Bypass原理和实现探讨课件

网卡网卡Bypass功能功能应用应用探讨探讨1-杰和服务器设计部杰和服务器设计部目录目录1、Bypass简介2、Bypass工作原理及分类3、Bypass实现方案4、Bypass功能测试5、Bypass选用实例分析2Bypass简介3在当今网络互连时代，有很多网络设备是相互串联在一起工作的，特别是网络安全设备（如：防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等）一般都是应用在两个或更多的网络之间，比如内网和外网之间，网络安全设备内的应用程序会对通过他的网络封包来进行分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去。断电断电电源故障电源故障硬件故障硬件故障死机死机设备无法上网！设备无法上网！软件死锁软件死锁Bypass简介4Bypass简介5 Bypass（在本文中，除非特别声明，BYPASS均指带宽管理设备的模块之一，旁路单元或旁路保护的意思），是指在网络设备失效（含正常失效和非正常失效两种方式，正常失效例如手动调试切换等方式，非正常失效含义比较广，例如如断电、硬件故障、电源故障、连接数超过阀值、软件死锁或死机等等）后，可以通过特定的触发状态让两个网络不通过网络设备的系统，而直接物理上导通。Bypass简介6 有了Bypass后，当网络设备失效而成为单点故障以后，或在这些网关设备进行升级维护时，直接将内外两个端口物理联通而变成一根网线，这样让连接在这台设备上的网络相互导通，用户的数据流量可以直接通过设备，而不受设备自身当前状态的影响，避免了因网络手工切换带来的时间延误和网络运维管理困难。目前网络硬件Bypass功能已经普遍应用于流控产品和网关产品中（防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等），成为网络高可用性运行保障不可缺少的解决方案。Bypass原理及分类7 Bypas按其实现方式可以分为：-硬件Bypass -软件Bypass Bypas按其应用模式可以分为：-内置Bypass -外置BypassBypass原理及分类8 在硬件层面上，要实现Bypass，主要使用的就是继电器。如下图所示为1000M网络的Bypass设备，在支持硬件Bypass的端口后部会存在继电器。Bypass原理及分类9 这些继电器主要连接两个Bypass网口的各个网口信号线上，下图以其中一根信号线来说明继电器在其中的工作方式。以电源触发为例，当断电的情况下，继电器内的开关将会跳拨到1的状态，即将LAN1的RJ45接口上的Rx直接和LAN2的RJ45 Tx导通，而当设备上电以后，开关就会导通到2上，这样如果要使LAN1和LAN2上的网络间通讯，就需要通过这台设备上的应用程序来实现了。Bypass原理及分类10假如一个继电器可以负责两芯线路，因此如果要Bypass1、2、3、6（10M或100M端口）四芯线路需要2个继电器，如果要Bypass1、2、3、4、5、6、7、8（1000M端口）八芯线路则需要4个继电器，因此由上图三的每个端口后方有4个继电器可以判断是1000M网络的Bypass（千兆网卡有4组差分信号（MDI0+/-、MDI1+/-、MDI2+/-、MDI3+/-）。Bypass原理及分类11 另外还有2代的bypass可以控制断电后的bypass状态为连接或者断开，所以共9颗继电器控制一对千兆网口。当Bypass模块断电时，继电器失去电力，因此将开关搭接到了和下方网口联通的线路上，于是两个端口就变成了一个物理线路，相当于两个端口短路，当电力恢复时则继电器将开关搭接到了和自身系统连接的线路上，于是就成为了两个独立的网口，通过这样的方式，当断电时就可以避免网络中断。Bypass原理及分类12 下面一组图示以2代bypass为例说明了Bypass的工作方式，1代的只具有Bypass Behavior A和B 2种状态：Bypass Behavior A是正常状态下，两个网络的封包都经过应用软件处理后再传播；Bypass原理及分类13 Bypass BehaviorB是设备处于Bypass后，设备的应用程序已经不再对网络封包处理了；Bypass原理及分类14 Bypass Behavior C 是设备断电后不bypassBypass原理及分类15 软件层面上一般用如下两种方式来控制、触发Bypass：-GPIO：相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO被置成了低电平，则继电器就跳转到位置2 -Watchdog：相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO被置成了低电平，则继电器就跳转到位置2Bypass原理及分类16 Watchdog Bypass首先要系统激活Watchdog功能，传统上，当 Watchdog生效后，系统会Reset，但如果你使用了Watchdog Bypass功能，则在Watchdog生效后，系统不会Reset，而是将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种 Bypass，也是通过GPIO来控制Bypass的，只不过这种情况下，向GPIO写入低电平的工作由Watchdog来执行，不需要另外编程来写 GPIO。