Comutator de bypass pentru prize de rețea Mylinking™ ML-BYPASS-100
Design modular cu 2 porturi de bypass plus 1 monitor, legături 10/40/100GE, max. 640Gbps
Prezentări generale
Comutatorul de bypass pentru rețea Mylinking™ este cercetat și dezvoltat pentru a fi utilizat pentru implementarea flexibilă a diferitelor tipuri de echipamente de securitate în linie, oferind în același timp o fiabilitate ridicată a rețelei.
Prin implementarea funcției Mylinking™ Smart Bypass Switch Tap:
- Utilizatorii pot instala/dezinstala flexibil echipamente/instrumente de securitate și nu vor afecta și întrerupe rețeaua curentă;
- Comutator de bypass Mylinking™ Network Tap cu funcție inteligentă de detectare a stării de funcționare pentru monitorizarea în timp real a stării normale de funcționare a dispozitivelor de securitate inline. Odată ce dispozitivele de securitate inline funcționează în mod excepțional, funcția de protecție va ocoli automat pentru a menține comunicarea normală în rețea;
- Tehnologia selectivă de protecție a traficului poate fi utilizată pentru a implementa echipamente specifice de securitate pentru curățarea traficului, tehnologie de criptare bazată pe echipamentul de audit. Implementează eficient protecția accesului în linie pentru tipul specific de trafic, descărcând presiunea de gestionare a fluxului de către dispozitivul în linie;
- Tehnologia de protecție a traficului echilibrat cu sarcină poate fi utilizată pentru implementarea în cluster a dispozitivelor de securitate seriale inline securizate, pentru a îndeplini cerințele de securitate inline în medii cu lățime de bandă mare.
Comutator de bypass pentru rețea - Caracteristici și tehnologii avansate
Mod de protecție Mylinking™ „SpecFlow” și mod de protecție „FullLink”
Protecție de comutare prin bypass rapid Mylinking™
„LinkSafeSwitch” de la Mylinking™
Strategie dinamică Mylinking™ „WebService” Redirecționare/Problemă
Detectarea inteligentă a mesajelor cardiace Mylinking™
Mesaje Heartbeat Definibile Mylinking™ (Pachete Heartbeat)
Mylinking™ Multi-link Load Balancing
Distribuție inteligentă a traficului Mylinking™
Mylinking™ Echilibrarea dinamică a încărcării
Tehnologie de gestionare la distanță Mylinking™ (HTTP/WEB, TELNET/SSH, caracteristică „EasyConfig/AdvanceConfig”)
Ghid de configurare opțional pentru comutatorul de bypass al prizei de rețea
Modul BYPASSSlot modul port de protecție:
Acest slot poate fi introdus în modulul de port de protecție BYPASS cu viteză/numere de port diferite. Prin înlocuirea diferitelor tipuri de module, acesta poate suporta cerințele de protecție BYPASS pentru mai multe legături 10G/40G/100G.
Modul MONITORSlot modul port;
În acest slot se poate introduce modulul MONITOR cu diferite viteze/porturi. Poate suporta mai multe legături de 10G/40G/100G pentru implementarea dispozitivelor de monitorizare serială inline prin înlocuirea diferitelor module.
Reguli de selecție a modulelor
Pe baza diferitelor linkuri implementate și a cerințelor de implementare a echipamentelor de monitorizare, puteți alege în mod flexibil diferite configurații de module pentru a satisface cerințele mediului dvs. real; vă rugăm să urmați următoarele reguli în timpul selecției modulelor:
1. Componentele șasiului sunt obligatorii și trebuie să le selectați înainte de a selecta orice alte module. În același timp, vă rugăm să alegeți diferite metode de alimentare (AC/DC) în funcție de nevoile dumneavoastră.
2. Întregul dispozitiv suportă până la 2 sloturi pentru module BYPASS și 1 slot pentru module MONITOR; nu puteți selecta mai mult decât numărul de sloturi de configurat. În funcție de combinația dintre numărul de sloturi și modelul modulului, dispozitivul poate suporta până la patru protecții de legătură de 10GE; sau poate suporta până la patru legături de 40GE; sau poate suporta până la o legătură de 100GE.
