Mylinking™ Network Tap Bypass Switch ML-BYPASS-100
2 * Bypass máis 1 * Monitor de deseño modular, enlaces 10/40/100GE, 640 Gbps máximo
Visións xerais
Mylinking™ Network Tap Bypass Switch está investigado e desenvolvido para ser usado para a implantación flexible de varios tipos de equipos de seguridade en liña ao tempo que ofrece unha alta fiabilidade da rede.
Ao implementar Mylinking™ Smart Bypass Switch Toque:
- Os usuarios poden instalar/desinstalar equipos/ferramentas de seguridade de forma flexible e non afectarán nin interromperán a rede actual;
- Mylinking™ Network Tap Bypass Switch con función de detección de saúde intelixente para monitorizar en tempo real o estado normal de funcionamento dos dispositivos de seguridade en liña. Unha vez que os dispositivos de seguridade en liña funcionen como excepción, a función de protección pasará automaticamente por alto para manter a comunicación normal da rede;
- A tecnoloxía de protección selectiva do tráfico pódese usar para implementar equipos de seguridade específicos de limpeza de tráfico, tecnoloxía de cifrado baseada no equipo de auditoría. Realice eficazmente a protección de acceso en liña para o tipo de tráfico específico, descargando a presión de manexo do fluxo do dispositivo en liña;
- A tecnoloxía Load Balanced Traffic Protection pódese utilizar para a implantación en clúster de dispositivos de seguridade en liña en serie seguros para cumprir coa seguridade en liña en ambientes de gran ancho de banda.
Rede Tap Bypass Switch Funcións e tecnoloxías avanzadas
Modo de protección "SpecFlow" de Mylinking™ e modo de protección "FullLink".
Protección de conmutación de bypass rápido Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ "WebService" Reenvío/Problema da estratexia dinámica
Detección intelixente de mensaxes de latido cardíaco Mylinking™
Mensaxes de latido cardíaco definibles Mylinking™ (paquetes de latido cardíaco)
Equilibrio de carga de varias ligazóns Mylinking™
Distribución intelixente de tráfico Mylinking™
Equilibrio de carga dinámico Mylinking™
Tecnoloxía de xestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guía de configuración opcional do interruptor de derivación de toque de rede
Módulo BYPASSRanura do módulo de porto de protección:
Esta ranura pódese inserir no módulo de porto de protección BYPASS cun número de porto/velocidade diferente. Ao substituír diferentes tipos de módulos, pode soportar a protección BYPASS de múltiples requisitos de ligazóns 10G/40G/100G.
Módulo MONITORRanura do módulo de porto;
Neste slot pódese inserir o módulo MONITOR con diferentes velocidades/portos. Pode admitir varias ligazóns de 10G/40G/100G para a implantación de dispositivos de monitorización en serie en liña substituíndo diferentes módulos.
Regras de selección de módulos
En función de diferentes ligazóns despregadas e requisitos de implantación de equipos de monitorización, pode escoller de forma flexible diferentes configuracións de módulos para satisfacer a súa solicitude de ambiente real; siga as seguintes regras durante a selección do módulo:
1. Os compoñentes do chasis son obrigatorios e debes seleccionar os compoñentes do chasis antes de seleccionar outros módulos. Ao mesmo tempo, escolla diferentes métodos de alimentación (AC/DC) segundo as súas necesidades.
2. Todo o dispositivo admite ata 2 ranuras para módulo BYPASS e 1 ranura para módulo MONITOR; non pode seleccionar máis que o número de slots para configurar. En función da combinación do número de slots e do modelo de módulo, o dispositivo pode soportar ata catro proteccións de enlace 10GE; ou pode soportar ata catro ligazóns 40GE; ou pode admitir ata unha ligazón 100GE.
