Interruptor de derivació de tap de xarxa Mylinking™ ML-BYPASS-100
Disseny modular de 2 bypass més 1 monitor, enllaços 10/40/100GE, màxim 640 Gbps
Visions generals
L'interruptor de derivació de tap de xarxa Mylinking™ s'ha investigat i desenvolupat per ser utilitzat per a la implementació flexible de diversos tipus d'equips de seguretat en línia, alhora que proporciona una alta fiabilitat de la xarxa.
Desplegant Mylinking™ Smart Bypass Switch Tap:
- Els usuaris poden instal·lar/desinstal·lar equips/eines de seguretat de manera flexible i no afectaran ni interrompran la xarxa actual;
- Commutador de derivació de tap de xarxa Mylinking™ amb funció intel·ligent de detecció de l'estat per a la monitorització en temps real de l'estat de funcionament normal dels dispositius de seguretat en línia. Si els dispositius de seguretat en línia funcionen de manera excepcional, la funció de protecció s'ometrà automàticament per mantenir la comunicació de xarxa normal;
- La tecnologia de protecció selectiva del trànsit es pot utilitzar per desplegar equips de seguretat de neteja de trànsit específics, tecnologia de xifratge basada en l'equip d'auditoria. Dur a terme eficaçment la protecció d'accés en línia per al tipus de trànsit específic, descarregant la pressió de maneig del flux del dispositiu en línia;
- La tecnologia de protecció del trànsit amb càrrega equilibrada es pot utilitzar per a la implementació en clúster de dispositius de seguretat en línia en sèrie segurs per satisfer la seguretat en línia en entorns d'ample de banda elevat.
Funcions i tecnologies avançades del commutador de derivació de taps de xarxa
Mode de protecció Mylinking™ “SpecFlow” i mode de protecció “FullLink”
Protecció de commutació de bypass ràpid Mylinking™
Mylinking™ “LinkSafeSwitch”
Reenviament/incidència d'estratègia dinàmica "WebService" de Mylinking™
Detecció intel·ligent de missatges de batec del cor Mylinking™
Missatges de batecs definibles de Mylinking™ (paquets de batecs)
Equilibri de càrrega multienllaç Mylinking™
Distribució intel·ligent del trànsit Mylinking™
Mylinking™ Balanç de càrrega dinàmic
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuració opcional del commutador de derivació de tap de xarxa
Mòdul BYPASSRanura del mòdul de port de protecció:
Aquesta ranura es pot inserir en un mòdul de port de protecció BYPASS amb diferents velocitats/números de port. En substituir diferents tipus de mòduls, pot admetre la protecció BYPASS de múltiples enllaços de 10G/40G/100G.
Mòdul MONITORRanura del mòdul de port;
En aquesta ranura es pot inserir el mòdul MONITOR amb diferents velocitats/ports. Pot admetre múltiples enllaços de 10G/40G/100G per al desplegament de dispositius de monitorització en sèrie en línia substituint diferents mòduls.
Regles de selecció de mòduls
En funció dels diferents enllaços desplegats i els requisits de desplegament de l'equip de monitorització, podeu triar de manera flexible diferents configuracions de mòduls per satisfer la sol·licitud del vostre entorn real; seguiu les regles següents durant la selecció del mòdul:
1. Els components del xassís són obligatoris i cal seleccionar-los abans de seleccionar qualsevol altre mòdul. Al mateix temps, si us plau, trieu diferents mètodes d'alimentació (CA/CC) segons les vostres necessitats.
2. Tot el dispositiu admet fins a 2 ranures per a mòduls BYPASS i 1 ranura per a mòduls MONITOR; no podeu seleccionar més ranures que les que voleu configurar. Segons la combinació del nombre de ranures i el model del mòdul, el dispositiu pot admetre fins a quatre proteccions d'enllaç de 10GE; o pot admetre fins a quatre enllaços de 40GE; o pot admetre fins a un enllaç de 100GE.
