Mylinking™ Network Tap Bypass Switch ML-BYPASS-100
2 * Bypass més 1 * Disseny modular de monitor, enllaços 10/40/100GE, 640 Gbps màxim
Visions generals
Mylinking™ Network Tap Bypass Switch està investigat i desenvolupat per utilitzar-lo per al desplegament flexible de diversos tipus d'equips de seguretat en línia alhora que ofereix una alta fiabilitat de la xarxa.
En desplegar Mylinking™ Smart Bypass Switch Toqueu:
- Els usuaris poden instal·lar/desinstal·lar equips/eines de seguretat de manera flexible i no afectaran ni interrompran la xarxa actual;
- Mylinking™ Network Tap Bypass Switch amb funció de detecció de salut intel·ligent per al control en temps real de l'estat normal de funcionament dels dispositius de seguretat en línia. Una vegada que els dispositius de seguretat en línia funcionin amb l'excepció, la funció de protecció s'ometrà automàticament per mantenir la comunicació normal de la xarxa;
- La tecnologia de protecció selectiva del trànsit es pot utilitzar per desplegar equips específics de seguretat de neteja de trànsit, tecnologia de xifratge basada en l'equip d'auditoria. Realitzeu eficaçment la protecció d'accés en línia per al tipus de trànsit específic, descarregant la pressió de gestió del flux del dispositiu en línia;
- La tecnologia Load Balanced Traffic Protection es pot utilitzar per al desplegament en clúster de dispositius de seguretat en línia en sèrie segurs per satisfer la seguretat en línia en entorns d'ample de banda elevat.
Funcions i tecnologies avançades del commutador de bypass de xarxa
Mode de protecció "SpecFlow" de Mylinking™ i mode de protecció "FullLink".
Protecció de commutació de bypass ràpid Mylinking™
Mylinking™ "LinkSafeSwitch"
Reenviament/Problema d'estratègia dinàmica de Mylinking™ "WebService".
Detecció intel·ligent de missatges de ritme cardíac Mylinking™
Missatges de ritme cardíac definibles Mylinking™ (paquets de ritme cardíac)
Equilibri de càrrega multienllaç Mylinking™
Distribució intel·ligent de trànsit Mylinking™
Equilibri dinàmic de càrrega Mylinking™
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuració opcional de l'interruptor de derivació del toc de xarxa
Mòdul BYPASSRanura del mòdul del port de protecció:
Aquesta ranura es pot inserir al mòdul de port de protecció BYPASS amb un número de port/velocitat diferent. En substituir diferents tipus de mòduls, pot suportar la protecció BYPASS de múltiples requisits d'enllaços 10G/40G/100G.
Mòdul MONITORRanura del mòdul de port;
En aquesta ranura es pot inserir el mòdul MONITOR amb diferents velocitats/ports. Pot suportar diversos enllaços de 10G/40G/100G per al desplegament de dispositius de monitorització sèrie en línia substituint diferents mòduls.
Normes de selecció de mòduls
A partir dels diferents enllaços desplegats i dels requisits de desplegament d'equips de monitorització, podeu triar de manera flexible diferents configuracions de mòduls per satisfer la vostra sol·licitud d'entorn real; Si us plau, seguiu les regles següents durant la selecció del vostre mòdul:
1. Els components del xassís són obligatoris i heu de seleccionar els components del xassís abans de seleccionar altres mòduls. Al mateix temps, trieu diferents mètodes d'alimentació (AC/DC) segons les vostres necessitats.
2. Tot el dispositiu admet fins a 2 ranures de mòdul BYPASS i 1 ranura de mòdul MONITOR; no podeu seleccionar més del nombre d'espais per configurar. Segons la combinació del nombre de ranures i el model de mòdul, el dispositiu pot suportar fins a quatre proteccions d'enllaç 10GE; o pot suportar fins a quatre enllaços 40GE; o pot suportar fins a un enllaç 100GE.
3. El mòdul model "BYP-MOD-L1CG" només es pot inserir a SLOT1 per funcionar correctament.
4. El tipus de mòdul "BYP-MOD-XXX" només es pot inserir a la ranura del mòdul BYPASS; el tipus de mòdul "MON-MOD-XXX" només es pot inserir a la ranura del mòdul MONITOR per al funcionament normal.
