Professional Documents
Culture Documents
TippingPoint - High Availability
TippingPoint - High Availability
Questo tipo di HA aziona un failover del device IPS in modo che il traffico non
attraversi più l’Inspection Engine interno. Ogni segmento può essere configurato per
bloccare il traffico o per farlo passare non ispezionato quando in modalità fallback.
Questa condizione può essere innescata manualmente dall’amministrarore in seguito
ad anomalie o in automatico dall’IPS nel caso si verifichino dei fault di sistema e il
monitoring interno ritenga necessario bypassare l’engine per non impattare sul traffico
di rete.
E’ molto importante pianificare bene il tipo di comportamento da applicare in caso di
fallback: block o pass.
Infatti se nel caso di una configurazione semplice in cui ci sia un singolo device IPS
posto in un segmento di rete, la configurazione più opportuna per l’L2FB è la modalità
pass. In questo modo in caso di problemi il device IPS farà passare tutto il traffico
come fosse un cavo passante e i servizi saranno garantiti.
In configurazioni in cui siano presenti dei device ridondatie la rete utilizzi protocolli di
routing o switching per determinare il percorso primario su cui instradare il traffico è
importante studiare bene la modalità di L2FB. In queste situazioni è consigliabile
bloccare il traffico in caso di fail, in questo modo i meccanismi di controllo della rete
rileveranno un’interruzione del traffico sul relativo path e devieranno tutto sul path
secondario, protetto anche esso da un IPS, garantendo sia la continuità dei servizi in
rete sia la sicurezza di tali servizi tramite i controlli effettuati sul secondo percorso.
Nella figura si vede come l’IPS3 entri in fail e il traffico in verde venga dirottato
sull’IPS4 dai protocolli di routing che rilevando il blocco sul link principale deviano il
traffico sul link secondario. Si può ipotizzare di configurare l’IPS sul link secondario in
modo che in caso si verifichi l’L2FB sia sul link pricipale che su quello secondario, il
traffico continui a passare sul secondario permettendo la continuità di servizio.
Zero Power High Availability
La Zero Power High Availability (ZPHA) è fornita da devices esterni compatibili con gli
apparati TippingPoint. Questi apparati esterni servono a garantire una continuità di
servizio tramite hardware bypass in caso si facciano upgrade al TOS, upgrade
hardware o si verifichino black out.
I device sono alimentati tramite connessione USB dall’IPS, in questo modo nelle
situazioni sopra menzionate gli apparati ZPHA bypassano l’IPS e permottono al traffico
di passare garantendo il servizio.