智慧型旁路交換器
旁路交換器 (Bypass Switch)通常與inline工具設備搭配,例如入侵防禦系統(IPS)、網頁防火牆(WAF)、分散式阻斷攻擊(DDoS)、DPI頻寬管理設備(PCEF)或其他等,目的在於防止上述系統當機、斷電而造成的網路斷線問題。有別於傳統被動式旁路交換器(Passive Bypass Switch),需在inline工具設備安裝控制程式,透過外部訊號線(通常是USB、RJ11)控制bypass switch的切換狀態,但偶而會有inline工具已經當機而沒有控制旁路交換器切換的問題;因此,新一代的智慧型旁路交換器使用本身發出的心跳(Heartbeat)封包,隨網路流量通過Inline主機,然後返回智慧型旁路交換器,若Heartbeat返回時間太長超過設定值,則切換進入旁路、TAP或斷路狀態,而達到避免Inline工具當機造成網路斷線的功效。因為其inline介接的高可靠度與高安全性,不少使用者亦將其當作TAP Switch,將鏈路上的網路流量複製給入侵偵測(IDS)、資料外洩保護(DLP)或資料庫稽核(DAM)等被動偵測設備,檢查流量中是否隱藏入侵或攻擊行為。或是在切換Inline架構之前,先利用TAP模式驗證inline工具,確認沒問題後,不需要再更動線路,經由簡單設定即可轉換為Inline架構。智慧型旁路交換器的主要優勢,再於同時具備主動式與被動式旁路迴路功能。
◆主動式旁路是利用自動路由的改變,達到bypass的狀態,通常在進入bypass之前,會先進行主機的健康狀態偵測。bypass switch利用發送心跳(Heartbeat)封包對inline主機健康檢查的機制,心跳封包隨著網路流量進入inline內聯工具設備,一旦工具設備發生當機、軟體問題、斷線或斷電,導致心跳封包無法在預定時間內返回旁路交換器,則自動改變路由而切換進入旁路、TAP或斷路(link drop)狀態;
◆被動式旁路是利用硬體線路迴路的改變,達到bypass的狀態,通常發生在硬體狀態改變時。旁路交換器本身,在斷電時能自動切換旁路或斷線模式的功能,以防止旁路交換器本身因為斷電,導致網路鏈路中斷,影響資料傳輸。少數高階機種如Silicom旁路交換器,能夠使用WDT偵測自身狀態,而主動進入被動式旁路狀態。
