Heren, Om de stilte maar weer eens te doorbreken: ik had vandaag een niet nader te noemen vendor van een TAP device op bezoek. In eerste instantie werd geclaimed dat het device volledig transparant en failsafe was en dat uitvallen van of defecten aan het apparaat geen enkel effect hadden op de getapte link, we bespraken een GE/koper oplossing. Echter, wat verder in de meeting kwam naar voren dat de oplossing niet zo transparant bleek als ik in eerste instantie voor ogen had. Er van uitgaande dat het ding tussen Dev-A (via tap poort Tap-A) en Dev-B (via tap poort Tap-B) geplaatst zal worden en dat de monitoring device aan poort C komt te hangen was de stelling als volgt: bij een GE link zal Dev-A een master/slave relatie aangaan met Tap-A en Dev-B met Tap-B. Mocht de TAP doos nu falen of zonder spanning komen te zitten dan zal er een failsafe circuit in werking treden waardoor er een fysieke 1:1 connectie tussen Tap-A en Tap-B tot stand komt. Op dat moment moeten Dev-A en Dev-B opnieuw een handshake uitvoeren en een master/slave relatie tot stand brengen. Ergo, bij een failure gaat je getapte link kortstondig down (hoewel hij daarna wel weer snel opkomt via het failsafe mechanisme). De fabrikant in kwestie beweert dat dit niet anders kan bij GE (in tegenstelling tot FE) en dat het niet mogelijk is om Dev-A en Dev-B direct met elkaar te laten negotiaten, wanneer de tapvoorziening actief is. Mijn stelling was dat je op laag-1 gewoon het signaal zou moeten kunnen 'aftappen' en dat het device niets op laag-2 zou moeten/hoeven doen en dat je hiermee dus een down/up schakeling in geval van device-failure mee zou kunnen voorkomen. Volgens de fabrikant was dat echter onmogelijk en was er geen enkele fabrikant die een GE tapdoos bouwde die op deze manier kon werken. Exacte argumenten kon hij me op dit moment niet geven. Iemand hier die hier iets nuttigs over kan zeggen? Arjan
Hoi, [ om hier ook nog maar eens wat te roepen ] Quoting Arjan van der Oest (arjan at vanderoest.net):
De fabrikant in kwestie beweert dat dit niet anders kan bij GE (in tegenstelling tot FE) en dat het niet mogelijk is om Dev-A en Dev-B direct met elkaar te laten negotiaten, wanneer de tapvoorziening actief is. Mijn stelling was dat je op laag-1 gewoon het signaal zou moeten kunnen 'aftappen' en dat het device niets op laag-2 zou moeten/hoeven doen en dat je hiermee dus een down/up schakeling in geval van device-failure mee zou kunnen voorkomen. Volgens de fabrikant was dat echter onmogelijk en was er geen enkele fabrikant die een GE tapdoos bouwde die op deze manier kon werken. Exacte argumenten kon hij me op dit moment niet geven.
Ik heb ooit gespeeld met 'n tapdoos die, in combinatie met een passief splitter/tap device-je werkte. De tapdoos gebruikte 2x ethernet als aanvoer, en werd via 't passieve splittertje tussen de twee devices gehangen. Verkeer werd vervolgens gesplitst (a->b, b->a) aangeleverd over aparte links. Het nadeel is dat de tapdoos vervolgens de 2 simplex streams moet herassembleren tot een full duplex stream, om daarna eventuele analyse/tiit te kunnen doen. Het merk van 't passieve apparaatje was 'Shomiti', een bedrijf dat volgens een snelle google search niet meer blijkt te bestaan. Wel was dit volledig passief, en resulteerde dit niet in 'n link die down ging. Groetjes, Robert -- /^"- '-(\__/)-' -"^\ '-.' oo '.-' Holy Jesus! What are these goddamn animals?! `-..-' Finger rvdm at db.debian.org for my GPG key.
Howdy, On Aug 22, 2008, at 7:31 PM, Robert van der Meulen wrote:
Ik heb ooit gespeeld met 'n tapdoos die, in combinatie met een passief splitter/tap device-je werkte. De tapdoos gebruikte 2x ethernet als aanvoer, en werd via 't passieve splittertje tussen de twee devices gehangen. Verkeer werd vervolgens gesplitst (a->b, b->a) aangeleverd over aparte links. Het nadeel is dat de tapdoos vervolgens de 2 simplex streams moet herassembleren tot een full duplex stream, om daarna eventuele analyse/tiit te kunnen doen. Het merk van 't passieve apparaatje was 'Shomiti', een bedrijf dat volgens een snelle google search niet meer blijkt te bestaan. Wel was dit volledig passief, en resulteerde dit niet in 'n link die down ging.
2 simplex streams is an-sich het probleem niet, de meeste legal- intercept oplossingen kunnen prima overweg met multiple tap-points. Mijn betoog ging voornamelijk over de vraag of het klopt dat je geen echte 'hardwire' tap op de lijn kan zetten zonder dat je tap/splitter meedoet op de PHY (en derhalve, imho, geen echte passive/onzichtbare/ failsafe tap/splitter is). De vendor doet voorkomen dat het te maken heeft met de PHY master/slave negotiate, maar na wat googlewerk kom ik langs deze opmerking: "...You cannot build a passive tap for Gigabit Ethernet. If you read the standard, you will see that all four pairs are used to transmit AND receive simultaneously. A DSP is used to subtract out the data you are sending (as well as cancel any crosstalk between pairs) to give you the received data for each pair. That's why gigabit Ethernet devices use so much power and cost more. There's a lot more happening inside the chip. If you don't know what is being sent from one side, you can't subtract the signals from one another. An unintentional built in security mechanism...." Nou moet ik toegeven dat ik geen GE PHY kanjer ben, maar dit verhaal klinkt al een stuk aannemelijker dan het verhaal dat je het GE signaal niet puur elektrisch kan aftappen omdat je mee moet doen in de master/ slave negotiate. Volgens bovenstaand relaas zouden de getapte signalen immers een verhaspelde samenstelling van zowel tx als rx zijn waar geen kaas van te maken is als je niet weet wat je aan een van de kanten verzonden hebt. Aangezien de splitter zelf geen data verzendt kan ie ook niet weten wat de DSP van het gecombineerde signaal moet afhalen om het andere signaal over te houden. Klassiek kip-ei dilemma lijkt me :) En dat zou ook verklaren waarom dit probleem zich alleen voordoet op 1000base-T en niet op (bv) 1000base-SX : op fiber is er sprake van maar ??n tx channel en ??n rx channel. Door optisch in te tappen op beiden heb je automatisch beide kanalen gescheiden. Iemand die bovenstaande kan bevestigen? In dat geval is er inderdaad geen enkele vendor die op koper een volledige hardwire passive tap kan maken voor GE. Arjan
Hoi, Quoting Arjan van der Oest (arjan at vanderoest.net):
"...You cannot build a passive tap for Gigabit Ethernet. If you read the standard, you will see that all four pairs are used to transmit AND receive simultaneously. A DSP is used to subtract out the data you are sending (as well as cancel any crosstalk between pairs) to give you the received data for each pair. That's why gigabit Ethernet devices use so much power and cost more. There's a lot more happening inside the chip. If you don't know what is being sent from one side, you can't subtract the signals from one another. An unintentional built in security mechanism...."
Ha, die tekst vond ik ook, na wat googlen op basis van je mailtje :)
Nou moet ik toegeven dat ik geen GE PHY kanjer ben, maar dit verhaal klinkt al een stuk aannemelijker dan het verhaal dat je het GE signaal niet puur elektrisch kan aftappen omdat je mee moet doen in de master/ slave negotiate. Volgens bovenstaand relaas zouden de getapte signalen immers een verhaspelde samenstelling van zowel tx als rx zijn waar geen kaas van te maken is als je niet weet wat je aan een van de kanten verzonden hebt. Aangezien de splitter zelf geen data verzendt kan ie ook niet weten wat de DSP van het gecombineerde signaal moet afhalen om het andere signaal over te houden. Klassiek kip-ei dilemma lijkt me :)
Klinkt allemaal wel heel aannemelijk.
