Як разгарнуць убудаваны абыходны кран, каб прадухіліць перагрузку або збой інструментаў бяспекі?

Абыходны TAP (таксама званы абыходны перамыкач) забяспечвае бяспечныя парты доступу для ўбудаваных прылад актыўнай бяспекі, такіх як IPS і брандмаўэры новага пакалення (NGFWS). Абыходны пераключальнік разгортваецца паміж сеткавымі прыладамі і перад інструментамі бяспекі сеткі, каб забяспечыць надзейную кропку ізаляцыі паміж сеткай і ўзроўнем бяспекі. Яны забяспечваюць поўную падтрымку сетак і інструментаў бяспекі, каб пазбегнуць рызыкі адключэння сеткі.

Рашэнне 1 1 Link Bypass Network Tap (Bypass Switch) - незалежна

Ужыванне:

Абыходны сеткавы адвод (абыходны пераключальнік) падключаецца да дзвюх сеткавых прылад праз парты Link і падключаецца да старонняга сервера праз парты прылад.

Трыгер байпаснага сеткавага крана (пераключальніка байпасу) усталяваны на Ping, які адпраўляе паслядоўныя запыты Ping на сервер. Як толькі сервер перастае адказваць на пінг, абыходны сеткавы кран (перамыкач абыходу) пераходзіць у рэжым абыходу.

Калі сервер зноў пачынае адказваць, абыходны сеткавы адвод (пераключальнік абыходу) пераключаецца назад у рэжым прапускной здольнасці.

Гэта дадатак можа працаваць толькі праз ICMP (Ping). Для маніторынгу злучэння паміж серверам і кранам абыходнай сеткі (пераключальнікам абходу) не выкарыстоўваюцца пакеты пульса.

2

Рашэнне 2: брокер сеткавых пакетаў + абыходны сеткавы адвод (пераключальнік абыходу)

Сеткавы брокер пакетаў (NPB) + Абыход сеткі (абыходны пераключальнік) -- Нармальны стан

Ужыванне:

Абыходны сеткавы адвод (абыходны пераключальнік) падключаецца да дзвюх сеткавых прылад праз парты Link і да брокера сеткавых пакетаў (NPB) праз парты прылад. Сервер трэцяга боку падключаецца да Network Packet Broker (NPB) з дапамогай медных кабеляў 2 x 1G. Брокер сеткавых пакетаў (NPB) адпраўляе пакеты сардэчных сігналаў на сервер праз порт №1 і хоча атрымаць іх зноў на порт №2.

Трыгер для абыходнага сеткавага адводу (перамыкача абыходу) усталяваны ў значэнне REST, і брокер сеткавых пакетаў (NPB) запускае праграму абыходу.

Трафік у прапускным рэжыме:

Прылада 1 ↔ Абыходны пераключальнік/адвод ↔ NPB ↔ Сервер ↔ NPB ↔ Абыходны пераключальнік/адвод ↔ Прылада 2

3

Сеткавы брокер пакетаў (NPB) + Абыход сеткі (абыходны перамыкач) -- Праграмны абыход

Апісанне Software Bypass:

Калі сеткавы брокер пакетаў (NPB) не выяўляе сардэчныя пакеты, ён уключыць праграмны абыход.

Канфігурацыя сеткавага пакетнага брокера (NPB) аўтаматычна змяняецца для адпраўкі ўваходнага трафіку назад у абыходны сеткавы адвод (абыходны пераключальнік), такім чынам, паўторна ўстаўляючы трафік у жывое злучэнне з мінімальнымі стратамі пакетаў.

Абходны сеткавы адвод (перамыкач абыходу) наогул не павінен адказваць, таму што ўсе абыходы выконваюцца брокерам сеткавых пакетаў (NPB).

