Silicom 10G / 40G 旁路交換器
IS40
40G/10G旁路交換器屬於高效的防禦型,是Silicom第四代智慧旁路交換機,其外置式、具備主被動模組式旁路交換機,能保護網路,不讓監控設備因維護、當機或斷電而導致網路中斷。
 |
旁路交換器的功用,是用來免除透通模式(Inline)的資安監控設備或頻寬管理器,所引起的網路斷線疑慮,從防護的效用來看,一般可分為三種等級: l 普通級:斷電bypass l 進階級:斷電或當機bypass l 最高級:斷電或當機,或旁路交換器自己當機bypass
|
|
|
| 一般用戶的迷思,認為內聯(Inline)設備只要具備Bypass功能的網卡,發生故障時就不會造成網路中斷了,但殊不知IPS、WAF、DAM、頻寬管理器等內聯(Inline)模式設備故障,最常造成網路斷線的原因就是...當機,或者已經處於流量處理速度很慢,但卻又沒有斷線的"半死"狀態,造成用戶聯外失敗的問題;即使用了HA架構,但這種狀況發生時,卻仍需要手動切斷故障的內聯設備,才能讓全部流量順利進入HA備援機制的第二台監控設備中。此刻內聯設備內建的bypass網卡的作用,只是在設備切斷電源後,暫時讓網路流量可以通過。但如此一來,完全達不到自動化斷線防護目的,仍需要耗費人力,處理斷線的問題,且是在造成網路down time一段時間後,才能解決問題,因此越來越多用戶開始重視斷線防護等級的差異,並願意投資更有效的斷線防護方案。 Silicom IS40智慧旁路交換機採用1U標準機箱,擁有三個模組的擴充空間,可同時使用40G模組以及10G/1G模組;每個40G模組支援一對旁路端口(1 segment),每個10G/1G模組支援兩對旁路端口(2 segments)。 再介面選擇上,IS40智慧旁路交換機除了支援單模光纖(40GBase-LR4),也支援多模光纖(40GBase-SR4),每個旁路模組提供兩個MPO/LC規格的網路端口連接上下端網路,以及兩個QSFP+端口連接Inline模式的資安設備,也可支援10G/1G的單/多模光纖(10GBase-SR,1000Base-SX,10GBase-LR,1000Base-LX),每個10G/1G旁路模組提供四個LC Duplux規格的網路端口連接上下端網路,以及四個SFP+端口連接Inline模式的資安設備。 Silicom IS40智慧旁路交換機(Intelligent Bypass Switch)支援四種旁路模式:正常內聯(Normal inline)、旁路(Bypass)、分流(TAP)與斷線(Linkdrop)等模式。 1. 在正常內聯模式下(Normal),IBS引導網路流量至 所連接的內聯網路設備。
2. 在旁路模式中(Bypass),IBS不會將流量引導到所連接的網絡監控設備(Inline appliance),而將流量直接導回到網絡中。 3. 在分流模式(TAP)中,流量直接透通NET埠,但被複製到MON埠,進入NET0端口的流量會被複製到MON0端口,進入NET1端口的流量被複製到MON1端口,網路實際流量在NET0與NET1之間傳送,不會導入連接MON0與MON1的網路設備,讓設備不會影響網路,卻又能有測試流量,以利工程師偵錯。 4. 在斷線模式(Linkdrop),IBS偵測到"半死"的內聯設備,則自動關閉網絡端口(NET0, NET1)的連接讓網路中斷,讓流量可以順利導入在HA模式中的正常監控設備,才能真正達到全時自動化監控的效用。 IS40 bypass模組可產生心跳封包(Heartbeat),心跳封包隨著網路流量到內聯式的網路監控設備的網路端口,讓心跳封包從網路端口進入設備內部,並與其他網路流量傳輸到其他端口(橋接心跳封包),送出心跳封包。IS40 bypass模組在預設時間內檢測到返回的心跳封包,則保持內聯模式。 當IS40 bypass模組未從內聯設備端檢測到返回的心跳封包,則依據預先的設定,IS40自動會被切換成旁路(Bypass)、分流(TAP)或斷線(Linkdrop)模式。當內聯監控網絡設備恢復正常並讓心跳封包在預設時間內返回bypass模組,IS40偵測到返回心跳封包,則恢復成正常內聯模式。