Model de producte | Paràmetres de funció |
Xassís (amfitrió) | |
ML-BYPASS-M100 | Muntatge en bastidor estàndard 1U de 19 polzades; consum màxim d'energia 250W; amfitrió protector modular BYPASS; 2 ranures de mòdul BYPASS; 1 ranura per al mòdul MONITOR; AC i DC opcionals; |
MÒDUL DE BYPASS | |
BYP-MOD-L2XG(LM/SM) | Admet protecció sèrie d'enllaç 10GE bidireccional, interfície 4 * 10GE, connector LC; transceptor òptic integrat; enllaç òptic únic/multimode opcional, admet 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Admet protecció sèrie d'enllaç 40GE bidireccional, interfície 4 * 40GE, connector LC; transceptor òptic integrat; enllaç òptic únic/multimode opcional, admet 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Admet protecció sèrie d'enllaços d'1 canal 100GE, interfície 2 * 100GE, connector LC; transceptor òptic integrat; enllaç òptic únic multimode opcional, admet 100GBASE-SR4/LR4; |
MÒDUL DE MONITOR | |
MON-MOD-L16XG | Mòdul de port de supervisió SFP+ de 16 * 10GE; cap mòdul transceptor òptic; |
MON-MOD-L8XG | Mòdul de port de monitorització SFP+ 8 * 10GE; cap mòdul transceptor òptic; |
MON-MOD-L2CG | 2 * 100GE QSFP28 mòdul de port de supervisió; cap mòdul transceptor òptic; |
MON-MOD-L8QXG | 8 * 40GE QSFP+ mòdul de port de supervisió; cap mòdul transceptor òptic; |
Especificacions del commutador de derivació TAP de xarxa
Modalitat de producte | ML-BYPASS-M100 Interruptor de derivació de toc de xarxa en línia | |
Tipus d'interfície | Interfície MGT | 1 * 10/100/1000BASE-T Interfície de gestió adaptativa; Admet la gestió remota d'HTTP/IP |
Ranura del mòdul | 2 * ranura del mòdul BYPASS; 1 * ranura del mòdul MONITOR; | |
Enllaços de suport màxim | El dispositiu admet un màxim d'enllaços 4*10GE o enllaços 4*40GE o enllaços 1*100GE | |
Seguiment | El dispositiu admet un màxim de ports de supervisió de 16 * 10GE o ports de monitorització de 8 * 40GE o ports de monitorització de 2 * 100GE; | |
Funció | Capacitat de processament dúplex complet | 640 Gbps |
Basat en la protecció en cascada de trànsit específica IP/protocol/port de cinc tuples | Admet | |
Protecció en cascada basada en el trànsit total | Admet | |
Equilibri de càrrega múltiple | Admet | |
Funció personalitzada de detecció de batecs cardíacs | Admet | |
Admet la independència del paquet Ethernet | Admet | |
INTERRUPTOR DE BYPASS | Admet | |
Interruptor BYPASS sense flaix | Admet | |
CONSOLA MGT | Admet | |
MGT IP/WEB | Admet | |
SNMP V1/V2C MGT | Admet | |
TELNET/SSH MGT | Admet | |
Protocol SYSLOG | Admet | |
Autorització d'usuari | Basat en l'autorització de contrasenya/AAA/TACACS+ | |
Elèctric | Tensió nominal d'alimentació | AC-220V/DC-48V【Opcional】 |
Freqüència de potència nominal | 50 Hz | |
Corrent nominal d'entrada | AC-3A / DC-10A | |
Potència nominal | 100W | |
Medi ambient | Temperatura de treball | 0-50 ℃ |
Temperatura d'emmagatzematge | -20-70 ℃ | |
Humitat de treball | 10% -95%, sense condensació | |
Configuració d'usuari | Configuració de la consola | Interfície RS232,115200,8,N,1 |
Interfície MGT fora de banda | Interfície Ethernet 1*10/100/1000M | |
Autorització de contrasenya | Admet | |
Alçada del xassís | Espai del xassís (U) | 1U 19 polzades, 485 mm * 44,5 mm * 350 mm |
Aplicació de commutació de bypass de xarxa TAP (com a continuació)
5.1 El risc dels equips de seguretat en línia (IPS/FW)
El següent és un mode de desplegament típic d'IPS (Sistema de prevenció d'intrusions), FW (Firewall), IPS / FW es desplega com a equips de xarxa en línia (com ara encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de controls de seguretat, segons la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS (sistema de prevenció d'intrusions) / FW (tallafocs) com un desplegament en línia de l'equip, normalment desplegat a la ubicació clau de la xarxa empresarial per implementar la seguretat en línia, la fiabilitat dels seus dispositius connectats afecta directament la disponibilitat global de la xarxa empresarial. Una vegada que els dispositius de seguretat en línia es sobrecarreguin, es bloquegen, les actualitzacions de programari, les actualitzacions de polítiques, etc., tota la disponibilitat de la xarxa empresarial es veurà molt afectada. En aquest punt, només a través del tall de la xarxa, el pont de derivació físic pot fer que la xarxa sigui restaurada, però està afectant seriosament la fiabilitat de la xarxa. IPS (Intrusion Prevention System) / FW (Firewall) i altres dispositius en línia, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, d'altra banda també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