3. Modelul de modul „BYP-MOD-L1CG” poate fi introdus doar în SLOT1 pentru a funcționa corect.
4. Modulul de tip „BYP-MOD-XXX” poate fi introdus doar în slotul modulului BYPASS; modulul de tip „MON-MOD-XXX” poate fi introdus doar în slotul modulului MONITOR pentru funcționare normală.
| Modelul produsului | Parametrii funcției |
| Șasiu (Gazdă) | |
| ML-BYPASS-M100 | Montare în rack standard 1U de 19 inch; consum maxim de energie 250 W; gazdă modulară pentru protecție BYPASS; 2 sloturi pentru modul BYPASS; 1 slot pentru modul MONITOR; AC și DC opțional; |
| MODUL DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suportă protecție serială 10GE pe 2 căi, interfață 4*10GE, conector LC; transceiver optic încorporat; legătură optică single/multimode opțională, suportă 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suportă protecție serială bidirecțională 40GE, interfață 4*40GE, conector LC; transceiver optic încorporat; legătură optică single/multimode opțională, suportă 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suportă protecție serială pe 1 canal 100GE, interfață 2*100GE, conector LC; transceiver optic încorporat; legătură optică multimodă single opțională, suportă 100GBASE-SR4/LR4; |
| MODUL DE MONITOR | |
| MON-MOD-L16XG | Modul de port de monitorizare 16*10GE SFP+; fără modul transceiver optic; |
| MON-MOD-L8XG | Modul de port de monitorizare 8*10GE SFP+; fără modul de transceiver optic; |
| MON-MOD-L2CG | 2 module de port de monitorizare QSFP28 de 100GE; fără modul de transceiver optic; |
| MON-MOD-L8QXG | 8 module de port de monitorizare QSFP+ 40GE; fără modul de transceiver optic; |
Specificații ale comutatorului de bypass TAP de rețea
| Modalitatea produsului | Comutator bypass de rețea în linie ML-BYPASS-M100 | |
| Tipul de interfață | Interfață MGT | 1 interfață de gestionare adaptivă 10/100/1000BASE-T; Suportă gestionarea HTTP/IP de la distanță |
| Slot modul | 2 sloturi pentru modul BYPASS; 1 slot pentru modul MONITOR; | |
| Linkuri care susțin maximum | Dispozitivul acceptă maximum 4 legături de 10GE sau 4 legături de 40GE sau 1 legătură de 100GE | |
| Monitorizare | Dispozitivul acceptă maximum 16 porturi de monitorizare de 10GE sau 8 porturi de monitorizare de 40GE sau 2 porturi de monitorizare de 100GE; | |
| Funcţie | Capacitate de procesare full duplex | 640 Gbps |
| Bazat pe protecția în cascadă a traficului specific IP/protocol/port cu cinci tupluri | Susținut | |
| Protecție în cascadă bazată pe trafic complet | Susținut | |
| Echilibrarea sarcinii multiple | Susținut | |
| Funcție personalizată de detectare a inimii | Susținut | |
| Suportă independența pachetelor Ethernet | Susținut | |
| COMUTATOR DE BYPASS | Susținut | |
| Comutator BYPASS fără bliț | Susținut | |
| GESTIONAREA CONSOLEI | Susținut | |
| IP/WEB MGT | Susținut | |
| Gestionare SNMP V1/V2C | Susținut | |
| GESTIONARE TELNET/SSH | Susținut | |
| Protocolul SYSLOG | Susținut | |
| Autorizare utilizator | Bazat pe autorizare prin parolă/AAA/TACACS+ | |
| Electric | Tensiune nominală de alimentare | AC-220V/DC-48V【Opțional】 |
| Frecvența nominală de putere | 50Hz | |
| Curent nominal de intrare | AC-3A / DC-10A | |
| Putere nominală | 100W | |
| Mediu | Temperatura de lucru | 0-50℃ |
| Temperatura de depozitare | -20-70℃ | |
| Umiditate de lucru | 10%-95%, Fără condens | |
| Configurarea utilizatorului | Configurarea consolei | Interfață RS232, 115200, 8, N, 1 |
| Interfață MGT în afara benzii | 1 interfață Ethernet 10/100/1000M | |
| Autorizare prin parolă | Susținut | |
| Înălțimea șasiului | Spațiu șasiu (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
Aplicație de comutare bypass TAP de rețea (după cum urmează)
5.1 Riscul echipamentelor de securitate inline (IPS / FW)
Următorul este un mod tipic de implementare IPS (Intrusion Prevention System), FW (Firewall). IPS/FW este implementat ca echipament de rețea în linie (cum ar fi routere, switch-uri etc.) între trafic prin implementarea unor verificări de securitate, în conformitate cu politica de securitate corespunzătoare pentru a determina eliberarea sau blocarea traficului corespunzător, pentru a obține efectul de apărare a securității.
