旁路分路器(Bypass TAP),也叫旁路交换机,是为嵌入式有源安全设备(如入侵防御系统(IPS),下一代防火墙(NGFW)等)提供故障保护访问端口。旁路交换机部署在网络设备之间以及网络安全工具的前面,可在网络和安全层之间提供可靠的隔离点。它们给网络和安全工具带来全面支持,避免网络中断的风险。
方案1:1链路旁路分路器——独立
应用:
旁路分路器通过链路端口(Link ports)连接到2个网络设备,并通过设备端口(Device ports)连接到第三方服务器。
旁路分路器的触发器设置为Ping,它向服务器发送连续的Ping请求。一旦服务器停止响应Ping,旁路分路器将进入旁路模式。
当服务器再次开始响应时,旁路分路器切换回吞吐量模式。
此应用只能通过ICMP(Ping)工作。没有心跳数据包用于监控服务器和旁路分路器之间的连接。
方案2:网络数据包代理NPB EX2+旁路分路器
网络数据包代理NPB EX2+旁路分路器——正常状态
应用:
旁路分路器通过链路端口(Link ports)连接到2个网络设备,并通过 设备端口(Device ports)连接到 Cubro网络数据包代理EX2。第三方服务器通过2×1G铜缆连接到EX2。
网络数据包代理EX2通过端口#1发送心跳数据包到服务器,并希望在端口#2再次接收它们。
旁路分接的触发器设置为REST,EX2运行旁路应用程序。
吞吐量模式下的流量:
Device 1 ↔ Bypass TAP ↔ EX2 ↔ Server ↔ EX2 ↔ Bypass TAP ↔ Device 2
网络数据包代理NPB EX2+旁路分路器——软件旁路
软件旁路说明:
在EX2未检测到心跳数据包的情况下,它将启用软件旁路。
EX2的配置会自动更改,以将传入流量发送回旁路分路器,从而以最小的数据包丢失将流量重新插入到实时链路中。
旁路分路器完全不需要做出反应,因为所有旁路均由EX2完成。
软件旁路下的流量:
Device 1 ↔ Bypass TAP ↔ EX2 ↔ Bypass TAP ↔ Device 2
网络数据包代理NPB EX2+旁路分路器——硬件旁路
硬件旁路说明:
在EX2出现故障或旁路分路器与EX2之间的连接断开的情况下,旁路分路器将切换到旁路模式以保持实时链路正常工作。
当旁路分路器进入旁路模式时,EX2和外部服务器将被绕过,并且在旁路分路器切换回吞吐量模式之前不会收到任何流量。
旁路分路器不再接通电源时,也会触发旁路模式。
硬件旁路下的流量:
Device 1 ↔ Bypass TAP ↔ Device 2
方案3:每链路2个旁路分路器
配置说明:
在这个设置中,2个设备的1个铜链路连接到一个已知的服务器,是通过2个Cubro铜旁路分路器进行旁路。这对比1个旁路解决方案的优势是,当网络数据包代理NPB的连接受到干扰时,服务器仍然是实时链接的一部分。
每链路2×旁路分路器 - 软件旁路
软件旁路说明:
在EX5-2未检测到心跳数据包的情况下,它将启用软件旁路。旁路分路器根本不需要反应,因为所有旁路都是由EX5-2完成的。
软件旁路下的流量:
Device 1 ↔ Bypass TAP1 ↔ EX5-2 ↔ Bypass TAP2 ↔ Device 2
每链路2×旁路分路器 - 硬件旁路
硬件旁路说明:
在EX5-2出现故障或旁路分路器和EX5-2之间的连接断开的情况下,两个旁路分路器都将切换到旁路模式以保持有效链路。
与“每链路1个旁路”设置相比,服务器仍然包含在实时链路中。
硬件旁路下的流量:
Device 1 ↔ Bypass TAP1 ↔Server ↔ Bypass TAP2 ↔ Device 2
方案4:2站点上每链路2个旁路分路器
设置说明:
可选: 可以使用2个网络数据包代理EX2通过GRE隧道互联两个不同的站点,而不是使用1个网络数据包代理EX5-2。在连接两个站点的服务器出现故障的情况下,Cubro将旁路掉服务器,流量可以通过网络数据包代理EX2的GRE隧道进行分发(如下面2图所示)
