Comutator de bypass pentru prize de rețea Mylinking™ ML-BYPASS-200
Design modular cu 2 porturi de bypass plus 1 monitor, legături 10/40/100GE, max. 640Gbps
1-Prezentări generale
Prin implementarea comutatorului inteligent de bypass Mylinking™:
- Utilizatorii pot instala/dezinstala flexibil echipamente de securitate, fără a afecta rețeaua curentă și a întrerupe procesul;
- Comutator de bypass Mylinking™ Network Tap cu funcție inteligentă de detectare a stării de funcționare pentru monitorizarea în timp real a stării normale de funcționare a dispozitivului de securitate serial. Odată ce dispozitivul de securitate serial prezintă o excepție de la funcționare, protecția se va ocoli automat pentru a menține comunicarea normală în rețea;
- Tehnologia selectivă de protecție a traficului poate fi utilizată pentru a implementa echipamente specifice de securitate pentru curățarea traficului, tehnologie de criptare bazată pe echipamentul de audit. Implementează eficient protecția accesului serial pentru tipul specific de trafic, descărcând presiunea de gestionare a fluxului dispozitivului serie;
- Tehnologia de protecție a traficului cu sarcină echilibrată poate fi utilizată pentru implementarea în cluster a dispozitivelor seriale securizate pentru a satisface nevoia de securitate serială în medii cu lățime de bandă mare.
Odată cu dezvoltarea rapidă a internetului, amenințarea la adresa securității informațiilor din rețea devine din ce în ce mai serioasă, astfel încât o varietate de aplicații de protecție a securității informațiilor sunt utilizate din ce în ce mai mult pe scară largă. Fie că este vorba de echipamente tradiționale de control al accesului (firewall) sau de un nou tip de mijloace de protecție mai avansate, cum ar fi sistemul de prevenire a intruziunilor (IPS), platforma unificată de gestionare a amenințărilor (UTM), sistemul de atac anti-denial service (Anti-DDoS), gateway-ul anti-span, sistemul unificat de identificare și control al traficului DPI și multe alte dispozitive de securitate sunt implementate în serie în nodurile cheie ale rețelei, implementând politica de securitate a datelor corespunzătoare pentru a identifica și gestiona traficul legal/ilegal. În același timp, însă, rețeaua de calculatoare va genera întârzieri mari în rețea sau chiar întreruperi ale rețelei în caz de failover, întreținere, modernizare, înlocuire a echipamentelor etc. într-un mediu de aplicații de rețea de producție extrem de fiabil, utilizatorii nu pot suporta acest lucru.
Comutator de bypass cu 2 prize de rețea - Caracteristici și tehnologii avansate
Mod de protecție Mylinking™ „SpecFlow” și tehnologie mod de protecție „FullLink”
Tehnologie de protecție prin comutare prin bypass rapid Mylinking™
Tehnologia Mylinking™ „LinkSafeSwitch”
Tehnologie de redirecționare/rezolvare a problemelor Mylinking™ „WebService” pentru strategia dinamică
Tehnologie inteligentă de detectare a mesajelor cardiace Mylinking™
Tehnologie de mesaje cardiace definibile Mylinking™
Tehnologie de echilibrare a încărcării multi-link Mylinking™
Tehnologie inteligentă de distribuție a traficului Mylinking™
Tehnologie de echilibrare dinamică a încărcării Mylinking™
Tehnologie de gestionare la distanță Mylinking™ (HTTP/WEB, TELNET/SSH, caracteristică „EasyConfig/AdvanceConfig”)
Ghid de configurare a comutatorului de bypass cu 3 prize de rețea
BYPASSSlot modul port de protecție:
Acest slot poate fi introdus în modulul de port de protecție BYPASS cu viteză/numere de port diferite. Prin înlocuirea diferitelor tipuri de module, poate suporta protecția BYPASS a mai multor legături 10G/40G/100G.
MONITORSlot modul port;
Acest slot poate fi introdus în modulul de port MONITOR cu diferite viteze/porturi. Poate suporta implementarea mai multor dispozitive de monitorizare serială online 10G/40G/100G link prin înlocuirea diferitelor modele.
Reguli de selecție a modulelor
Pe baza diferitelor linkuri implementate și a cerințelor de implementare a echipamentelor de monitorizare, puteți alege în mod flexibil diferite configurații de module pentru a satisface nevoile mediului dvs. real; vă rugăm să urmați următoarele reguli atunci când selectați:
1. Componentele șasiului sunt obligatorii și trebuie să le selectați înainte de a selecta orice alte module. În același timp, vă rugăm să alegeți diferite metode de alimentare (AC/DC) în funcție de nevoile dumneavoastră.
