Установка ТАР/сплиттеров

Установка ТАР/сплиттеров
Примеры разных моделей ТАР
  • NetOptics Teeny TAP 10/100 copper full duplex (небольшой, с резервированным БП)
  • NetOptics TP-CU3 10/100/1000 copper full duplex  (шумный, с резервированным БП)
  • NetOptics 96443 10/100 copper aggregation TAP (шумный, с резервированным БП)
  • NetOptics 96042G-30 fiber full duplex 1Gbps splitter (70/30 коэффициент, пассивное устройство)
  • DATACOM FIBERtap F50/50/50-M 1005 fiber full duplex 1Gbps splitter (50/50 коэффициент, пассивное устройство)
  • Garland Technology P1GCCA 100/1000 full duplex / aggregation / SPAN copper TAP (конфигурируется DIP-переключателями, бесшумный, хорош для захвата на рабочем ПК и для FPGA-карт)
  • ProfiTAP 10/100/1000 ProfiShark 1G link aggregation copper TAP (подключение по USB3, бесшумный, хорош для захвата на рабочем ПК, конфигурируется программно)
  • DualComm ETAP 2306 (медные и SFP-порты, полнодуплексный или с агрегацией, бесшумный, питание по USB).
Вот некоторые мои мысли по данному предмету:

  • всегда проверяйте новый ТАР перед установкой. Проверка должна включать в себя как минимум следующее: 1) пробный захват на скорости, с которой вы собираетесь работать; 2) поведение при пропадании питания; 3) поведение при восстановлении питания (неплохо знать заранее, сколько требуется времени на восстановление линка, чтобы потом не трястись на протяжении 15 секунд, думая, что тут происходит); 4) поведение мониторного порта при попытке инжектирования в него пакетов.
  • для сплиттеров, проверьте и поменяйте RX/TX в случае, если рабочий линк в порядке, но на мониторном порту ничего нет, или есть только одно направление трафика. Если вы устанавливаете сплиттер в течение сервисного окна, проверяете только рабочий (но не мониторный) линк и думаете “ну, все получилось”, а уже по истечении окна обнаруживаете, что мониторный линк не работает – это не очень радостно.
  • повторюсь, чем меньше наворотов в ТАР – тем лучше. Ответвители с красочными функциями по управлению / выводу статистики / с наличием LCD-дисплея имеют тенденцию сбоить гораздо чаще, чем самые простые полнодуплексные.
  • практически невозможно оспаривать результаты, полученные с помощью полнодуплексных оптических сплиттеров (если само устройство захвата достаточно быстрое и не теряло пакеты). Это истинная картина происходящего в сети, не больше и не меньше.
  • самые дешевые ТАР или те, что я называю “ТАР в кавычках” (не всё, что производитель называет ТАР, им является) практически всегда способны преподнести неожиданные сюрпризы. Всегда всесторонне проверяйте их перед тем, как поместить в разрыв критически важного линка. Обычно они вполне сгодятся для захвата на линках рабочих станций, где вы не особо заботитесь о высочайшей точности и надежности.
  • использование полнодуплексных ответвителей совмесно с FPGA-картой захвата – это мой предпочитаемый способ, но он не везде возможен.
  • убедитесь, что ТАР не допускает инжектирование пакетов в мониторный порт. Это облегчит общение с техническим персоналом заказчика. Очень часто кто-то из них подходит к вам и произносит: “это вы сейчас захватываете трафик, да? Вы нам вносите нарушения в сеть, из-за вас у нас проблемы!”
  • в ситуации, когда вы подключаете ТАР к РоЕ-порту, убедитесь, что он может работать в таком режиме. Я осознал это, когда подключал NetOptics TeenyTap в 100Мбит/с VoIP-phone PoE линк в первый раз, ещё не зная, что сейчас будет. Слава богу, ничего не задымилось!
http://www.packettrain.net/ru/2018/01/03/capture-part5/
TAP
Alt text