Comment déployer un robinet de dérivation en ligne pour éviter la surcharge ou le crash des outils de sécurité ?

Le TAP de dérivation (également appelé commutateur de dérivation) fournit des ports d'accès sécurisés pour les dispositifs de sécurité actifs intégrés tels que les systèmes de prévention d'intrusion (IPS) et les pare-feu de nouvelle génération (NGFWS). Déployé entre les périphériques réseau et devant les outils de sécurité réseau, il offre un point d'isolation fiable entre le réseau et la couche de sécurité. Il offre une prise en charge complète des réseaux et des outils de sécurité pour éviter les risques de pannes réseau.

Solution 1 1 Link Bypass Network Tap (commutateur de dérivation) - Indépendant

Application:

Le Bypass Network Tap (Bypass Switch) se connecte aux deux périphériques réseau via les ports Link et se connecte à un serveur tiers via les ports Device.

Le déclencheur du Bypass Network Tap (commutateur de dérivation) est réglé sur Ping, ce qui envoie des requêtes Ping successives au serveur. Lorsque le serveur cesse de répondre aux pings, le Bypass Network Tap (commutateur de dérivation) passe en mode bypass.

Lorsque le serveur commence à répondre à nouveau, le Bypass Network Tap (Bypass Switch) revient en mode débit.

Cette application fonctionne uniquement via ICMP (Ping). Aucun paquet de pulsation n'est utilisé pour surveiller la connexion entre le serveur et le commutateur de dérivation.

2

Solution 2 : Broker de paquets réseau + Bypass Network Tap (commutateur de contournement)

Network Packet Broker (NPB) + Bypass Network Tap (commutateur de contournement) -- État normal

Application:

Le commutateur de dérivation (Bypass Network Tap) se connecte à deux périphériques réseau via les ports de liaison et à Network Packet Broker (NPB) via les ports de périphérique. Le serveur tiers se connecte à Network Packet Broker (NPB) via deux câbles cuivre 1G. Network Packet Broker (NPB) envoie des paquets de pulsation au serveur via le port n° 1 et souhaite les recevoir à nouveau sur le port n° 2.

Le déclencheur du Bypass Network Tap (Bypass Switch) est défini sur REST et Network Packet Broker (NPB) exécute l'application de contournement.

Trafic en mode débit :

Appareil 1 ↔ Commutateur/robinet de dérivation ↔ NPB ↔ Serveur ↔ NPB ↔ Commutateur/robinet de dérivation ↔ Appareil 2

3

Network Packet Broker (NPB) + Bypass Network Tap (commutateur de contournement) -- Contournement logiciel

Description du contournement logiciel :

Si Network Packet Broker (NPB) ne détecte pas les paquets de pulsation, il activera le contournement logiciel.

La configuration du Network Packet Broker (NPB) est automatiquement modifiée pour renvoyer le trafic entrant vers le Bypass Network Tap (Bypass Switch), réinsérant ainsi le trafic dans la liaison active avec une perte de paquets minimale.

Le Bypass Network Tap (Bypass Switch) n'a pas besoin de répondre du tout car tous les contournements sont effectués par Network Packet Broker (NPB).

Trafic dans le contournement du logiciel :

Appareil 1 ↔ Interrupteur/robinet de dérivation ↔ NPB ↔ Interrupteur/robinet de dérivation ↔ Appareil 2

1

Network Packet Broker (NPB) + Bypass Network Tap (commutateur de contournement) - Contournement matériel

Description du contournement matériel :

En cas de défaillance du Network Packet Broker (NPB) ou de déconnexion de la connexion entre le Network Packet Broker (NPB) et le Bypass Network Tap (Bypass Switch), le Bypass Network Tap (Bypass Switch) passe en mode bypass pour maintenir le lien en temps réel.

Lorsque le Bypass Network Tap (Bypass Switch) passe en mode bypass, Network Packet Broker (NPB) et le serveur externe sont contournés et ne reçoivent aucun trafic jusqu'à ce que le Bypass Network Tap (Bypass Switch) revienne en mode débit.

Le mode bypass est déclenché lorsque le Bypass Network Tap (Bypass Switch) n'est plus connecté à l'alimentation électrique.

Trafic matériel hors ligne :

Appareil 1 ↔ Interrupteur/robinet de dérivation ↔ Appareil 2

4

Solution 3 Deux prises de réseau de contournement (commutateurs de contournement) pour chaque liaison

Instructions de configuration :

Dans cette configuration, une liaison cuivre reliant deux appareils à un serveur connu est contournée par deux commutateurs de contournement. L'avantage de cette solution par rapport à une seule solution de contournement est que, même en cas d'interruption de la connexion NPB (Network Packet Broker), le serveur reste actif.

5

2 * Bypass Network Taps (commutateurs de contournement) par lien - Contournement logiciel

Description du contournement logiciel :

Si le Network Packet Broker (NPB) ne détecte pas les paquets de pulsation, il active le contournement logiciel. Le Bypass Network Tap (commutateur de contournement) n'a aucune réaction, car tous les contournements sont effectués par le Network Packet Broker (NPB).

Trafic dans le contournement du logiciel :

Appareil 1 ↔ Commutateur/robinet de dérivation 1 ↔ Courtier de paquets réseau (NPB) ↔ Commutateur/robinet de dérivation 2 ↔ Appareil 2

6

 

2 * Bypass Network Taps (commutateurs de contournement) par lien - Contournement matériel

Description du contournement matériel :

En cas de défaillance du Network Packet Broker (NPB) ou de déconnexion de la connexion entre le Bypass Network Tap (Bypass Switch) et le Network Packet Broker (NPB), les deux Bypass Network Tap (Bypass Switches) passent en mode bypass pour maintenir la liaison active.

Contrairement au paramètre « 1 Bypass par lien », le serveur est toujours inclus dans le lien actif.

Trafic matériel hors ligne :

Appareil 1 ↔ Commutateur/robinet de dérivation 1 ↔ Serveur ↔ Commutateur/robinet de dérivation 2 ↔ Appareil 2

7

Solution 4 Deux commutateurs de dérivation réseau (commutateurs de dérivation) sont configurés pour chaque liaison sur les deux sites

Instructions de réglage :

Facultatif : deux agents de paquets réseau (NPB) peuvent être utilisés pour connecter deux sites différents via le tunnel GRE au lieu d'un seul agent de paquets réseau (NPB). En cas de défaillance du serveur reliant les deux sites, celui-ci sera contourné et le trafic sera distribué via le tunnel GRE de l'agent de paquets réseau (NPB) (comme illustré dans les figures ci-dessous).

8

9


Date de publication : 06/03/2023