故障保护是指被配置在为在设备本身发生故障时保护系统中的所有其他组件免受故障影响的设备。实际上,这可能会产生与故障打开相同的结果,但故障保护通常是通过添加单独设备(称为旁路开关)来实现的。
故障转移是恢复出现故障的网络设备功能的能力。这是一个比故障保护更广泛的概念,故障保护只规定对其他组件没有不利影响。故障转移意味着通过冗余实现功能的恢复。
故障保护的典型用例&好处
旁路交换机部署在网络设备的“前面”,并通过与设备建立直接连接并监视其接收和处理能量的能力来工作。这是通过以非常快的时间间隔(通常是每隔2微秒一个)向设备发送一个非常小的网络数据包(称为心跳数据包)来实现的。如果数据包返回,则旁路保持打开状态;如果数据包未返回,流量将绕过设备并移到网络中的下一台交换机。
下图是正常模式下的流量
下图是故障模式下的流量(电力和/或可配置的触发器)
故障保护实现的注意事项
现在,许多网络安全设备(如下一代防火墙和IPS解决方案)都包括内部旁路功能。但是,内部旁路不能提供外部旁路交换机的所有功能。IT人员可以主动激活部署在网络设备前面的外部旁路交换机,使设备脱机以进行常规维护,定期故障排除或在网络中重新定位。外部旁路实质上是将特定设备临时从活动网络中移除,从而无需等待网络维护窗口来执行升级或响应支持问题。
故障转移的典型应用案例&好处
此功能通常集成到核心设备中,例如网络交换机和数据包代理,以确保最长的网络正常运行时间。尽管该功能可以包含在安全和监控工具中,但是许多故障情况会使该解决方案的实用性失效。此功能最好作为专用解决方案的一部分。
故障转移实现的注意事项
现在可以使用外部旁路交换机和网络数据包代理(NPB),它们能够在网络设备发生故障时为流量指定备用路径。例如,如果主IPS设备出现故障,当外部旁路交换机或网络数据包代理监测到故障(事件发生的几个微秒内)时,交换机可以自动开始向辅助备用设备发送流量。这对于实现弹性而言可能是一种经济高效的解决方案。
本文转载自广州虹科“网络安全与可视化”公众号。
