許多人都在問
設(shè)備內(nèi)置旁路功能還需要外部旁路交換機(jī)嗎?
在網(wǎng)絡(luò)中設(shè)計(jì)內(nèi)聯(lián)安全工具時(shí),引入網(wǎng)絡(luò)旁路技術(shù)是避免昂貴的網(wǎng)絡(luò)停機(jī)時(shí)間的最佳方法。簡(jiǎn)而言之,旁路交換機(jī)(也稱為“旁路TAP”)提供了管理內(nèi)聯(lián)工具可用性的能力,即在不斷開網(wǎng)絡(luò)可影響業(yè)務(wù)可用的情況下完成設(shè)備維護(hù)或升級(jí)。
在不能停機(jī)的時(shí)候,如果工具發(fā)生故障,旁路交換機(jī)可以快速解決問題,繞過故障工具,并保持網(wǎng)絡(luò)正常運(yùn)行或故障轉(zhuǎn)移到高可用性(HA)解決方案。
管理停機(jī)風(fēng)險(xiǎn):由于串聯(lián)式安全設(shè)備位于網(wǎng)絡(luò)段之間,因此管理停機(jī)時(shí)間的風(fēng)險(xiǎn)是部署安全設(shè)備時(shí)的重要考慮因素。安全團(tuán)隊(duì)通常面臨:
?設(shè)備故障可能會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓
?收入損失
?客戶和公司信任度下降,聲譽(yù)受損
為什么要使用外部旁路交換機(jī)?
旁路交換機(jī)是專門為解決導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)單點(diǎn)故障(SPOF)的“嵌入”式工具的問題而開發(fā)的。如果內(nèi)聯(lián)設(shè)備不可用,則會(huì)繞過該設(shè)備,并在發(fā)生故障的工具兩端自動(dòng)轉(zhuǎn)發(fā)流量。
“研究發(fā)現(xiàn),廣泛使用外部旁路設(shè)備是最佳實(shí)踐。” - EMA [企業(yè)管理協(xié)會(huì)]
設(shè)備可能具有內(nèi)部旁路功能,但是添加此功能的成本很高,并且仍然缺外部旁路交換機(jī)相關(guān)的關(guān)鍵功能,包括:
?管理隔離-無維護(hù)窗口
?操作隔離-加速停機(jī)的問題解決,而不會(huì)影響網(wǎng)絡(luò)連接
?工具沙箱-測(cè)試或部署新工具
?部署效率- 覆蓋多個(gè)網(wǎng)段
?網(wǎng)絡(luò)彈性-靈活旁路并保持網(wǎng)絡(luò)正常運(yùn)行,或故障轉(zhuǎn)移到高可用性[HA]解決方案
?在線升級(jí)-在不中斷網(wǎng)絡(luò)的情況下進(jìn)行設(shè)備的維護(hù)或者升級(jí)
心跳包監(jiān)視工具運(yùn)行狀況
心跳數(shù)據(jù)包是一種軟檢測(cè)技術(shù),用于監(jiān)控內(nèi)聯(lián)設(shè)備的運(yùn)行狀況。旁路TAP無需依賴于網(wǎng)絡(luò)與工具的直接連接,而是經(jīng)過專門設(shè)計(jì)用于來回的傳遞心跳數(shù)據(jù)包來檢測(cè)所連接設(shè)備的問題。心跳包由旁路交換機(jī)添加到數(shù)據(jù),并且都發(fā)送到串聯(lián)設(shè)備的輸入端口。內(nèi)聯(lián)設(shè)備執(zhí)行其任務(wù),然后通過心跳將數(shù)據(jù)發(fā)送回旁路交換機(jī)。旁路交換機(jī)會(huì)從數(shù)據(jù)中剝離心跳數(shù)據(jù),這些數(shù)據(jù)會(huì)從TAP中發(fā)送出去并返回到實(shí)時(shí)網(wǎng)絡(luò)中。
心跳數(shù)據(jù)永遠(yuǎn)不會(huì)發(fā)送到真實(shí)網(wǎng)絡(luò)中。如果未收到從旁路交換機(jī)發(fā)送的心跳信號(hào),表明設(shè)備由于某種原因處于脫機(jī)狀態(tài),則交換機(jī)將自動(dòng)旁路該設(shè)備,即使設(shè)備處于脫機(jī)狀態(tài)也可以保持網(wǎng)絡(luò)正常運(yùn)行。這樣就沒有網(wǎng)絡(luò)停機(jī)時(shí)間也沒有單點(diǎn)故障。
內(nèi)聯(lián)生命周期管理
利用外部旁路交換機(jī),而不依賴于內(nèi)聯(lián)工具中的旁路功能,可提供實(shí)現(xiàn)內(nèi)聯(lián)設(shè)備的生命周期管理的獨(dú)特功能。從沙箱部署新工具到輕松進(jìn)行工具進(jìn)行更新,安裝補(bǔ)丁,進(jìn)行維護(hù)或故障排除以優(yōu)化和驗(yàn)證,然后再推回內(nèi)聯(lián),外部旁路交換機(jī)迅速成為任何內(nèi)聯(lián)工具的重要補(bǔ)充。
在不影響網(wǎng)絡(luò)可用性的情況下,使用實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)在實(shí)際環(huán)境中對(duì)新工具進(jìn)行沙箱測(cè)試或試運(yùn)行,從而能夠在將其實(shí)時(shí)部署到網(wǎng)絡(luò)中之前對(duì)其進(jìn)行帶外評(píng)估和優(yōu)化。被測(cè)試的工具使用與生產(chǎn)環(huán)境相同的數(shù)據(jù)類型,而不是測(cè)試數(shù)據(jù),從而增加了測(cè)試的真實(shí)性。