În același timp, putem observa IPS (Sistem de Prevenire a Intruziunilor) / FW (Firewall) ca o implementare inline a echipamentelor, de obicei amplasate în locații cheie ale rețelei întreprinderii pentru a implementa securitatea inline. Fiabilitatea dispozitivelor conectate afectează direct disponibilitatea generală a rețelei întreprinderii. Odată cu supraîncărcarea dispozitivelor de securitate inline, blocarea acestora, actualizările de software, actualizările de politici etc., disponibilitatea întregii rețele a întreprinderii va fi puternic afectată. În acest moment, doar printr-o întrerupere a rețelei sau un jumper de bypass fizic putem restabili rețeaua, dar acest lucru afectează serios fiabilitatea rețelei. IPS (Sistem de Prevenire a Intruziunilor) / FW (Firewall) și alte dispozitive inline, pe de o parte, îmbunătățesc implementarea securității rețelei întreprinderii, pe de altă parte, reduc și fiabilitatea rețelelor întreprinderii, crescând riscul ca rețeaua să nu fie disponibilă.
5.2 Protecția echipamentelor din seria Inline Link
„Bypass Switch” Mylinking™ este implementat în linie între dispozitivele de rețea (routere, switch-uri etc.), iar fluxul de date dintre dispozitivele de rețea nu mai duce direct la IPS (Sistem de Prevenire a Intruziunilor) / FW (Firewall), ci mai degrabă la „Bypass Switch” către IPS/FW. Când IPS/FW se defectează din cauza supraîncărcării, blocării, actualizărilor de software, actualizărilor de politici sau a altor situații, „Bypass Switch” detectează la timp dispozitivele defecte prin funcția inteligentă de detectare a mesajelor heartbeat, ocolind astfel dispozitivul defect fără a întrerupe funcționarea rețelei. Echipamentul de rețea este conectat direct la rețea și protejează rețeaua normală de comunicații. În cazul recuperării în urma unei erori IPS/FW, prin funcția inteligentă de detectare a pachetelor heartbeat, se efectuează verificări la timp ale securității rețelei întreprinderii prin intermediul legăturii originale.
Mylinking™ „Bypass Switch” are o funcție inteligentă puternică de detectare a mesajelor heartbeat. Utilizatorul poate personaliza intervalul de detectare a bătăilor inimii și numărul maxim de reîncercări, prin intermediul unui mesaj heartbeat personalizat pe IPS/FW pentru testarea stării de funcționare, cum ar fi trimiterea mesajului de verificare a bătăilor inimii către portul upstream/downstream al IPS/FW, apoi recepționarea de la portul upstream/downstream al IPS/FW și evaluarea funcționării normale a IPS/FW prin trimiterea și primirea mesajului heartbeat.
5.3 Fluxul politicii „SpecFlow” Protecție în serie cu tracțiune în linie
Când dispozitivul de rețea de securitate trebuie să gestioneze doar traficul specific în cadrul protecției de securitate în serie, prin intermediul funcției de procesare a traficului Mylinking™ „Network Tap Bypass Switch”, prin strategia de filtrare a traficului, traficul „Concerned” al dispozitivului de securitate este trimis înapoi direct către legătura de rețea, iar „secțiunea de trafic implicată” este transmisă către dispozitivul de siguranță în linie pentru a efectua verificări de siguranță. Acest lucru nu numai că va menține aplicarea normală a funcției de detectare a siguranței a dispozitivului de siguranță, dar va reduce și fluxul ineficient al echipamentului de siguranță pentru a gestiona presiunea; în același timp, „Network Tap Bypass Switch” poate detecta starea de funcționare a dispozitivului de siguranță în timp real. Dispozitivul de siguranță funcționează anormal și ocolește direct traficul de date pentru a evita întreruperea serviciului de rețea.
Mylinking™ Inline Traffic Bypass Tap poate identifica traficul pe baza identificatorului antetului de nivel L2-L4, cum ar fi eticheta VLAN, adresa MAC sursă/destinație, adresa IP sursă, tipul de pachet IP, portul protocolului nivelului de transport, eticheta cheie a antetului protocolului și așa mai departe. O varietate de combinații flexibile de condiții de potrivire pot fi definite flexibil pentru a defini tipurile specifice de trafic care prezintă interes pentru un anumit dispozitiv de securitate și pot fi utilizate pe scară largă pentru implementarea de dispozitive speciale de auditare a securității (RDP, SSH, auditarea bazelor de date etc.).
5.4 Protecție serie cu sarcină echilibrată
Comutatorul Mylinking™ „Network Tap Bypass Switch” este implementat în linie între dispozitivele de rețea (routere, switch-uri etc.). Atunci când performanța unui singur IPS/FW nu este suficientă pentru a face față vârfurilor de trafic ale legăturilor de rețea, funcția de echilibrare a încărcării traficului a protectorului, „gruparea” traficului de rețea cu mai multe clustere IPS/FW, poate reduce eficient presiunea de procesare a unui singur IPS/FW, îmbunătățind performanța generală de procesare pentru a satisface lățimea de bandă mare a mediului de implementare.