3. El model de mòdul "BYP-MOD-L1CG" només es pot inserir a SLOT1 per funcionar correctament.
4. El mòdul tipus "BYP-MOD-XXX" només es pot inserir a la ranura del mòdul BYPASS; el mòdul tipus "MON-MOD-XXX" només es pot inserir a la ranura del mòdul MONITOR per al funcionament normal.
| Model de producte | Paràmetres de funció |
| Xassís (amfitrió) | |
| ML-BYPASS-M100 | Muntatge en rack estàndard d'1U de 19 polzades; consum màxim d'energia de 250 W; amfitrió de protector BYPASS modular; 2 ranures per a mòdul BYPASS; 1 ranura per a mòdul MONITOR; CA i CC opcionals; |
| MÒDUL DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Admet protecció d'enllaç sèrie 10GE de 2 vies, interfície 4*10GE, connector LC; transceptor òptic integrat; enllaç òptic monomode/multimode opcional, admet 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admet protecció d'enllaç sèrie de 40GE de 2 vies, interfície 4*40GE, connector LC; transceptor òptic integrat; enllaç òptic monomode/multimode opcional, admet 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admet protecció d'enllaç sèrie d'1 canal 100GE, interfície 2 * 100GE, connector LC; transceptor òptic integrat; enllaç òptic multimode únic opcional, admet 100GBASE-SR4/LR4; |
| MÒDUL DE MONITOR | |
| MON-MOD-L16XG | Mòdul de port de monitorització SFP+ de 16*10GE; sense mòdul transceptor òptic; |
| MON-MOD-L8XG | Mòdul de port de monitorització SFP+ de 8*10GE; sense mòdul transceptor òptic; |
| MON-MOD-L2CG | Mòdul de port de monitorització QSFP28 2*100GE; sense mòdul transceptor òptic; |
| MON-MOD-L8QXG | Mòdul de port de monitorització QSFP+ de 8* 40GE; sense mòdul transceptor òptic; |
Especificacions del commutador de bypass TAP de xarxa
| Modalitat del producte | Interruptor de derivació de tap de xarxa en línia ML-BYPASS-M100 | |
| Tipus d'interfície | Interfície MGT | 1 interfície de gestió adaptativa 10/100/1000BASE-T; Admet la gestió remota HTTP/IP |
| Ranura del mòdul | 2 ranures per a mòduls BYPASS; 1 ranura per a mòduls MONITOR; | |
| Enllaços que donen suport al màxim | El dispositiu admet un màxim d'enllaços de 4 * 10GE o enllaços de 4 * 40GE o enllaços d'1 * 100GE | |
| Monitorització | El dispositiu admet un màxim de 16 ports de monitorització de 10GE o 8 ports de monitorització de 40GE o 2 ports de monitorització de 100GE; | |
| Funció | Capacitat de processament dúplex complet | 640 Gbps |
| Basat en la protecció en cascada de trànsit específic de cinc tuples d'IP/protocol/port | Compatible | |
| Protecció en cascada basada en el trànsit complet | Compatible | |
| Equilibri de càrrega múltiple | Compatible | |
| Funció de detecció de batecs cardíacs personalitzada | Compatible | |
| Suport a la independència del paquet Ethernet | Compatible | |
| INTERRUPTOR DE BYPASS | Compatible | |
| Interruptor BYPASS sense flaix | Compatible | |
| GESTIÓ DE CONSOLES | Compatible | |
| Gestió IP/WEB | Compatible | |
| Gestió SNMP V1/V2C | Compatible | |
| Gestió de TELNET/SSH | Compatible | |
| Protocol SYSLOG | Compatible | |
| Autorització d'usuari | Basat en l'autorització de contrasenya/AAA/TACACS+ | |
| Elèctric | Tensió d'alimentació nominal | CA-220V/CC-48V【Opcional】 |
| Freqüència de potència nominal | 50 Hz | |
| Corrent d'entrada nominal | CA-3A / CC-10A | |
| Potència nominal | 100W | |
| Medi ambient | Temperatura de treball | 0-50℃ |
| Temperatura d'emmagatzematge | -20-70 ℃ | |
| Humitat de treball | 10%-95%, sense condensació | |
| Configuració de l'usuari | Configuració de la consola | Interfície RS232, 115200, 8, N, 1 |
| Interfície MGT fora de banda | Interfície Ethernet 1*10/100/1000M | |
| Autorització de contrasenya | Compatible | |
| Alçada del xassís | Espai del xassís (U) | 1U 19 polzades, 485 mm * 44,5 mm * 350 mm |
Aplicació del commutador de derivació TAP de xarxa (com s'indica a continuació)
5.1 El risc dels equips de seguretat en línia (IPS / FW)
