Interruptor de derivación de tomas de rede Mylinking™ ML-BYPASS-100
Deseño modular de 2 bypass máis 1 monitor, enlaces de 10/40/100 GE, máximo 640 Gbps
Visión xeral
O interruptor de derivación de tomas de rede Mylinking™ foi investigado e desenvolvido para ser utilizado para a implementación flexible de varios tipos de equipos de seguridade en liña, proporcionando ao mesmo tempo unha alta fiabilidade da rede.
Ao despregar o interruptor de derivación intelixente Mylinking™:
- Os usuarios poden instalar/desinstalar equipos/ferramentas de seguridade de forma flexible e non afectarán nin interromperán a rede actual;
- Interruptor de derivación de toma de rede Mylinking™ con función intelixente de detección de estado para monitorización en tempo real do estado de funcionamento normal dos dispositivos de seguridade en liña. Unha vez que os dispositivos de seguridade en liña funcionan de forma excepcional, a función de protección omitirase automaticamente para manter a comunicación de rede normal;
- A tecnoloxía de protección selectiva do tráfico pódese empregar para despregar equipos de seguridade de limpeza do tráfico específicos, tecnoloxía de cifrado baseada no equipo de auditoría. Levar a cabo eficazmente a protección de acceso en liña para o tipo de tráfico específico, descargando a presión de manexo do fluxo do dispositivo en liña;
- A tecnoloxía de protección do tráfico con carga equilibrada pódese empregar para a implementación en clúster de dispositivos de seguridade en liña en serie seguros para cumprir coa seguridade en liña en contornas de ancho de banda elevado.
Funcións e tecnoloxías avanzadas do interruptor de derivación de tomas de rede
Modo de protección Mylinking™ “SpecFlow” e modo de protección “FullLink”
Protección de conmutación de derivación rápida Mylinking™
Mylinking™ “LinkSafeSwitch”
Reenvío/problema de estratexia dinámica "WebService" de Mylinking™
Detección intelixente de mensaxes de latexos do corazón Mylinking™
Mensaxes de latidos definibles de Mylinking™ (paquetes de latidos)
Balanceo de carga multiligazón Mylinking™
Distribución intelixente do tráfico Mylinking™
Balanceo de carga dinámico de Mylinking™
Tecnoloxía de xestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guía de configuración opcional do interruptor de derivación de tomas de rede
Módulo de derivaciónRanura do módulo de porto de protección:
Esta ranura pódese inserir no módulo de porto de protección BYPASS con diferente velocidade/número de porto. Ao substituír diferentes tipos de módulos, pode admitir a protección BYPASS de múltiples ligazóns de 10G/40G/100G.
Módulo MONITORRanura para módulo de porto;
Nesta ranura pódese inserir o módulo MONITOR con diferentes velocidades/portos. Pode admitir varias ligazóns de 10G/40G/100G para a implementación de dispositivos de monitorización en serie en liña substituíndo diferentes módulos.
Regras de selección de módulos
En función das diferentes ligazóns despregadas e dos requisitos de despregamento do equipo de monitorización, podes escoller de forma flexible diferentes configuracións de módulos para satisfacer as túas solicitudes de entorno real; segue as seguintes regras durante a selección do módulo:
1. Os compoñentes do chasis son obrigatorios e debes seleccionalos antes de seleccionar calquera outro módulo. Ao mesmo tempo, escolle diferentes métodos de alimentación (CA/CC) segundo as túas necesidades.
2. O dispositivo completo admite ata 2 ranuras para módulos BYPASS e 1 ranura para módulos MONITOR; non se pode seleccionar máis ranuras que as que se configuran. En función da combinación do número de ranuras e do modelo do módulo, o dispositivo pode admitir ata catro proteccións de enlace de 10 GE; ou pode admitir ata catro enlaces de 40 GE; ou pode admitir ata un enlace de 100 GE.