2. Întregul aparat suportă până la 2 sloturi pentru module BYPASS și 1 slot pentru module MONITOR; nu puteți selecta mai mult decât numărul de sloturi de configurat. În funcție de combinația dintre numărul de sloturi și modelul modulului, dispozitivul poate suporta până la patru protecții de legătură de 10GE; sau poate suporta până la patru legături de 40GE; sau poate suporta până la o legătură de 100GE.
3. Modelul de modul „BYP-MOD-L1CG” poate fi introdus doar în SLOT1 pentru a funcționa corect.
4. Modulul de tip „BYP-MOD-XXX” poate fi introdus doar în slotul modulului BYPASS; modulul de tip „MON-MOD-XXX” poate fi introdus doar în slotul modulului MONITOR pentru funcționare normală.
| Modelul produsului | Parametrii funcției |
| Șasiu (Gazdă) | |
| ML-BYPASS-M200 | Montare în rack standard 1U de 19 inch; consum maxim de energie 250 W; gazdă modulară pentru protecție BYPASS; 2 sloturi pentru modul BYPASS; 1 slot pentru modul MONITOR; AC și DC opțional; |
| MODUL DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suportă protecție serială 10GE pe 2 căi, interfață 4*10GE, conector LC; transceiver optic încorporat; legătură optică single/multimode opțională, suportă 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suportă protecție serială bidirecțională 40GE, interfață 4*40GE, conector LC; transceiver optic încorporat; legătură optică single/multimode opțională, suportă 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suportă protecție serială pe 1 canal 100GE, interfață 2*100GE, conector LC; transceiver optic încorporat; legătură optică multimodă single opțională, suportă 100GBASE-SR4/LR4; |
| MODUL DE MONITOR | |
| MON-MOD-L16XG | Modul de port de monitorizare 16*10GE SFP+; fără modul transceiver optic; |
| MON-MOD-L8XG | Modul de port de monitorizare 8*10GE SFP+; fără modul de transceiver optic; |
| MON-MOD-L2CG | 2 module de port de monitorizare QSFP28 de 100GE; fără modul de transceiver optic; |
| MON-MOD-L8QXG | 8 module de port de monitorizare QSFP+ 40GE; fără modul de transceiver optic; |
Specificații ale comutatorului de bypass TAP 4-Network
| Modalitatea produsului | Comutator de bypass serial ML-BYPASS-M200 | |
| Tipul de interfață | Interfață MGT | 1 interfață de gestionare adaptivă 10/100/1000BASE-T; Suportă gestionarea HTTP/IP de la distanță |
| Slot modul | 2 sloturi pentru modul BYPASS; 1 slot pentru modul MONITOR; | |
| Linkuri care susțin maximum | Dispozitivul acceptă maximum 4 legături de 10GE sau 4 legături de 40GE sau 1 legătură de 100GE | |
| Monitor | Dispozitivul acceptă maximum 16 porturi de monitorizare de 10GE sau 8 porturi de monitorizare de 40GE sau 2 porturi de monitorizare de 100GE; | |
| Funcţie | Capacitate de procesare full duplex | 640 Gbps |
| Bazat pe protecția în cascadă a traficului specific IP/protocol/port cu cinci tupluri | Sprijin | |
| Protecție în cascadă bazată pe trafic complet | Sprijin | |
| Echilibrarea sarcinii multiple | Sprijin | |
| Funcție personalizată de detectare a inimii | Sprijin | |
| Suportă independența pachetelor Ethernet | Sprijin | |
| COMUTATOR DE BYPASS | Sprijin | |
| Comutator BYPASS fără bliț | Sprijin | |
| GESTIONAREA CONSOLEI | Sprijin | |
| IP/WEB MGT | Sprijin | |
| Gestionare SNMP V1/V2C | Sprijin | |
| GESTIONARE TELNET/SSH | Sprijin | |
| Protocolul SYSLOG | Sprijin | |
| Autorizare utilizator | Bazat pe autorizare prin parolă/AAA/TACACS+ | |
| Electric | Tensiune nominală de alimentare | AC-220V/DC-48V【Opțional】 |
| Frecvența nominală de putere | 50Hz | |
| Curent nominal de intrare | AC-3A / DC-10A | |
| Putere nominală | 100W | |
| Mediu | Temperatura de lucru | 0-50℃ |
| Temperatura de depozitare | -20-70℃ | |
| Umiditate de lucru | 10%-95%, Fără condens | |
| Configurarea utilizatorului | Configurarea consolei | Interfață RS232, 115200, 8, N, 1 |
| Interfață MGT în afara benzii | 1 interfață Ethernet 10/100/1000M | |
| Autorizare prin parolă | Sprijin | |
| Înălțimea șasiului | Spațiu șasiu (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
Aplicație comutator bypass 5-Network TAP (după cum urmează)
Următorul este un mod tipic de implementare IPS (Intrusion Prevention System), FW (Firewall). IPS/FW este implementat în serie cu echipamentele de rețea (routere, switch-uri etc.) între trafic prin implementarea unor verificări de securitate, în conformitate cu politica de securitate corespunzătoare pentru a determina eliberarea sau blocarea traficului corespunzător, pentru a obține efectul de apărare a securității.