3. O modelo de módulo "BYP-MOD-L1CG" só se pode inserir no SLOT1 para funcionar correctamente.
4. O tipo de módulo "BYP-MOD-XXX" só se pode inserir na ranura do módulo BYPASS; o tipo de módulo "MON-MOD-XXX" só se pode inserir na ranura do módulo MONITOR para o funcionamento normal.
| Modelo de produto | Parámetros da función |
| Chasis (anfitrión) | |
| ML-BYPASS-M100 | Montaxe en rack estándar 1U de 19 polgadas; consumo máximo de enerxía 250W; anfitrión protector modular BYPASS; 2 ranuras para módulos BYPASS; 1 ranura para módulo MONITOR; AC e DC opcional; |
| MÓDULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serie enlace 10GE bidireccional, interface 4*10GE, conector LC; transceptor óptico incorporado; enlace óptico único/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serie enlace 40GE bidireccional, interface 4*40GE, conector LC; transceptor óptico incorporado; enlace óptico único/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección serie de enlace 100GE de 1 canle, interface 2*100GE, conector LC; transceptor óptico incorporado; enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITOR | |
| MON-MOD-L16XG | Módulo de porto de monitorización SFP+ 16*10GE; sen módulo de transceptor óptico; |
| MON-MOD-L8XG | Módulo de porto de monitorización SFP+ 8*10GE; sen módulo de transceptor óptico; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 módulo de porto de monitorización; sen módulo de transceptor óptico; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ módulo de porto de monitorización; sen módulo de transceptor óptico; |
Especificacións do interruptor de derivación TAP de rede
| Modalidade do produto | ML-BYPASS-M100 Interruptor de derivación de toque de rede en liña | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de xestión adaptativa; Admite a xestión remota de HTTP/IP |
| Ranura para módulos | 2 * ranura para módulo BYPASS; 1 * ranura para módulo MONITOR; | |
| Ligazóns que admiten o máximo | O dispositivo admite un máximo de ligazóns 4*10GE ou ligazóns 4*40GE ou ligazóns 1*100GE | |
| Seguimento | O dispositivo admite un máximo de portos de monitorización de 16 * 10 GE ou portos de monitorización de 8 * 40 GE ou portos de monitorización de 2 * 100 GE; | |
| Función | Capacidade de procesamento dúplex completo | 640 Gbps |
| Baseado na protección en cascada de tráfico específica de IP/protocolo/porto cinco tuplas | Soportado | |
| Protección en cascada baseada no tráfico total | Soportado | |
| Equilibrio de carga múltiple | Soportado | |
| Función personalizada de detección de latidos cardíacos | Soportado | |
| Admite a independencia do paquete Ethernet | Soportado | |
| INTERRUPTOR DE BYPASS | Soportado | |
| Interruptor BYPASS sen flash | Soportado | |
| CONSOLA MGT | Soportado | |
| MGT IP/WEB | Soportado | |
| SNMP V1/V2C MGT | Soportado | |
| TELNET/SSH MGT | Soportado | |
| Protocolo SYSLOG | Soportado | |
| Autorización do usuario | Baseado na autorización de contrasinal/AAA/TACACS+ | |
| Eléctrico | Tensión nominal de alimentación | AC-220V/DC-48V【Opcional】 |
| Frecuencia de potencia nominal | 50 Hz | |
| Intensidade de entrada nominal | AC-3A/DC-10A | |
| Potencia nominal | 100 W | |
| Medio ambiente | Temperatura de traballo | 0-50 ℃ |
| Temperatura de almacenamento | -20-70 ℃ | |
| Humidade de traballo | 10%-95%, sen condensación | |
| Configuración de usuario | Configuración da consola | Interface RS232,115200,8,N,1 |
| Interface MGT fóra de banda | Interfaz Ethernet 1*10/100/1000M | |
| Autorización de contrasinal | Soportado | |
| Altura do chasis | Espazo do chasis (U) | 1U 19 polgadas, 485 mm * 44,5 mm * 350 mm |
Aplicación de conmutador de derivación TAP de rede (como a continuación)
5.1 O risco dos equipos de seguridade en liña (IPS/FW)
O seguinte é un típico IPS (Sistema de prevención de intrusións), FW (Firewall) modo de implantación, IPS / FW se desprega como equipos de rede en liña (como enrutadores, conmutadores, etc.) entre o tráfico a través da implementación de controis de seguridade, segundo a correspondente política de seguridade para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
Ao mesmo tempo, podemos observar IPS (Sistema de Prevención de Intrusións) / FW (Firewall) como un despregamento en liña do equipo, normalmente despregado na localización clave da rede empresarial para implementar a seguridade en liña, a fiabilidade dos seus dispositivos conectados afecta directamente a dispoñibilidade global da rede empresarial. Unha vez que os dispositivos de seguranza en liña sobrecargan, fallan, actualizacións de software, actualizacións de políticas, etc., toda a dispoñibilidade da rede empresarial verase moi afectada. Neste punto, só a través do corte da rede, o puente de derivación física pode facer que a rede se restaure, pero está a afectar seriamente a fiabilidade da rede. IPS (Sistema de prevención de intrusións) / FW (Firewall) e outros dispositivos en liña, por unha banda, melloran a implantación da seguridade da rede empresarial, por outra banda, tamén reducen a fiabilidade das redes empresariais, aumentando o risco de que a rede non estea dispoñible.
