Pasívny optický TAP (traffic access point) je bezmocné, inline hardvérové zariadenie, ktoré rozdeľuje svetlo na vláknovom spoji a posiela kópiu všetkej prevádzky do monitorovacieho nástroja. Nevyžaduje žiadnu elektrinu, žiadnu konfiguráciu a žiadny firmvér. Pretože funguje na fyzickej vrstve rozdelením fotónov, nemôže zahodiť pakety, pridať latenciu alebo sa stať bodom zlyhania tak, ako to dokáže prepínač alebo napájané zariadenie.
Ako funguje pasívny optický TAP
Vo vnútri zariadenia je optický rozdeľovač rozdeľujúci prichádzajúce svetlo na dve cesty. Na štandardnom duplexnom optickom prepojení je každý smer (TX a RX) rozdelený nezávisle, čím sa vytvárajú dva výstupy monitora - jeden pre každý smer -, takže monitorovacie nástroje vidia celú obojsmernú konverzáciu.
Ide o proces fyzickej-vrstvy. TAP neukladá, neanalyzuje, neupravuje ani neprenáša žiadne údaje. Jednoducho rozdeľuje svetlo. Porty monitora sú opticky izolované od sieťových portov, čím sa vytvára jednosmerná dátová cesta-. Dokonca aj kompromitovaný monitorovací nástroj nemôže vrátiť prevádzku alebo chyby späť do produkčného prepojenia.
Insertion Loss: The Core Tradeoff
Rozdelenie svetla znižuje silu signálu na výrobnej ceste. Toto zníženie sa nazýva vložný úbytok. Na krátkom prepojení dátového centra s množstvom optickej rezervy rozdelenie 50/50 zvyčajne nespôsobuje žiadne problémy. Pri dlhšej prevádzke s jedným{5}}režimom, ktorá už funguje blízko prahu citlivosti prijímača, si dokonca aj rozdelenie 70/30 vyžaduje starostlivé overenie. Výpočet optického rozpočtu pred inštaláciou -, nie po -, zabraňuje tomu, aby sa občasné chyby objavili o týždne alebo mesiace neskôr, keď vysielače/prijímače starnú.
Pasívny optický TAP vs. aktívny TAP vs. SPAN port
| Pasívny optický TAP | Aktívny TAP | Port SPAN | |
|---|---|---|---|
| Vyžaduje sa napájanie | Nie | áno | Nie (používa prepínač) |
| Režim zlyhania | Svetlo prechádza; odkaz zostane hore | Pri strate napájania môže odkaz nakrátko prepadnúť (závisí od konštrukcie bypassu) | Relácia zrkadla sa zastaví pri preťažení spínača alebo reštarte |
| Úplnosť dopravy | 100%, vrátane chybových rámcov | 100% s regeneráciou signálu | Môže zahodiť pakety pri zaťažení; často filtruje chybové rámce |
| Pridaná latencia | žiadne | Mikrosekundy (spracovanie) | Žiadne na monitorovanie, ale môže načítať prepínač CPU |
| Bezpečnostný povrch | Žiadna - žiadna adresa IP, žiadne rozhranie na správu | Má firmvér a rozhranie na správu | Konfigurované pomocou prepínača CLI/GUI |
| Najlepšie sedí | Nepretržité monitorovanie vlákien, kde sú prioritami spoľahlivosť a úplnosť | Nízke optické rozpočty alebo spojenia vyžadujúce regeneráciu signálu | Dočasné riešenie problémov alebo prepojenia bez fyzického prístupu TAP |
Najdôležitejšie obmedzenie SPAN: zrkadlenie je funkcia s nízkou{0}}prioritou na väčšine prepínačov. Pri veľkom zaťažení prepínač ticho zahodí zrkadlené pakety, čím vytvorí slepé miesta vo vašich monitorovacích údajoch presne v momentoch, keď je najdôležitejšie úplné zachytenie.
Typy pasívnych optických TAP
Podľa typu vlákna
- Jeden-režim (OS2)- pre diaľkové-linky (až do desiatok kilometrov). Používa vlnové dĺžky 1310 nm alebo 1550 nm. Deliace pomery 70/30 alebo 80/20 sú bežné, aby sa zachovali obmedzené optické rozpočty.
- Multimode (OM3/OM4/OM5)- pre krátke prevádzky dátového centra (až do ~550 m) pri 850 nm. Rozdelenie 50/50 je často možné vďaka veľkorysému optickému okraju.
Podľa typu konektora
- LC- štandard pre duplexné prepojenia 1G a 10G. Najvyššia hustota portov v šasi pre montáž-do racku.
- MPO/MTP- sa vyžaduje pre paralelnú optiku 40G SR4, 100G SR4 a 400G SR8. Podporuje konfigurácie prerušenia na monitorovanie jednotlivých jazdných pruhov.
- SCV niektorých starších prostrediach sa stále nachádza - starší väčší formát.
Ako si vybrať správny pasívny optický TAP
1. Priraďte typ vlákna a konektor
Jedno{0}}režimové TAP a viacrežimové TAP sú rôzne zariadenia -, nie sú vzájomne zameniteľné. Konektor (LC, SC, MPO/MTP) sa tiež musí zhodovať s vaším prepojením. Nezhody vyžadujú adaptéry, ktoré zvyšujú zbytočnú stratu vloženia.
