Пасивният оптичен TAP (точка за достъп до трафик) е безмощно, вградено хардуерно устройство, което разделя светлината на оптична връзка, за да изпрати копие на целия трафик към инструмент за наблюдение. Не изисква електричество, конфигурация и фърмуер. Тъй като работи на физическия слой чрез разделяне на фотони, той не може да изпуска пакети, да добавя латентност или да се превърне в точка на повреда, както може превключвател или захранвано устройство.
Как работи пасивен оптичен кран
Вътре в устройството оптичен сплитер разделя входящата светлина на два пътя. При стандартна дуплексна оптична връзка всяка посока (TX и RX) се разделя независимо, създавайки два мониторни изхода - по един на посока -, така че инструментите за наблюдение виждат пълния двупосочен разговор.
Това е процес-на физически слой. TAP не буферира, анализира, модифицира или препредава никакви данни. Той просто разделя светлината. Портовете на монитора са оптически изолирани от мрежовите портове, създавайки-еднопосочен път за данни. Дори компрометиран инструмент за наблюдение не може да инжектира трафик или грешки обратно в производствената връзка.
Загуба при вмъкване: Основният компромис
Разделящата се светлина намалява силата на сигнала по производствения път. Това намаление се нарича загуба на вмъкване. При кратка връзка към център за данни с много оптичен марж, разделянето 50/50 обикновено не причинява проблеми. При по-дълъг единичен-режим, който вече работи близо до прага на чувствителност на приемника, дори разделянето 70/30 се нуждае от внимателно валидиране. Изчисляването на оптичния бюджет преди инсталацията - не след - предотвратява появата на периодични грешки седмици или месеци по-късно с остаряването на трансивърите.
Пасивен оптичен TAP срещу активен TAP срещу SPAN порт
| Пасивен оптичен кран | Активен TAP | SPAN порт | |
|---|---|---|---|
| Необходима мощност | не | да | Не (използва превключвател) |
| Режим на отказ | Светлината преминава; връзката остава активна | Връзката може да падне за кратко при загуба на захранване (зависи от дизайна на байпаса) | Mirror сесията спира при претоварване на комутатора или рестартиране |
| Пълнота на трафика | 100%, включително рамки за грешки | 100% с регенерация на сигнала | Може да изпуска пакети при натоварване; често филтрира рамки за грешки |
| Добавена латентност | Няма | Микросекунди (обработка) | Няма за наблюдение, но може да зареди процесора за превключване |
| Защитна повърхност | Няма - няма IP, няма интерфейс за управление | Има фърмуер и интерфейс за управление | Конфигуриран чрез превключвател CLI/GUI |
| Най-добро прилягане | Непрекъснат мониторинг на влакна, където надеждността и пълнотата са приоритети | Тесни оптични бюджети или връзки, нуждаещи се от регенериране на сигнал | Временно отстраняване на неизправности или връзки без физически TAP достъп |
Най-важното ограничение на SPAN: дублирането е функция с нисък-приоритет на повечето комутатори. При голямо натоварване превключвателят изпуска огледалните пакети безшумно, създавайки слепи петна във вашите данни за наблюдение точно в моментите, когато пълното улавяне е най-важно.
Видове пасивни оптични кранове
По вид влакна
- Единичен-режим (OS2)- за връзки на дълги-разстояния (до десетки километри). Използва 1310 nm или 1550 nm дължини на вълната. Съотношенията на разделяне от 70/30 или 80/20 са обичайни за запазване на тесни оптични бюджети.
- Многомодов (OM3/OM4/OM5)- за кратки центрове за данни (до ~550 m) при 850 nm. Разделянето 50/50 често е осъществимо поради големия оптичен марж.
По тип конектор
- LC- стандарт за 1G и 10G дуплексни връзки. Най-висока плътност на портове в шаси за -монтиране в шкаф.
- MPO/MTP- се изисква за паралелна оптика 40G SR4, 100G SR4 и 400G SR8. Поддържа конфигурации за пробив за наблюдение на отделни ленти.
- SC- по-стар, по-голям формат все още се намира в някои наследени среди.
Как да изберете правилния пасивен оптичен кран
1. Сравнете типа влакно и конектора
Един{0}}режимен TAP и многомодов TAP са различни устройства - те не са взаимозаменяеми. Конекторът (LC, SC, MPO/MTP) също трябва да съответства на вашата връзка. Несъответствията изискват адаптери, които добавят ненужни загуби при вмъкване.
2. Изберете съотношението на разделяне
| Съотношение на разделяне | Производствен път | Път на монитора | Типична употреба |
|---|---|---|---|
| 50/50 | 50% | 50% | Къси връзки към центъра за данни със стабилен марж; 40G+ връзки, където инструментите за наблюдение се нуждаят от силен сигнал |
| 70/30 | 70% | 30% | 1G/10G връзки на средни-разстояния; най-често срещаното-съотношение с общо предназначение |
| 80/20 или 90/10 | 80–90% | 10–20% | Дълги връзки в един{0}}режим с ограничени бюджети; инструментът за наблюдение трябва да има чувствителен приемник |
3. Изчислете бюджета за оптична връзка
Тази стъпка предотвратява повечето грешки при внедряването. Преди закупуване:
- Потърсете минималната изходна мощност на предавателя и чувствителността на приемника от листа с данни на трансивъра.