注意 如果使用了Watchdog Bypass，则Watchdog将不能再实现让系统Reset了。一般watchdog启用bypass 都是在主板上设置跳线 进行选择，可以选择reset或者触发bypass。Bypass原理及分类17根据以上描述，Bypass在具体应用中的控制方式或者称为触发方式一般来说可以分为以下几个方式：1、通过电源触发：这种方式下，一般是在设备没有通电的情况下，Bypass功能打开，如果设备一旦通电后，Bypass立即调整为关闭状态；2、由GPIO来控制：在进入OS后，可以通过GPIO来对特定的端口操作，从而实现对Bypass开关的控制；3、由Watchdog来控制：这种情况实际是对方式2的一种延伸应用，可以通过Watchdog来控制GPIO Bypass程序的启用与关闭，从而实现对Bypass状态的控制。使用这种方式后，平台如果死机就可以由Watchdog来打开Bypass。4 设备上的bypass开关，可以手动设置bypass强制开启或者关闭Bypass原理及分类18 在实际的应用中，这4种状态往往是同时存在的，尤其是1和2两种方式。一般的应用方法为，在断电的情况下，设备处于Bypass打开状态，然后设备上电后，由于BIOS接管，可以在BIOS中设定bypass，所以在BIOS接管设备后，Bypass仍然处于打开状态，然后OS启动，当OS启动后，一般会执行GPIO 的Bypass程序，将Bypass关闭，这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中，几乎不会造成网络的断开。只有在OS接管这短短的几秒钟的时间会使网络断开Bypass原理及分类19 Bypas按其应用模式分为内置Bypass和外置Bypass。内置一体 设备体积小 部署起来方便 单独的设备来作为BYPASS模块 无源工作模式 更换方便，中断恢复快内置Bypass外置BypassBypass方案实现20 我司针对千兆网卡的Bypass使用+5V操作电压，单稳型2极点继电器，具体选型如下：25R00G6K2FS00ROHS Bypass 单稳型继电器 G6K-2F-Y DC5 10*7.8*5.2MM 2.5KV SMD OMRON 临时未申请ROHS Bypass 单稳型继电器 IM03GR 10*7.8*5.2MM 2.5KV SMD AXICON 未申请ROHS Bypass 单稳型继电器 AGQ200A4H 10.6*8.4*5.4MM 2.5KV SMD OMRON Bypass方案实现21Bypass方案实现22以OMRON G6K-2F-Y为例：符合ROHS标准 耐冲击电压2.5KV 2X10uSBypass方案实现23Bypass方案实现24Bypass方案实现25Bypass方案实现26 该外接Bypass设备操作方法：默认状态不接电源不接电源时，默认状态lan1/lan2为一组，网口导通；接入电源后，Bypass受插针控制插针RJP1跳帽跳到PIN1和2lan1/lan2为一组bypass网口，网口导通；插针RJP1跳帽跳到PIN2和3lan1/lan3为一组网口导通；lan2/lan4为一组网口导通；Bypass功能测试方法27 与Bypass实现相对应，Bypass测试方法主要是分为两种：-硬件Bypass测试 -软件Bypass测试Bypass功能测试方法28 硬件Bypass功能测试：在正常的工作状态下，直接拔掉外接电源或者直接关机，过段时间后会听到咔嗒一声，这时ping下外网，如可以，则表示硬件Bypass功能已经起作用。附第二种方法：在设备不带电状态下,用两根网线分别接入同一网桥的出口和入口，然后网线的对端接上电脑。两个电脑配置成同一个网段，互相执行ping测试，看是否可以ping通，如果可以ping通，则表示硬件Bypass已经起作用。Bypass功能测试方法29 软件Bypass有两种方法可以进行测试：1.采用透明模式接入网络，设置好网桥，内网口接自己的笔记本,笔记本开始ping外网，正常上网后，同时用putty软件登入Panabit系统，默认用户名和密码分别是：root和P,进入后输入ps ax找到一个whatchdog进程，kill-9 whatchdog的PID（这个是表示终止该监视进程），等五秒钟，会听到机器咔嗒一声，两个网卡的灯变黑，笔记本的ping会断一两个包，然后恢复通畅。（注释：设备正常时监控进程不会自己死掉，它死掉即相当于软件系统故障了，上述做法是模拟软件出现故障，而测试bypass功能）Bypass功能测试方法30 软件Bypass有两种方法可以进行测试：2.直接执行init 0或者halt关机命令，让软件关掉，看是否会切换bypass（不拔电源），切完后，重启设备，重启过程中，直到系统完全起来时，会咔嗒一声，监控程序关闭bypass，网卡灯亮进入正常状态。