedan po smjeru - tako da alati za nadzor vide potpuni dvosmjerni razgovor.
Ovo je proces fizičkog-sloja. TAP ne baferuje, analizira, modifikuje ili ponovo prenosi podatke. Jednostavno deli svetlost. Portovi monitora su optički izolovani od mrežnih portova, stvarajući jednosmjernu-putu podataka. Čak ni kompromitovani alat za praćenje ne može ubaciti saobraćaj ili greške nazad u proizvodnu vezu.
Gubitak umetanja: Osnovni kompromis
Podijeljeno svjetlo smanjuje snagu signala na proizvodnom putu. Ovo smanjenje naziva se insercijskim gubitkom. Na kratkoj vezi centra podataka sa dosta optičke margine, podela 50/50 obično ne uzrokuje probleme. Na dužem jednom- načinu rada koji već radi blizu praga osjetljivosti prijemnika, čak i podjela 70/30 zahtijeva pažljivu validaciju. Izračunavanje optičkog budžeta prije instalacije - a ne nakon - sprječava pojavljivanje povremenih grešaka sedmicama ili mjesecima kasnije kako primopredajnici stari.
Pasivni optički TAP u odnosu na aktivni TAP u odnosu na SPAN port
| Pasivni optički TAP | Aktivan TAP | SPAN Port | |
|---|---|---|---|
| Potrebna snaga | br | Da | Ne (koristi napajanje prekidača) |
| Režim greške | Svetlost prolazi; link ostaje gore | Veza može nakratko pasti zbog gubitka struje (ovisno o dizajnu premosnice) | Mirror sesija se zaustavlja pri preopterećenju prekidača ili ponovnom pokretanju |
| Kompletnost saobraćaja | 100%, uključujući okvire grešaka | 100% sa regeneracijom signala | Može ispustiti pakete pod opterećenjem; često filtrira okvire grešaka |
| Dodano kašnjenje | Nema | Mikrosekunde (obrada) | Nema za praćenje, ali može učitati CPU prekidača |
| Sigurnosna površina | Nema - nema IP, nema interfejsa za upravljanje | Poseduje firmver i interfejs za upravljanje | Konfigurirano preko prekidača CLI/GUI |
| Best fit | Kontinuirano praćenje vlakana gdje su pouzdanost i kompletnost prioriteti | Mali optički budžeti ili veze kojima je potrebna regeneracija signala | Privremeno rješavanje problema ili veze bez fizičkog TAP pristupa |
Najvažnije SPAN ograničenje: preslikavanje je funkcija niskog{0}}prioriteta na većini prekidača. Pod velikim opterećenjem, prekidač nečujno ispušta preslikane pakete, stvarajući slijepe tačke u vašim podacima nadzora upravo u trenucima kada je potpuno hvatanje najvažnije.
Vrste pasivnih optičkih TAP-ova
Po vrsti vlakana
- Jednostruki{0} način rada (OS2)- za-veze na daljinu (do desetina kilometara). Koristi talasne dužine od 1310 nm ili 1550 nm. Omjeri podjele od 70/30 ili 80/20 su uobičajeni za očuvanje malih optičkih budžeta.
- Multimode (OM3/OM4/OM5)- za kratke vožnje centara podataka (do ~550 m) na 850 nm. Podjela 50/50 je često izvodljiva zbog izdašne optičke margine.
Po tipu konektora
- LC- standard za 1G i 10G dupleks veze. Najveća gustina portova u šasiji za{4}}montažu na stalak.
- MPO/MTP- potreban za 40G SR4, 100G SR4 i 400G SR8 paralelnu optiku. Podržava konfiguracije proboja za praćenje pojedinačnih traka.
- SC- stariji, veći format još uvijek postoji u nekim naslijeđenim okruženjima.
Kako odabrati pravi pasivni optički TAP
1. Uskladite tip vlakna i konektor
Jednostruki-TAP i višemodni TAP su različiti uređaji - i nisu zamjenjivi. Konektor (LC, SC, MPO/MTP) također mora odgovarati vašoj vezi. Nepodudarnosti zahtijevaju adaptere koji dodaju nepotreban gubitak umetanja.
2. Odaberite omjer podjele
| Split Ratio | Proizvodni put | Monitor Path | Tipična upotreba |
|---|---|---|---|
| 50/50 | 50% | 50% | Kratke veze sa centrima podataka sa zdravom marginom; 40G+ linkovi gdje alati za praćenje trebaju jak signal |
| 70/30 | 70% | 30% | 1G/10G veze na umjerenim-udaljenostima; najčešći omjer-opće namjene |
| 80/20 ili 90/10 | 80–90% | 10–20% | Duge jednostruke{0}}veze sa ograničenim budžetima; alat za praćenje mora imati osjetljivi prijemnik |
3. Izračunajte budžet optičke veze
Ovaj korak sprječava većinu neuspjeha implementacije. Prije kupovine:
- Potražite minimalnu izlaznu snagu predajnika i osjetljivost prijemnika u tablici podataka primopredajnika.