3. O modelo de módulo "BYP-MOD-L1CG" só se pode inserir en SLOT1 para funcionar correctamente.
4. O módulo tipo "BYP-MOD-XXX" só se pode inserir na ranura do módulo BYPASS; o módulo tipo "MON-MOD-XXX" só se pode inserir na ranura do módulo MONITOR para o funcionamento normal.
| Modelo de produto | Parámetros de función |
| Chasis (Anfitrión) | |
| ML-BYPASS-M100 | Montaxe en rack estándar de 19 polgadas de 1U; consumo máximo de enerxía de 250 W; host de protector BYPASS modular; 2 ranuras para módulo BYPASS; 1 ranura para módulo MONITOR; CA e CC opcionais; |
| MÓDULO DE DERIVACIÓN | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serie de enlace 10GE bidireccional, interface 4*10GE, conector LC; transceptor óptico integrado; enlace óptico monomodo/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serie de enlace bidireccional de 40GE, interface de 4*40GE, conector LC; transceptor óptico integrado; enlace óptico monomodo/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección serie de enlace 100GE de 1 canal, interface 2*100GE, conector LC; transceptor óptico integrado; enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITOR | |
| MON-MOD-L16XG | Módulo de porto de monitorización SFP+ de 16*10GE; sen módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porto de monitorización SFP+ de 8*10GE; sen módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porto de monitorización QSFP28 de 2*100GE; sen módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de porto de monitorización QSFP+ de 8* 40GE; sen módulo transceptor óptico; |
Especificacións do interruptor de derivación TAP de rede
| Modalidade do produto | Interruptor de derivación de toma de rede en liña ML-BYPASS-M100 | |
| Tipo de interface | Interface de xestión | 1 interface de xestión adaptativa 10/100/1000BASE-T; Admite a xestión remota HTTP/IP |
| Ranura do módulo | 2 ranuras para módulo BYPASS; 1 ranura para módulo MONITOR; | |
| Ligazóns que admiten o máximo | O dispositivo admite un máximo de 4 ligazóns de 10 GE ou 4 ligazóns de 40 GE ou 1 ligazón de 100 GE | |
| Monitorización | O dispositivo admite un máximo de 16 portos de monitorización de 10 GE ou 8 portos de monitorización de 40 GE ou 2 portos de monitorización de 100 GE; | |
| Función | Capacidade de procesamento full dúplex | 640 Gbps |
| Baseado na protección en cascada de tráfico específica de cinco tuplas de IP/protocolo/porto | Compatible | |
| Protección en cascada baseada no tráfico completo | Compatible | |
| Balanceo de carga múltiple | Compatible | |
| Función de detección de latidos cardíacos personalizada | Compatible | |
| Compatibilidade cos paquetes Ethernet | Compatible | |
| INTERRUPTOR DE DERIVACIÓN | Compatible | |
| Interruptor de derivación sen flash | Compatible | |
| XESTIÓN DA CONSOLA | Compatible | |
| Xestión de IP/WEB | Compatible | |
| Xestión SNMP V1/V2C | Compatible | |
| Xestión de TELNET/SSH | Compatible | |
| Protocolo SYSLOG | Compatible | |
| Autorización do usuario | Baseado na autorización por contrasinal/AAA/TACACS+ | |
| Eléctrico | Tensión de alimentación nominal | CA-220 V/CC-48 V【Opcional】 |
| Frecuencia nominal de potencia | 50 Hz | |
| corrente de entrada nominal | CA-3A / CC-10A | |
| Potencia nominal | 100 W | |
| Medio ambiente | Temperatura de traballo | 0-50℃ |
| Temperatura de almacenamento | -20-70 ℃ | |
| Humidade de traballo | 10%-95%, sen condensación | |
| Configuración do usuario | Configuración da consola | Interface RS232, 115200, 8, N, 1 |
| Interface de xestión fóra de banda | Interface Ethernet 1*10/100/1000M | |
| Autorización por contrasinal | Compatible | |
| Altura do chasis | Espazo do chasis (U) | 1U 19 polgadas, 485 mm * 44,5 mm * 350 mm |
Aplicación do interruptor de derivación TAP de rede (como se indica a continuación)
5.1 O risco dos equipos de seguridade en liña (IPS/FW)
O seguinte é un modo de despregamento típico de IPS (Sistema de prevención de intrusións) e FW (cortafogos). IPS/FW desprega o tráfico entre equipos de rede en liña (como enrutadores, conmutadores, etc.) mediante a implementación de comprobacións de seguridade, de acordo coa política de seguridade correspondente para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
Ao mesmo tempo, podemos observar o IPS (Sistema de prevención de intrusións) / FW (Cortafogos) como un despregamento en liña do equipo, normalmente despregado en localizacións clave da rede empresarial para implementar seguridade en liña. A fiabilidade dos dispositivos conectados afecta directamente á dispoñibilidade xeral da rede empresarial. Unha vez que os dispositivos de seguridade en liña se sobrecargan, fallan, actualizan o software, actualizan as políticas, etc., a dispoñibilidade de toda a rede empresarial verase gravemente afectada. Neste punto, só mediante un corte de rede ou un jumper de derivación físico podemos restaurar a rede, pero isto afecta seriamente á fiabilidade da rede. O IPS (Sistema de prevención de intrusións) / FW (Cortafogos) e outros dispositivos en liña, por unha banda, melloran o despregamento da seguridade da rede empresarial e, por outra banda, tamén reducen a fiabilidade das redes empresariais, aumentando o risco de que a rede non estea dispoñible.