En dat zou ook verklaren waarom dit probleem zich alleen voordoet op 1000base-T en niet op (bv) 1000base-SX : op fiber is er sprake van maar ??n tx channel en ??n rx channel. Door optisch in te tappen op beiden heb je automatisch beide kanalen gescheiden.
Iemand die bovenstaande kan bevestigen? In dat geval is er inderdaad geen enkele vendor die op koper een volledige hardwire passive tap kan maken voor GE.
Na (nog) wat meer googlewerk kwam ik uit bij 'n patent van Finisar (http://www.finisar.com/) , 'n bedrijf dat protocol analyse apparatuur en klassieke (10/100) taps maakt, voor 'n ZPL ('zero packet loss') tapbak: http://www.wipo.int/pctdb/en/wo.jsp?IA=US2006060917&wo=2007059509&DISPLAY=DESC In 't patent beschrijven ze 'n 'passieve tap' (tussen aanhalingstekens, aangezien 't ding wel powered is) die niet invasive is, in de zin dat de tap en/of het powered zijn van de tap, geen invloed heeft op het signaal of negotiation. Het belangrijkste deel van 't patent beschrijft een 'signal separation stage' waarin doormiddel van ethernet-karakteristieken (preamble, klokpulsen) de pakketstroom wordt gereconstrueerd. Alleen dan weer jammer dat ze (nog?) geen werkende versie op hun website hebben staan :) Patent dateert van Mei dit jaar, dus 't zal nog wel even duren allemaal. Groetjes, Robert -- /^"- '-(\__/)-' -"^\ '-.' oo '.-' Holy Jesus! What are these goddamn animals?! `-..-' Finger rvdm at db.debian.org for my GPG key.
On Aug 22, 2008, at 8:34 PM, Robert van der Meulen wrote:
Na (nog) wat meer googlewerk kwam ik uit bij 'n patent van Finisar (http://www.finisar.com/) , 'n bedrijf dat protocol analyse apparatuur en klassieke (10/100) taps maakt, voor 'n ZPL ('zero packet loss') tapbak: http://www.wipo.int/pctdb/en/wo.jsp?IA=US2006060917&wo=2007059509&DISPLAY=DESC In 't patent beschrijven ze 'n 'passieve tap' (tussen aanhalingstekens, aangezien 't ding wel powered is) die niet invasive is, in de zin dat de tap en/of het powered zijn van de tap, geen invloed heeft op het signaal of negotiation. Het belangrijkste deel van 't patent beschrijft een 'signal separation stage' waarin doormiddel van ethernet-karakteristieken (preamble, klokpulsen) de pakketstroom wordt gereconstrueerd.
Dit patent beschrijft a) niet duidelijk dat het om een 100BaseT oplossing gaat, men spreekt slechts van een ZPL splitter. Tevens is er b) sprake van twee relais die tijdens de powered stage aangetrokken worden en het signaal door de separator leiden. Indien de spanning afvalt zal het relais omvallen en volgt er onherroepelijk een linkflap volgens mij, omdat de beide hosts elektrisch (ook al is het kort) van elkaar worden verbroken. Er kan dan toch geen sprake zijn van Zero Packet Loss tapping? In mijn optiek zou een dergelijke oplossing moeten werken zoals het bij fiber of 100BaseTX gedaan wordt: A en B zijn hard met elkaar verbonden en je lekt een klein deel van je optisch of electrisch signaal naar een zijtak. Valt de spanning af dan blijven A en B hard met elkaar verbonden. Ook het uit elkaar vlechten van het 1000baseT Rx en Tx signaal van elk aderpaar is een vrijwel onmogelijk opgave. Je ontvangt, waar je ook luistert, een grote PAM-5 soep (het encoding scheme) waar je een calculatie op moet loslaten op basis van wat je zelf stuurt. Stuur je niets, dan kan je ook niets berekenen. Op bekende stukken van het frame (de preamble, zoals jij al noemde) kun je wel rekenwerk loslaten, maar daarna is het frame weer een grote wazige soep zonder een bronsignaal. In het patent spreken ze van een probe aan een van beide zijden maar dat kan je niet helpen: aan de A zijde hoor je onherroepelijk ook het signaal van de B zijde. Tenzij je rekening gaat houden met het feit dat het verzonden signaal van A eerder te horen is aan de A zijde dan de B zijde en je deze verschuiving in tijd gaat meenemen in je calculatie. Ik gok dat de splitter dan onbetaalbaar gaat worden. Ergo: als ik een volkomen passieve en failsafe tap wil hebben ben ik verplicht om naar fiber over te schakelen. Arjan
Helleu, Quoting Arjan van der Oest (arjan at vanderoest.net):
Dit patent beschrijft a) niet duidelijk dat het om een 100BaseT oplossing gaat, men spreekt slechts van een ZPL splitter. Tevens is er b) sprake van twee relais die tijdens de powered stage aangetrokken worden en het signaal door de separator leiden. Indien de spanning afvalt zal het relais omvallen en volgt er onherroepelijk een linkflap volgens mij, omdat de beide hosts elektrisch (ook al is het kort) van elkaar worden verbroken. Er kan dan toch geen sprake zijn van Zero Packet Loss tapping?
wbt a): Ze geven een specifiek voorbeeld op basis van gigabit (koper) ethernet ("For Gigabit Ethernet, the cables 208 and 212 are typically four-pair Cat5 twisted-pair cables, but the ZPL tap 300 can also work with ..") wbt b): "Further, it should be noted that unlike conventional taps, which use relays with physical switches as described previously, exemplary passive network taps of the invention do not include any active components positioned in-line with a network cable that could cause data packet loss or otherwise cause users on either end of the network link to be aware of the fact that data is being accessed by a tap. In other words, regardless of power loss or other fault to the passive tap, there is no loss of communication between devices communicating over the network." <snip>
Ook het uit elkaar vlechten van het 1000baseT Rx en Tx signaal van elk aderpaar is een vrijwel onmogelijk opgave. Je ontvangt, waar je ook luistert, een grote PAM-5 soep (het encoding scheme) waar je een calculatie op moet loslaten op basis van wat je zelf stuurt. Stuur je niets, dan kan je ook niets berekenen. Op bekende stukken van het frame (de preamble, zoals jij al noemde) kun je wel rekenwerk loslaten, maar daarna is het frame weer een grote wazige soep zonder een bronsignaal. In het patent spreken ze van een probe aan een van beide zijden maar dat kan je niet helpen: aan de A zijde hoor je onherroepelijk ook het signaal van de B zijde. Tenzij je rekening gaat houden met het feit dat het verzonden signaal van A eerder te horen is aan de A zijde dan de B zijde en je deze verschuiving in tijd gaat meenemen in je calculatie. Ik gok dat de splitter dan onbetaalbaar gaat worden.
Ik heb geen idee van de prijs van zo'n tap, op basis van 'n patent van enkele maanden oud. Daarnaast verwijs ik ook niet naar een nu in te zetten oplossing ;) Het onderwerp is interessant en on-topic, toch? Overigens heeft dit bedrijf in 2002 al aangekondigd dat ze werkende in-line fault-tolerant gigabit copper taps hebben: http://findarticles.com/p/articles/mi_pwwi/is_200205/ai_mark02041758 De prijs die daar wordt genoemd ligt rond de $1500 voor een single-port versie. Opzich voordelig IMHO. Ik kan verder geen bewijs vinden van het (nog) bestaan van die tapjes, of dat die dingen ueberhaupt ooit geleverd zijn. Wel zijn er partlists van leveranciers die ernaar verwijzen.
Ergo: als ik een volkomen passieve en failsafe tap wil hebben ben ik verplicht om naar fiber over te schakelen.
Zou goed kunnen. Wie weet zijn persbericht en patent gebakken lucht, in ieder geval kan ik geen werkend product vinden. OTOH heb ik niet heel veel moeite gedaan. Groetjes, Robert -- /^"- '-(\__/)-' -"^\ '-.' oo '.-' Holy Jesus! What are these goddamn animals?! `-..-' Finger rvdm at db.debian.org for my GPG key.
participants (2)
-
arjan@vanderoest.net -
nlnog@wiretrip.org