Абыходны TAP (таксама званы камутатарам байпаса) забяспечвае бяспечныя парты доступу для ўбудаваных прылад актыўнай бяспекі, такіх як IPS і брандмаўэры наступнага пакалення (NGFWS). Абыходны камутатар размяшчаецца паміж сеткавымі прыладамі і перад інструментамі сеткавай бяспекі, каб забяспечыць надзейную кропку ізаляцыі паміж сеткай і ўзроўнем бяспекі. Ён забяспечвае поўную падтрымку сетак і інструментаў бяспекі, каб пазбегнуць рызыкі збояў у сетцы.
Рашэнне 1 1-канальны абыходны сеткавы адвод (абходны перамыкач) - незалежны
Прымяненне:
Сеткавы адгалінаванне Bypass (перамыкач Bypass) падключаецца да дзвюх сеткавых прылад праз парты Link і падключаецца да сервера трэцяга боку праз парты Device.
Трыгер адгалінавання сеткі абыходу (перамыкача абыходу) усталяваны на Ping, які адпраўляе паслядоўныя запыты Ping на сервер. Як толькі сервер перастае рэагаваць на пінгі, адгалінаванне сеткі абыходу (перамыкач абыходу) пераходзіць у рэжым абыходу.
Калі сервер зноў пачне адказваць, абыходны сеткавы перамыкач (Bypass Network Tap) зноў пераключыцца ў рэжым прапускной здольнасці.
Гэта праграма можа працаваць толькі праз ICMP (Ping). Пакеты heartbeat не выкарыстоўваюцца для маніторынгу злучэння паміж серверам і абыходным сеткавым адгалінаваннем (перамыкачом абыходу).
Рашэнне 2. Брокер сеткавых пакетаў + абыходны сеткавы адвод (перамыкач абыходу)
Брокер сеткавых пакетаў (NPB) + Абыходны сеткавы адвод (абыходны перамыкач) -- Нармальны стан
Прымяненне:
Сеткавы перамыкач Bypass (Bypass Switch) падключаецца да дзвюх сеткавых прылад праз парты Link і да Network Packet Broker (NPB) праз парты Device. Сервер трэцяга боку падключаецца да Network Packet Broker (NPB) з дапамогай двух медных кабеляў 1G. Network Packet Broker (NPB) адпраўляе пакеты heartbeat на сервер праз порт №1 і хоча зноў атрымаць іх на порце №2.
Трыгер для абыходнага сеткавага адводу (перамыкача абыходу) усталяваны на REST, і брокер сеткавых пакетаў (NPB) запускае праграму абыходу.
Трафік у рэжыме прапускной здольнасці:
Прылада 1 ↔ Перамыкач/адвод байпаса ↔ NPB ↔ Сервер ↔ NPB ↔ Перамыкач/адвод байпаса ↔ Прылада 2
Брокер сеткавых пакетаў (NPB) + абыход сеткавага адводу (перамыкач абыходу) -- праграмны абыход
Апісанне праграмнага абыходу:
Калі брокер сеткавых пакетаў (NPB) не выяўляе пакеты heartbeat, ён уключыць праграмны абыход.
Канфігурацыя брокера сеткавых пакетаў (NPB) аўтаматычна змяняецца для адпраўкі ўваходнага трафіку назад на абыходны сеткавы перамыкач (Bypass Network Tap), тым самым паўторна ўстаўляючы трафік у жывую сувязь з мінімальнай стратай пакетаў.
Сеткавы адгалінаванне абыходу (перамыкач абыходу) наогул не павінна рэагаваць, бо ўсе абыходы выконваюцца брокерам сеткавых пакетаў (NPB).
