为什么要使用外部旁路交换机?
文章目录
[*]
[*]故事的开始
[*]为什么要使用外部旁路交换机?
[*]心跳包监视工具运行状况
[*]内联生命周期管理
[*]原文链接
[*]关注我们
故事的开始
许多人都在问
设备内置旁路功能还需要外部旁路交换机吗?
在网络中设计内联安全工具时,引入网络旁路技术是避免昂贵的网络停机时间的最佳方法。简而言之,旁路交换机(也称为“旁路TAP”)提供了管理内联工具可用性的能力,即在不断开网络可影响业务可用的情况下完成设备维护或升级。
在不能停机的时候,如果工具发生故障,旁路交换机可以快速解决问题,绕过故障工具,并保持网络正常运行或故障转移到高可用性(HA)解决方案。
管理停机风险:由于串联式安全设备位于网络段之间,因此管理停机时间的风险是部署安全设备时的重要考虑因素。安全团队通常面临:
[*]设备故障可能会导致网络瘫痪
[*]收入损失
[*]客户和公司信任度下降,声誉受损
为什么要使用外部旁路交换机?
旁路交换机是专门为解决导致网络中出现单点故障(SPOF)的“嵌入”式工具的问题而开发的。如果内联设备不可用,则会绕过该设备,并在发生故障的工具两端自动转发流量。
“研究发现,广泛使用外部旁路设备是最佳实践。”
[*]EMA [企业管理协会]
设备可能具有内部旁路功能,但是添加此功能的成本很高,并且仍然缺外部旁路交换机相关的关键功能,包括:
[*] 管理隔离-无维护窗口
[*] 操作隔离-加速停机的问题解决,而不会影响网络连接
[*] 工具沙箱-测试或部署新工具
[*] 部署效率- 覆盖多个网段
[*] 网络弹性-灵活旁路并保持网络正常运行,或故障转移到高可用性解决方案
[*] 在线升级-在不中断网络的情况下进行设备的维护或者升级
心跳包监视工具运行状况
心跳数据包是一种软检测技术,用于监控内联设备的运行状况。旁路TAP无需依赖于网络与工具的直接连接,而是经过专门设计用于来回的传递心跳数据包来检测所连接设备的问题。心跳包由旁路交换机添加到数据,并且都发送到串联设备的输入端口。内联设备执行其任务,然后通过心跳将数据发送回旁路交换机。旁路交换机会从数据中剥离心跳数据,这些数据会从TAP中发送出去并返回到实时网络中。
心跳数据永远不会发送到真实网络中。如果未收到从旁路交换机发送的心跳信号,表明设备由于某种原因处于脱机状态,则交换机将自动旁路该设备,即使设备处于脱机状态也可以保持网络正常运行。这样就没有网络停机时间也没有单点故障。
内联生命周期管理
利用外部旁路交换机,而不依赖于内联工具中的旁路功能,可提供实现内联设备的生命周期管理的独特功能。从沙箱部署新工具到轻松进行工具进行更新,安装补丁,进行维护或故障排除以优化和验证,然后再推回内联,外部旁路交换机迅速成为任何内联工具的重要补充。
在不影响网络可用性的情况下,使用实时数据包数据在实际环境中对新工具进行沙箱测试或试运行,从而能够在将其实时部署到网络中之前对其进行带外评估和优化。被测试的工具使用与生产环境相同的数据类型,而不是测试数据,从而增加了测试的真实性。
文档来源:51CTO技术博客https://blog.51cto.com/u_14928887/3033202
页:
[1]