Mylinking™ „Network Tap Bypass Switch” are o funcție puternică de echilibrare a încărcării, în funcție de eticheta VLAN a cadrului, informațiile MAC, informațiile IP, numărul portului, protocolul și alte informații despre distribuția hash a echilibrării încărcării traficului pentru a asigura integritatea sesiunii fluxului de date primit de fiecare IPS/FW.
5.5 Protecție la tracțiune în flux pentru echipamente multi-serie în linie (schimbarea conexiunii seriale în conexiune paralelă)
În cazul unor legături cheie (cum ar fi prizele de internet, legăturile de schimb de servere), amplasarea se datorează adesea nevoilor de caracteristici de securitate și implementării mai multor echipamente de testare a securității în linie (cum ar fi firewall (FW), echipamente anti-atac DDOS, firewall pentru aplicații web (WAF), sistem de prevenire a intruziunilor (IPS) etc.), mai multe echipamente de detectare a securității fiind conectate simultan în serie pe legătură pentru a crește rezistența la un singur punct de defecțiune, reducând fiabilitatea generală a rețelei. Implementarea online a echipamentelor de securitate menționate mai sus, modernizarea echipamentelor, înlocuirea echipamentelor și alte operațiuni vor duce la întreruperi lungi ale serviciului rețelei și la întreruperi ale proiectelor mai mari, pentru a finaliza implementarea cu succes a unor astfel de proiecte.
Prin implementarea unificată a „Network Tap Bypass Switch”, modul de implementare a mai multor dispozitive de securitate conectate în serie pe aceeași legătură poate fi schimbat de la „modul de concatenare fizică” la „modul de concatenare fizică, concatenare logică”. Legătura dintr-un singur punct de defecțiune îmbunătățește fiabilitatea acesteia, în timp ce „bypass switch”-ul de pe legătură menține fluxul la cerere, obținând același flux cu modul original de procesare sigură.
Mai multe dispozitive de securitate simultan, ca diagrama de implementare în linie:
Diagrama de implementare a comutatorului de bypass TAP pentru rețeaua Mylinking™:
5.6 Pe baza strategiei dinamice de detectare a securității tracțiunii în trafic și a protecției
„Comutator de bypass pentru rețea” Un alt scenariu avansat de aplicație se bazează pe strategia dinamică a aplicațiilor de protecție a detectării și securității tracțiunii în trafic, implementarea fiind prezentată mai jos:
De exemplu, un echipament de testare a securității pentru „protecția și detectarea atacurilor anti-DDoS” utilizează un „Network Tap Bypass Switch” în front-end, apoi un echipament de protecție anti-DDOS, apoi este conectat la „Network Tap Bypass Switch”. În modul obișnuit, „Traction protector” redirecționează traficul la viteză maximă prin cablu, iar fluxul de ieșire este trimis către „dispozitivul de protecție anti-DDOS”. Odată detectat un IP al serverului (sau un segment de rețea IP) după atac, „dispozitivul de protecție anti-DDOS” va genera reguli de potrivire a fluxului de trafic țintă și le va trimite către „Network Tap Bypass Switch” prin interfața de livrare a politicilor dinamice. „Network Tap Bypass Switch” poate actualiza „dinamica de tracțiune a traficului” după ce primește regulile de politică dinamică și „Regulile” pot fi accesate imediat de „regula” pentru a „trage” traficul serverului de atac către echipamentul de protecție și detectarea atacurilor anti-DDoS pentru procesare, pentru a fi eficient după atac și apoi reinjectat în rețea.
Schema de aplicație bazată pe „Network Tap Bypass Switch” este mai ușor de implementat decât injecția tradițională de rute BGP sau alte scheme de tracțiune a traficului, iar mediul este mai puțin dependent de rețea, iar fiabilitatea este mai mare.
„Comutatorul de ocolire a porțiunilor de rețea” are următoarele caracteristici pentru a susține protecția dinamică prin detectarea securității politicilor:
1, „Comutator de bypass Network Tap” pentru a oferi în afara regulilor, bazat pe interfața WEBSERVICE, integrare ușoară cu dispozitive de securitate terțe.
2, „Comutator de bypass BNetwork Tap”, bazat pe cipul ASIC pur hardware, care redirecționează pachete cu viteză de cablu de până la 10 Gbps fără a bloca redirecționarea comutatorului și „bibliotecă de reguli dinamice de tracțiune a traficului”, indiferent de număr.
3. Funcția profesională BYPASS încorporată „Network Tap Bypass Switch” permite ocolirea imediată a legăturii seriale originale chiar și în cazul unei defecțiuni a dispozitivului de protecție, fără a afecta legătura originală a comunicării normale.
