Der Bypass TAP (auch Bypass-Switch genannt) bietet ausfallsichere Zugriffspunkte für integrierte aktive Sicherheitsgeräte wie IPS und Next-Generation-Firewalls (NGFWS). Er wird zwischen Netzwerkgeräten und vor Netzwerksicherheitstools eingesetzt, um eine zuverlässige Trennung zwischen Netzwerk und Sicherheitsschicht zu gewährleisten. Dadurch werden Netzwerke und Sicherheitstools umfassend unterstützt und das Risiko von Netzwerkausfällen minimiert.
Lösung 1: 1 Link Bypass Network Tap (Bypass-Schalter) - Unabhängig
Anwendung:
Der Bypass Network Tap (Bypass Switch) verbindet sich über Link-Ports mit den beiden Netzwerkgeräten und über Device-Ports mit einem Server eines Drittanbieters.
Der Auslöser des Bypass-Netzwerk-Tap (Bypass-Schalter) ist auf Ping eingestellt, wodurch fortlaufend Ping-Anfragen an den Server gesendet werden. Sobald der Server nicht mehr auf die Pings antwortet, wechselt der Bypass-Netzwerk-Tap (Bypass-Schalter) in den Bypass-Modus.
Sobald der Server wieder antwortet, schaltet der Bypass Network Tap (Bypass Switch) wieder in den Durchsatzmodus.
Diese Anwendung funktioniert ausschließlich über ICMP (Ping). Es werden keine Heartbeat-Pakete verwendet, um die Verbindung zwischen dem Server und dem Bypass Network Tap (Bypass Switch) zu überwachen.
Lösung 2: Netzwerk-Paketbroker + Bypass-Netzwerk-Tap (Bypass-Switch)
Netzwerkpaketbroker (NPB) + Bypass-Netzwerk-Tap (Bypass-Switch) – Normaler Status
Anwendung:
Der Bypass-Netzwerk-Tap (Bypass-Switch) verbindet zwei Netzwerkgeräte über Link-Ports und den Netzwerk-Paketbroker (NPB) über Geräte-Ports. Der Server eines Drittanbieters ist über zwei 1-Gbit/s-Kupferkabel mit dem NPB verbunden. Der NPB sendet Heartbeat-Pakete über Port 1 an den Server und empfängt diese über Port 2.
Der Auslöser für den Bypass Network Tap (Bypass Switch) ist auf REST eingestellt, und der Network Packet Broker (NPB) führt die Bypass-Anwendung aus.
Datenverkehr im Durchsatzmodus:
Gerät 1 ↔ Bypass-Schalter/Abzweig ↔ NPB ↔ Server ↔ NPB ↔ Bypass-Schalter/Abzweig ↔ Gerät 2
Netzwerkpaketbroker (NPB) + Bypass-Netzwerk-Tap (Bypass-Switch) – Software-Bypass
Beschreibung der Software-Umgehung:
Wenn der Network Packet Broker (NPB) keine Heartbeat-Pakete erkennt, wird die Software-Umgehung aktiviert.
Die Konfiguration des Network Packet Broker (NPB) wird automatisch geändert, um eingehenden Datenverkehr zurück an den Bypass Network Tap (Bypass Switch) zu senden und ihn so mit minimalem Paketverlust wieder in die aktive Verbindung einzufügen.
Der Bypass Network Tap (Bypass Switch) muss überhaupt nicht reagieren, da alle Umgehungen vom Network Packet Broker (NPB) durchgeführt werden.
Datenverkehr im Software-Bypass:
Gerät 1 ↔ Bypass-Schalter/Abzweig ↔ NPB ↔ Bypass-Schalter/Abzweig ↔ Gerät 2
Netzwerkpaketbroker (NPB) + Bypass-Netzwerk-Tap (Bypass-Switch) – Hardware-Bypass
Hardware-Bypass-Beschreibung:
Für den Fall, dass der Network Packet Broker (NPB) ausfällt oder die Verbindung zwischen dem Network Packet Broker (NPB) und dem Bypass Network Tap (Bypass Switch) unterbrochen wird, schaltet der Bypass Network Tap (Bypass Switch) in den Bypass-Modus, um die Echtzeitverbindung aufrechtzuerhalten.
