Обходной переключатель (или обходной TAP) — это аппаратное устройство, которое обеспечивает отказоустойчивый порт доступа для встроенного устройства активной безопасности, такого как система предотвращения вторжений (IPS), межсетевой экран нового поколения (NGFW) и т. д. Активен, в Устройства линейной безопасности представляют собой единственную точку отказа в работающих компьютерных сетях, поскольку, если устройство теряет питание, происходит сбой программного обеспечения или отключается от сети для обновлений или обновлений, трафик больше не может проходить по критическому каналу. Переключатель обхода или ответвитель обхода устраняют эту точку отказа, автоматически «переключая трафик в режим обхода», чтобы поддерживать критически важное сетевое соединение.
Байпасный переключатель имеет четыре порта. Два сетевых порта создают линейное соединение в сетевом канале, который необходимо отслеживать. Эта связь полностью пассивна; если сам обходной переключатель теряет питание, трафик продолжает беспрепятственно проходить по каналу. Два порта монитора используются для подключения встроенного устройства мониторинга. Во время нормальной работы обходной переключатель пропускает весь сетевой трафик через устройство, как если бы он был непосредственно подключен к сети. Но когда встроенное устройство теряет питание, отключается или иным образом выходит из строя, обходной коммутатор передает трафик непосредственно между своими сетевыми портами, минуя устройство и гарантируя, что трафик продолжает течь по сетевому каналу.
Обходной коммутатор или TAP контролирует работоспособность активного встроенного устройства, отправляя контрольные сигналы встроенному устройству безопасности. Пока внутриполосное устройство безопасности находится в сети, пакеты контрольных сигналов будут возвращаться на коммутатор/TAP. , и канальный трафик продолжит проходить через встроенное устройство безопасности.
Если пакеты Heartbeat не возвращаются на TAP (что указывает на то, что встроенное устройство безопасности отключилось), TAP автоматически обходит внутриполосное устройство безопасности и поддерживает поток трафика по каналу. TAP также удаляет пакеты Heartbeat перед отправкой сетевого трафика обратно на критический канал.
В некоторых продуктах, когда обходной переключатель шунтирует трафик вокруг устройства мониторинга, порты монитора снова работают как сетевой ответвитель , зеркалируя полудуплексный трафик, полученный на сетевых портах, на порты монитора. В этом режиме подключенное устройство IPS можно использовать в качестве системы обнаружения вторжений (IDS) для пассивного мониторинга трафика, не влияя на него. Этот режим полезен для анализа эффективности набора сигнатур перед переключением в режим IPS и возможным нарушением сетевого трафика.
Многосегментные переключатели обхода содержат несколько независимых переключателей обхода в одном шасси, обеспечивая более высокую плотность размещения в стойке с оборудованием.
Обход TAP — нормальный режим: трафик проходит через сетевой TAP, прежде чем пройти через устройство и вернуться в сеть.
Обход TAP — режим обхода: пакеты пульса отправляются на встроенное устройство безопасности. Как только устройство снова в сети, оно начнет возвращать пакеты пульса обратно на TAP, указывая, что устройство готово возобновить обход TAP в обычном режиме. режим. Затем TAP направит сетевой трафик обратно через встроенное устройство безопасности вместе с пакетами пульса, возвращая устройство обратно в рабочее состояние.
Использование внешнего обходного переключателя для подключения встроенного устройства, такого как NGFW, IPS или DDoS, имеет несколько преимуществ. [1]
Он сохраняет сетевой трафик в случае сбоя встроенного устройства.
Это позволяет удалять или обслуживать встроенное устройство, не влияя на сетевой трафик. Например, IPS можно перевести в автономный режим для обновления, обслуживания или устранения неполадок.
Встроенное устройство можно перемещать из одного сегмента сети в другой, не влияя на сетевой трафик.
Обратите внимание, что последние два преимущества не обеспечиваются функцией внутреннего обходного переключателя, которая может быть интегрирована в некоторые устройства NGFW/IPS.
Некоторые обходные TAP поддерживают несколько режимов и могут использоваться на протяжении всего срока службы сети, например: агрегация, регенерация/SPAN, коммутация/нормальный режим.
Обходные переключатели и TAP увеличивают стоимость приобретения решения для мониторинга, хотя в долгосрочной перспективе они могут сэкономить затраты за счет увеличения времени безотказной работы сети.
Байпасные переключатели перемещают единственную точку отказа от встроенного устройства мониторинга на сам байпасный переключатель. Это должно обеспечить чистый выигрыш в надежности, поскольку обходной переключатель является более простым устройством, чем устройство мониторинга, и поскольку он спроектирован с учетом отказоустойчивости. Тем не менее, надежность является важным критерием при оценке решений с байпасным переключателем.
Обходные коммутаторы повышают надежность сети с помощью нескольких механизмов, включая пассивные линейные соединения, обнаружение каналов и пакеты контрольного сигнала.
Два сетевых порта в обходном коммутаторе создают полностью пассивное линейное соединение, которое поддерживает поток трафика даже при отсутствии питания. Для оптоволоконных линий нормально закрытый оптический переключатель создает путь для беспрепятственного прохождения света через устройство при отсутствии питания. В случае медных соединений микрореле соединяют два порта при отсутствии питания.
Обходной переключатель контролирует состояние каналов между портами монитора и встроенным устройством. Если канал выходит из строя, переключатель обхода немедленно переключается в режим обхода. Некоторые производители обходных TAP/коммутаторов по-прежнему отправляют трафик на устройство в режиме обхода. Когда соединение снова восстанавливается, переключатель обхода возвращается в нормальное состояние обхода.
Некоторые обходные коммутаторы отправляют контрольный пакет через устройство мониторинга, чтобы убедиться, что устройство передает трафик. Если пакет Heartbeat не возвращается на обходной коммутатор, предполагается, что устройство отключено, и коммутатор переходит в режим обхода, исключая устройство из пути трафика. Обходной переключатель продолжает передавать пакеты пульса на устройство, и когда они снова возвращаются устройством, обходной переключатель переключается обратно в режим обхода-выключения, и устройство возобновляет прием трафика....
Всякий раз, когда переключатель обхода по какой-либо причине переходит в режим обхода, соединение может быть временно разорвано. Хороший обходной переключатель восстанавливает соединение менее чем за 1 секунду, [2] но сети может потребоваться несколько секунд, чтобы восстановить связь по каналу.
Обходными переключателями можно управлять через любой из нескольких интерфейсов: интерфейс командной строки (CLI), интерфейс на основе веб-браузера или инструмент SNMP на основе платформы . Функции управления могут включать настройку IP-адреса для ловушек SNMP, получение статистики RMON и настройку параметров контрольного пакета, таких как содержимое пакета, время и количество повторов.