5.2 Protección de equipos da serie de enlaces en liña
O " Switch Bypass " Mylinking™ está implantado en liña entre os dispositivos de rede (routers, switches, etc.), e o fluxo de datos entre os dispositivos de rede xa non conduce directamente a IPS (Sistema de prevención de intrusións) / FW (Firewall), " Switch Bypass " a IPS / FW, cando o IPS / FW debido a sobrecarga, fallo, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o "Bypass Switch" mediante a detección de mensaxes intelixentes de latido cardíaco Función do descubrimento oportuno e, polo tanto, saltar o dispositivo defectuoso, sen interromper a premisa da rede, o equipo de rede rápida conectado directamente para protexer a rede de comunicación normal; cando o fallo IPS / FW recuperación, pero tamén a través de Smart Heartbeat Paquetes Detección de detección oportuna da función, a ligazón orixinal para restaurar a seguridade das comprobacións de seguridade da rede empresarial.
Mylinking™ "Bypass Switch" ten unha poderosa función intelixente de detección de mensaxes de latido cardíaco, o usuario pode personalizar o intervalo de latido cardíaco e o número máximo de reintentos, a través dunha mensaxe de latido cardíaco personalizada no IPS / FW para probas de saúde, como enviar a mensaxe de verificación do latido cardíaco. ao porto ascendente / descendente de IPS / FW e, a continuación, reciba desde o porto ascendente / descendente de IPS / FW e xulgue se o IPS / FW funciona normalmente enviando e recibindo a mensaxe de latido cardíaco.
5.3 Protección da serie de tracción en liña de fluxo de políticas "SpecFlow".
Cando o dispositivo de rede de seguranza só necesita xestionar o tráfico específico na protección de seguranza en serie, a través da función de procesamento de tráfico Mylinking™ " Network Tap Bypass Switch ", a través da estratexia de control de tráfico para conectar o dispositivo de seguranza, o tráfico " preocupado " envíase de volta directamente á ligazón de rede e a "sección de tráfico en cuestión" é a tracción ao dispositivo de seguridade en liña para realizar comprobacións de seguridade. Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión; ao mesmo tempo, o "Interruptor de derivación de toque de rede" pode detectar o estado de funcionamento do dispositivo de seguridade en tempo real. O dispositivo de seguridade funciona de forma anormal evita o tráfico de datos directamente para evitar a interrupción do servizo de rede.
O Mylinking™ Inline Traffic Bypass Tap pode identificar o tráfico baseándose no identificador da cabeceira da capa L2-L4, como a etiqueta VLAN, o enderezo MAC de orixe/destino, o enderezo IP de orixe, o tipo de paquete IP, o porto de protocolo da capa de transporte, a etiqueta clave da cabeceira do protocolo e así por diante. Pódense definir de forma flexible unha variedade de condicións de coincidencia combinación flexible para definir os tipos de tráfico específicos que son de interese para un dispositivo de seguranza particular e poden ser amplamente utilizados para a implantación de dispositivos especiais de auditoría de seguridade (RDP, SSH, auditoría de bases de datos, etc.) .
5.4 Protección de serie equilibrada de carga
O Mylinking™ "Network Tap Bypass Switch" está implantado como en liña entre dispositivos de rede (routers, switches, etc.). Cando un único rendemento de procesamento IPS / FW non é suficiente para facer fronte ao tráfico máximo de enlace de rede, a función de equilibrio de carga de tráfico do protector, o "agrupamento" de múltiples procesamentos de clúster IPS / FW o tráfico de enlace de rede pode reducir eficazmente o único IPS / FW. presión de procesamento, mellorar o rendemento xeral de procesamento para cumprir o alto ancho de banda do ambiente de implantación Reclamación.