Трафік у праграмным абыходзе:
Прылада 1 ↔ Байпасны перамыкач/адвод ↔ NPB ↔ Байпасны перамыкач/адвод ↔ Прылада 2
Брокер сеткавых пакетаў (NPB) + Абыход сеткавага адводу (перамыкач абыходу) -- Апаратны абыход
Апісанне апаратнага абыходу:
У выпадку збою брокера сеткавых пакетаў (NPB) або разрыву злучэння паміж брокерам сеткавых пакетаў (NPB) і абыходным сеткавым адгалінаваннем (перамыкачом байпаса), абыходны сеткавы адгалінаванне (перамыкач байпаса) пераключаецца ў рэжым байпаса, каб падтрымліваць працу злучэння ў рэжыме рэальнага часу.
Калі абыходны сеткавы адгалінаванне (абходны камутатар) пераходзіць у рэжым абыходу, брокер сеткавых пакетаў (NPB) і знешні сервер абыходзяць і не атрымліваюць трафік, пакуль абыходны сеткавы адгалінаванне (абходны камутатар) не пераключыцца назад у рэжым прапускной здольнасці.
Рэжым байпаса ўключаецца, калі байпасны сеткавы адвод (байпасны перамыкач) больш не падключаны да крыніцы харчавання.
Афлайн-трафік абсталявання:
Прылада 1 ↔ Байпасны перамыкач/адвод ↔ Прылада 2
Рашэнне 3. Два байпасныя сеткавыя адгалінаванні (байпасныя перамыкачы) для кожнага канала сувязі
Інструкцыі па канфігурацыі:
У гэтай канфігурацыі 1 медны канал з 2 прылад, падлучаных да вядомага сервера, абыходзіцься двума абыходнымі сеткавымі адгалінаваннямі (абыходнымі камутатарамі). Перавага гэтага рашэння ў параўнанні з 1 абыходам заключаецца ў тым, што пры парушэнні злучэння брокера сеткавых пакетаў (NPB) сервер усё яшчэ застаецца часткай актыўнага канала.
2 * абыходныя сеткавыя адгалінаванні (абходныя перамыкачы) на канал - праграмны абыход
Апісанне праграмнага абыходу:
Калі брокер сеткавых пакетаў (NPB) не выяўляе пакеты heartbeat, ён уключыць праграмны абыход. Сеткавы перамыкач абыходу (Bypass Switch) наогул не павінен рэагаваць, бо ўсе абыходы выконваюцца брокерам сеткавых пакетаў (NPB).
Трафік у праграмным абыходзе:
Прылада 1 ↔ Абыходны перамыкач/адвод 1 ↔ Брокер сеткавых пакетаў (NPB) ↔ Абыходны перамыкач/адвод 2 ↔ Прылада 2
2 * абыходныя сеткавыя адгалінаванні (абыходныя перамыкачы) на канал - апаратны абыход
Апісанне апаратнага абыходу:
У выпадку збою брокера сеткавых пакетаў (NPB) або разрыву злучэння паміж абыходным сеткавым адгалінаваннем (байпасным камутатарам) і брокерам сеткавых пакетаў (NPB), абодва абыходныя сеткавыя адгалінаванні (байпасныя камутатары) пераключаюцца ў рэжым байпаса, каб падтрымліваць актыўнае злучэнне.
У адрозненне ад налады «1 абыход на канал», сервер усё яшчэ ўключаны ў жывы канал.
Афлайн-трафік абсталявання:
Прылада 1 ↔ Перамыкач байпасу/адвод 1 ↔ Сервер ↔ Перамыкач байпасу/адвод 2 ↔ Прылада 2
Рашэнне 4. Для кожнага канала сувязі на двух сайтах настроены два байпасныя сеткавыя адгалінаванні (байпасныя перамыкачы).
Інструкцыі па наладзе:
Дадаткова: для злучэння двух розных сайтаў праз тунэль GRE можна выкарыстоўваць два брокеры сеткавых пакетаў (NPB) замест аднаго брокера сеткавых пакетаў (NPB). У выпадку збою сервера, які злучае два сайты, гэта абыдзе сервер і трафік, які можа распаўсюджвацца праз тунэль GRE брокера сеткавых пакетаў (NPB) (як паказана на малюнках ніжэй).
Час публікацыі: 06 сакавіка 2023 г.