5.2 Protección de equipos da serie Inline Link
O "Bypass Switch" de Mylinking™ desprégase en liña entre dispositivos de rede (routers, switches, etc.) e o fluxo de datos entre os dispositivos de rede xa non leva directamente a IPS (Sistema de Prevención de Intrusións)/FW (Cortafogos), senón que o "Bypass Switch" pasa a IPS/FW. Cando o IPS/FW falla debido a sobrecargas, fallos, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o "Bypass Switch" realiza un descubrimento oportuno a través da función intelixente de detección de mensaxes de latexos cardíacos, o que permite o acceso inesperado ao dispositivo defectuoso sen interromper as premisas da rede. O equipo de rede conéctase rapidamente directamente para protexer a rede de comunicación normal. Cando se recupera un fallo de IPS/FW, tamén se realiza a detección oportuna a través da función intelixente de detección de paquetes de latexos cardíacos para restaurar a seguridade da rede empresarial mediante comprobacións de seguridade da ligazón orixinal.
O "Bypass Switch" de Mylinking™ ten unha potente función intelixente de detección de mensaxes de latexos. O usuario pode personalizar o intervalo de latexos e o número máximo de intentos mediante unha mensaxe de latexos personalizada no IPS/FW para probas de estado, como enviar a mensaxe de comprobación do latexo ao porto augas arriba/abaixo do IPS/FW e, a continuación, recibila do porto augas arriba/abaixo do IPS/FW para avaliar se o IPS/FW funciona normalmente enviando e recibindo a mensaxe de latexos.
5.3 Fluxo de políticas “SpecFlow” Protección en serie de tracción en liña
Cando o dispositivo de rede de seguridade só precisa xestionar o tráfico específico na protección de seguridade en serie, a través da función de procesamento de tráfico "Network Tap Bypass Switch" de Mylinking™, a través da estratexia de filtrado de tráfico para conectar o dispositivo de seguridade, o tráfico "Concerned" envíase de volta directamente á ligazón de rede, e a "sección de tráfico concerned" é atraída ao dispositivo de seguridade en liña para realizar comprobacións de seguridade. Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión; ao mesmo tempo, o "Network Tap Bypass Switch" pode detectar o estado de funcionamento do dispositivo de seguridade en tempo real. O dispositivo de seguridade funciona de forma anormal, evitando o tráfico de datos directamente para evitar a interrupción do servizo de rede.
O Mylinking™ Inline Traffic Bypass Tap pode identificar o tráfico baseándose no identificador da cabeceira da capa L2-L4, como a etiqueta VLAN, o enderezo MAC de orixe/destino, o enderezo IP de orixe, o tipo de paquete IP, o porto do protocolo da capa de transporte, a etiqueta clave da cabeceira do protocolo, etc. Pódese definir de forma flexible unha variedade de combinacións flexibles de condicións de coincidencia para definir os tipos de tráfico específicos que son de interese para un dispositivo de seguridade particular e poden utilizarse amplamente para o despregamento de dispositivos especiais de auditoría de seguridade (RDP, SSH, auditoría de bases de datos, etc.).
5.4 Protección en serie con carga balanceada
O Mylinking™ "Network Tap Bypass Switch" desprégase en liña entre dispositivos de rede (routers, switches, etc.). Cando o rendemento de procesamento dun só IPS/FW non é suficiente para facer fronte ao tráfico máximo de enlaces de rede, a función de equilibrio da carga de tráfico do protector, a "agrupación" do tráfico de enlaces de rede de procesamento de varios clústeres IPS/FW, pode reducir eficazmente a presión de procesamento dun só IPS/FW e mellorar o rendemento xeral do procesamento para cumprir coa alta largura de banda do ambiente de despregamento.
