《Bypass 原理和实现探讨课件》由会员分享,可在线阅读,更多相关《Bypass 原理和实现探讨课件(44页珍藏版)》请在金锄头文库上搜索。
1、1,网卡Bypass功能应用探讨,-杰和服务器设计部,2,3,Bypass简介,在当今网络互连时代,有很多网络设备是相互串联在一起工作的,特别是网络安全设备(如:防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等)一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去。,断电,电源故障,硬件故障,死机,设备无法上网!,软件死锁,4,Bypass简介,5,Bypass简介,Bypass(在本文中,除非特别声明,B
2、YPASS均指带宽管理设备的模块之一,旁路单元或旁路保护的意思),是指在网络设备失效 (含正常失效和非正常失效两种方式, 正常失效例如手动调试切换等方式,非正常失效含义比较广,例如如断电、硬件故障、电源故障、连接数超过阀值、软件死锁或死机等等)后,可以通过特定的触发状态让两个网络不通过网络设备的系统,而直接物理上导通。,6,Bypass简介,有了Bypass后,当网络设备失效而成为单点故障以后,或在这些网关设备进行升级维护时,直接将内外两个端口物理联通而变成一根网线,这样让连接在这台设备上的网络相互导通,用户的数据流量可以直接通过设备,而不受设备自身当前状态的影响,避免了因网络手工切换带来的时
3、间延误和网络运维管理困难。,目前网络硬件Bypass功能已经普遍应用于流控产品和网关产品中(防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等),成为网络高可用性运行保障不可缺少的解决方案。,7,Bypass原理及分类,Bypas按其实现方式可以分为: -硬件Bypass -软件Bypass,Bypas按其应用模式可以分为: -内置Bypass -外置Bypass,8,Bypass原理及分类,在硬件层面上,要实现Bypass,主要使用的就是继电器。如下图所示为1000M网络的Bypass设备,在支持硬件Bypass的端口后部会存在
4、继电器。,9,Bypass原理及分类,这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。,以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN1的RJ45接口上的Rx直接和LAN2的RJ45 Tx导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2上的网络间通讯,就需要通过这台设备上的应用程序来实现了。,10,Bypass原理及分类,假如一个继电器可以负责两芯线路,因此如果要Bypass1、2、3、6(10M或100M端口)四芯线路需要2个继电器,如果要Bypass1、2、3、4、5、6、7
5、、8(1000M端口)八芯线路则需要4个继电器,因此由上图三的每个端口后方有4个继电器可以判断是1000M网络的Bypass(千兆网卡有4组差分信号(MDI0+/-、MDI1+/-、MDI2+/-、MDI3+/-)。,11,Bypass原理及分类,另外还有2代的bypass可以控制断电后的bypass状态为连接或者断开,所以共9颗继电器控制一对千兆网口。 当Bypass模块断电时,继电器失去电力,因此将开关搭接到了和下方网口联通的线路上,于是两个端口就变成了一个物理线路,相当于两个端口短路,当电力恢复时则继电器将开关搭接到了和自身系统连接的线路上,于是就成为了两个独立的网口,通过这样的方式,当
6、断电时就可以避免网络中断。,12,Bypass原理及分类,下面一组图示以2代bypass为例说明了Bypass的工作方式,1代的只具有Bypass Behavior A和B 2种状态:,Bypass Behavior A是正常状态下,两个网络的封包都经过应用软件处理后再传播;,13,Bypass原理及分类,Bypass BehaviorB是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了;,14,Bypass原理及分类,Bypass Behavior C 是设备断电后不bypass,15,Bypass原理及分类,软件层面上一般用如下两种方式来控制、触发Bypass: - GPIO
7、: 相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO被置成了低电平,则继电器就跳转到位置2 - Watchdog: 相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO被置成了低电平,则继电器就跳转到位置2,16,Bypass原理及分类,Watchdog Bypass首先要系统激活Watchdog功能,传统上,当 Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 By
8、pass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。注意 如果使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。一般watchdog启用bypass 都是在主板上设置跳线 进行选择,可以选择reset或者触发bypass。,17,Bypass原理及分类,根据以上描述,Bypass在具体应用中的控制方式或者称为触发方式一般来说可以分为以下几个方式: 1、 通过电源触发:这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass
9、立即调整为关闭状态;2、 由GPIO来控制:在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制;3、 由Watchdog来控制:这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。 4 设备上的bypass开关,可以手动设置bypass强制开启或者关闭,18,Bypass原理及分类,在实际的应用中,这4种状态往往是同时存在的,尤其是1和2两种方式。 一般的应用方法为,在断电的情况下,设备处于Bypass
10、打开状态,然后设备上电后,由于BIOS接管,可以在BIOS中设定bypass ,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在OS接管这短短的几秒钟的时间会使网络断开,19,Bypass原理及分类,Bypas按其应用模式分为内置Bypass和外置Bypass。,内置一体 设备体积小 部署起来方便,单独的设备来作为BYPASS模块 无源工作模式 更换方便,中断恢复快,内置Bypass,外置Bypass,20,B
11、ypass方案实现,我司针对千兆网卡的Bypass使用+5V操作电压,单稳型2极点继电器,具体选型如下:,21,Bypass方案实现,22,Bypass方案实现,以OMRON G6K-2F-Y为例: 符合ROHS标准 耐冲击电压2.5KV 2X10uS,23,Bypass方案实现,24,Bypass方案实现,25,Bypass方案实现,26,Bypass方案实现,该外接Bypass设备操作方法:,27,Bypass功能测试方法,与Bypass实现相对应,Bypass测试方法主要是分为两种: -硬件Bypass测试 -软件Bypass测试,28,Bypass功能测试方法,硬件Bypass功能测试
12、: 在正常的工作状态下,直接拔掉外接电源或者直接关机,过段时间后会听到咔嗒一声,这时ping下外网,如可以,则表示硬件Bypass功能已经起作用。 附第二种方法:在设备不带电状态下,用两根网线分别接入同一网桥的出口和入口,然后网线的对端接上电脑。两个电脑配置成同一个网段,互相执行ping测试,看是否可以ping通,如果可以ping通,则表示硬件Bypass已经起作用。,29,Bypass功能测试方法,软件Bypass有两种方法可以进行测试: 1.采用透明模式接入网络,设置好网桥,内网口接自己的笔记本,笔记本开始ping外网,正常上网后,同时用putty软件登入Panabit系统,默认用户名和密
13、码分别是:root和P,进入后输入psax找到一个whatchdog进程, kill-9whatchdog的PID(这个是表示终止该监视进程),等五秒钟,会听到机器咔嗒一声,两个网卡的灯变黑,笔记本的ping会断一两个包,然后恢复通畅。,(注释:设备正常时监控进程不会自己死掉,它死掉即相当于软件系统故障了,上述做法是模拟软件出现故障,而测试bypass功能),30,Bypass功能测试方法,软件Bypass有两种方法可以进行测试: 2. 直接执行init0或者halt关机命令,让软件关掉,看是否会切换bypass(不拔电源),切完后,重启设备,重启过程中,直到系统完全起来时,会咔嗒一声,监控程
14、序关闭bypass,网卡灯亮进入正常状态。,31,Bypass功能测试方法,测试部门测试报告:,32,Bypass功能测试方法,33,Bypass功能测试方法,34,Bypass功能测试方法,35,Bypass功能测试方法,36,Bypass功能测试方法,37,Bypass功能测试方法,38,Bypass选用实例分析,某光口Bypass交换机连接方法,光旁路交换机可以配置成主动监控被保护设备或被动接受管理两种工作方式,如下: 主动式:可以通过USB接口和网口主动监控被保护设备。当检测到被保护设备的发生电源故障、网络异常时及其他故障时,能够主动切换。如:被保护设备的网口DOWN、UP及USB口是
15、否正常。当检测到网口DOWN时,缺省情况下光旁路交换机切换到Bypass状态。当被保护设备恢复网口UP时,切换到Normal。也可以配置成当检测到网口DOWN时,缺省情况下光旁路交换机切换到Normal状态或者维持在之前的状态不发生改变。 被动式:被保护设备主动通过USB接口、网口或者串口定期通过心跳线和光旁路交换机进行通信,两者保持心跳。当被保护设备发生异常时,光旁路交换机的内置watchdog就会超时,引起状态切换。,39,Bypass选用实例分析,当设备在Normal状态时,Net1与Port1相通,Net2与Port2相通(图一);当设备在Bypass状态时,Net1与Net2相通(图
16、二)。,40,Bypass选用实例分析,说明:当bypass设备连接防火墙一组线出现故障或者是损害的情况下会进行bypass,当防火墙系统故障或者防火墙断电后外置bypass设备则会进入bypass状态。,41,Bypass选用实例分析,带线路检测功能的Bypass交换机连接方法,此连接模式需将WAN交换机内连接Net1与RJ45的接口划为同一VLAN内,并将设备所ping的IP地址设为Bypass交换机下端的IP地址,42,Bypass选用实例分析,Bypass设备将pingPC的ip地址,如ping通则说明光纤没有受损,处于正常状态,如不通说明光纤受损,切换到bypass状态,bypass状态下数据将不走防火墙,直接从网络交换机连接到交换机,在光纤受损网络交换机无数据发出时,交换机将无数据接收。,43,Bypass选用实例分析,44,谢谢!,
