Pasivni optički TAP (traffic access point) je bespomoćni, ugrađeni hardverski uređaj koji dijeli svjetlo na optičkoj vezi kako bi poslao kopiju cjelokupnog prometa alatu za nadzor. Ne zahtijeva struju, konfiguraciju i firmware. Budući da radi na fizičkom sloju dijeljenjem fotona, ne može ispustiti pakete, dodati latenciju ili postati točka kvara na način na koji to može sklopka ili uređaj s napajanjem.
Kako radi pasivni optički TAP
Unutar uređaja, optički razdjelnik dijeli ulaznu svjetlost u dvije staze. Na standardnoj dvosmjernoj optičkoj vezi, svaki smjer (TX i RX) podijeljen je neovisno, stvarajući dva monitorska izlaza - jedan po smjeru - tako da alati za nadzor vide cijeli dvosmjerni razgovor.
Ovo je proces fizičkog-sloja. TAP ne sprema u međuspremnik, ne analizira, ne mijenja niti ponovno prenosi nikakve podatke. Jednostavno dijeli svjetlost. Priključci monitora optički su izolirani od mrežnih priključaka, stvarajući-jednosmjerni podatkovni put. Čak ni kompromitirani alat za praćenje ne može vratiti promet ili pogreške natrag u proizvodnu vezu.
Gubitak umetanja: glavni kompromis
Razdijeljeno svjetlo smanjuje snagu signala na proizvodnom putu. Ovo smanjenje se naziva uneseni gubitak. Na kratkoj vezi podatkovnog centra s dosta optičke margine, podjela 50/50 obično ne uzrokuje probleme. Na dužem pojedinačnom-načinu rada koji već radi blizu praga osjetljivosti prijemnika, čak i podjela 70/30 zahtijeva pažljivu provjeru. Izračun optičkog proračuna prije instalacije - ne nakon - sprječava povremene pogreške koje se pojavljuju tjednima ili mjesecima kasnije kako primopredajnici stare.
Pasivni optički TAP u odnosu na aktivni TAP u odnosu na SPAN priključak
| Pasivni optički TAP | Aktivan TAP | SPAN priključak | |
|---|---|---|---|
| Potrebna snaga | Ne | Da | Ne (koristi napajanje prekidačem) |
| Način neuspjeha | Svjetlost prolazi; veza ostaje gore | Veza može nakratko pasti pri gubitku struje (ovisi o dizajnu premosnice) | Mirror sesija se zaustavlja pri preopterećenju prekidača ili ponovnom pokretanju |
| Cjelovitost prometa | 100%, uključujući okvire grešaka | 100% s regeneracijom signala | Može ispuštati pakete pod opterećenjem; često filtrira okvire grešaka |
| Dodana latencija | Nijedan | Mikrosekunde (obrada) | Ništa za praćenje, ali može učitati CPU prekidača |
| Sigurnosna površina | Ništa - nema IP-a, nema sučelja za upravljanje | Ima firmware i sučelje za upravljanje | Konfigurirano putem prekidača CLI/GUI |
| Najbolje odgovara | Kontinuirano praćenje vlakana gdje su pouzdanost i cjelovitost prioriteti | Mali optički proračuni ili veze kojima je potrebna regeneracija signala | Privremeno rješavanje problema ili veze bez fizičkog TAP pristupa |
Najvažnije SPAN ograničenje: zrcaljenje je funkcija niskog-prioriteta na većini prekidača. Pod velikim opterećenjem, prekidač tiho ispušta zrcalne pakete, stvarajući slijepe točke u vašim podacima praćenja točno u trenucima kada je potpuno snimanje najvažnije.
Vrste pasivnih optičkih odvodnika
Prema vrsti vlakana
- Jedan-način (OS2)- za-veze na velike udaljenosti (do nekoliko desetaka kilometara). Koristi valne duljine 1310 nm ili 1550 nm. Omjeri dijeljenja od 70/30 ili 80/20 uobičajeni su za očuvanje ograničenih optičkih proračuna.
- Višemodni (OM3/OM4/OM5)- za kratke podatkovne centre (do ~550 m) na 850 nm. Podjela 50/50 često je izvediva zbog izdašne optičke margine.
Prema vrsti konektora
- LC- standard za 1G i 10G duplex veze. Najveća gustoća priključaka u rack-kućištu.
- MPO/MTP- potrebno za paralelnu optiku 40G SR4, 100G SR4 i 400G SR8. Podržava konfiguracije proboja za nadzor pojedinačnih traka.
- SC- stariji, veći format još uvijek se nalazi u nekim naslijeđenim okruženjima.
Kako odabrati pravi pasivni optički TAP
1. Uskladite vrstu vlakna i konektor
Jedno-modni TAP i višemodni TAP različiti su uređaji - oni nisu međusobno zamjenjivi. Konektor (LC, SC, MPO/MTP) također mora odgovarati vašoj vezi. Neusklađenosti zahtijevaju adaptere koji dodaju nepotrebne gubitke umetanja.
