网域安全网关的断电BYPASS旁路功能模块介绍
网域安全网关的断电BYPASS旁路功能模块介绍断电BYPASS功能
一、什么是断电Bypass
大家知道,上网行为管理一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
断电Bypass顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了 断电Bypass后,当网络安全设备故障以后,只需将故障设备断电,就可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
二、网域设备上断电BYPASS的应用
我们网域设备上的BYPASS是以对存在的,一般用于网桥部署模式,客户部署时使用带Bypass的一对桥接口进行接线。设备正常加电使用时,Bypass处于关闭状态,设备功能正常控制使用;设备故障时断电,Bypass处于开启状态,这时设备功能失效,但网络依旧导通,不会因为设备故障导致整个网络瘫痪断网。对于一些紧急情况,不能及时排除故障,可以直接将设备断电,保障网络先正常使用,待空闲时刻继续排除故障。
三、一些对网域断电BYPASS的误区
1、设备死机没断电的情况,Bypass是不会生效启用的,应该直接切断我们设备电源;
2、只适用于桥部署的模式,路由模式不支持;
3、必须使用带Bypass的桥接口接线,否则不起作用。
bypass - 应用方式
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到BIOS接管这短短的2-3秒钟的时间可能会使网络断开。
网络智能切换器的作用有:主要保护防止各类网络串接网关设备因意外失效(如硬件故障、电源故障、软件死锁等)而成为单点故障,或在这些网关设备进行升级维护时提供有利帮助,避免了因网络手工切换带来的时间延误和网络运维管理困难,成为网络高可用性运行保障不可缺少的解决方案。
bypass - 基本内容
网络智能切换器的作用有:主要保护防止各类网络串接网关设备因意外失效(如硬件故障、电源故障、软件死锁等)而成为单点故障,或在这些网关设备进行升级维护时提供有利帮助,避免了因网络手工切换带来的时间延误和网络运维管理困难,成为网络高可用性运行保障不可缺少的解决方案。
带有bypass的设备具有如下功能
1、支持各类网关设备(如:防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等)的智能切换,提供标准开发接口(支持windows /Linux/BSD/Unix/Solaries等各类系统设备);
2、纯硬件切换,切换时间短、不影响数据传输速率;
3、可自定义切换临界选择点;
4、支持多种切换方式:自动切换或人工软件切换;
5、确保自身设备安全性,故障时自动直通;
6、指示灯、声音切换告警通知功能;
7、支持多接口自动切换;
8、透明模式、自身无需IP地址;
9、即插即用、不影响网络结构;
10、1U标准工业级机箱设计,平均无故障工作时间MTBF(Mean Time Between Failure)大于4万小时;
11、可应用于网关设备维护、升级、程序调试、设备测试等各阶段,避免网络短时间中断;
12、支持定制单模或多模光纤接口;
目前BYPASS设备生产厂商主要有silicom 隶属以色列的 RAD 集团,是一家业界领先的高性能服务器/设备网络解决方案供应商 ,于2008年在中国北京设立办事处,同年北京奇正智达高科技有限公司成为其代理商。产品主要有IBSG,PBSSF-M50,BSSF。
Bypass在医学中的意思是“导管外科手术中用于使血液或其它体液绕过某一阻塞或病变了的器官的替换管”。例如:a gastric bypass(胃替代管)。Bypass还有“忽视、不留意”的意思。在本文中,除非特别声明BYPASS均指带宽管理设备的模块之一,意为“旁路单元” 是指在网络设备失效 (含正常失效和非正常失效两种方式, 正常失效 例如手动切换等方式,非正常失效含义比较广,例如 硬件故障、连接数超过阀值等等,不同产品之间有很大区别。本文不再叙述)
BYPASS 模块有两种应用模式 内置与外置
无论内置还是外置BYPASS ,都是为了避免单点故障而引起的网络中断,一旦这些情况出现时,BYPASS将立即启动并保证网络的畅通无阻。某些网络的中断设计要求非常苛刻,甚至是按照*分钟/年来计算的。
内置BYPASS的好处是设备体积小,部署起来方便。外置的好处是单独的设备来作为BYPASS模块 , 一般来说,外置的BYPASS 模块要求设计成无源工作模式,也就是说外置BYPASS 不需要电源供应即可正常工作,这样做的初衷是为了更好的保证稳定性和可靠性 。
我们知道,任何需要电源支持的设备都一定会损坏 , 只是时间的问题而已。看看我们身边的这些电器产品或者网络上使用的设备,几乎毫无例外的都有这个潜在隐患
根据上面的图示,你会发现 ,外置BYPASS模式 时 ,真正接入网络的是一个无源BYPASS模块,而无源BYPASS本身提供两组接口 ,一组接网络,另外一组接主机。主机才是需要电源供应工作的。
让我们想象一下,当内置与外置两种形式的主机分别损坏的时候,网络都是畅通的。在这个阶段内置与外置还没有任何区别,但接下来,我们必须要更换损坏的设备,这时 ,问题就出现了。内置的设备因为BYPASS模块固化在设备内部,当我们更换设备的时候,就必须重新中断网络,而外置的就不需要,因为主机没有接在网络上,即使更换设备,也无需中断网络。这也是两种模式的最大区别。
一般来说,企业级的网络中断恢复要求相对比较宽松,可以接受内置BYPASS形式,但并不绝对。要根据用户的设计目标来灵活选择。
页:
[1]