Un TAP (point d'accès au trafic) optique passif est un périphérique matériel en ligne impuissant qui divise la lumière sur une liaison fibre pour envoyer une copie de tout le trafic à un outil de surveillance. Il ne nécessite aucune électricité, aucune configuration et aucun micrologiciel. Parce qu'il fonctionne au niveau de la couche physique en divisant les photons, il ne peut pas abandonner des paquets, ajouter de la latence ou devenir un point de défaillance comme le peut un commutateur ou un appareil alimenté.
Comment fonctionne un TAP optique passif
À l’intérieur de l’appareil, un séparateur optique divise la lumière entrante en deux chemins. Sur une liaison fibre optique duplex standard, chaque direction (TX et RX) est divisée indépendamment, produisant deux sorties de moniteur - une par direction - afin que les outils de surveillance voient l'intégralité de la conversation bidirectionnelle.
Il s'agit d'un processus-de couche physique. Le TAP ne met pas en mémoire tampon, n'analyse, ne modifie ni ne retransmet aucune donnée. Cela divise simplement la lumière. Les ports du moniteur sont optiquement isolés des ports réseau, créant ainsi un chemin de données-unidirectionnel. Même un outil de surveillance compromis ne peut pas réinjecter du trafic ou des erreurs dans le lien de production.
Perte d'insertion : le compromis principal
La lumière divisée réduit la force du signal sur le chemin de production. Cette réduction est appelée perte d'insertion. Sur une liaison de centre de données courte avec une grande marge optique, une répartition 50/50 ne pose généralement aucun problème. Sur une exécution en mode unique-plus longue fonctionnant déjà près du seuil de sensibilité du récepteur, même une répartition 70/30 nécessite une validation minutieuse. Le calcul du budget optique avant l'installation - et non après - évite que des erreurs intermittentes n'apparaissent des semaines ou des mois plus tard, à mesure que les émetteurs-récepteurs vieillissent.
TAP optique passif vs TAP actif vs port SPAN
| TAP optique passif | Robinet actif | Port SPAN | |
|---|---|---|---|
| Puissance requise | Non | Oui | Non (utilise l'alimentation du commutateur) |
| Mode de défaillance | La lumière passe à travers ; le lien reste actif | La liaison peut s'interrompre brièvement en cas de perte de puissance (dépend de la conception du bypass) | La session miroir s'arrête en cas de surcharge ou de redémarrage du commutateur |
| exhaustivité du trafic | 100 %, y compris les trames d'erreur | 100% avec régénération du signal | Peut supprimer des paquets sous charge ; filtre souvent les trames d'erreur |
| Latence ajoutée | Aucun | Microsecondes (traitement) | Aucun pour la surveillance, mais peut charger le processeur du commutateur |
| Surface de sécurité | Aucun - pas d'adresse IP, pas d'interface de gestion | Possède un micrologiciel et une interface de gestion | Configuré via le commutateur CLI/GUI |
| Meilleur ajustement | Surveillance continue de la fibre où la fiabilité et l'exhaustivité sont des priorités | Budgets optiques serrés ou liaisons nécessitant une régénération du signal | Dépannage temporaire ou liens sans accès physique au TAP |
Limite SPAN la plus importante : la mise en miroir est une fonction de faible-priorité sur la plupart des commutateurs. Sous une charge importante, le commutateur supprime silencieusement les paquets en miroir, créant des angles morts dans vos données de surveillance exactement aux moments où la capture complète est la plus importante.
Types de TAP optiques passifs
Par type de fibre
- Mode unique-(OS2)- pour les liaisons longue-distance (jusqu'à plusieurs dizaines de kilomètres). Utilise des longueurs d'onde de 1 310 nm ou 1 550 nm. Des ratios de division de 70/30 ou 80/20 sont courants pour préserver des budgets optiques serrés.
- Multimode (OM3/OM4/OM5)- pour les courtes distances du centre de données (jusqu'à ~ 550 m) à 850 nm. Une répartition 50/50 est souvent réalisable grâce à une marge optique généreuse.
Par type de connecteur
- CLNorme - pour les liaisons duplex 1G et 10G. Densité de ports la plus élevée dans un châssis de montage en rack-.
- MPO/MTP- requis pour les optiques parallèles 40G SR4, 100G SR4 et 400G SR8. Prend en charge les configurations de répartition pour surveiller les voies individuelles.
- CS- format plus ancien et plus grand que l'on trouve encore dans certains environnements existants.
Comment choisir le bon TAP optique passif
1. Faites correspondre le type de fibre et le connecteur
Un TAP monomode-et un TAP multimode sont des appareils différents - ils ne sont pas interchangeables. Le connecteur (LC, SC, MPO/MTP) doit également correspondre à votre lien. Les disparités nécessitent des adaptateurs qui ajoutent une perte d’insertion inutile.
2. Sélectionnez le rapport de partage
| Rapport de division | Chemin de production | Chemin du moniteur | Utilisation typique |
|---|---|---|---|
| 50/50 | 50% | 50% | Liens de centre de données courts avec une marge saine ; Liens 40G+ où les outils de surveillance nécessitent un signal fort |
| 70/30 | 70% | 30% | Liaisons 1G/10G sur des distances modérées- ; rapport à usage général-le plus courant |
| 80/20 ou 90/10 | 80–90% | 10–20% | Longues liaisons monomodes-avec des budgets limités ; l'outil de surveillance doit avoir un récepteur sensible |
3. Calculez le budget de la liaison optique
Cette étape évite la plupart des échecs de déploiement. Avant d'acheter :
- Recherchez la puissance de sortie minimale de l'émetteur et la sensibilité du récepteur dans la fiche technique de l'émetteur-récepteur.
