Сетевые платы Bypass – отказоустойчивость в сетях с DPI

Bypass

Рекомендуемая производителем схема установки системы глубокого анализа трафика (DPI) – в разрыв линии. Это означает, что весь сетевой трафик проходит через нее. Что произойдет, если оборудование DPI откажет? Сеть упадет? Нет. Благодаря сетевым картам с технологией Bypass трафик будет пропускаться с порта на порт даже при отключенном питании. Поговорим об этом подробнее.

Принцип Bypass

В сетевых платах с поддержкой Bypass между портом и сетевым интерфейсом присутствует специальный переключатель, который способен в случае выхода из строя аппаратной (программной) составляющей платы или самого сервера перенаправить весь трафик напрямую с порта на порт, минуя контроллер сетевой платы.

bypass адаптер

Принцип работы Bypass-модуля

Когда датчик (Watch Dog Timer) фиксирует отключение питания сервера, зависание операционной системы или программного обеспечения и другие критические ошибки, он переключает BP_SW1 и BP_SW2 в режим Bypass: трафик проходит через сетевую карту минуя серверное оборудование, переключение осуществляется на физическом уровне – Layer1.

Существуют три основных режима работы таких сетевых карт: Normal, Bypass, Disconnect. Определить, как плата поведет себя при возникновении критической ошибки, можно с помощью консоли.

  1. В режиме Normal порты карты работают как два раздельных сетевых интерфейса.

bypass normal2. В режиме Bypass порты замыкаются друг с другом, трафик идет напрямую между ними и не попадает на сетевые интерфейсы. Такой режим работает даже при полном отключении питания (выход из строя блоков питания).

bypass bypass 3. В режиме Disconnect TX-линки на интерфейс размыкаются и сетевая плата перестает работать, как повела бы себя любая другая.

bypass Disconnect

Применение режима Bypass

В основном такие платы устанавливают на серверы Common Bridge: Firewall, IPS, IDS, DPI, серверы доступа, шлюзы и другие сетевые устройства, отключение которых может привести к падению всей сети. Режим Bypass позволяет обеспечить доступность сети, исключив из нее только ту функцию, за которую отвечало вышедшее из строя устройство. Например, если данная сетевая плата используется в системе DPI, то в случае отключения питания или поломки у абонентов интернет-провайдера сохранится доступ к сети, но пропадет возможность управления трафиком, фильтрации URL и другие функции DPI.

bypass на шлюзе

Работа Bypass на шлюзе доступа в сеть Интернет

Также операторы связи и интернет-провайдеры активно используют режим Bypass для проведения плановых работ на серверах с такими платами. При этом нет необходимости перенаправлять трафик в обход на сетевом оборудовании, можно просто выключить сервер из розетки и производить замену комплектующих.

Bypass-адаптеры на рынке

На российском рынке широко представлены Bypass-адаптеры израильского производителя Silicom, который предлагает решения для 1-, 10-, 40-гигабитных сетей с оптическими и медными интерфейсами.

В своих платах производитель использует современные чипы компании Intel:

  • топовый чип Intel® XL710 с поддержкой двух портов 40G, шиной PCI Express X8, поддержкой QoS, Virtual Machine Device queues (VMDq), PCI-SIG* SR-IOV и Intel® Data Direct I/O Technology;
  • чип для медных сетей Intel® x540 c поддержкой двух портов 10G, шиной PCI Express X8, всех функций для виртуализации сетей, а также iSCSI, FCoE, NFS;
  • чип для оптических сетей Intel® 82599ES c поддержкой двух портов 10G, Virtual Machine Device queues (VMDq), Fiber Channel over Ethernet, MACsec IEEE 802.1 AE, Intel® Data Direct I/O.

Silicom PE340G2BPI71

Silicom PE340G2BPI71 Bypass Card – 40G

Все адаптеры Silicom позволяют обеспечивать режим Bypass в случае сбоя питания, зависания сервера или программного обеспечения. Администратор самостоятельно задает режим работы Bypass на каждом из портов и устанавливает время задержки перед переключением.

Также в продаже можно найти оригинальные сетевые адаптеры с Bypass от Intel, модульные карты SonicWALL от Dell и других американских и восточных производителей. Но наибольшей популярностью пользуются именно Silicom.

Некоторые адаптеры Silicom (на чипах Intel 82598/99) поддерживают уникальную сетевую функцию DNA (Direct NIC Access), которая дает возможность системам DPI получать пакеты минуя ядро Linux, непосредственно из сетевого адаптера (no-Linux kernel interaction) с минимальной нагрузкой на процессор.

DNA на адаптерах Silicom

Функция DNA на адаптерах Silicom

Платформа СКАТ DPI может быть установлена на любой x86-сервер, но при подключении системы в разрыв линка использование сетевых адаптеров с поддержкой режима Bypass является обязательным требованием для обеспечения стабильной работы сети. Рекомендуем использовать адаптеры Silicom необходимой производительности из-за их надежности и стабильности в работе.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.

 Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *