Um TAP óptico passivo (ponto de acesso de tráfego) é um dispositivo de hardware em linha e impotente que divide a luz em um link de fibra para enviar uma cópia de todo o tráfego para uma ferramenta de monitoramento. Não requer eletricidade, configuração e firmware. Como funciona na camada física dividindo os fótons, ele não pode descartar pacotes, adicionar latência ou se tornar um ponto de falha da mesma forma que um switch ou dispositivo energizado.
Como funciona um TAP óptico passivo
Dentro do dispositivo, um divisor óptico divide a luz recebida em dois caminhos. Em um link de fibra duplex padrão, cada direção (TX e RX) é dividida independentemente, produzindo duas saídas de monitor - uma por direção - para que as ferramentas de monitoramento vejam a conversa bidirecional completa.
Este é um processo de camada-física. O TAP não armazena em buffer, analisa, modifica ou retransmite quaisquer dados. Simplesmente divide a luz. As portas do monitor são isoladas opticamente das portas de rede, criando um-caminho de dados unidirecional. Mesmo uma ferramenta de monitoramento comprometida não pode injetar tráfego ou erros de volta no link de produção.
Perda de inserção: a compensação principal
A divisão da luz reduz a intensidade do sinal no caminho de produção. Essa redução é chamada de perda de inserção. Em um link curto de data center com bastante margem óptica, uma divisão 50/50 normalmente não causa problemas. Em uma execução mais longa em modo-único já operando próximo ao limite de sensibilidade do receptor, mesmo uma divisão 70/30 precisa de validação cuidadosa. Calcular o orçamento óptico antes da instalação - e não depois de - evita que erros intermitentes apareçam semanas ou meses depois, à medida que os transceptores envelhecem.
TAP óptico passivo vs. TAP ativo vs. porta SPAN
| TAP óptico passivo | TAP ativo | Porta SPAN | |
|---|---|---|---|
| Energia necessária | Não | Sim | Não (usa energia do switch) |
| Modo de falha | A luz passa; o link permanece ativo | O link pode cair brevemente devido à perda de energia (depende do design do bypass) | A sessão de espelhamento é interrompida na sobrecarga ou reinicialização do switch |
| Completude do tráfego | 100%, incluindo frames de erro | 100% com regeneração de sinal | Pode descartar pacotes sob carga; frequentemente filtra frames de erro |
| Latência adicionada | Nenhum | Microssegundos (processamento) | Nenhum para monitoramento, mas pode carregar a CPU do switch |
| Superfície de segurança | Nenhum - sem IP, sem interface de gerenciamento | Possui firmware e interface de gerenciamento | Configurado através da CLI/GUI do switch |
| Melhor ajuste | Monitoramento contínuo de fibra onde confiabilidade e integridade são prioridades | Orçamentos ópticos apertados ou links que necessitam de regeneração de sinal | Solução de problemas temporários ou links sem acesso físico TAP |
A limitação mais importante do SPAN: o espelhamento é uma função de-baixa prioridade na maioria dos switches. Sob carga pesada, o switch descarta pacotes espelhados silenciosamente, criando pontos cegos em seus dados de monitoramento exatamente nos momentos em que a captura completa é mais importante.
Tipos de TAPs ópticos passivos
Por tipo de fibra
- Modo-único (OS2)- para links-de longa distância (até dezenas de quilômetros). Usa comprimentos de onda de 1310 nm ou 1550 nm. Proporções de divisão de 70/30 ou 80/20 são comuns para preservar orçamentos ópticos apertados.
- Multimodo (OM3/OM4/OM5)- para execuções curtas de data center (até aproximadamente 550 m) a 850 nm. Uma divisão 50/50 é muitas vezes viável devido à generosa margem óptica.
Por tipo de conector
- LC- padrão para links duplex 1G e 10G. Maior densidade de portas em chassis-montados em rack.
- MPO/MTP- necessário para óptica paralela 40G SR4, 100G SR4 e 400G SR8. Suporta configurações de breakout para monitorar pistas individuais.
- SC- formato maior e mais antigo ainda encontrado em alguns ambientes legados.
Como escolher o TAP óptico passivo correto
1. Combine o tipo de fibra e o conector
Um TAP-modo único e um TAP multimodo são dispositivos diferentes - e não são intercambiáveis. O conector (LC, SC, MPO/MTP) também deve corresponder ao seu link. As incompatibilidades exigem adaptadores que adicionam perda de inserção desnecessária.
2. Selecione a proporção de divisão
| Razão de divisão | Caminho de produção | Caminho do monitor | Uso típico |
|---|---|---|---|
| 50/50 | 50% | 50% | Links curtos de data center com margem saudável; Links 40G+ onde as ferramentas de monitoramento precisam de sinal forte |
| 70/30 | 70% | 30% | Links 1G/10G em percursos-de distância moderada; proporção de propósito geral-mais comum |
| 80/20 ou 90/10 | 80–90% | 10–20% | Links longos-de modo único com orçamentos restritos; ferramenta de monitoramento deve ter um receptor sensível |
3. Calcule o orçamento do link óptico
Esta etapa evita a maioria das falhas de implantação. Antes de comprar:
- Procure a potência mínima de saída do transmissor e a sensibilidade do receptor na folha de dados do transceptor.
