WikiDer > Переключатель байпаса
А переключатель байпаса (или байпаса TAP) представляет собой аппаратное устройство, которое обеспечивает порт отказоустойчивого доступа для встроенного активного устройства безопасности, такого как Система предотвращения вторжений (IPS), межсетевой экран следующего поколения (NGFW) и т. Д. Активные встроенные устройства безопасности являются единственными точками отказа в действующих компьютерных сетях, потому что, если устройство теряет питание, происходит сбой программного обеспечения или переводится в автономный режим для обновлений или обновления, трафик больше не может проходить через критическое соединение. Переключатель байпаса или обходной кран устраняет эту точку отказа, автоматически «переключая трафик в режиме байпаса», чтобы поддерживать критическое сетевое соединение.
Переключатель байпаса имеет четыре порта. Два сетевых порта создают прямое соединение в сетевом канале, который необходимо отслеживать. Это соединение полностью пассивное; если сам байпасный коммутатор теряет питание, трафик продолжает беспрепятственно проходить по каналу. Два порта монитора используются для подключения встроенного устройства мониторинга. Во время нормальной работы байпасный коммутатор пропускает весь сетевой трафик через устройство, как если бы он был непосредственно подключен к сети. Но когда подключенное устройство теряет питание, отключается или выходит из строя по другим причинам, обходной коммутатор передает трафик непосредственно между своими сетевыми портами, минуя устройство и обеспечивая продолжение трафика по сетевому каналу.
Переключатель обхода или TAP контролирует работоспособность активного встроенного устройства, отправляя контрольные сообщения на встроенное устройство безопасности, пока устройство внутренней безопасности находится в сети, пакеты контрольных сигналов будут возвращены коммутатору / TAP , и трафик ссылки будет продолжать проходить через встроенное устройство безопасности.
Если контрольные пакеты не возвращаются в TAP (что указывает на то, что устройство защиты на линии перешло в автономный режим), TAP автоматически обходит устройство защиты в полосе пропускания и поддерживает поток трафика канала. TAP также удаляет контрольные пакеты перед отправкой сетевого трафика обратно по критическому каналу.
В некоторых продуктах, когда обходной коммутатор шунтирует трафик вокруг устройства мониторинга, порты монитора возвращаются к работе как сетевой кран, зеркалируя полудуплексный трафик, полученный на сетевых портах, на порты монитора. В этом режиме подключенное IPS-устройство может использоваться в качестве системы обнаружения вторжений (IDS) для пассивного мониторинга трафика, не влияя на него. Этот режим полезен для анализа эффективности набора сигнатур перед переключением в режим IPS и потенциально нарушением сетевого трафика.
Многосегментные байпасные переключатели предоставляют несколько независимых байпасных переключателей в одном шасси, что обеспечивает более высокую плотность размещения оборудования в стойке.
Терминология
Bypass TAP - нормальный режим: трафик проходит через сетевой TAP, прежде чем он пройдет через устройство и обратно в сеть
Bypass TAP - Bypass Mode: Контрольные пакеты отправляются на встроенное устройство безопасности, после того, как устройство снова подключится к сети, оно начнет возвращать контрольные пакеты обратно в TAP, указывая, что устройство готово возобновить нормальный режим обхода TAP. Затем TAP направит сетевой трафик обратно через встроенное устройство безопасности вместе с контрольными пакетами, возвращая устройство в линию.
Преимущества
Использование внешнего обходного переключателя для подключения встроенного устройства, такого как NGFW, IPS или DDoS, дает несколько преимуществ.[1]
Он поддерживает поток сетевого трафика при выходе из строя подключенного устройства.
Это позволяет снимать или обслуживать встроенное устройство, не влияя на сетевой трафик. Например, IPS можно отключить для обновлений, обслуживания или устранения неполадок.
Встроенное устройство можно перемещать из одного сегмента сети в другой, не влияя на сетевой трафик.
Обратите внимание, что последние два преимущества не обеспечиваются функцией внутреннего байпасного переключателя, которая может быть интегрирована в некоторые устройства NGFW / IPS.
Некоторые обходные TAP поддерживают несколько режимов и могут использоваться в течение всего срока службы сети, например: агрегирование, регенерация / SPAN, разрыв / нормальный.
Недостатки
Обходные переключатели и TAP увеличивают стоимость приобретения решения для мониторинга, хотя в долгосрочной перспективе они могут сэкономить средства за счет увеличения времени безотказной работы сети.
Переключатели байпаса перемещают единая точка отказа от встроенного устройства контроля до самого байпасного переключателя. Это должно быть чистым выигрышем в надежности, потому что байпасный переключатель является более простым устройством, чем контрольное устройство, и потому, что он разработан для обеспечения отказоустойчивости. Тем не менее, надежность - важный критерий при оценке решений с переключателем байпаса.
Техническая информация
Обходные переключатели повышают надежность сети за счет нескольких механизмов, включая пассивные линейные соединения, обнаружение каналов и контрольные пакеты.
Два сетевых порта в обходном коммутаторе создают полностью пассивное линейное соединение, которое поддерживает поток трафика даже при отсутствии питания. Для волоконно-оптических линий нормально замкнутый оптический переключатель создает путь для беспрепятственного прохождения света через устройство при отсутствии питания. Для медных линий микрореле соединяют два порта при отсутствии питания.
Переключатель обхода контролирует состояние каналов между его портами монитора и встроенным устройством. Если канал выходит из строя, переключатель байпаса немедленно переключается в режим байпаса. Некоторые производители обходных TAP / коммутаторов по-прежнему отправляют трафик на устройство в режиме обхода. Когда соединение снова восстанавливается, переключатель байпаса возвращается в нормальное состояние байпаса.
Некоторые байпасные переключатели посылают стук сердца пакет через устройство мониторинга, чтобы гарантировать, что устройство передает трафик. Если контрольный пакет не возвращается в обходной коммутатор, предполагается, что устройство отключено, и коммутатор переходит в режим обхода, исключая устройство из пути трафика. Переключатель обхода продолжает передавать пакеты контрольных сигналов на устройство, и когда они снова возвращаются устройством, переключатель обхода переключается обратно в режим отключения обхода, и устройство возобновляет прием трафика ...
Каждый раз, когда переключатель байпаса по какой-либо причине переходит в режим байпаса, связь может быть временно отключена. Хороший переключатель байпаса повторно подключает соединение менее чем за 1 секунду,[2] но для восстановления связи по каналу сети может потребоваться несколько секунд.
Управление устройством
Обходными переключателями можно управлять через любой из нескольких интерфейсов: интерфейс командной строки (CLI), интерфейс на основе веб-браузера или платформенный интерфейс. SNMP орудие труда. Функции управления могут включать настройку IP-адреса для ловушек SNMP, получение RMON статистика и установка параметров для контрольного пакета, таких как содержимое пакета, время и количество повторов.
использованная литература
- ^ Sys-Con Media.com - Net Optics, Inc. представляет iBypass для отказоустойчивых развертываний безопасности IPS
- ^ «Группа Толли - оценка коммутатора iBypass Net Optics 10/100/1000». Архивировано из оригинал на 2009-01-14. Получено 2008-06-23.