El següent és un mode de desplegament típic d'IPS (Intrusion Prevention System) i FW (Firewall). IPS/FW es desplega com a equip de xarxa en línia (com ara encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de comprovacions de seguretat, d'acord amb la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS (Intrusion Prevention System) / FW (Firewall) com un desplegament en línia de l'equip, generalment desplegat en la ubicació clau de la xarxa empresarial per implementar seguretat en línia. La fiabilitat dels dispositius connectats afecta directament la disponibilitat general de la xarxa empresarial. Un cop els dispositius de seguretat en línia es sobrecarreguen, es bloquegen, s'actualitzen programari, es actualitzen polítiques, etc., la disponibilitat de tota la xarxa empresarial es veurà molt afectada. En aquest punt, només mitjançant un tall de xarxa o un jumper de bypass físic es pot restaurar la xarxa, però això afecta seriosament la fiabilitat de la xarxa. IPS (Intrusion Prevention System) / FW (Firewall) i altres dispositius en línia, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, i de l'altra, també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
5.2 Protecció d'equips de la sèrie Inline Link
El "commutador de bypass" de Mylinking™ es desplega en línia entre dispositius de xarxa (encaminadors, commutadors, etc.) i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS (sistema de prevenció d'intrusions) / FW (tallafocs), sinó que el "commutador de bypass" a IPS / FW. Quan l'IPS / FW falla a causa de sobrecàrregues, errors, actualitzacions de programari, actualitzacions de polítiques i altres condicions d'error, el "commutador de bypass" mitjançant la funció intel·ligent de detecció de missatges de batec del cor detecta el dispositiu de manera oportuna, ometent-lo sense interrompre la xarxa. L'equip de xarxa es connecta directament ràpidament per protegir la xarxa de comunicació normal; quan es recupera un error d'IPS / FW, però també mitjançant la detecció intel·ligent de paquets de batec del cor, es detecta oportunament l'enllaç original per restaurar la seguretat de les comprovacions de seguretat de la xarxa empresarial.
Mylinking™ "Bypass Switch" té una potent funció intel·ligent de detecció de missatges de batecs cardíacs. L'usuari pot personalitzar l'interval de batecs cardíacs i el nombre màxim d'intents mitjançant un missatge de batec cardíac personalitzat a l'IPS/FW per a proves d'estat, com ara enviar el missatge de comprovació de batecs cardíacs al port aigües amunt/avall de l'IPS/FW i, a continuació, rebre'l del port aigües amunt/avall de l'IPS/FW, i jutjar si l'IPS/FW funciona correctament enviant i rebent el missatge de batec cardíac.
5.3 Flux de polítiques "SpecFlow" Protecció en sèrie de tracció en línia
Quan el dispositiu de xarxa de seguretat només necessita gestionar el trànsit específic en la protecció de seguretat en sèrie, a través de la funció de processament del trànsit "Network Tap Bypass Switch" de Mylinking™, mitjançant l'estratègia de filtratge del trànsit per connectar el dispositiu de seguretat, el trànsit "Concerned" es reenvia directament a l'enllaç de xarxa, i la "secció de trànsit concerned" es dirigeix al dispositiu de seguretat en línia per realitzar comprovacions de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Network Tap Bypass Switch" pot detectar l'estat de funcionament del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal i evita directament el trànsit de dades per evitar la interrupció del servei de xarxa.
El Mylinking™ Inline Traffic Bypass Tap pot identificar el trànsit basant-se en l'identificador de la capçalera de la capa L2-L4, com ara l'etiqueta VLAN, l'adreça MAC d'origen/destí, l'adreça IP d'origen, el tipus de paquet IP, el port del protocol de la capa de transport, l'etiqueta clau de la capçalera del protocol, etc. Es pot definir de manera flexible una varietat de combinacions flexibles de condicions de coincidència per definir els tipus de trànsit específics que són d'interès per a un dispositiu de seguretat concret i es poden utilitzar àmpliament per al desplegament de dispositius especials d'auditoria de seguretat (RDP, SSH, auditoria de bases de dades, etc.).
5.4 Protecció en sèrie amb càrrega equilibrada
El Mylinking™ "Network Tap Bypass Switch" es desplega en línia entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan el rendiment de processament d'un únic IPS/FW no és suficient per fer front al trànsit màxim d'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" del trànsit d'enllaç de xarxa de processament de múltiples clústers IPS/FW, pot reduir eficaçment la pressió de processament d'un únic IPS/FW, millorar el rendiment general del processament per satisfer l'elevat ample de banda de l'entorn de desplegament.