通常,bypass模式會在內聯設備電源故障、鏈路故障、內聯軟件應用程序系統當機,或使用者要求時啟動。 IS40包含雙重旁路安全架構。Silicom雙重旁路安全架構基於兩個旁路路由電路:一個為主動旁路電路和被動旁路電路。如果內部偵測到主動旁路路由電路發生故障時,則啟動被動旁路路由。因此,IS40不僅監控內聯設備的健康狀態,也監控自我的旁路功能是否正常,讓用戶多一層保障。 IS40可以支援LAG (link aggregation);當與具有port channel設定的透通設備介接,傳統的bypass Switch會發生heartbeat封包無法返回原來模組,而導致bypass switch誤判而切入bypass模式。IS40則可以設定LAG群組,在相同LAG群組內的bypass segment,所發出偵測用的heartbeat,當它返回到群組內其他segment,亦可被認定為有效地回覆,所以能夠有效地支援LAG環境。並可偵測port channel群組內的連線數,若因斷線而少於某個數量,則啟動bypass模式。 |
 |
| IS40能以下列方式設定: l 簡單的CLI指令設定介面,經由序列埠console、 Telnet 或 SSH. l 網頁圖形GUI管理介面 l SNMP Write網管自動寫入 |
IS40是一款1U主機系統,最多可支援三個bypass模組,最多3個40G bypass segments、或6個10G/1G bypass Segments,主機包含兩個備援110 - 220 V AC電源或兩個備援-48直流電源。 |
 |
|
l 自我產生心跳測試封包 - 無需在內聯設備上安裝驅動程式或管理端口產生Heartbeat。 l 設置成旁路狀態,當檢測到內聯系統出現故障時 l 設置成旁路狀態,當檢測到內聯系統鏈路故障時 l 設置成旁路狀態,當檢測到內聯軟件應用程序系統當機 l 設置成旁路狀態,當電源故障 l 設置為正常內聯狀態,當檢測到內聯的網路監控系統復原時 l 雙重安全旁路架構,具有雙路由電路設計 l Centralized managements l 內建兩個板載”看門狗定時器”(WDT,Watch Dog Timer)控制器 l 軟體可編程的超時時間間隔 l Software Programmable WDT Enable / Disable l 每一個模組都有獨立的旁路(Bypass)/正常(Normal)/分流(TAP)/斷線(Linkdrop)操作 l 在1U機箱內支援多達三個40G模組 l 在1U機箱內最高支援6個10G/1G的模組 l 支援TAP運作模式 l 通過序列端口簡單的CLI配置管理 l 通過網絡管理端口(MGMT),Telnet遠端登錄管理界面 l 通過網絡管理端口,使用SSH管理界面 l 支援SNMP版本1,2C,3(SHA,AES) l 支援遠程日誌 l 支援TACACS+ l 支援 RADIUS l 支援 NTP l 支援時區 l 支援多重保存/備份的配置 l 支持兩個端口連動功能 - 如果網絡中的一個端口鏈路發生故障時,會關閉另一個網路端口上的鏈接。 l 雙備援電源 l 可選-48V直流電源 l 支援LAG功能,在同一LAG群組內的bypass模組,可以同時inline或bypass,並允許bypass模組發出的heartbeat封包,可以被群組內其他模組偵測。 l 未來可支援Selective Bypass Filter功能,能預先Bypass特定IP、MPLS ID、VLAN tag,在路由協議(BGP、OSPF)同步的速度上有很大的幫助。 |
模組規格: |
 |
 |
|
IS40 Bypass Switch Silicom 40G/10G Intelligent Bypass Switch |
|
|
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
IS40 Bypass Switch Silicom 40G/10G Intelligent Bypass Switch |
|
|
 |