旁路分路器,也叫旁路交换机,是为嵌入式有源安全设备(如入侵防御系统(IPS),下一代防火墙(NGFW)等)提供故障保护访问端口。旁路交换机部署在网络设备之间以及网络安全工具的前面,可在网络和安全层之间提供可靠的隔离点。它们给网络和安全工具带来全面支持,避免网络中断的风险。
工具/原料
铜旁路分路器
网络数据包代理NPB
方案1:1链路旁路分路器
1、方案1:1链路旁路分路器 - 独立应用:旁路分路器通过链路端口(Link ports)连接到2个网络设备,并通过设备端口(Device ports)连接到第三方服务器。旁路分路器的触发器设置为Ping,它向服务器发送连续的Ping请求。一旦服务器停止响应Ping,旁路分路器将进入旁路模式。当服务器再次开始响应时,旁路分路器切换回吞吐量模式。此应用只能通过ICMP(Ping)工作。没有心跳数据包用于监控服务器和旁路分路器之间的连接。
方案2:网络数据包代理NPB+旁路分路器
1、方案2:网络数据包代理NPB+旁路分路器——正常状态应用:旁路分路器通过链路端口(Link ports)连接到2个网络设备,并通过 设备端口(Device ports)连接到网络数据包代理。第三方服务器通过2×1G铜缆连接到NPB。网络数据包代理通过端口#1发送心跳数据包到服务器,并希望在端口#2再次接收它们。旁路分接的触发器设置为REST,NPB运行旁路应用程序。吞吐量模式下的流量:Device 1 ↔ Bypass TAP ↔ NPB ↔ Server ↔ NPB ↔ Bypass TAP ↔ Device 2
2、方案2:网络数据包代理NPB+旁路分路器——软件旁路软件旁路说明:在NPB未检测到心跳数据包的情况下,它将启用软件旁路。NPB的配置会自动更改,以将传入流量发送回旁路分路器,从而以最小的数据包丢失将流量重新插入到实时链路中。旁路分路器完全不需要做出反应,因为所有旁路均由NPB完成。软件旁路下的流量:Device 1 ↔ Bypass TAP ↔ NPB ↔ Bypass TAP ↔ Device 2
3、方案2:网络数据包代理NPB+旁路分路器——硬件旁路硬件旁路说明:在NPB出现故障或旁路分路器与NPB之间的连接断开的情况下,旁路分路器将切换到旁路模式以保持实时链路正常工作。当旁路分路器进入旁路模式时,NPB和外部服务器将被绕过,并且在旁路分路器切换回吞吐量模式之前不会收到任何流量。旁路分路器不再接通电源时,也会触发旁路模式。硬件旁路下的流量:Device 1 ↔ Bypass TAP ↔ Device 2
方案3:每链路2个旁路分路器
1、方案3:每链路2个旁路分路器配置说明:在这个设置中,2个设备的1个铜链路连接到一个已知的服务器,是通过2个铜旁路分路器进行旁路。这对比1个旁路解决方案的优势是,当网络数据包代理NPB的连接受到干扰时,服务器仍然是实时链接的一部分。
2、方案3:每链路2×旁路分路器 - 软件旁路软件旁路说明:在NPB未检测到心跳数据包的情况下,它将启用软件旁路。旁路分路器根本不需要反应,因为所有旁路都是由NPB完成的。软件旁路下的流量:Device 1 ↔ Bypass TAP1 ↔ NPB ↔ Bypass TAP2 ↔ Device 2
3、方案3:每链路2×旁路分路器 - 硬件旁路硬件旁路说明:在NPB出现故障或旁路分路器和NPB之间的连接断开的情况下,两个旁路分路器都将切换到旁路模式以保持有效链路。与“每链路1个旁路”设置相比,服务器仍然包含在实时链路中。硬件旁路下的流量:Device 1 ↔ Bypass TAP1 ↔Server ↔ Bypass TAP2 ↔ Device 2
方案4:2站点上每链路2个旁路分路器
1、方案4:2站点上每链路2个旁路分路器设置说明:可选: 可以使用2个网络数据包代理NPB通过GRE隧道互联两个不同的站点,而不是使用1个网络数据包代理EX5-2。在连接两个站点的服务器出现故障的情况下,网络数据数据包和旁路分路器将旁路掉服务器,流量可以通过网络数据包代理NPB的GRE隧道进行分发(如下面2图所示)