Mylinking™ "Network Tap Bypass Switch" té una potent funció d'equilibri de càrrega, segons l'etiqueta VLAN del marc, la informació MAC, la informació IP, el número de port, el protocol i altra informació sobre la distribució de l'equilibri de càrrega Hash del trànsit per garantir que cada IPS/FW rebi la integritat de la sessió del flux de dades.
5.5 Protecció de tracció de flux d'equips en línia multi-sèrie (canviar la connexió sèrie a connexió paral·lela)
En alguns enllaços clau (com ara punts de connexió a Internet, enllaços d'intercanvi d'àrea de servidors), la ubicació sovint es deu a les necessitats de funcions de seguretat i al desplegament de múltiples equips de proves de seguretat en línia (com ara tallafocs (FW), equips anti-atac DDOS, tallafocs d'aplicacions web (WAF), sistemes de prevenció d'intrusions (IPS), etc.), múltiples equips de detecció de seguretat alhora en sèrie a l'enllaç per augmentar la fallada d'un sol punt d'enllaç, reduint la fiabilitat general de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant un llarg període i una acció de tall de projectes més grans per completar la implementació amb èxit d'aquests projectes.
Mitjançant la implementació del "Network Tap Bypass Switch" de manera unificada, el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "concatenació física, mode de concatenació lògica". L'enllaç a l'enllaç d'un únic punt de fallada per millorar la fiabilitat de l'enllaç, mentre que el "bypass switch" al flux d'enllaç sota demanda de tracció, per aconseguir el mateix flux amb el mode original d'efecte de processament segur.
Més d'un dispositiu de seguretat alhora com a diagrama de desplegament en línia:
Diagrama de desplegament del commutador de bypass TAP de xarxa Mylinking™:
5.6 Basat en l'estratègia dinàmica de la protecció per detecció de seguretat de tracció del trànsit
"Commutador de derivació de tap de xarxa" Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció de detecció de seguretat de tracció del trànsit, el desplegament de la manera que es mostra a continuació:
Per exemple, si es prenen les proves de seguretat de "protecció i detecció d'atacs anti-DDoS", mitjançant el desplegament frontal del "Network Tap Bypass Switch" i després l'equip de protecció anti-DDOS connectat al "Network Tap Bypass Switch", en el "Protector de tracció" habitual, es redirigeix la quantitat total de trànsit a velocitat de cable alhora que la sortida del mirall de flux al "Dispositiu de protecció contra atacs anti-DDOS". Un cop detectada la IP del servidor (o segment de xarxa IP) després de l'atac, el "Dispositiu de protecció contra atacs anti-DDOS" generarà les regles de coincidència del flux de trànsit objectiu i les enviarà al "Network Tap Bypass Switch" a través de la interfície de lliurament de polítiques dinàmiques. El "Network Tap Bypass Switch" pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de polítiques dinàmiques del grup de regles i immediatament la "regla colpeja el trànsit del servidor d'atac i "tracta l'equip de protecció i detecció d'atacs anti-DDoS" per al processament, de manera que el flux d'atac sigui efectiu i després es torni a injectar a la xarxa.
L'esquema d'aplicació basat en el "Network Tap Bypass Switch" és més fàcil d'implementar que la injecció de rutes BGP tradicional o altres esquemes de tracció de trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
El "Network Tap Bypass Switch" té les característiques següents per admetre la protecció dinàmica per detecció de seguretat de polítiques:
1, "Commutador de derivació de tap de xarxa" per proporcionar fora de les regles basades en la interfície WEBSERVICE, fàcil integració amb dispositius de seguretat de tercers.
2, "Commutador de derivació de tap BNetwork" basat en el xip ASIC pur de maquinari que reenvia paquets a velocitat de cable de fins a 10 Gbps sense bloquejar el reenviament del commutador i "biblioteca de regles dinàmiques de tracció del trànsit" independentment del nombre.
3, la funció BYPASS professional integrada del "Network Tap Bypass Switch", fins i tot si el protector falla, també pot ignorar l'enllaç sèrie original immediatament, sense afectar l'enllaç original de la comunicació normal.