- Calculez l’atténuation totale de la fibre (distance × perte par km). Valeurs de référence : ~3,5 dB/km pour OM4 multimode à 850 nm ; ~0,4 dB/km pour le mode simple-à 1 310 nm.
- Ajoutez des pertes de connecteur (~ 0,2 à 0,5 dB par paire accouplée pour des connecteurs de qualité).
- Ajoutez la perte d'insertion du TAP pour le rapport de division choisi.
- Incluez au moins 3 dB de marge du système pour le vieillissement, les réparations et les variations de température.
- Confirmez que la perte totale reste dans les limites du budget de puissance de l'émetteur-récepteur.
Vérifiez également que le récepteur de l'outil de surveillance est suffisamment sensible pour fonctionner avec la puissance réduite du port de surveillance du TAP.
4. Évitez ces erreurs courantes
- Ignorer le calcul du budget- un TAP qui réussit les tests au banc peut toujours provoquer des erreurs CRC sur une liaison de production avec une marge mince.
- Choix du rapport de partage pour le côté moniteur uniquement- une répartition 50/50 donne un signal de surveillance plus fort, mais si la marge du lien de production est étroite, cela peut pousser le chemin en direct en dessous de son seuil de fiabilité.
- Oublier les pertes de connecteurs et de panneaux de brassage- chaque paire accouplée ajoute une perte. Dans un environnement fortement patché, ceux-ci s’accumulent.
- En supposant que tous les TAP passifs sont équivalents- deux TAP avec le même rapport de division peuvent avoir des spécifications de perte d'insertion différentes. Vérifiez la fiche technique.
Quand utiliser un TAP optique passif
- Vous avez besoin d'une surveillance continue et permanente-sur une liaison fibre optique avec une marge optique adéquate.
- L'exhaustivité du trafic est importante - IDS, capture médico-légale, journalisation de conformité.
- Vous souhaitez que la surveillance soit découplée de la configuration et des ressources du commutateur.
- Vous n’avez besoin d’aucune dépendance énergétique et d’aucune surface de gestion attaquable.
- Les cadres de conformité (NERC CIP, PCI DSS, IEC 62443, HIPAA) exigent une séparation entre l'infrastructure de surveillance et de production.
Lorsqu'un TAP optique passif n'est pas la bonne solution
- Budget optique serré- si la liaison est déjà proche de la sensibilité du récepteur, un fractionnement supplémentaire peut provoquer des erreurs. Utilisez plutôt un TAP actif avec régénération du signal.
- Liens en cuivreLes - TAP optiques passifs fonctionnent uniquement sur fibre. La surveillance du cuivre nécessite un port TAP ou SPAN en cuivre.
- Manipulation du trafic nécessaire- le filtrage, l'agrégation, la déduplication ou la conversion de protocole nécessitent un courtier de paquets ou un TAP actif en aval.
- Dépannage temporaire- une session SPAN est plus rapide à configurer lorsque vous avez juste besoin d'un aperçu rapide d'un lien à faible-criticité.
Foire aux questions
Un TAP optique passif nécessite-t-il de l'énergie ?
Non. Il fonctionne entièrement par division optique, sans électronique active.
Prend-il en charge le trafic bidirectionnel ?
Oui. Chaque direction sur une liaison duplex est divisée indépendamment, produisant deux sorties moniteur.
Cela peut-il affecter le trafic de production ?
Il introduit une perte d'insertion (force du signal réduite), mais il ne peut pas injecter de trafic ni d'erreurs. Une bonne planification du budget optique garantit que le lien de production reste sain.
Un TAP passif est-il meilleur qu'un port SPAN ?
Pour une surveillance continue là où l'exhaustivité du trafic est importante - oui. Un TAP passif capture 100 % du trafic, y compris les trames d'erreur, et ne laisse jamais tomber les paquets sous charge. Un port SPAN est plus facile à configurer sans modification du câblage physique, mais il supprime silencieusement les paquets en miroir lorsque le commutateur est occupé.
Comment choisir entre 50/50 et 70/30 ?
Partez du budget optique du lien de production. Les liaisons courtes du centre de données avec des émetteurs-récepteurs-haute puissance peuvent généralement gérer un rapport 50/50. Des tirages plus longs ou des budgets plus serrés nécessitent 70/30 ou plus. Vérifiez toujours que le récepteur de production et le récepteur de l'outil de surveillance auront suffisamment de signal.
Les attaquants peuvent-ils détecter un TAP passif ?
Non, il n’a ni adresse IP, ni adresse MAC, ni interface de gestion. Il est invisible pour toute analyse réseau-.
Combien de temps durent les TAP passifs ?
Ils ne contiennent aucun composant qui se dégrade à l’usage. Les déploiements durent généralement de 10 à 20 ans. Le seul entretien est le nettoyage occasionnel des connecteurs de fibre.