5.2 Protecció d'equips de la sèrie d'enllaços en línia
Mylinking™ "Bypass Switch" es desplega com a línia entre dispositius de xarxa (encaminadors, commutadors, etc.), i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS (sistema de prevenció d'intrusions) / FW (tallafoc), " commutador de bypass ". a IPS / FW, quan l'IPS / FW a causa de la sobrecàrrega, bloqueig, actualitzacions de programari, actualitzacions de polítiques i altres condicions de fallada, el "Bypass Switch" mitjançant la funció de detecció de missatges de batecs intel·ligents del descobriment oportú i, per tant, saltar el dispositiu defectuós, sense interrompre la premissa de la xarxa, l'equip de xarxa ràpid connectat directament per protegir la xarxa de comunicació normal; quan la recuperació de fallada IPS / FW, sinó també a través de la detecció de paquets de batecs intel·ligents de la detecció oportuna de la funció, l'enllaç original per restaurar la seguretat de les comprovacions de seguretat de la xarxa empresarial.
Mylinking™ "Bypass Switch" té una potent funció intel·ligent de detecció de missatges de batecs cardíacs, l'usuari pot personalitzar l'interval de batecs cardíacs i el nombre màxim de reintents, mitjançant un missatge de batecs cardíacs personalitzat a l'IPS / FW per a proves de salut, com ara enviar el missatge de verificació de batecs cardíacs. al port aigües amunt / aigües avall d'IPS / FW, i després rebeu des del port aigües amunt / aigües avall d'IPS / FW, i jutgeu si l'IPS / FW funciona normalment enviant i rebent el missatge de batec del cor.
5.3 Protecció de sèries de tracció en línia de flux de polítiques "SpecFlow".
Quan el dispositiu de xarxa de seguretat només ha de fer front al trànsit específic de la protecció de seguretat en sèrie, a través de la funció de processament de trànsit Mylinking™ "Network Tap Bypass Switch", mitjançant l'estratègia de control de trànsit per connectar el dispositiu de seguretat "Concerned" trànsit. torna directament a l'enllaç de xarxa i la "secció de trànsit en qüestió" és la tracció al dispositiu de seguretat en línia per dur a terme comprovacions de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Commutador de derivació de l'aixeta de xarxa" pot detectar l'estat de treball del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal evita el trànsit de dades directament per evitar la interrupció del servei de xarxa.
El Mylinking™ Inline Traffic Bypass Tap pot identificar el trànsit en funció de l'identificador de la capçalera de la capa L2-L4, com ara l'etiqueta VLAN, l'adreça MAC d'origen/destinació, l'adreça IP d'origen, el tipus de paquet IP, el port de protocol de la capa de transport, l'etiqueta clau de la capçalera del protocol i així successivament. Es poden definir de manera flexible una varietat de combinacions flexibles de condicions de concordança per definir els tipus de trànsit específics que són d'interès per a un dispositiu de seguretat particular i es poden utilitzar àmpliament per al desplegament de dispositius especials d'auditoria de seguretat (RDP, SSH, auditoria de bases de dades, etc.) .
5.4 Protecció sèrie equilibrada de càrrega
El Mylinking™ "Network Tap Bypass Switch" es desplega com a en línia entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan un únic rendiment de processament IPS / FW no és suficient per fer front al trànsit màxim d'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" de múltiples processaments de clúster IPS / FW trànsit d'enllaç de xarxa, pot reduir eficaçment l'únic IPS / FW pressió de processament, millora el rendiment general del processament per satisfer l'ample de banda elevat de l'entorn de desplegament Reclamació.