Mylinking™ "Network Tap Bypass Switch" ten unha poderosa función de equilibrio de carga, segundo a etiqueta VLAN do marco, información MAC, información IP, número de porto, protocolo e outra información sobre a distribución do tráfico de equilibrio de carga Hash para garantir que cada IPS / FW fluxo de datos recibidos Integridade da sesión.
5.5 Protección de tracción de fluxo de equipos en liña multiserie (cambiar conexión en serie a conexión paralela)
Nalgúns enlaces clave (como as tomas de Internet, o enlace de intercambio da área do servidor) a localización adoita ser debido ás necesidades de funcións de seguridade e á implantación de varios equipos de proba de seguridade en liña (como firewall (FW), equipos de ataque anti-DDOS, etc. Firewall de aplicacións WEB (WAF), sistema de prevención de intrusións (IPS), etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a ligazón dun único punto de falla, reducindo a fiabilidade xeral da rede. E na implantación en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán a interrupción do servizo da rede durante moito tempo e unha acción de corte de proxecto maior para completar a implantación exitosa destes proxectos.
Ao implementar o "Network Tap Bypass Switch" dun xeito unificado, o modo de despregamento de varios dispositivos de seguridade conectados en serie na mesma ligazón pódese cambiar de "modo de concatenación física" a "modo de concatenación física, modo de concatenación lóxica". ligazón dun único punto de falla para mellorar a fiabilidade da ligazón, mentres que o "interruptor de derivación" no fluxo de enlace na tracción da demanda, para lograr o mesmo fluxo co modo orixinal de efecto de procesamento seguro.
Máis dun dispositivo de seguranza ao mesmo tempo que o diagrama de implantación en liña:
Diagrama de implantación do interruptor de derivación TAP de rede Mylinking™:
5.6 Baseado na Estratexia Dinámica de Protección de Detección de Seguridade de Tracción de Tráfico
"Network Tap Bypass Switch" Outro escenario de aplicacións avanzadas baséase na estratexia dinámica das aplicacións de protección de detección de seguridade de tracción de tráfico, o despregamento do xeito que se mostra a continuación:
Tome o equipo de proba de seguranza "Protección e detección de ataques anti-DDoS", por exemplo, a través da implantación frontal do " Switch Tap Bypass Network " e, a continuación, o equipo de protección anti-DDOS e despois conéctese ao " Switch Tap Bypass Network ", no habitual " Protector de tracción " ata a cantidade total de reenvío á velocidade de cable de tráfico ao mesmo tempo que o espello de fluxo saíu ao " dispositivo de protección contra ataques anti-DDOS ", unha vez detectado para un servidor IP (ou segmento de rede IP) despois do ataque, "dispositivo de protección contra ataques anti-DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e enviaraas ao " Switch Tap Bypass Network " a través da interface de entrega de políticas dinámicas. O " Switch Tap Bypass Network " pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica Grupo de regras "e inmediatamente" a regra afecta ao tráfico do servidor de ataque "tracción ao" equipo de detección e protección contra ataques anti-DDoS para procesar, para ser efectivo despois do fluxo de ataque e despois reinxectado na rede.
O esquema de aplicación baseado no "Network Tap Bypass Switch" é máis fácil de implementar que a tradicional inxección de rutas BGP ou outro esquema de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.
"Network Tap Bypass Switch" ten as seguintes características para admitir a protección de detección de seguranza de políticas dinámicas:
1, "Network Tap Bypass Switch" para proporcionar fóra das regras baseadas na interface WEBSERIVCE, fácil integración con dispositivos de seguridade de terceiros.
2, "BNetwork Tap Bypass Switch" baseado no chip ASIC puro de hardware que reenvía paquetes de ata 10 Gbps de velocidade de cable sen bloquear o reenvío de conmutadores e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3, a función BYPASS profesional integrada "Network Tap Bypass Switch", aínda que o propio protector falle, tamén pode evitar a ligazón en serie orixinal inmediatamente, non afecta a ligazón orixinal da comunicación normal.
