Што такое байпас?
Абсталяванне сеткавай бяспекі звычайна выкарыстоўваецца паміж дзвюма або больш сеткамі, напрыклад, паміж унутранай і знешняй сеткамі. Абсталяванне сеткавай бяспекі аналізуе сеткавыя пакеты, каб вызначыць наяўнасць пагрозы, пасля апрацоўкі ў адпаведнасці з пэўнымі правіламі маршрутызацыі перасылае пакеты на выхад. Калі абсталяванне сеткавай бяспекі працуе няспраўна, напрыклад, пасля адключэння электраэнергіі або аварыі, сегменты сеткі, падлучаныя да прылады, адключаюцца адзін ад аднаго. У гэтым выпадку, калі кожная сетка павінна быць падключана адна да адной, павінен быць уключаны Bypass.
Функцыя абыходу, як вынікае з назвы, дазваляе дзвюм сеткам фізічна злучацца без праходжання праз сістэму прылады сеткавай бяспекі праз пэўны стан запуску (адключэнне харчавання або збой). Такім чынам, калі прылада сеткавай бяспекі выходзіць з ладу, сеткі, падлучаныя да прылады абыходу, могуць мець зносіны адна з адной. Вядома, сеткавая прылада не апрацоўвае пакеты ў сетцы.
Як класіфікаваць рэжым прымянення байпаса?
Байпас падзяляецца на рэжымы кіравання або запуску, якія наступныя
1. Спрацоўвае па сілкаванні. У гэтым рэжыме функцыя байпасу ўключаецца пры выключэнні прылады. Калі прылада ўключана, функцыя байпасу адразу ж адключаецца.
2. Кіруецца GPIO. Пасля ўваходу ў аперацыйную сістэму вы можаце выкарыстоўваць GPIO для кіравання пэўнымі партамі, каб кіраваць перамыкачом Bypass.
3. Кіраванне з дапамогай Watchdog. Гэта пашырэнне рэжыму 2. Вы можаце выкарыстоўваць Watchdog для кіравання ўключэннем і выключэннем праграмы абыходу GPIO для кантролю стану абыходу. Такім чынам, у выпадку збою платформы, Bypass можа быць адкрыты з дапамогай Watchdog.
У практычных ужываннях гэтыя тры станы часта існуюць адначасова, асабліва два рэжымы 1 і 2. Агульны метад ужывання наступны: калі прылада выключана, абыход уключаны. Пасля ўключэння прылады абыход уключаецца BIOS. Пасля таго, як BIOS бярэ на сябе кіраванне прыладай, абыход усё яшчэ ўключаны. Выключыце абыход, каб праграма магла працаваць. Падчас усяго працэсу запуску практычна няма адключэння сеткі.
Які прынцып рэалізацыі байпасу?
1. Узровень абсталявання
На апаратным узроўні рэле ў асноўным выкарыстоўваюцца для абыходу. Гэтыя рэле падключаюцца да сігнальных кабеляў двух сеткавых партоў абыходу. На наступным малюнку паказаны рэжым працы рэле з выкарыстаннем аднаго сігнальнага кабеля.
Возьмем, напрыклад, трыгер харчавання. У выпадку адключэння харчавання перамыкач у рэле пяройдзе ў стан 1, гэта значыць, прыёмнік на інтэрфейсе RJ45 LAN1 будзе непасрэдна падключацца да перадатчыка RJ45 LAN2, а калі прылада ўключана, перамыкач падключыцца да порта 2. Такім чынам, калі патрабуецца сеткавая сувязь паміж LAN1 і LAN2, гэта трэба зрабіць праз праграму на прыладзе.
2. Узровень праграмнага забеспячэння
У класіфікацыі байпасу для кіравання і ўключэння байпасу згадваюцца GPIO і Watchdog. Фактычна, абодва гэтыя спосабы кіруюць GPIO, а затым GPIO кіруе рэле на абсталяванні, каб зрабіць адпаведны скачок. У прыватнасці, калі адпаведны GPIO усталяваны на высокі ўзровень, рэле адпаведна пяройдзе ў становішча 1, а калі кубак GPIO усталяваны на нізкі ўзровень, рэле адпаведна пяройдзе ў становішча 2.
Для абыходу вартаўніка фактычна дадаецца абыход кіравання вартаўніком на аснове вышэйзгаданага кіравання GPIO. Пасля таго, як вартаўнік уступіць у сілу, усталюйце дзеянне абыходу ў BIOS. Сістэма актывуе функцыю вартаўніка. Пасля таго, як вартаўнік уступіць у сілу, адпаведны абыход сеткавага порта ўключаецца, і прылада пераходзіць у стан абыходу. Фактычна, абыход таксама кіруецца GPIO, але ў гэтым выпадку запіс нізкіх узроўняў у GPIO выконваецца вартаўніком, і для запісу GPIO не патрабуецца дадатковага праграмавання.
Функцыя апаратнага абыходу з'яўляецца абавязковай функцыяй прадуктаў сеткавай бяспекі. Калі прылада выключана або выходзіць з ладу, унутраныя і знешнія парты фізічна злучаюцца ў сеткавы кабель. Такім чынам, трафік дадзеных можа праходзіць непасрэдна праз прыладу, не залежачы ад яе бягучага стану.
Прыкладанне высокай даступнасці (HA):
Mylinking™ прапануе два рашэнні высокай даступнасці (HA): Active/Standby і Active/Active. Актыўны рэжым чакання (або актыўны/пасіўны) разгортваецца на дапаможных інструментах для забеспячэння пераключэння з асноўных на рэзервовыя прылады, а Active/Active разгортваецца на рэзервовых каналах для забеспячэння пераключэння ў выпадку збою любой актыўнай прылады.
Mylinking™ Bypass TAP падтрымлівае два рэзервовыя ўбудаваныя прылады, якія можна разгарнуць у рашэнні Active/Standby. Адна з іх служыць асноўнай або «актыўнай» прыладай. Рэзервовая або «пасіўная» прылада працягвае атрымліваць трафік у рэжыме рэальнага часу праз серыю Bypass, але не лічыцца ўбудаванай прыладай. Гэта забяспечвае рэзерваванне «гарачага рэзервавання». Калі актыўная прылада выходзіць з ладу і Bypass TAP перастае атрымліваць сігналы сэрцабіцця, рэзервовая прылада аўтаматычна бярэ на сябе ролю асноўнай прылады і неадкладна пераходзіць у анлайн.
Якія перавагі вы можаце атрымаць, выкарыстоўваючы наш байпас?
1. Размяркуйце трафік да і пасля ўбудаванага інструмента (напрыклад, WAF, NGFW або IPS) для пазапалоснага інструмента.
2. Адначасовае кіраванне некалькімі ўбудаванымі інструментамі спрашчае стэк бяспекі і памяншае складанасць сеткі.
3. Забяспечвае фільтрацыю, агрэгацыю і балансаванне нагрузкі для ўбудаваных спасылак
4. Зніжэнне рызыкі незапланаваных прастояў
5-Аднаўленне пасля збою, высокая даступнасць [HA]
Час публікацыі: 23 снежня 2021 г.