Bypass功能测试方法31 测试部门测试报告：接口功能接口功能测试内容测试内容测试结果测试结果PassPassFailFail默认状态不接小板电源不接小板电源时，默认状态lan1/lan2为一组，网口导通，bypass功能正常；插针RJP1接上小板电源1、RJP1接PIN1和2时，lan1/lan2为一组bypass网口；2、RJP1接PIN2和3时，lan1/lan3为一组bypass网口，lan2/lan4为一组bypass网口；lan1/lan2 bypass功能接上小板电源,插针RJP1跳帽跳到PIN1和2lan1/lan2为一组bypass网口，网口导通，bypass功能正常；lan1/lan3 bypass功能接上小板电源,插针RJP1跳帽跳到PIN2和3lan1/lan3为一组bypass网口，网口导通，bypass功能正常；lan2/lan4 bypass功能接上小板电源,插针RJP1跳帽跳到PIN2和3lan2/lan4为一组bypass网口，网口导通，bypass功能正常；Bypass功能测试方法32老化测试老化测试测试内容测试内容测试结果测试结果PassPassFailFaillan1/lan2 bypass功能老化插针RJP1跳帽跳到PIN2和31、将小板的lan1和lan3串联到A、B样机中，ping大包；2、拔插跳帽，使lan1/lan2网口在非导通和导通状态下切换20次，bypass功能正常，没有出现千兆变百兆，bypass功能失效等情况；lan1/lan3 bypass功能老化插针RJP1跳帽跳到PIN2和31、将小板的lan1和lan3串联到A、B样机中，ping大包；2、拔插跳帽，使lan1/lan3网口在非导通和导通状态下切换20次，bypass功能正常，没有出现千兆变百兆，bypass功能失效等情况；lan2/lan4 bypass功能老化插针RJP1跳帽跳到PIN2和31、将小板的lan2和lan4串联到A、B样机中，ping大包；2、拔插跳帽，使lan2/lan4网口在非导通和导通状态下切换20次，bypass功能正常，没有出现千兆变百兆，bypass功能失效等情况；网络老化将小板串联到A、B样机，在bypass网口导通的状态下，对A、B样机网口进行网络老化15小时，网口性能稳定。bypass功能切换老化bypass网口在导通和非导通状态下切换，测试15小时，bypass切换功能正常。Bypass功能测试方法33100M100M网线直连测试网线直连测试100%100%连续读连续读100%100%连续写连续写IOPSIOPSthroughtoutthroughtoutIOPSIOPSthroughtoutthroughtout未接bypass board小板(E#3 210A#8 354)1805.38 112.84 1810.63 113.16 G6K-2F-Y小板跳帽接12，lan1/2组成bypass(E#3 210A#8 354)1802.31 112.64 1810.63 113.16 G6K-2F-Y小板跳帽接23，lan1/3组成bypass(E#3 210A#8 354)1803.22 112.70 1810.16 113.13 G6K-2F-Y小板跳帽接23，lan2/4组成bypass(E#3 210A#8 354)1782.05 111.38 1809.89 113.12 AXICOM小板跳帽接12，lan1/2组成bypass(E#3 210A#8 354)1546.87 96.68 1629.77 101.86 AXICOM小板跳帽接23，lan1/3组成bypass(E#3 210A#8 354)1775.77 110.99 1804.20 112.76 AXICOM小板跳帽接12，lan2/4组成bypass(E#3 210A#8 354)1804.37 112.77 1810.63 113.16 Bypass功能测试方法34100M100M网线连接交换机与网线连接交换机与bypassbypass小板小板100%100%连续读连续读100%100%连续写连续写IOPSIOPSthroughtoutthroughtoutIOPSIOPSthroughtoutthroughtout未接bypass board小板(E#3 210A#8 354)1772.64 110.79 1768.40 110.52 G6K-2F-Y小板跳帽接12，lan1/2组成bypass(E#3 210A#8 354)1763.69 110.23 1773.60 110.85 G6K-2F-Y小板跳帽接23，lan1/3组成bypass(E#3 210A#8 354)1772.30 110.77 1774.62 110.91 G6K-2F-Y小板跳帽接23，lan2/4组成bypass(E#3 210A#8 354)1559.18 97.45 1523.21 95.20 AXICOM小板跳帽接12，lan1/2组成bypass(E#3 210A#8 354)1805.20 112.82 1806.65 112.92 AXICOM小板跳帽接23，lan1/3组成bypass(E#3 