Трафік у праграмным абходзе:

Прылада 1 ↔ Пераключальнік байпаса/кран ↔ NPB ↔ Пераключальнік байпаса/кран ↔ Прылада 2

1

Сеткавы брокер пакетаў (NPB) + Абыход сеткі (абыходны перамыкач) -- Абыход апаратнага забеспячэння

Апісанне апаратнага байпаса:

У выпадку, калі сеткавы брокер пакетаў (NPB) выходзіць з ладу або злучэнне паміж сеткавым брокерам пакетаў (NPB) і абыходным сеткавым адводам (абыходным пераключальнікам) адключаецца, абыходны сеткавы адвод (абыходны пераключальнік) пераключаецца ў рэжым абыходу, каб захаваць рэальны спасылка на час працуе.

Калі абыходны сеткавы адвод (пераключальнік абыходу) пераходзіць у рэжым абыходу, сеткавы брокер пакетаў (NPB) і знешні сервер абыходзяць і не атрымліваюць трафіку, пакуль абыходны сеткавы адвод (абыходны пераключальнік) не пераключыцца назад у рэжым прапускной здольнасці.

Рэжым абыходу спрацоўвае, калі кран абыходнай сеткі (перамыкач абыходу) больш не падлучаны да крыніцы харчавання.

Апаратны пазасеткавы трафік:

Прылада 1 ↔ Абыходны пераключальнік/кран ↔ Прылада 2

4

Рашэнне 3 Два краны абыходнай сеткі (перамыкачы абыходу) для кожнай спасылкі

Інструкцыі па канфігурацыі:

У гэтай наладзе 1 медная сувязь 2 прылад, падлучаных да вядомага сервера, абыходзіць двума абыходнымі сеткавымі адводамі (перамыкачамі абыходу). Перавага гэтага рашэння перад рашэннем абыходу 1 заключаецца ў тым, што калі злучэнне сеткавага брокера пакетаў (NPB) парушана, сервер па-ранейшаму застаецца часткай жывой сувязі.

5

2 * Абыходныя сеткавыя краны (абыходныя пераключальнікі) на спасылку - праграмны абыход

Апісанне Software Bypass:

Калі сеткавы пакетны брокер (NPB) не выяўляе сардэчныя пакеты, ён уключыць праграмны абыход. Абходны сеткавы адвод (пераключальнік абыходу) наогул не павінен рэагаваць, таму што ўсе абыходы выконваюцца брокерам сеткавых пакетаў (NPB).

Трафік у праграмным абыходзе:

Прылада 1 ↔ Пераключальнік абыходу/кран 1 ↔ Брокер сеткавых пакетаў (NPB) ↔ Пераключальнік абыходу/кран 2 ↔ Прылада 2

6

 

2 * Абыход сеткавых адводаў (абыходных пераключальнікаў) на спасылку - Апаратны абыход

Апісанне апаратнага байпаса:

У выпадку, калі сеткавы брокер пакетаў (NPB) выходзіць з ладу або злучэнне паміж абыходным сеткавым адводам (абыходным пераключальнікам) і сеткавым пакетным брокерам (NPB) адключана, абодва абыходныя сеткавыя адводы (абыходныя пераключальнікі) пераключаюцца ў рэжым абыходу для падтрымання актыўная спасылка.

У адрозненне ад налады «1 абыход на спасылку», сервер па-ранейшаму ўключаны ў жывую спасылку.

Апаратны пазасеткавы трафік:

Прылада 1 ↔ Пераключальнік абходу/кран 1 ↔Сервер ↔ Пераключальнік абыходу/кран 2 ↔ Прылада 2

7

Рашэнне 4. Для кожнай спасылкі на двух сайтах настроены два абыходныя сеткавыя адводы (пераключальнікі абыходу).

Інструкцыі па наладзе:

Дадаткова: два брокеры сеткавых пакетаў (NPB) можна выкарыстоўваць для злучэння двух розных сайтаў праз тунэль GRE замест аднаго брокера сеткавых пакетаў (NPB). У выпадку, калі сервер, які злучае два сайты, выходзіць з ладу, ён будзе абыходзіць сервер і трафік, які можа распаўсюджвацца праз тунэль GRE сеткавага брокера пакетаў (NPB) (як паказана на малюнках ніжэй).

8

9


Час публікацыі: 6 сакавіка 2023 г