2. Odaberite omjer dijeljenja
| Split Ratio | Proizvodni put | Put monitora | Tipična uporaba |
|---|---|---|---|
| 50/50 | 50% | 50% | Kratke veze podatkovnog centra sa zdravom marginom; 40G+ veze gdje alati za nadzor trebaju jak signal |
| 70/30 | 70% | 30% | 1G/10G veze na umjerenim-udaljenostima; najčešći omjer-opće namjene |
| 80/20 ili 90/10 | 80–90% | 10–20% | Duge jedno-veze s ograničenim proračunima; alat za praćenje mora imati osjetljiv prijemnik |
3. Izračunajte proračun optičke veze
Ovaj korak sprječava većinu neuspjeha implementacije. Prije kupnje:
- Potražite minimalnu izlaznu snagu odašiljača i osjetljivost prijemnika u podatkovnoj tablici primopredajnika.
- Izračunajte ukupno slabljenje vlakana (udaljenost × gubitak po km). Referentne vrijednosti: ~3,5 dB/km za OM4 multimode na 850 nm; ~0,4 dB/km za pojedinačni-način rada na 1310 nm.
- Dodajte gubitke konektora (~0,2–0,5 dB po spojenom paru za kvalitetne konektore).
- Dodajte uneseni gubitak TAP-a za odabrani omjer dijeljenja.
- Uključite najmanje 3 dB margine sustava za starenje, popravke i temperaturne varijacije.
- Potvrdite da ukupni gubitak ostaje unutar proračuna snage primopredajnika.
Također provjerite je li prijemnik nadzornog alata dovoljno osjetljiv za rad sa smanjenom snagom na priključku za nadzor TAP-a.
4. Izbjegavajte ove uobičajene pogreške
- Preskakanje izračuna proračuna- TAP koji je prošao testiranje u laboratoriju još uvijek može uzrokovati CRC pogreške na proizvodnoj vezi s malom marginom.
- Odabir omjera dijeljenja samo za stranu monitora- podjela 50/50 daje jači signal praćenja, ali ako je margina proizvodne veze mala, može gurnuti put uživo ispod pouzdanog praga.
- Zaboravljanje gubitaka konektora i patch panela- svaki upareni par dodaje gubitak. U jako zakrpanom okolišu oni se nakupljaju.
- Pod pretpostavkom da su svi pasivni TAP-ovi ekvivalentni- dva TAP-a s istim omjerom dijeljenja mogu imati različite specifikacije unesenog gubitka. Provjerite podatkovnu tablicu.
Kada koristiti pasivni optički TAP
- Potreban vam je kontinuirani, uvijek{0}}nadzor na optičkoj vezi s odgovarajućom optičkom marginom.
- Bitna je cjelovitost prometa - IDS, forenzičko snimanje, bilježenje sukladnosti.
- Želite nadzor odvojiti od konfiguracije prekidača i resursa prekidača.
- Potrebna vam je nulta ovisnost o napajanju i površina za upravljanje koja se može napasti.
- Okviri usklađenosti (NERC CIP, PCI DSS, IEC 62443, HIPAA) zahtijevaju odvajanje između nadzorne i proizvodne infrastrukture.
Kada pasivni optički TAP nije odgovarajući
- Mali optički proračun- ako je veza već blizu osjetljivosti prijemnika, dodatno razdvajanje može uzrokovati pogreške. Umjesto toga koristite aktivni TAP s regeneracijom signala.
- Bakrene karike- pasivni optički TAP-ovi rade samo na vlaknima. Za praćenje bakra potreban je bakreni TAP ili SPAN priključak.
- Potrebna prometna manipulacija- filtriranje, agregacija, deduplikacija ili pretvorba protokola zahtijeva brokera paketa ili aktivni TAP nizvodno.
- Privremeno rješavanje problema- SPAN sesiju je brže postaviti kada trebate samo brzi pregled veze niske-kritičnosti.
Često postavljana pitanja
Treba li pasivni optički TAP napajanje?
Ne. U potpunosti radi putem optičkog razdvajanja bez aktivne elektronike.
Podržava li dvosmjerni promet?
Da. Svaki smjer na dupleksnoj vezi podijeljen je neovisno, stvarajući dva monitorska izlaza.
Može li utjecati na proizvodni promet?
Uvodi gubitak umetanja (smanjena snaga signala), ali ne može unijeti promet ili pogreške. Pravilno optičko planiranje proračuna osigurava da proizvodna veza ostane zdrava.
Je li pasivni TAP bolji od SPAN priključka?
Za kontinuirani nadzor gdje je bitna cjelovitost prometa - da. Pasivni TAP hvata 100% prometa uključujući okvire grešaka i nikada ne ispušta pakete pod opterećenjem. SPAN priključak lakše je postaviti bez fizičkih promjena kablova, ali on tiho ispušta zrcalne pakete kada je preklopnik zauzet.
Kako da izaberem između 50/50 i 70/30?
Počnite od optičkog proračuna produkcijske veze. Kratke veze podatkovnog centra s-primopredajnicima velike snage obično mogu podnijeti 50/50. Dulje serije ili manji proračuni zahtijevaju 70/30 ili više. Uvijek provjerite hoće li prijemnik za proizvodnju i prijemnik alata za praćenje imati dovoljno signala.
Mogu li napadači otkriti pasivni TAP?
Ne. Nema IP adresu, nema MAC adresu niti sučelje za upravljanje. Nevidljiv je za bilo kakvo mrežno-skeniranje.
Koliko dugo traju pasivni TAP-ovi?
Ne sadrže komponente koje se razgrađuju tijekom uporabe. Implementacije obično traju 10-20 godina. Jedino održavanje je povremeno čišćenje konektora vlakana.