- Izračunajte ukupno slabljenje vlakana (udaljenost × gubitak po km). Referentne vrijednosti: ~3,5 dB/km za OM4 multimod na 850 nm; ~0,4 dB/km za single{5}}način na 1310 nm.
- Dodajte gubitke konektora (~0,2–0,5 dB po paru za kvalitetne konektore).
- Dodajte TAP-ov gubitak umetanja za odabrani omjer podjele.
- Uključite najmanje 3 dB margine sistema za starenje, popravke i temperaturne varijacije.
- Potvrdite da ukupni gubitak ostaje unutar budžeta napajanja primopredajnika.
Takođe proverite da li je prijemnik alata za praćenje dovoljno osetljiv da radi sa smanjenom snagom na TAP portu za monitor.
4. Izbjegavajte ove uobičajene greške
- Preskakanje proračuna budžeta- TAP koji prođe testiranje na testu i dalje može uzrokovati CRC greške na proizvodnom linku sa malom marginom.
- Odabir omjera podjele samo za stranu monitora- podjela 50/50 daje jači signal za praćenje, ali ako je margina proizvodne veze mala, može gurnuti živu putanju ispod njenog pouzdanog praga.
- Zaboravljamo gubitke konektora i patch panela- svaki spareni par dodaje gubitak. U jako zakrpljenom okruženju, oni se akumuliraju.
- Pod pretpostavkom da su svi pasivni TAP-ovi ekvivalentni- dva TAP-a sa istim omjerom podjele mogu imati različite specifikacije gubitka umetanja. Provjerite tablicu sa podacima.
Kada koristiti pasivni optički TAP
- Potreban vam je kontinuirani, uvijek-nadgledanje na optičkoj vezi sa adekvatnom optičkom marginom.
- Bitna je kompletnost saobraćaja - IDS, forenzičko snimanje, evidentiranje usklađenosti.
- Želite da nadgledanje bude odvojeno od konfiguracije prekidača i resursa prekidača.
- Potrebna vam je nulta ovisnost o energiji i bez napadačke površine upravljanja.
- Okviri usklađenosti (NERC CIP, PCI DSS, IEC 62443, HIPAA) zahtijevaju odvajanje između nadzorne i proizvodne infrastrukture.
Kada pasivni optički TAP nije odgovarajući
- Mali optički budžet- ako je veza već blizu osjetljivosti prijemnika, dodatno razdvajanje može uzrokovati greške. Umjesto toga koristite aktivni TAP s regeneracijom signala.
- Bakarne veze- pasivnih optičkih TAP-ova radi samo na vlaknima. Za praćenje bakra potreban je bakarni TAP ili SPAN port.
- Potrebna manipulacija saobraćajem- filtriranje, agregacija, deduplikacija ili konverzija protokola zahtijeva posrednika paketa ili aktivni TAP nizvodno.
- Privremeno rješavanje problema- SPAN sesija se brže postavlja kada trebate samo brzi pogled na link niske-kritičnosti.
Često postavljana pitanja
Da li pasivni optički TAP zahtijeva napajanje?
Ne. U potpunosti radi putem optičkog razdvajanja bez aktivne elektronike.
Da li podržava dvosmjerni saobraćaj?
Da. Svaki pravac na duplex linku se deli nezavisno, proizvodeći dva izlaza monitora.
Može li to uticati na promet u proizvodnji?
Uvodi gubitak umetanja (smanjena jačina signala), ali ne može ubaciti promet ili greške. Pravilno optičko planiranje budžeta osigurava da proizvodna veza ostane zdrava.
Da li je pasivni TAP bolji od SPAN porta?
Za kontinuirano praćenje gdje je kompletnost saobraćaja važna - da. Pasivni TAP hvata 100% saobraćaja uključujući okvire grešaka i nikada ne ispušta pakete pod opterećenjem. SPAN port je lakše postaviti bez fizičkih promjena kablova, ali tiho ispušta zrcaljene pakete kada je prekidač zauzet.
Kako da biram između 50/50 i 70/30?
Počnite od optičkog budžeta proizvodne veze. Kratki linkovi centara podataka sa-primopredajnicima velike snage obično mogu podnijeti 50/50. Duže vožnje ili manji budžeti zahtijevaju 70/30 ili više. Uvijek provjerite da li i proizvodni prijemnik i prijemnik alata za nadzor imaju dovoljno signala.
Mogu li napadači otkriti pasivni TAP?
Ne. Nema IP adresu, nema MAC adresu i nema interfejs za upravljanje. Nevidljiv je za bilo koje mrežno-skeniranje.
Koliko dugo traju pasivni TAP?
Ne sadrže komponente koje se degradiraju upotrebom. Raspoređivanje obično traje 10-20 godina. Jedino održavanje je povremeno čišćenje konektora za vlakna.
