Hur man distribuerar Inline Bypass Tap för att förhindra överbelastning eller krasch av säkerhetsverktyg?

Bypass TAP (även kallad bypass-switch) tillhandahåller felsäkra åtkomstportar för inbäddade aktiva säkerhetsenheter som IPS och nästa generations brandväggar (NGFWS). Bypass-switchen distribueras mellan nätverksenheter och framför nätverkssäkerhetsverktyg för att tillhandahålla en pålitlig punkt för isolering mellan nätverket och säkerhetsskiktet. De ger fullt stöd till nätverk och säkerhetsverktyg för att undvika risken för nätverksavbrott.

Lösning 1 1 Link Bypass Network Tap (Bypass Switch) - Oberoende

Ansökan:

Bypass Network Tap (Bypass Switch) ansluter till de två nätverksenheterna via länkportar och ansluter till en tredjepartsserver via enhetsportar.

Utlösaren för Bypass Network Tap (Bypass Switch) är inställd på Ping, som skickar successiva Ping-förfrågningar till servern. När servern slutar svara på ping, går Bypass Network Tap (Bypass Switch) in i bypass-läge.

När servern börjar svara igen växlar Bypass Network Tap (Bypass Switch) tillbaka till genomströmningsläge.

Denna applikation kan bara fungera via ICMP(Ping). Inga hjärtslagspaket används för att övervaka anslutningen mellan servern och Bypass Network Tap (Bypass Switch).

2

Lösning 2 Network Packet Broker + Bypass Network Tap (Bypass Switch)

Network Packet Broker (NPB) + Bypass Network Tap (Bypass Switch) -- Normal status

Ansökan:

Bypass Network Tap (Bypass Switch) ansluter till två nätverksenheter via länkportar och till Network Packet Broker (NPB) via enhetsportar. Tredjepartsservern ansluter till Network Packet Broker (NPB) med 2 x 1G kopparkablar. Network Packet Broker (NPB) skickar hjärtslagspaket till servern via port #1 och vill ta emot dem igen på port #2.

Utlösaren för Bypass Network Tap (Bypass Switch) är inställd på REST, och Network Packet Broker (NPB) kör förbikopplingsapplikationen.

Trafik i genomströmningsläge:

Enhet 1 ↔ Bypass Switch/Tap ↔ NPB ↔ Server ↔ NPB ↔ Bypass Switch/Tap ↔ Enhet 2

3

Nätverkspaketmäklare (NPB) + Bypass Network Tap (Bypass Switch) -- Software Bypass

Software Bypass beskrivning:

Om Network Packet Broker (NPB) inte upptäcker hjärtslagspaket, kommer det att aktivera mjukvaruförbikoppling.

Konfigurationen av Network Packet Broker (NPB) ändras automatiskt för att skicka inkommande trafik tillbaka till Bypass Network Tap (Bypass Switch), och återinför trafiken till livelänken med minimal paketförlust.

Bypass Network Tap (Bypass Switch) behöver inte svara alls eftersom alla bypass görs av Network Packet Broker (NPB).

Trafik i Software Bypass:

Enhet 1 ↔ Bypass Switch/Tap ↔ NPB ↔ Bypass Switch/Tap ↔ Enhet 2

1

Network Packet Broker (NPB) + Bypass Network Tap (Bypass Switch) -- Hårdvaruförbikoppling

Hårdvaruförbikopplingsbeskrivning:

I händelse av att Network Packet Broker (NPB) misslyckas eller anslutningen mellan Network Packet Broker (NPB) och Bypass Network Tap (Bypass Switch) kopplas bort, växlar Bypass Network Tap (Bypass Switch) till bypass-läge för att behålla den verkliga tidslänken fungerar.

När Bypass Network Tap (Bypass Switch) går in i bypass-läge, förbigås Network Packet Broker (NPB) och den externa servern och tar inte emot någon trafik förrän Bypass Network Tap (Bypass Switch) växlar tillbaka till genomströmningsläge.

Bypass-läget utlöses när Bypass Network Tap (Bypass Switch) inte längre är ansluten till strömförsörjningen.

Offlinetrafik för hårdvara:

Enhet 1 ↔ Bypass Switch/Knacka på ↔ Enhet 2

4

Lösning 3 Två bypass-nätverkskranar (bypass-switchar) för varje länk

Konfigurationsinstruktioner:

I den här inställningen förbigås 1 kopparlänk av 2 enheter anslutna till en känd server av två förbikopplingsnätverkskranar (bypass-switchar). Fördelen med detta jämfört med 1 bypass-lösningen är att när nätverkspaketförmedlaren (NPB) anslutningen störs, är servern fortfarande en del av livelänken.

5

2 * Bypass nätverkskranar (bypass switchar) per länk - Software Bypass

Software Bypass beskrivning:

Om Network Packet Broker (NPB) inte upptäcker hjärtslagspaket, kommer det att aktivera mjukvaruförbikoppling. Bypass Network Tap (Bypass Switch) behöver inte reagera alls eftersom alla bypass görs av Network Packet Broker (NPB).

Trafik i mjukvaruförbikoppling:

Enhet 1 ↔ Bypass Switch/Tap 1 ↔ Network Packet Broker (NPB) ↔ Bypass Switch/Tap 2 ↔ Enhet 2

6

 

2 * Bypass nätverkskranar (bypass switchar) per länk - Hardware Bypass

Hårdvaruförbikopplingsbeskrivning:

I händelse av att Network Packet Broker (NPB) misslyckas eller anslutningen mellan Bypass Network Tap (Bypass Switch) och Network Packet Broker (NPB) kopplas bort, växlas båda Bypass Network Taps (Bypass Switchar) till bypass-läge för att bibehålla den aktiva länken.

Till skillnad från inställningen "1 Bypass per länk" är servern fortfarande inkluderad i livelänken.

Offlinetrafik för hårdvara:

Enhet 1 ↔ Bypass Switch/Tap 1 ↔Server ↔ Bypass Switch/Tap 2 ↔ Enhet 2

7

Lösning 4 Två bypass-nätverkskranar (bypass-switchar) är konfigurerade för varje länk på de två platserna

Inställningsinstruktioner:

Valfritt: Två Network Packet Brokers (NPB) kan användas för att ansluta två olika platser över GRE-tunneln istället för en Network Packet Broker (NPB). I händelse av att servern som ansluter de två platserna misslyckas, kommer den att kringgå servern och trafiken som kan distribueras genom GRE-tunneln för Network Packet Broker (NPB) (som visas i figurerna nedan).

8

9


Posttid: Mar-06-2023