Interruptor de derivació de tap de xarxa Mylinking™ ML-BYPASS-200
Disseny modular de 2 bypass més 1 monitor, enllaços 10/40/100GE, màxim 640 Gbps
1-Descripcions generals
En implementar el commutador de bypass intel·ligent Mylinking™:
- Els usuaris poden instal·lar/desinstal·lar equips de seguretat de manera flexible i no afectarà la xarxa actual ni les interrupcions;
- Commutador de derivació de tap de xarxa Mylinking™ amb funció intel·ligent de detecció de l'estat per a la supervisió en temps real de l'estat de funcionament normal del dispositiu de seguretat sèrie. Un cop que el dispositiu de seguretat sèrie funciona de manera incorrecta, la protecció s'ometrà automàticament per mantenir la comunicació de xarxa normal;
- La tecnologia de protecció selectiva del trànsit es pot utilitzar per desplegar equips de seguretat de neteja de trànsit específics, tecnologia de xifratge basada en l'equip d'auditoria. Dur a terme eficaçment la protecció d'accés en sèrie per al tipus de trànsit específic, descarregant la pressió de maneig del flux del dispositiu en sèrie;
- La tecnologia de protecció del trànsit amb càrrega equilibrada es pot utilitzar per a la implementació en clúster de dispositius sèrie segurs per satisfer la necessitat de seguretat sèrie en entorns d'ample de banda elevat.
Amb el ràpid desenvolupament d'Internet, l'amenaça a la seguretat de la informació de xarxa és cada cop més greu, de manera que s'utilitzen cada cop més diverses aplicacions de protecció de la seguretat de la informació. Tant si es tracta d'equips de control d'accés tradicionals (tallafocs) com d'un nou tipus de mitjans de protecció més avançats, com ara el sistema de prevenció d'intrusions (IPS), la plataforma unificada de gestió d'amenaces (UTM), el sistema d'atacs antidenejació de servei (Anti-DDoS), la passarel·la anti-span, el sistema unificat d'identificació i control de trànsit DPI, i molts dispositius de seguretat es despleguen en sèrie als nodes clau de la xarxa, implementant la política de seguretat de dades corresponent per identificar i tractar el trànsit legal/il·legal. Al mateix temps, però, la xarxa informàtica generarà un gran retard de xarxa o fins i tot interrupcions de la xarxa en cas de fallada, manteniment, actualització, substitució d'equips, etc. en un entorn d'aplicacions de xarxa de producció altament fiable, i els usuaris no ho poden suportar.
Funcions i tecnologies avançades del commutador de derivació de 2 taps de xarxa
Mode de protecció Mylinking™ "SpecFlow" i tecnologia de mode de protecció "FullLink"
Tecnologia de protecció de commutació de bypass ràpid Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de reenviament/incidència d'estratègia dinàmica "WebService" de Mylinking™
Tecnologia de detecció de missatges de batecs intel·ligents Mylinking™
Tecnologia de missatges de batec definibles Mylinking™
Tecnologia d'equilibri de càrrega multienllaç Mylinking™
Tecnologia de distribució intel·ligent de trànsit Mylinking™
Tecnologia de balanceig de càrrega dinàmic Mylinking™
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuració del commutador de derivació de 3 taps de xarxa
BYPASSRanura del mòdul de port de protecció:
Aquesta ranura es pot inserir en un mòdul de port de protecció BYPASS amb diferents velocitats/números de port. En substituir diferents tipus de mòduls, pot admetre la protecció BYPASS de múltiples enllaços de 10G/40G/100G.
MONITORRanura del mòdul de port;
Aquesta ranura es pot inserir al mòdul de port MONITOR amb diferents velocitats/ports. Pot admetre el desplegament de múltiples dispositius de monitorització en sèrie en línia d'enllaç 10G/40G/100G substituint diferents models.
Regles de selecció de mòduls
En funció dels diferents enllaços desplegats i els requisits de desplegament de l'equip de monitorització, podeu triar de manera flexible diferents configuracions de mòduls per satisfer les necessitats reals del vostre entorn; seguiu les regles següents a l'hora de seleccionar:
1. Els components del xassís són obligatoris i cal seleccionar-los abans de seleccionar qualsevol altre mòdul. Al mateix temps, si us plau, trieu diferents mètodes d'alimentació (CA/CC) segons les vostres necessitats.
2. Tota la màquina admet fins a 2 ranures per a mòduls BYPASS i 1 ranura per a mòduls MONITOR; no podeu seleccionar més ranures que les que voleu configurar. Segons la combinació del nombre de ranures i el model de mòdul, el dispositiu pot admetre fins a quatre proteccions d'enllaç de 10GE; o pot admetre fins a quatre enllaços de 40GE; o pot admetre fins a un enllaç de 100GE.
