Garland Technology P1GCCA 100/1000 full duplex / aggregation / SPAN copper TAP (конфигурируется DIP-переключателями, бесшумный, хорош для захвата на рабочем ПК и для FPGA-карт)
ProfiTAP 10/100/1000 ProfiShark 1G link aggregation copper TAP (подключение по USB3, бесшумный, хорош для захвата на рабочем ПК, конфигурируется программно)
DualComm ETAP 2306 (медные и SFP-порты, полнодуплексный или с агрегацией, бесшумный, питание по USB).
Вот некоторые мои мысли по данному предмету:
всегда проверяйте новый ТАР перед установкой. Проверка должна включать в себя как минимум следующее: 1) пробный захват на скорости, с которой вы собираетесь работать; 2) поведение при пропадании питания; 3) поведение при восстановлении питания (неплохо знать заранее, сколько требуется времени на восстановление линка, чтобы потом не трястись на протяжении 15 секунд, думая, что тут происходит); 4) поведение мониторного порта при попытке инжектирования в него пакетов.
для сплиттеров, проверьте и поменяйте RX/TX в случае, если рабочий линк в порядке, но на мониторном порту ничего нет, или есть только одно направление трафика. Если вы устанавливаете сплиттер в течение сервисного окна, проверяете только рабочий (но не мониторный) линк и думаете “ну, все получилось”, а уже по истечении окна обнаруживаете, что мониторный линк не работает – это не очень радостно.
повторюсь, чем меньше наворотов в ТАР – тем лучше. Ответвители с красочными функциями по управлению / выводу статистики / с наличием LCD-дисплея имеют тенденцию сбоить гораздо чаще, чем самые простые полнодуплексные.
практически невозможно оспаривать результаты, полученные с помощью полнодуплексных оптических сплиттеров (если само устройство захвата достаточно быстрое и не теряло пакеты). Это истинная картина происходящего в сети, не больше и не меньше.
самые дешевые ТАР или те, что я называю “ТАР в кавычках” (не всё, что производитель называет ТАР, им является) практически всегда способны преподнести неожиданные сюрпризы. Всегда всесторонне проверяйте их перед тем, как поместить в разрыв критически важного линка. Обычно они вполне сгодятся для захвата на линках рабочих станций, где вы не особо заботитесь о высочайшей точности и надежности.
использование полнодуплексных ответвителей совмесно с FPGA-картой захвата – это мой предпочитаемый способ, но он не везде возможен.
убедитесь, что ТАР не допускает инжектирование пакетов в мониторный порт. Это облегчит общение с техническим персоналом заказчика. Очень часто кто-то из них подходит к вам и произносит: “это вы сейчас захватываете трафик, да? Вы нам вносите нарушения в сеть, из-за вас у нас проблемы!”
в ситуации, когда вы подключаете ТАР к РоЕ-порту, убедитесь, что он может работать в таком режиме. Я осознал это, когда подключал NetOptics TeenyTap в 100Мбит/с VoIP-phone PoE линк в первый раз, ещё не зная, что сейчас будет. Слава богу, ничего не задымилось!
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