- Изчислете общото затихване на влакното (разстояние × загуба на km). Референтни стойности: ~3,5 dB/km за многомодов OM4 при 850 nm; ~0,4 dB/km за единичен-режим при 1310 nm.
- Добавете загубите на съединителя (~0,2–0,5 dB на свързана двойка за качествени съединители).
- Добавете загубата на вмъкване на TAP за избраното съотношение на разделяне.
- Включете поне 3 dB резерв на системата за стареене, ремонти и температурни промени.
- Потвърдете, че общата загуба остава в бюджета на мощността на трансивъра.
Също така проверете дали приемникът на инструмента за наблюдение е достатъчно чувствителен, за да работи с намалена мощност на порта за монитор на TAP.
4. Избягвайте тези често срещани грешки
- Пропускане на изчислението на бюджета- TAP, който преминава изпитване на стенда, все още може да причини CRC грешки на производствена връзка с малък резерв.
- Избор на съотношението на разделяне само за страната на монитора- разделянето 50/50 дава по-силен сигнал за наблюдение, но ако маржът на производствената връзка е малък, това може да тласне пътя на живо под неговия надежден праг.
- Забравяне на загубите на конектор и пач панел- всяка чифтосана двойка добавя загуба. В силно закърпена среда те се натрупват.
- Ако приемем, че всички пасивни TAP са еквивалентни- два TAP с едно и също съотношение на разделяне могат да имат различни спецификации за загуба на вмъкване. Проверете листа с данни.
Кога да използвате пасивен оптичен кран
- Имате нужда от непрекъснато, винаги-наблюдение по оптична връзка с адекватен оптичен резерв.
- Пълнотата на трафика има значение - IDS, съдебно улавяне, регистриране на съответствие.
- Искате наблюдението да бъде отделено от конфигурацията на комутатора и ресурсите на комутатора.
- Нуждаете се от нулева зависимост от мощността и без атакуема повърхност за управление.
- Рамките за съответствие (NERC CIP, PCI DSS, IEC 62443, HIPAA) изискват разделение между мониторинговата и производствената инфраструктура.
Когато пасивен оптичен кран не е подходящ
- Малък оптичен бюджет- ако връзката вече е близо до чувствителността на приемника, допълнителното разделяне може да причини грешки. Вместо това използвайте активен TAP с регенериране на сигнала.
- Медни връзки- пасивни оптични кранове работят само с оптични влакна. Медният мониторинг се нуждае от меден TAP или SPAN порт.
- Необходима е манипулация на трафика- филтрирането, агрегирането, дедупликацията или преобразуването на протокол изисква брокер на пакети или активен TAP надолу по веригата.
- Временно отстраняване на неизправности- SPAN сесията се настройва по-бързо, когато имате нужда само от бърз преглед на връзка с ниска-критичност.
Често задавани въпроси
Пасивният оптичен TAP изисква ли захранване?
Не. Работи изцяло чрез оптично разделяне без активна електроника.
Поддържа ли двупосочен трафик?
да Всяка посока на дуплексна връзка се разделя независимо, произвеждайки два мониторни изхода.
Може ли да повлияе на производствения трафик?
Той въвежда загуба на вмъкване (намалена сила на сигнала), но не може да инжектира трафик или грешки. Правилното оптично планиране на бюджета гарантира, че производствената връзка остава здрава.
Пасивният TAP по-добър ли е от SPAN порт?
За непрекъснато наблюдение, където пълнотата на трафика има значение - да. Пасивният TAP улавя 100% от трафика, включително кадри за грешки и никога не изпуска пакети при натоварване. SPAN портът е по-лесен за настройка без физически промени в кабелите, но той безшумно премахва огледалните пакети, когато комутаторът е зает.
Как да избера между 50/50 и 70/30?
Започнете от оптичния бюджет на производствената връзка. Късите връзки към центъра за данни с приемопредаватели с висока-мощност обикновено могат да се справят 50/50. По-дългите планове или по-строгите бюджети изискват 70/30 или повече. Винаги проверявайте дали приемникът за производство и приемникът на инструмента за наблюдение имат достатъчно сигнал.
Могат ли нападателите да открият пасивен TAP?
Не. Няма IP адрес, няма MAC адрес и няма интерфейс за управление. Той е невидим за всяко мрежово-сканиране.
Колко дълго издържат пасивните TAP?
Те не съдържат компоненти, които се разграждат при употреба. Внедряването обикновено продължава 10–20 години. Единствената поддръжка е случайно почистване на конектора за влакна.
