Comment déployer un robinet de dérivation en ligne pour éviter la surcharge ou le crash des outils de sécurité ?

Le Bypass TAP (également appelé commutateur de contournement) fournit des ports d'accès de sécurité pour les dispositifs de sécurité actifs intégrés tels que les IPS et les pare-feu de nouvelle génération (NGFWS). Le commutateur de contournement est déployé entre les périphériques réseau et devant les outils de sécurité réseau pour fournir un point d'isolation fiable entre le réseau et la couche de sécurité. Ils apportent un support complet aux réseaux et aux outils de sécurité pour éviter les risques de pannes de réseau.

Solution 1 Prise réseau de contournement à 1 liaison (commutateur de contournement) - Indépendant

Application:

Le Bypass Network Tap (Bypass Switch) se connecte aux deux périphériques réseau via les ports Link et se connecte à un serveur tiers via les ports de périphérique.

Le déclencheur du Bypass Network Tap (Bypass Switch) est défini sur Ping, qui envoie des requêtes Ping successives au serveur. Une fois que le serveur cesse de répondre aux pings, le robinet de contournement du réseau (commutateur de contournement) passe en mode contournement.

Lorsque le serveur recommence à répondre, le Bypass Network Tap (Bypass Switch) repasse en mode débit.

Cette application ne peut fonctionner que via ICMP (Ping). Aucun paquet de battement de cœur n'est utilisé pour surveiller la connexion entre le serveur et le Bypass Network Tap (Bypass Switch).

2

Solution 2 Courtier de paquets réseau + robinet réseau de contournement (commutateur de contournement)

Courtier de paquets réseau (NPB) + prise réseau de contournement (commutateur de contournement) - État normal

Application:

Le Bypass Network Tap (Bypass Switch) se connecte à deux périphériques réseau via les ports Link et au Network Packet Broker (NPB) via les ports de périphérique. Le serveur tiers se connecte au Network Packet Broker (NPB) à l'aide de câbles en cuivre 2 x 1G. Network Packet Broker (NPB) envoie des paquets de battements de cœur au serveur via le port n°1 et souhaite les recevoir à nouveau sur le port n°2.

Le déclencheur du contournement du réseau (commutateur de contournement) est défini sur REST et Network Packet Broker (NPB) exécute l'application de contournement.

Trafic en mode débit :

Périphérique 1 ↔ Commutateur/Tap de contournement ↔ NPB ↔ Serveur ↔ NPB ↔ Commutateur/Tap de contournement ↔ Périphérique 2

3

Courtier de paquets réseau (NPB) + prise réseau de contournement (commutateur de contournement) - contournement logiciel

Description du contournement logiciel :

Si Network Packet Broker (NPB) ne détecte pas les paquets de battements de cœur, il activera le contournement logiciel.

La configuration du Network Packet Broker (NPB) est automatiquement modifiée pour renvoyer le trafic entrant au Bypass Network Tap (Bypass Switch), réinsérant ainsi le trafic dans la liaison active avec une perte de paquets minimale.

Le Bypass Network Tap (Bypass Switch) n'a pas besoin de répondre du tout car tous les contournements sont effectués par Network Packet Broker (NPB).

Trafic en contournement logiciel :

Appareil 1 ↔ Commutateur/robinet de bypass ↔ NPB ↔ Interrupteur/robinet de bypass ↔ Appareil 2

1

Courtier de paquets réseau (NPB) + prise réseau de contournement (commutateur de contournement) - Contournement matériel

Description du contournement matériel :

En cas de panne du Network Packet Broker (NPB) ou si la connexion entre le Network Packet Broker (NPB) et le Bypass Network Tap (Bypass Switch) est déconnectée, le Bypass Network Tap (Bypass Switch) passe en mode bypass pour conserver le réseau réel. le lien horaire fonctionne.

Lorsque le contournement du réseau (commutateur de contournement) passe en mode contournement, le Network Packet Broker (NPB) et le serveur externe sont contournés et ne reçoivent aucun trafic jusqu'à ce que le contournement du réseau (commutateur de contournement) revienne en mode débit.

Le mode bypass est déclenché lorsque le Bypass Network Tap (Bypass Switch) n'est plus connecté à l'alimentation électrique.

Trafic matériel hors ligne :

Appareil 1 ↔ Interrupteur/robinet de dérivation ↔ Appareil 2

4

Solution 3 : Deux prises réseau de contournement (commutateurs de contournement) pour chaque liaison

Instructions de configuration :

Dans cette configuration, 1 liaison en cuivre de 2 appareils connectés à un serveur connu est contournée par deux prises réseau de contournement (commutateurs de contournement). L'avantage de cette solution par rapport à la solution à 1 contournement est que lorsque la connexion du courtier de paquets réseau (NPB) est interrompue, le serveur fait toujours partie de la liaison active.

5

2 * Robinets réseau de contournement (commutateurs de contournement) par lien - Contournement logiciel

Description du contournement logiciel :

Si Network Packet Broker (NPB) ne détecte pas les paquets de battements de cœur, il activera le contournement logiciel. Le Bypass Network Tap (Bypass Switch) n'a pas besoin de réagir du tout car tous les contournements sont effectués par Network Packet Broker (NPB).

Trafic en contournement logiciel :

Périphérique 1 ↔ Commutateur/Tap de contournement 1 ↔ Courtier de paquets réseau (NPB) ↔ Commutateur/Tap de contournement 2 ↔ Périphérique 2

6

 

2 * Robinets réseau de contournement (commutateurs de contournement) par lien - Contournement matériel

Description du contournement matériel :

Dans le cas où le Network Packet Broker (NPB) tombe en panne ou si la connexion entre le Bypass Network Tap (Bypass Switch) et le Network Packet Broker (NPB) est déconnectée, les deux Bypass Network Taps (Bypass Switches) sont commutés en mode bypass pour maintenir le lien actif.

Contrairement au paramètre « 1 Bypass par lien », le serveur est toujours inclus dans le lien actif.

Trafic matériel hors ligne :

Périphérique 1 ↔ Commutateur/Tap de contournement 1 ↔Serveur ↔ Commutateur/Tap de contournement 2 ↔ Périphérique 2

7

Solution 4 Deux prises réseau de contournement (commutateurs de contournement) sont configurées pour chaque lien sur les deux sites

Instructions de réglage :

Facultatif : deux Network Packet Brokers (NPB) peuvent être utilisés pour connecter deux sites différents via le tunnel GRE au lieu d'un Network Packet Broker (NPB). En cas de panne du serveur reliant les deux sites, il contournera le serveur et le trafic qui peut être distribué via le tunnel GRE de Network Packet Broker (NPB) (comme le montrent les figures ci-dessous).

8

9


Heure de publication : 06 mars 2023