O "Network Tap Bypass Switch" de Mylinking™ ten unha potente función de balanceo de carga, que distribuye o tráfico mediante o balanceo de carga hash segundo a etiqueta VLAN da trama, a información MAC, a información IP, o número de porto, o protocolo e outra información para garantir a integridade da sesión do fluxo de datos recibido por cada IPS/FW.
5.5 Protección contra a tracción do fluxo de equipos en liña multiserie (cambiar a conexión en serie a conexión en paralelo)
Nalgúns enlaces clave (como puntos de conexión a Internet, enlaces de intercambio de áreas de servidores), a localización adoita deberse ás necesidades de funcións de seguridade e ao despregamento de varios equipos de probas de seguridade en liña (como cortafuegos (FW), equipos antiataques DDOS, cortafuegos de aplicacións web (WAF), sistemas de prevención de intrusións (IPS), etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a conexión dun único punto de fallo, reducindo a fiabilidade xeral da rede. E no despregamento en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán unha interrupción do servizo da rede durante un longo período de tempo e un corte de proxectos máis grandes para completar a implementación exitosa destes proxectos.
Ao despregar o "Interruptor de derivación de toma de rede" dun xeito unificado, o modo de despregamento de varios dispositivos de seguridade conectados en serie na mesma ligazón pode cambiarse de "modo de concatenación física" a "concatenación física, modo de concatenación lóxica". A ligazón na ligazón dun único punto de fallo mellora a fiabilidade da ligazón, mentres que o "interruptor de derivación" no fluxo de ligazón baixo demanda de tracción, para conseguir o mesmo fluxo co modo orixinal de efecto de procesamento seguro.
Máis dun dispositivo de seguridade ao mesmo tempo como diagrama de despregamento en liña:
Diagrama de despregamento do conmutador de derivación TAP de rede Mylinking™:
5.6 Baseado na estratexia dinámica de protección da detección da seguridade da tracción do tráfico
"Interruptor de derivación de tomas de rede". Outro escenario de aplicación avanzada baséase na estratexia dinámica das aplicacións de protección por detección de seguridade de tracción do tráfico, despregando o método que se mostra a continuación:
Tomemos como exemplo o equipo de probas de seguridade "protección e detección de ataques anti-DDoS", mediante o despregamento frontal do "Network Tap Bypass Switch" e, a continuación, o equipo de protección anti-DDOS e, a continuación, conectado ao "Network Tap Bypass Switch", no habitual "Protector de tracción" ata a cantidade total de tráfico a velocidade de cable, enviando ao mesmo tempo a saída do espello de fluxo ao "Dispositivo de protección contra ataques anti-DDOS". Unha vez detectado un enderezo IP do servidor (ou segmento de rede IP) despois do ataque, o "Dispositivo de protección contra ataques anti-DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e envialas ao "Network Tap Bypass Switch" a través da interface de entrega de políticas dinámicas. O "Network Tap Bypass Switch" pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica "Agrupación de regras" e inmediatamente "a regra alcanza o tráfico do servidor de ataque "tracción ao equipo de protección e detección de ataques anti-DDoS" para o seu procesamento, para que sexa efectivo despois do fluxo de ataque e logo se volva inxectar na rede.
O esquema de aplicación baseado no "Network Tap Bypass Switch" é máis doado de implementar que a inxección de rutas BGP tradicional ou outros esquemas de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.
O "Interruptor de derivación de tomas de rede" ten as seguintes características para soportar a protección de detección de seguridade de políticas dinámicas:
1, "Interruptor de derivación de toque de rede" para proporcionar fóra das regras baseado na interface WEBSERVICE, integración sinxela con dispositivos de seguridade de terceiros.
2, "BNetwork Tap Bypass Switch" baseado no chip ASIC puro de hardware que reenvía paquetes a velocidade de cable de ata 10 Gbps sen bloquear o reenvío do conmutador e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3, función de derivación profesional integrada "Interruptor de derivación de toma de rede", mesmo se falla o propio protector, tamén pode omitir a ligazón serie orixinal inmediatamente, sen afectar a ligazón orixinal da comunicación normal.