2. Zvoľte Split Ratio
| Split Ratio | Výrobná cesta | Sledovať cestu | Typické použitie |
|---|---|---|---|
| 50/50 | 50% | 50% | Krátke prepojenia dátových centier so zdravou rezervou; 40G+ prepojenia, kde monitorovacie nástroje potrebujú silný signál |
| 70/30 | 70% | 30% | odkazy 1G/10G na beh na stredné-vzdialenosti; najbežnejší všeobecný-pomer |
| 80/20 alebo 90/10 | 80–90% | 10–20% | Dlhé prepojenia s jedným-režimom s obmedzenými rozpočtami; monitorovací nástroj musí mať citlivý prijímač |
3. Vypočítajte rozpočet na optické prepojenie
Tento krok zabráni väčšine zlyhaní nasadenia. Pred zakúpením:
- Vyhľadajte minimálny výstupný výkon vysielača a citlivosť prijímača z údajového listu transceivera.
- Vypočítajte celkový útlm vlákna (vzdialenosť × strata na km). Referenčné hodnoty: ~3,5 dB/km pre multimód OM4 pri 850 nm; ~0,4 dB/km pre jeden-režim pri 1310 nm.
- Pridajte straty konektorov (~0,2–0,5 dB na spárovaný pár pre kvalitné konektory).
- Pridajte vložný útlm TAP pre zvolený deliaci pomer.
- Zahrňte aspoň 3 dB rezervy systému na starnutie, opravy a teplotné zmeny.
- Potvrďte, že celková strata zostáva v rámci energetického rozpočtu transceivera.
Tiež skontrolujte, či je prijímač monitorovacieho nástroja dostatočne citlivý na to, aby fungoval so zníženým výkonom na monitorovacom porte TAP.
4. Vyhnite sa týmto bežným chybám
- Preskočenie výpočtu rozpočtu- TAP, ktorý prejde testom v skúšobnej prevádzke, môže stále spôsobiť chyby CRC na produkčnom prepojení s malým okrajom.
- Výber pomeru rozdelenia len pre stranu monitora- rozdelenie v pomere 50/50 poskytuje silnejší signál monitorovania, ale ak je marža produkčného prepojenia úzka, môže posunúť živú cestu pod hranicu spoľahlivosti.
- Zabudnite na straty konektorov a patch panelov- každý párový pár pridá stratu. V silne zaplátanom prostredí sa tieto hromadia.
- Za predpokladu, že všetky pasívne TAP sú ekvivalentné- dva TAP s rovnakým deliacim pomerom môžu mať rôzne špecifikácie straty vloženia. Skontrolujte údajový list.
Kedy použiť pasívny optický TAP
- Potrebujete nepretržité, vždy{0}}monitorovanie na vláknovom prepojení s primeranou optickou rezervou.
- Na úplnosti premávky záleží - IDS, forenzné zaznamenávanie, protokolovanie súladu.
- Chcete monitorovanie oddelené od konfigurácie prepínača a prostriedkov prepínača.
- Potrebujete nulovú energetickú závislosť a žiadny napadnuteľný riadiaci povrch.
- Rámce súladu (NERC CIP, PCI DSS, IEC 62443, HIPAA) vyžadujú oddelenie monitorovacej a výrobnej infraštruktúry.
Keď pasívny optický TAP nie je to pravé
- Napätý optický rozpočet- ak je odkaz už blízko citlivosti prijímača, dodatočné rozdelenie môže spôsobiť chyby. Namiesto toho použite aktívny TAP s regeneráciou signálu.
- Medené odkazy- pasívne optické TAP fungujú iba na vlákne. Monitorovanie medi potrebuje medený port TAP alebo SPAN.
- Potrebná dopravná manipulácia- filtrovanie, agregácia, deduplikácia alebo konverzia protokolov vyžaduje sprostredkovateľa paketov alebo aktívne TAP.
- Dočasné riešenie problémov- relácia SPAN sa nastavuje rýchlejšie, keď sa potrebujete rýchlo pozrieť na odkaz s nízkou{1}}kritickosťou.
Často kladené otázky
Vyžaduje pasívny optický TAP napájanie?
Nie. Funguje výhradne prostredníctvom optického delenia bez aktívnej elektroniky.
Podporuje obojsmernú premávku?
áno. Každý smer na duplexnej linke je rozdelený nezávisle a vytvára dva výstupy monitora.
Môže to ovplyvniť produkčnú prevádzku?
Zavádza stratu vloženia (zníženú silu signálu), ale nemôže spôsobiť prenos alebo chyby. Správne optické plánovanie rozpočtu zaisťuje, že produkčné spojenie zostane zdravé.
Je pasívny TAP lepší ako SPAN port?
Na nepretržité monitorovanie tam, kde záleží na úplnosti premávky - áno. Pasívny TAP zachytáva 100 % prevádzky vrátane chybových rámcov a nikdy nezanecháva pakety pri zaťažení. Port SPAN sa ľahšie nastavuje bez fyzických zmien kabeláže, ale potichu zahodí zrkadlové pakety, keď je prepínač zaneprázdnený.
Ako si môžem vybrať medzi 50/50 a 70/30?
Začnite od optického rozpočtu produkčného spojenia. Krátke prepojenia dátových centier s-vysielačmi a prijímačmi s vysokým výkonom zvyčajne zvládnu 50/50. Dlhšie série alebo kratšie rozpočty vyžadujú 70/30 alebo viac. Vždy skontrolujte, či má produkčný prijímač aj prijímač monitorovacieho nástroja dostatok signálu.
Môžu útočníci odhaliť pasívny TAP?
Nie. Nemá žiadnu IP adresu, MAC adresu ani rozhranie na správu. Je neviditeľný pre žiadne sieťové-skenovanie.
Ako dlho trvajú pasívne TAP?
Neobsahujú žiadne zložky, ktoré sa používaním znehodnocujú. Nasadenia zvyčajne trvajú 10 až 20 rokov. Jedinou údržbou je občasné čistenie vláknového konektora.