210A#8 354)1758.40 109.90 1769.93 110.62 AXICOM小板跳帽接12，lan2/4组成bypass(E#3 210A#8 354)1546.74 96.67 1497.35 93.58 Bypass功能测试方法35双网口各接一款小板连交换机测试双网口各接一款小板连交换机测试100%100%连续读连续读100%100%连续写连续写IOPSIOPSthroughtoutthroughtoutIOPSIOPSthroughtoutthroughtout未接bypass小板E#3 218A#8 lan11784.52 111.53 1780.94 111.31 未接bypass小板E#3 210A#8 lan21763.25 110.20 1772.74 110.80 G6K-2F-Y小板跳帽接12，lan1/2组成bypass(E#3 218A#8 lan1)1785.81 111.61 1773.78 110.86 AXICOM小板跳帽接12，lan1/2组成bypass(E#3 210A#8 lan2)1763.62 110.23 1771.76 110.73 G6K-2F-Y小板跳帽接23，lan1/3组成bypass(E#3 218A#8 lan1)1783.53 111.47 1780.50 111.28 AXICOM小板跳帽接23，lan1/3组成bypass(E#3 210A#8 lan2)1770.57 110.66 1772.64 110.79 G6K-2F-Y小板跳帽接23，lan2/4组成bypass(E#3 218A#8 lan1)1494.57 93.41 1781.58 111.35 AXICOM小板跳帽接23，lan2/4组成bypass(E#3 210A#8 lan2)1479.19 92.45 1493.99 93.37 Bypass功能测试方法36G6K-2F-Y G6K-2F-Y lan1/lan2 lan1/lan2 100M100M网线网线100%100%连续读连续读100%100%连续写连续写IOPSIOPSthroughtoutthroughtoutIOPSIOPSthroughtoutthroughtout512B207470.86 101.30 87935.83 42.94 1K113162.42 110.51 88082.96 86.02 2k56826.33 110.99 55326.90 108.06 4K28512.46 111.38 28361.29 110.79 8K14271.10 111.49 14239.40 111.25 16K7138.42 111.54 7111.60 111.12 32K3569.49 111.55 3554.27 111.07 64K1783.47 111.47 1775.38 110.96 128K888.40 111.05 892.91 111.61 256K443.35 110.84 443.67 110.92 512K220.95 110.48 222.39 111.20 1M110.44 110.44 108.19 108.19 Bypass功能测试方法37Bypass选用实例分析38 某光口Bypass交换机连接方法光旁路交换机可以配置成主动监控被保护设备或被动接受管理两种工作方式，如下：主动式：可以通过USB接口和网口主动监控被保护设备。当检测到被保护设备的发生电源故障、网络异常时及其他故障时，能够主动切换。如：被保护设备的网口DOWN、UP及USB口是否正常。当检测到网口DOWN时，缺省情况下光旁路交换机切换到Bypass状态。当被保护设备恢复网口UP时，切换到Normal。也可以配置成当检测到网口DOWN时，缺省情况下光旁路交换机切换到Normal状态或者维持在之前的状态不发生改变。被动式：被保护设备主动通过USB接口、网口或者串口定期通过心跳线和光旁路交换机进行通信，两者保持心跳。当被保护设备发生异常时，光旁路交换机的内置watchdog就会超时，引起状态切换。Bypass选用实例分析39当设备在Normal状态时，Net1与Port1相通，Net2与Port2相通（图一）；当设备在Bypass状态时，Net1与Net2相通（图二）。Bypass选用实例分析40说明：当bypass设备连接防火墙一组线出现故障或者是损害的情况下会进行bypass，当防火墙系统故障或者防火墙断电后外置bypass设备则会进入bypass状态。Bypass选用实例分析41 带线路检测功能的Bypass交换机连接方法此连接模式需将WAN交换机内连接Net1与RJ45的接口划为同一VLAN内，并将设备所ping的IP地址设为Bypass交换机下端的IP地址 Bypass选用实例分析42Bypass设备将ping PC的ip地址，如ping通则说明光纤没有受损，处于正常状态，如不通说明光纤受损，切换到bypass状态，bypass状态下数据将不走防火墙，直接从网络交换机连接到交换机，在光纤受损网络交换机无数据发出时，交换机将无数据接收。Bypass选用实例分析4344