Een passief optisch TAP (traffic access point) is een machteloos, inline hardwareapparaat dat het licht op een glasvezelverbinding splitst om een kopie van al het verkeer naar een monitoringtool te sturen. Het vereist geen elektriciteit, geen configuratie en geen firmware. Omdat het op de fysieke laag werkt door fotonen te verdelen, kan het geen pakketten laten vallen, latentie toevoegen of een storingspunt worden zoals een schakelaar of een apparaat met voeding dat kan.
Hoe een passieve optische TAP werkt
Binnenin het apparaat verdeelt een optische splitter het binnenkomende licht in twee paden. Op een standaard duplex glasvezelverbinding wordt elke richting (TX en RX) onafhankelijk gesplitst, waardoor er twee monitoruitgangen ontstaan - één per richting -, zodat monitoringtools het volledige bidirectionele gesprek kunnen zien.
Dit is een fysiek-laagproces. De TAP buffert, analyseert, wijzigt of verzendt geen gegevens opnieuw. Het verdeelt eenvoudigweg het licht. De monitorpoorten zijn optisch geïsoleerd van de netwerkpoorten, waardoor een gegevenspad in één- richting ontstaat. Zelfs een gecompromitteerde monitoringtool kan geen verkeer of fouten terug in de productielink injecteren.
Insertieverlies: de kernafweging
Het splitsen van licht vermindert de signaalsterkte op het productiepad. Deze reductie wordt insertieverlies genoemd. Op een korte datacenterverbinding met voldoende optische marge veroorzaakt een 50/50-verdeling doorgaans geen problemen. Bij een langere single{5}}-run die al in de buurt van de gevoeligheidsdrempel van de ontvanger werkt, moet zelfs een 70/30-verdeling zorgvuldig worden gevalideerd. Door het optische budget vóór de installatie - en niet na - te berekenen, voorkomt u dat periodieke fouten weken of maanden later optreden naarmate de transceivers ouder worden.
Passieve optische TAP versus actieve TAP versus SPAN-poort
| Passieve optische TAP | Actieve TAP | SPAN-poort | |
|---|---|---|---|
| Stroom vereist | Nee | Ja | Nee (gebruikt schakelstroom) |
| Mislukkingsmodus | Licht gaat er doorheen; link blijft staan | De verbinding kan kortstondig wegvallen bij stroomuitval (afhankelijk van het bypass-ontwerp) | Mirrorsessie stopt bij overbelasting van de schakelaar of bij opnieuw opstarten |
| Verkeersvolledigheid | 100%, inclusief foutframes | 100% met signaalregeneratie | Kan pakketten onder belasting laten vallen; filtert vaak foutframes |
| Latentie toegevoegd | Geen | Microseconden (verwerking) | Geen voor monitoring, maar kan de CPU van de schakelaar laden |
| Beveiligingsoppervlak | Geen - geen IP, geen beheerinterface | Heeft firmware en beheerinterface | Geconfigureerd via switch CLI/GUI |
| Beste pasvorm | Continue vezelmonitoring waarbij betrouwbaarheid en volledigheid voorop staan | Strakke optische budgetten of verbindingen die signaalregeneratie nodig hebben | Tijdelijke probleemoplossing of koppelingen zonder fysieke TAP-toegang |
De belangrijkste SPAN-beperking: spiegelen heeft op de meeste switches een functie met lage-prioriteit. Onder zware belasting laat de switch gespiegelde pakketten geruisloos vallen, waardoor er blinde vlekken in uw monitoringgegevens ontstaan, precies op de momenten waarop volledige vastlegging het belangrijkst is.
Soorten passieve optische TAP's
Per vezeltype
- Enkele-modus (OS2)- voor lange-verbindingen over lange afstanden (tot tientallen kilometers). Gebruikt golflengten van 1310 nm of 1550 nm. Splitverhoudingen van 70/30 of 80/20 zijn gebruikelijk om krappe optische budgetten te behouden.
- Multimode (OM3/OM4/OM5)- voor korte datacentertrajecten (tot ~550 m) bij 850 nm. Een 50/50-verdeling is vaak haalbaar vanwege de royale optische marge.
Op connectortype
- LC- standaard voor 1G- en 10G-duplexverbindingen. Hoogste poortdichtheid in rack-gemonteerd chassis.
- MPO/MTP- vereist voor 40G SR4, 100G SR4 en 400G SR8 parallelle optiek. Ondersteunt breakout-configuraties om individuele rijstroken te bewaken.
- SC- ouder, groter formaat wordt nog steeds aangetroffen in sommige oudere omgevingen.
Hoe u de juiste passieve optische TAP kiest
1. Zorg ervoor dat het vezeltype en de connector overeenkomen
Een single{0}}mode TAP en een multimode TAP zijn verschillende apparaten - ze zijn niet uitwisselbaar. Ook de connector (LC, SC, MPO/MTP) moet overeenkomen met uw koppeling. Mismatches vereisen adapters die onnodig invoegverlies veroorzaken.
2. Selecteer de splitsingsratio
| Gesplitste verhouding | Productiepad | Monitorpad | Typisch gebruik |
|---|---|---|---|
| 50/50 | 50% | 50% | Korte datacenterkoppelingen met gezonde marge; 40G+ verbindingen waar monitoringtools een sterk signaal nodig hebben |
| 70/30 | 70% | 30% | 1G/10G-verbindingen op middellange- afstanden; meest voorkomende verhouding voor algemene- doeleinden |
| 80/20 of 90/10 | 80–90% | 10–20% | Lange single{0}}-links met beperkte budgetten; monitoringtool moet een gevoelige ontvanger hebben |
3. Bereken het optische linkbudget
Deze stap voorkomt de meeste implementatiefouten. Voordat u koopt:
- Zoek het minimale uitgangsvermogen van de zender en de gevoeligheid van de ontvanger op in het gegevensblad van de transceiver.
- Bereken de totale vezelverzwakking (afstand × verlies per km). Referentiewaarden: ~3,5 dB/km voor OM4 multimode bij 850 nm; ~0,4 dB/km voor enkele-modus bij 1310 nm.
- Voeg connectorverliezen toe (~0,2–0,5 dB per gekoppeld paar voor kwaliteitsconnectoren).
- Voeg het invoegverlies van de TAP toe voor de gekozen splitsingsverhouding.
- Houd rekening met minimaal 3 dB systeemmarge voor veroudering, reparaties en temperatuurschommelingen.
- Controleer of het totale verlies binnen het energiebudget van de transceiver blijft.
Controleer ook of de ontvanger van het monitoringinstrument gevoelig genoeg is om te werken met het verminderde vermogen op de monitorpoort van de TAP.
4. Vermijd deze veelgemaakte fouten
- De budgetberekening overslaan- een TAP die de benchtests doorstaat, kan nog steeds CRC-fouten veroorzaken op een productielink met een kleine marge.
- Kies de splitratio alleen voor de monitorzijde- een 50/50-verdeling geeft een sterker monitoringsignaal, maar als de productielinkmarge krap is, kan het livepad onder de betrouwbare drempelwaarde komen.
- Vergeet connector- en patchpaneelverliezen- elk gekoppeld paar voegt verlies toe. In een zwaar gepatchte omgeving stapelen deze zich op.
- Ervan uitgaande dat alle passieve TAP's gelijkwaardig zijn- twee TAP's met dezelfde splitsingsratio kunnen verschillende specificaties voor invoegverlies hebben. Controleer het gegevensblad.
Wanneer moet u een passieve optische TAP gebruiken?
- U heeft continue, altijd-monitoring nodig op een glasvezelverbinding met voldoende optische marge.
- De volledigheid van het verkeer is van belang - IDS, forensische registratie, registratie van naleving.
- U wilt dat de monitoring wordt losgekoppeld van de switchconfiguratie en switchresources.
- U heeft geen energieafhankelijkheid nodig en geen aanvalsbaar beheeroppervlak.
- Complianceframeworks (NERC CIP, PCI DSS, IEC 62443, HIPAA) vereisen een scheiding tussen monitoring- en productie-infrastructuur.
Wanneer een passieve optische TAP niet de juiste keuze is
- Strak optisch budget- als de link al bijna ontvangergevoelig is, kan extra splitsing fouten veroorzaken. Gebruik in plaats daarvan een actieve TAP met signaalregeneratie.
- Koperen schakels- passieve optische TAP's werken alleen op glasvezel. Koperbewaking heeft een koperen TAP- of SPAN-poort nodig.
- Verkeersmanipulatie nodig- Voor filteren, aggregatie, deduplicatie of protocolconversie is een pakketmakelaar of actieve TAP downstream vereist.
- Tijdelijke probleemoplossing- een SPAN-sessie is sneller op te zetten als u snel een link met een lage- kritieke waarde wilt bekijken.
Veelgestelde vragen
Heeft een passieve optische TAP stroom nodig?
Nee. Het werkt volledig via optische splitsing zonder actieve elektronica.
Ondersteunt het bidirectioneel verkeer?
Ja. Elke richting op een duplexverbinding wordt onafhankelijk gesplitst, waardoor twee monitoruitgangen ontstaan.
Kan dit het productieverkeer beïnvloeden?
Het introduceert invoegverlies (verminderde signaalsterkte), maar kan geen verkeer of fouten injecteren. Een goede optische budgetplanning zorgt ervoor dat de productielink gezond blijft.
Is een passieve TAP beter dan een SPAN-poort?
Voor continue monitoring waarbij de volledigheid van het verkeer ertoe doet - ja. Een passieve TAP vangt 100% van het verkeer op, inclusief foutframes, en laat nooit pakketten vallen onder belasting. Een SPAN-poort is gemakkelijker in te stellen zonder dat er fysieke bekabeling hoeft te worden gewijzigd, maar laat gespiegelde pakketten stilletjes vallen als de switch bezet is.
Hoe kies ik tussen 50/50 en 70/30?
Begin met het optische budget van de productielink. Korte datacenterverbindingen met transceivers met hoog-vermogen kunnen doorgaans 50/50 aan. Langere runs of krappere budgetten vragen om 70/30 of hoger. Controleer altijd of zowel de productieontvanger als de ontvanger van het monitoringinstrument voldoende signaal hebben.
Kunnen aanvallers een passieve TAP detecteren?
Nee. Het heeft geen IP-adres, geen MAC-adres en geen beheerinterface. Het is onzichtbaar voor elk netwerk-gebaseerd scannen.
Hoe lang gaan passieve TAP's mee?
Ze bevatten geen componenten die bij gebruik verslechteren. Implementaties duren doorgaans 10 tot 20 jaar. Het enige onderhoud bestaat uit het af en toe schoonmaken van de glasvezelconnector.