În același timp, putem observa IPS/FW ca o implementare serială a echipamentelor, de obicei implementate în locații cheie ale rețelei întreprinderii pentru a implementa securitatea serială. Fiabilitatea dispozitivelor conectate afectează direct disponibilitatea generală a rețelei întreprinderii. Odată cu supraîncărcarea dispozitivelor seriale, blocarea acestora, actualizările de software, politicile etc., disponibilitatea întregii rețele a întreprinderii va fi puternic afectată. În acest moment, doar printr-o întrerupere a rețelei sau un jumper de bypass fizic se poate restabili rețeaua, afectând serios fiabilitatea acesteia. IPS/FW și alte dispozitive seriale, pe de o parte, îmbunătățesc implementarea securității rețelei întreprinderii, iar pe de altă parte, reduc și fiabilitatea rețelelor întreprinderii, crescând riscul ca rețeaua să nu fie disponibilă.
5.2 Protecția echipamentelor din seria Inline Link
„Bypass Switch” Mylinking™ este implementat în serie între dispozitivele de rețea (routere, switch-uri etc.), iar fluxul de date dintre dispozitivele de rețea nu mai este direct la IPS/FW, ci „Bypass Switch” trece la IPS/FW. Când IPS/FW se defectează din cauza supraîncărcării, blocării, actualizărilor de software, actualizărilor de politici sau a altor condiții, „Bypass Switch” detectează la timp dispozitivele defecte prin funcția inteligentă de detectare a mesajelor heartbeat, ocolind astfel dispozitivul defect fără a întrerupe funcționarea rețelei. Echipamentul de rețea este conectat direct rapid pentru a proteja rețeaua normală de comunicații. În cazul recuperării în urma unei erori IPS/FW, prin funcția inteligentă de detectare a pachetelor heartbeat, se efectuează verificări de securitate a rețelei întreprinderii prin intermediul legăturii originale.
Mylinking™ „Bypass Switch” are o funcție inteligentă puternică de detectare a mesajelor heartbeat. Utilizatorul poate personaliza intervalul heartbeat și numărul maxim de reîncercări, prin intermediul unui mesaj heartbeat personalizat pe IPS/FW pentru testarea stării de funcționare, cum ar fi trimiterea mesajului de verificare a heartbeat către portul upstream/downstream al IPS/FW, apoi recepționarea de la portul upstream/downstream al IPS/FW și evaluarea dacă IPS/FW funcționează normal prin trimiterea și recepționarea mesajului heartbeat.
5.3 Fluxul politicii „SpecFlow” Protecție în serie cu tracțiune în linie
Când dispozitivul de rețea de securitate trebuie să gestioneze doar traficul specific în cadrul protecției de securitate în serie, prin intermediul funcției de procesare a traficului Mylinking™ „Bypass Switch”, traficul „Concerned” al dispozitivului de securitate este trimis înapoi direct către legătura de rețea prin intermediul strategiei de filtrare a traficului, iar „secțiunea de trafic implicată” este transmisă către dispozitivul de siguranță în linie pentru a efectua verificări de siguranță. Acest lucru nu numai că va menține aplicarea normală a funcției de detectare a siguranței dispozitivului de siguranță, dar va reduce și fluxul ineficient al echipamentului de siguranță pentru a gestiona presiunea; în același timp, „Bypass Switch” poate detecta starea de funcționare a dispozitivului de siguranță în timp real. Dispozitivul de siguranță funcționează anormal și ocolește direct traficul de date pentru a evita întreruperea serviciului de rețea.
Mylinking™ Traffic Bypass Protector poate identifica traficul pe baza identificatorului antetului de nivel L2-L4, cum ar fi eticheta VLAN, adresa MAC sursă/destinație, adresa IP sursă, tipul de pachet IP, portul protocolului nivelului de transport, eticheta cheie a antetului de protocol și așa mai departe. O varietate de combinații flexibile de condiții de potrivire pot fi definite flexibil pentru a defini tipurile specifice de trafic care prezintă interes pentru un anumit dispozitiv de securitate și pot fi utilizate pe scară largă pentru implementarea de dispozitive speciale de auditare a securității (RDP, SSH, auditarea bazelor de date etc.).
