TAP ответвители трафика: что это, зачем или как получить копию трафика?
Представим, что у нас есть некая система мониторинга и анализа трафика, например, VIAVI Observer которая работает непосредственно с полноценной копией трафика для возможности выявлений различного рода аномалий в работе сетевых сервисов и приложений. Очевидно, что для захвата, хранения и последующего анализа этот трафик необходимо каким-то образом подать на эту систему мониторинга.
Была и остается практика использования SPAN портов на коммутаторах: этот подход имел низкую стоимость, однако, занимал лишние порты, а на высокоскоростных линках могли происходить дропы пакетов. Также технология SPAN использует дополнительные мощности CPU сетевого оборудования и исключает возможность передачи трафика с наличием ошибок и коллизий, например, контрольной суммы, так называемый «битый трафик». И что делать, если порты захвата системы мониторинга не имеют IP и MAC адресации?
Тогда на помощь приходят TAP ответвители трафика.
Виды TAP ответвителей трафика
На данный момент глобально можно говорить о двух видах TAP ответвителей: оптических и медных.
Медные, очевидно, предназначены для отвода трафика с медных линков (кабели, оконцованные разъёмами типа RJ).
Обычно медным TAP ответвителям требуется питание, а поддерживаемая скорость рассчитана до 1 Гбит/с.
Оптические TAP ответвители в свою очередь поддерживают скорость передачи трафика от 10 Мбит/с до 100 Гбит/с, и они не требуют электропитания, так как конструктивно, на уровне оптической призмы, разделяют световой поток с разным коэффициентом Split Ratio, в зависимости от модели самого ответвителя, тем самым происходит копирование оптического сигнал на отдельный порт.
Представленная на рисунке конфигурация обеспечивает разрыв одного линка, копируя на отдельную пару портов трафик обоих направлений, как Tx, так и Rx.
При выборе оптического TAP ответвителя трафика необходимо учитывать коэффициент деления светового потока (Split Ratio). Данный коэффициент определяет соотношение оптической мощности между портами для подключения сетевого оборудования и портами для подключения системы мониторинга.
К примеру 100% мощности подаваемой на входные порты TAP ответвителя может быть разделено с соотношением 70/30. Это означает что на порты, к которым подключено сетевое оборудование уйдёт 70% мощности светового потока, а на порты для системы мониторинга уйдёт 30% светового потока.
Помимо прочего, следует учитывать, что сам TAP ответвитель может вносить затухание в рабочий канал. Сумма этих параметров особенно важна, если вы планируете каскадировать TAP ответвители для отвода на множество систем мониторинга, но как правило применение техники каскадирования с использованием нескольких TAP ответвителей не приемлемо, так как при превышении значения затухания выше нормы, SFP на стороне приема может не распознать сигнал.
Также для ситуаций, где необходимо выполнить ответвление трафика с большого количества оптических линков, существуют серия TAP ответвителей High Density, где в рамках одного шасси размером 1U есть возможность произвести копирование 24 оптических каналов.
Выводы
Современные высокоскоростные сети предъявляют повышенные требования к процессу получения копии трафика. Трафик должен отводиться на систему мониторинга без каких-либо потерь и на высоких скоростях, особенно «проблемные» пакеты. TAP должны поддерживать как одномодовую оптику, так и многомодовую. А для ЦОД актуально использование TAP ответвителей с разъёмами типа MPO, да, есть и такие!
В качестве промежуточного звена после TAP ответвителей могут использоваться пакетные брокеры, позволяющие производить дополнительные манипуляции с копией трафика недоступные TAP ответвителям: агрегацию нескольких потоков трафика в один порт, дедупликацию, фильтрацию трафика L2-L7 на выходе, VLAN стриппинг, Time Stamping, балансировку нагрузки на выходе.
Но это уже другая большая история. А так, только полный набор пакетов, полученных с TAP ответвителя без изъятий, может дать полную и прозрачную картину происходящего в сети передачи данных.
Вступайте в Telegram канал проекта NetworkGuru, чтобы не пропустить интересные статьи и вебинары.
См. также:
Авторизуйтесь для этого