- Calcule a atenuação total da fibra (distância × perda por km). Valores de referência: ~3,5 dB/km para multimodo OM4 em 850 nm; ~0,4 dB/km para modo-único em 1310 nm.
- Adicione perdas no conector (~0,2–0,5 dB por par acoplado para conectores de qualidade).
- Adicione a perda de inserção do TAP para a proporção de divisão escolhida.
- Inclua pelo menos 3 dB de margem do sistema para envelhecimento, reparos e variação de temperatura.
- Confirme se a perda total permanece dentro do orçamento de energia do transceptor.
Verifique também se o receptor da ferramenta de monitoramento é sensível o suficiente para funcionar com a potência reduzida na porta do monitor do TAP.
4. Evite estes erros comuns
- Ignorando o cálculo do orçamento- um TAP que passa no teste de bancada ainda pode causar erros de CRC em um link de produção com margem estreita.
- Escolhendo a taxa de divisão apenas para o lado do monitor- uma divisão 50/50 fornece um sinal de monitoramento mais forte, mas se a margem do link de produção for pequena, ela poderá empurrar o caminho ao vivo abaixo de seu limite confiável.
- Esquecendo as perdas do conector e do patch panel- cada par acoplado adiciona perda. Em um ambiente fortemente corrigido, estes se acumulam.
- Supondo que todos os TAPs passivos sejam equivalentes- dois TAPs com a mesma proporção de divisão podem ter especificações de perda de inserção diferentes. Verifique a ficha técnica.
Quando usar um TAP óptico passivo
- Você precisa de monitoramento contínuo e sempre{0}}ativo em um link de fibra com margem óptica adequada.
- A integridade do tráfego é importante - IDS, captura forense, registro de conformidade.
- Você deseja que o monitoramento seja dissociado da configuração e dos recursos do switch.
- Você não precisa de nenhuma dependência de energia e nenhuma superfície de gerenciamento atacável.
- As estruturas de conformidade (NERC CIP, PCI DSS, IEC 62443, HIPAA) exigem separação entre monitoramento e infraestrutura de produção.
Quando um TAP óptico passivo não é o ajuste certo
- Orçamento óptico apertado- se o link já estiver próximo da sensibilidade do receptor, a divisão adicional poderá causar erros. Use um TAP ativo com regeneração de sinal.
- Elos de cobre- TAPs ópticos passivos funcionam apenas em fibra. O monitoramento de cobre precisa de uma porta TAP ou SPAN de cobre.
- Manipulação de tráfego necessária- filtragem, agregação, desduplicação ou conversão de protocolo requerem um corretor de pacotes ou downstream TAP ativo.
- Solução de problemas temporária- uma sessão SPAN é mais rápida de configurar quando você precisa apenas dar uma olhada rápida em um link de baixa-criticidade.
Perguntas frequentes
Um TAP óptico passivo requer energia?
Não. Ele opera inteiramente através de divisão óptica sem eletrônica ativa.
Suporta tráfego bidirecional?
Sim. Cada direção em um link duplex é dividida de forma independente, produzindo duas saídas de monitor.
Isso pode afetar o tráfego de produção?
Ele introduz perda de inserção (intensidade de sinal reduzida), mas não pode injetar tráfego ou erros. O planejamento adequado do orçamento óptico garante que o link de produção permaneça íntegro.
Um TAP passivo é melhor que uma porta SPAN?
Para monitoramento contínuo onde a integridade do tráfego é importante - sim. Um TAP passivo captura 100% do tráfego, incluindo quadros de erro, e nunca descarta pacotes sob carga. Uma porta SPAN é mais fácil de configurar sem alterações de cabeamento físico, mas descarta silenciosamente pacotes espelhados quando o switch está ocupado.
Como escolho entre 50/50 e 70/30?
Comece pelo orçamento óptico do link de produção. Links curtos de data center com transceptores de alta-potência geralmente podem lidar com 50/50. Tiragens mais longas ou orçamentos mais apertados exigem 70/30 ou superior. Sempre verifique se o receptor de produção e o receptor da ferramenta de monitoramento têm sinal suficiente.
Os invasores podem detectar um TAP passivo?
Não. Ele não possui endereço IP, endereço MAC e interface de gerenciamento. Ele é invisível para qualquer verificação-baseada em rede.
Quanto tempo duram os TAPs passivos?
Eles não contêm componentes que se degradem com o uso. As implantações geralmente duram de 10 a 20 anos. A única manutenção é a limpeza ocasional do conector de fibra.