5.4 Protecție serie cu sarcină echilibrată
„Comutatorul de bypass” Mylinking™ este implementat în serie între dispozitive de rețea (routere, switch-uri etc.). Atunci când performanța unui singur IPS/FW nu este suficientă pentru a face față vârfurilor de trafic ale legăturilor de rețea, funcția de echilibrare a încărcării traficului a protectorului, „gruparea” traficului de legături de rețea de procesare în cluster IPS/FW multiple, poate reduce eficient presiunea de procesare a unui singur IPS/FW, îmbunătățind performanța generală de procesare pentru a satisface lățimea de bandă mare a mediului de implementare.
Mylinking™ „Bypass Switch” are o funcție puternică de echilibrare a încărcării, care distribuie traficul prin echilibrarea încărcării hash în funcție de eticheta VLAN a cadrului, informațiile MAC, informațiile IP, numărul portului, protocolul și alte informații pentru a asigura integritatea sesiunii fluxului de date primit de fiecare IPS/FW.
5.5 Protecție la tracțiune în flux pentru echipamente multi-serie în linie (schimbarea conexiunii seriale în conexiune paralelă)
În cazul unor legături cheie (cum ar fi prizele de internet, legăturile de schimb de servere), amplasarea se datorează adesea nevoilor de caracteristici de securitate și implementării mai multor echipamente de testare a securității în linie (cum ar fi firewall, echipamente anti-atac DDOS, firewall pentru aplicații WEB, echipamente de prevenire a intruziunilor etc.), conectând simultan mai multe echipamente de detectare a securității în serie pe legătură pentru a crește rezistența la un singur punct de defecțiune, reducând fiabilitatea generală a rețelei. Iar în cadrul implementării online a echipamentelor de securitate menționate mai sus, modernizările echipamentelor, înlocuirea echipamentelor și alte operațiuni, vor cauza întreruperi lungi ale serviciului rețelei și întreruperi ale proiectelor mai mari, pentru a finaliza implementarea cu succes a unor astfel de proiecte.
Prin implementarea unificată a „comutatorului de bypass”, modul de implementare a mai multor dispozitive de securitate conectate în serie pe aceeași legătură poate fi schimbat de la „modul de concatenare fizică” la „modul de concatenare fizică, concatenare logică”. Legătura dintr-un singur punct de defecțiune îmbunătățește fiabilitatea acesteia, în timp ce „comutatorul de bypass” de pe legătură activează fluxul de tracțiune la cerere, pentru a obține același flux cu modul original de procesare sigură.
Diagrama de implementare în serie a mai multor dispozitive de securitate simultan:
Diagrama de implementare a comutatorului de bypass TAP pentru rețeaua Mylinking™:
5.6 Pe baza strategiei dinamice de detectare a securității tracțiunii în trafic și a protecției
„Comutator de ocolire” Un alt scenariu avansat de aplicație se bazează pe strategia dinamică a aplicațiilor de protecție a securității tracțiunii în trafic, implementarea fiind așa cum se arată mai jos:
De exemplu, un echipament de testare a securității pentru „protecție și detectare a atacurilor anti-DDoS” utilizează un „Bypass Switch” în front-end, apoi un echipament de protecție anti-DDOS este conectat la „Bypass Switch”. În modul obișnuit, „Traction Protector” transmite traficul la viteză maximă prin cablu, iar fluxul de ieșire este transmis către „Dispozitivul de protecție anti-DDOS”. Odată detectat un IP al serverului (sau un segment de rețea IP) după atac, „Dispozitivul de protecție anti-DDOS” va genera reguli de potrivire a fluxului de trafic țintă și le va trimite către „Bypass Switch” prin interfața de livrare a politicilor dinamice. „Bypass Switch” poate actualiza „Dynamic Traction Traffic Pool” după ce primește regulile de politică dinamică și poate imediat „Regulile” ating „Trafficul Server” către echipamentul de protecție și detectare a atacurilor anti-DDoS pentru procesare, pentru a fi eficient după atac și apoi reinjectat în rețea.
Schema de aplicație bazată pe „Bypass Switch” este mai ușor de implementat decât injecția tradițională de rută BGP sau alte scheme de tracțiune a traficului, iar mediul este mai puțin dependent de rețea, iar fiabilitatea este mai mare.
„Comutatorul de ocolire” are următoarele caracteristici pentru a susține protecția dinamică prin detectarea securității prin politici:
1, „Comutator de bypass” pentru a oferi în afara regulilor bazate pe interfața WEBSERVICE, integrare ușoară cu dispozitive de securitate terțe.
2, „Comutator de bypass” bazat pe cipul ASIC pur hardware care redirecționează pachete cu viteză de cablu de până la 10 Gbps fără a bloca redirecționarea comutatorului și „bibliotecă de reguli dinamice de tracțiune a traficului” indiferent de număr.
3. Funcția profesională BYPASS încorporată „Comutator de bypass”, chiar dacă protectorul în sine se defectează, poate ocoli imediat legătura serială originală, fără a afecta legătura originală a comunicării normale.