Wenn der Bypass Network Tap (Bypass Switch) in den Bypass-Modus wechselt, werden Network Packet Broker (NPB) und der externe Server umgangen und empfangen keinen Datenverkehr, bis der Bypass Network Tap (Bypass Switch) wieder in den Durchsatzmodus wechselt.
Der Bypass-Modus wird aktiviert, wenn der Bypass-Netzwerkabzweig (Bypass-Schalter) nicht mehr an die Stromversorgung angeschlossen ist.
Hardware-Offline-Verkehr:
Gerät 1 ↔ Bypass-Schalter/Abzweig ↔ Gerät 2
Lösung 3: Zwei Bypass-Netzwerkabzweiger (Bypass-Schalter) für jede Verbindung
Konfigurationsanleitung:
In dieser Konfiguration wird eine Kupferverbindung zwischen zwei Geräten, die mit einem bekannten Server verbunden sind, durch zwei Bypass-Netzwerk-Taps (Bypass-Switches) umgangen. Der Vorteil gegenüber einer Lösung mit nur einer Umgehungsverbindung besteht darin, dass der Server auch bei einer Unterbrechung der Verbindung zum Netzwerk-Paketbroker (NPB) weiterhin Teil der aktiven Verbindung bleibt.
2 * Bypass-Netzwerk-Taps (Bypass-Switches) pro Verbindung - Software-Bypass
Beschreibung der Software-Umgehung:
Wenn der Network Packet Broker (NPB) keine Heartbeat-Pakete erkennt, aktiviert er die Software-Umgehung. Der Bypass Network Tap (Bypass Switch) muss nicht reagieren, da alle Umgehungen vom Network Packet Broker (NPB) durchgeführt werden.
Datenverkehr im Software-Bypass:
Gerät 1 ↔ Bypass-Schalter/Abzweig 1 ↔ Netzwerkpaketbroker (NPB) ↔ Bypass-Schalter/Abzweig 2 ↔ Gerät 2
2 * Bypass-Netzwerk-Taps (Bypass-Switches) pro Verbindung - Hardware-Bypass
Hardware-Bypass-Beschreibung:
Für den Fall, dass der Network Packet Broker (NPB) ausfällt oder die Verbindung zwischen dem Bypass Network Tap (Bypass Switch) und dem Network Packet Broker (NPB) unterbrochen wird, werden beide Bypass Network Taps (Bypass Switches) in den Bypass-Modus geschaltet, um die aktive Verbindung aufrechtzuerhalten.
Im Gegensatz zur Einstellung „1 Bypass pro Link“ ist der Server weiterhin in den Live-Link eingebunden.
Hardware-Offline-Verkehr:
Gerät 1 ↔ Bypass-Schalter/Abzweig 1 ↔ Server ↔ Bypass-Schalter/Abzweig 2 ↔ Gerät 2
Lösung 4: Für jede Verbindung an den beiden Standorten werden zwei Bypass-Netzwerkabzweiger (Bypass-Switches) konfiguriert.
Einstellhinweise:
Optional: Anstelle eines einzelnen Netzwerkpaketbrokers (NPB) können zwei Netzwerkpaketbroker (NPBs) verwendet werden, um zwei verschiedene Standorte über den GRE-Tunnel zu verbinden. Im Falle eines Ausfalls des Servers, der die beiden Standorte verbindet, wird dieser Server umgangen und der Datenverkehr über den GRE-Tunnel des Netzwerkpaketbrokers (NPB) verteilt (siehe Abbildungen unten).
Veröffentlichungsdatum: 06.03.2023