Mylinking™ "Network Tap Bypass Switch" té una potent funció d'equilibri de càrrega, segons l'etiqueta VLAN de trama, informació MAC, informació IP, número de port, protocol i altra informació sobre la distribució d'equilibri de càrrega Hash del trànsit per garantir que cada IPS / FW flux de dades rebuts Integritat de la sessió.
5.5 Protecció de tracció de flux d'equips multisèries en línia (canviar la connexió en sèrie a la connexió en paral·lel)
En alguns enllaços clau (com ara punts de venda d'Internet, enllaç d'intercanvi d'àrea de servidor) la ubicació es deu sovint a les necessitats de funcions de seguretat i al desplegament de múltiples equips de prova de seguretat en línia (com ara tallafoc (FW), equips d'atac anti-DDOS, etc. Tallafocs d'aplicacions WEB (WAF), sistema de prevenció d'intrusions (IPS), etc.), múltiples equips de detecció de seguretat al mateix temps en sèrie a l'enllaç per augmentar l'enllaç d'un únic punt de fallada, reduint la fiabilitat global de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant molt de temps i una acció de tall de projecte més gran per completar la implementació amb èxit d'aquests projectes.
En desplegar el "Commutador de derivació del toc de xarxa" d'una manera unificada, el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "mode de concatenació física, mode de concatenació lògica". enllaç d'un únic punt de fallada per millorar la fiabilitat de l'enllaç, mentre que el "interruptor de derivació" al flux de l'enllaç a la tracció a la demanda, per aconseguir el mateix flux amb el mode original d'efecte de processament segur.
Més d'un dispositiu de seguretat alhora que el diagrama de desplegament en línia:
Diagrama de desplegament del commutador de derivació de la xarxa TAP Mylinking™:
5.6 Basat en l'estratègia dinàmica de protecció de detecció de seguretat de tracció del trànsit
"Network Tap Bypass Switch" Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció de detecció de seguretat de tracció de trànsit, el desplegament de la manera com es mostra a continuació:
Agafeu l'equip de proves de seguretat "Protecció i detecció d'atacs anti-DDoS", per exemple, mitjançant el desplegament frontal de "Network Tap Bypass Switch" i, a continuació, equips de protecció anti-DDOS i després connecteu-vos al " Network Tap Bypass Switch ", a l'habitual "Protector de tracció" a la quantitat total de reenviament de velocitat de cable de trànsit al mateix temps, la sortida del mirall de flux al "dispositiu de protecció contra atacs anti-DDOS", un cop detectat per a una IP de servidor (o segment de xarxa IP) després del atac, "dispositiu de protecció d'atacs anti-DDOS" generarà les regles de concordança del flux de trànsit objectiu i les enviarà al "Commutador de derivació del toc de xarxa" mitjançant la interfície de lliurament de polítiques dinàmiques. El " Switch Tap Bypass de xarxa " pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de la política dinàmica L'agrupació de regles "i immediatament" la regla va afectar el trànsit del servidor d'atac "tracció a l'equip" de protecció i detecció d'atacs anti-DDoS per al processament, per ser efectiu després del flux d'atac i després tornar-los a injectar a la xarxa.
L'esquema d'aplicació basat en el "Commutador de derivació del toc de xarxa" és més fàcil d'implementar que la injecció de ruta BGP tradicional o un altre esquema de tracció del trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
"Network Tap Bypass Switch" té les característiques següents per donar suport a la protecció de detecció de seguretat dinàmica de polítiques:
1, "Commutador de bypass de xarxa Tap" per proporcionar fora de les regles basades en la interfície WEBSERIVCE, una fàcil integració amb dispositius de seguretat de tercers.
2, "BNetwork Tap Bypass Switch" basat en el xip ASIC pur de maquinari que reenvia paquets de velocitat de cable de fins a 10 Gbps sense bloquejar el reenviament de commutadors i "biblioteca de regles dinàmiques de tracció de trànsit", independentment del nombre.
3, "Network Tap Bypass Switch" funció professional integrada BYPASS, fins i tot si el protector mateix falla, també pot evitar l'enllaç sèrie original immediatament, no afecta l'enllaç original de la comunicació normal.