Войти
A Переключатель байпаса (или байпас TAP) - это аппаратное устройство, которое обеспечивает порт отказоустойчивого доступа для встроенного активное устройство безопасности, такое как система предотвращения вторжений (IPS), межсетевой экран нового поколения (NGFW) и т. д. Активные встроенные устройства безопасности являются единственными точками отказа в действующих компьютерных сетях, потому что если устройство теряет питание, происходит сбой программного обеспечения или переводится в автономный режим для обновлений или обновлений, трафик больше не может проходить через критическое соединение. Переключатель байпаса или обходной кран устраняет эту точку отказа, автоматически «переключая трафик в режиме байпаса», чтобы поддерживать критическое сетевое соединение.
Переключатель байпаса имеет четыре порта. Два сетевых порта создают прямое соединение в сетевом канале, который необходимо отслеживать. Это соединение полностью пассивное; если сам байпасный коммутатор теряет питание, трафик продолжает беспрепятственно проходить по каналу. Два порта монитора используются для подключения встроенного устройства мониторинга. Во время нормальной работы байпасный коммутатор пропускает весь сетевой трафик через устройство, как если бы он был непосредственно подключен к сети. Но когда подключенное устройство теряет питание, отключается или выходит из строя по другой причине, обходной коммутатор передает трафик непосредственно между своими сетевыми портами, минуя устройство и обеспечивая продолжение трафика по сетевому каналу.
Переключатель обхода или TAP контролирует работоспособность активного встроенного устройства, отправляя контрольные сигналы на встроенное устройство безопасности, пока устройство внутренней безопасности находится в сети, пакеты пульса будут возвращается к коммутатору / TAP, и трафик канала будет продолжать проходить через встроенное устройство безопасности.
Если контрольные пакеты не возвращаются в TAP (что указывает на то, что устройство защиты на линии перешло в автономный режим), TAP автоматически обходит устройство защиты внутри полосы и поддерживает поток трафика канала. TAP также удаляет контрольные пакеты перед отправкой сетевого трафика обратно по критическому каналу.
В некоторых продуктах, когда обходной коммутатор шунтирует трафик вокруг устройства мониторинга, порты монитора возвращаются к работе как сетевой ответвитель, зеркалируя полудуплексный трафик, полученный на сетевых портах, на порты монитора. В этом режиме подключенное IPS-устройство может использоваться в качестве системы обнаружения вторжений (IDS) для пассивного мониторинга трафика, не влияя на него. Этот режим полезен для анализа эффективности набора сигнатур перед переключением в режим IPS и потенциально нарушением сетевого трафика.
Многосегментные байпасные переключатели предоставляют несколько независимых байпасных переключателей в одном шасси, обеспечивая более высокую плотность размещения в стойке оборудования.
Обход TAP - нормальный режим: трафик проходит через сетевой TAP, прежде чем он пройдет через устройство и обратно в сеть.
Bypass TAP - Bypass Mode: пакеты пульса отправляются на встроенное устройство безопасности, как только устройство снова подключится к сети, оно начнет возвращать пакеты контрольных сигналов обратно в TAP, указывая, что устройство готово возобновить нормальный режим обхода TAP. Затем TAP направит сетевой трафик обратно через встроенное устройство безопасности вместе с контрольными пакетами, возвращая устройство в линию.
Использование внешнего обходного переключателя для подключения встроенного устройства, такого как NGFW, IPS или DDoS, имеет ряд преимуществ.
Он поддерживает прохождение сетевого трафика, когда потоковое устройство выходит из строя.
Он позволяет снимать или обслуживать подключенное устройство без влияния на сетевой трафик. Например, IPS можно отключить для обновления, обслуживания или устранения неисправностей
Встроенное устройство можно перемещать из одного сегмента сети в другой, не влияя на сетевой трафик.
Обратите внимание, что последние два преимущества не обеспечиваются функциональностью внутреннего обходного переключателя, которая может быть интегрирована в некоторые устройства NGFW / IPS.
Некоторые обходные TAP поддерживают несколько режимов и могут использоваться в течение всего срока службы сети, например: агрегация, регенерация / SPAN, разрыв / нормальный.
Обходные переключатели и TAP увеличивают затраты на приобретение решения для мониторинга, хотя в долгосрочной перспективе они могут сэкономить средства за счет увеличения времени безотказной работы сети.
Байпасные переключатели перемещают единую точку отказа от встроенного устройства мониторинга к байпасному переключателю. Это должно быть чистым выигрышем в надежности, потому что байпасный переключатель является более простым устройством, чем контрольное устройство, и потому, что он разработан для обеспечения отказоустойчивости. Тем не менее надежность - важный критерий при оценке решений с переключателем байпаса.
Обходные переключатели повышают надежность сети за счет нескольких механизмов, включая пассивные линейные соединения, обнаружение каналов и контрольные пакеты.
Два сетевых порта в обходном коммутаторе создают полностью пассивное линейное соединение, которое поддерживает поток трафика даже при отсутствии питания. Для волоконно-оптических линий нормально замкнутый оптический переключатель создает путь для беспрепятственного прохождения света через устройство при отсутствии питания. Для медных линий микрореле соединяют два порта при отсутствии питания.
Переключатель обхода отслеживает состояние каналов между его портами монитора и встроенным устройством. Если канал выходит из строя, переключатель байпаса немедленно переключается в режим байпаса. Некоторые производители обходных TAP / коммутаторов по-прежнему отправляют трафик на устройство в режиме обхода. Когда соединение снова восстанавливается, переключатель байпаса возвращается в нормальное состояние байпаса.
Некоторые обходные коммутаторы отправляют пакет heartbeat через устройство мониторинга, чтобы гарантировать, что устройство передает трафик. Если контрольный пакет не возвращается на обходной коммутатор, предполагается, что устройство не работает, и коммутатор переходит в режим обхода, исключая устройство из пути трафика. Переключатель обхода продолжает передавать пакеты пульса на устройство, и когда они снова возвращаются устройством, переключатель обхода переключается обратно в режим отключения обхода, и устройство возобновляет прием трафика....
Каждый раз, когда сигнал переключатель байпаса переходит в режим байпаса по любой причине, связь может быть временно отключена. Хороший обходной переключатель повторно подключает канал менее чем за 1 секунду, но для восстановления связи по каналу сети может потребоваться несколько секунд.
Обходными переключателями можно управлять через любой из нескольких интерфейсов: интерфейс командной строки (CLI), интерфейс на основе веб-браузера или платформенный SNMP инструмент. Функции управления могут включать в себя настройку IP-адреса для ловушек SNMP, получение статистики RMON и установку параметров для контрольного пакета, таких как содержимое пакета, время и количество повторных попыток.