3. El model de mòdul "BYP-MOD-L1CG" només es pot inserir a SLOT1 per funcionar correctament.
4. El mòdul tipus "BYP-MOD-XXX" només es pot inserir a la ranura del mòdul BYPASS; el mòdul tipus "MON-MOD-XXX" només es pot inserir a la ranura del mòdul MONITOR per al funcionament normal.
| Model de producte | Paràmetres de funció |
| Xassís (amfitrió) | |
| ML-BYPASS-M200 | Muntatge en rack estàndard d'1U de 19 polzades; consum màxim d'energia de 250 W; amfitrió de protector BYPASS modular; 2 ranures per a mòdul BYPASS; 1 ranura per a mòdul MONITOR; CA i CC opcionals; |
| MÒDUL DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Admet protecció d'enllaç sèrie 10GE de 2 vies, interfície 4*10GE, connector LC; transceptor òptic integrat; enllaç òptic monomode/multimode opcional, admet 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admet protecció d'enllaç sèrie de 40GE de 2 vies, interfície 4*40GE, connector LC; transceptor òptic integrat; enllaç òptic monomode/multimode opcional, admet 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admet protecció d'enllaç sèrie d'1 canal 100GE, interfície 2 * 100GE, connector LC; transceptor òptic integrat; enllaç òptic multimode únic opcional, admet 100GBASE-SR4/LR4; |
| MÒDUL DE MONITOR | |
| MON-MOD-L16XG | Mòdul de port de monitorització SFP+ de 16*10GE; sense mòdul transceptor òptic; |
| MON-MOD-L8XG | Mòdul de port de monitorització SFP+ de 8*10GE; sense mòdul transceptor òptic; |
| MON-MOD-L2CG | Mòdul de port de monitorització QSFP28 2*100GE; sense mòdul transceptor òptic; |
| MON-MOD-L8QXG | Mòdul de port de monitorització QSFP+ de 8* 40GE; sense mòdul transceptor òptic; |
Especificacions del commutador de derivació TAP de 4 xarxes
| Modalitat del producte | Commutador de bypass sèrie ML-BYPASS-M200 | |
| Tipus d'interfície | Interfície MGT | 1 interfície de gestió adaptativa 10/100/1000BASE-T; Admet la gestió remota HTTP/IP |
| Ranura del mòdul | 2 ranures per a mòduls BYPASS; 1 ranura per a mòduls MONITOR; | |
| Enllaços que donen suport al màxim | El dispositiu admet un màxim d'enllaços de 4 * 10GE o enllaços de 4 * 40GE o enllaços d'1 * 100GE | |
| Monitor | El dispositiu admet un màxim de 16 ports de monitorització de 10GE o 8 ports de monitorització de 40GE o 2 ports de monitorització de 100GE; | |
| Funció | Capacitat de processament dúplex complet | 640 Gbps |
| Basat en la protecció en cascada de trànsit específic de cinc tuples d'IP/protocol/port | Suport | |
| Protecció en cascada basada en el trànsit complet | Suport | |
| Equilibri de càrrega múltiple | Suport | |
| Funció de detecció de batecs cardíacs personalitzada | Suport | |
| Suport a la independència del paquet Ethernet | Suport | |
| INTERRUPTOR DE BYPASS | Suport | |
| Interruptor BYPASS sense flaix | Suport | |
| GESTIÓ DE CONSOLES | Suport | |
| Gestió IP/WEB | Suport | |
| Gestió SNMP V1/V2C | Suport | |
| Gestió de TELNET/SSH | Suport | |
| Protocol SYSLOG | Suport | |
| Autorització d'usuari | Basat en l'autorització de contrasenya/AAA/TACACS+ | |
| Elèctric | Tensió d'alimentació nominal | CA-220V/CC-48V【Opcional】 |
| Freqüència de potència nominal | 50 Hz | |
| Corrent d'entrada nominal | CA-3A / CC-10A | |
| Potència nominal | 100W | |
| Medi ambient | Temperatura de treball | 0-50℃ |
| Temperatura d'emmagatzematge | -20-70 ℃ | |
| Humitat de treball | 10%-95%, sense condensació | |
| Configuració de l'usuari | Configuració de la consola | Interfície RS232, 115200, 8, N, 1 |
| Interfície MGT fora de banda | Interfície Ethernet 1*10/100/1000M | |
| Autorització de contrasenya | Suport | |
| Alçada del xassís | Espai del xassís (U) | 1U 19 polzades, 485 mm * 44,5 mm * 350 mm |
Aplicació del commutador de derivació TAP de 5 xarxes (com s'indica a continuació)
El següent és un mode de desplegament típic d'IPS (Intrusion Prevention System) i FW (Firewall). IPS/FW es desplega en sèrie amb els equips de xarxa (encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de comprovacions de seguretat, d'acord amb la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS/FW com un desplegament en sèrie de l'equip, generalment desplegat en la ubicació clau de la xarxa empresarial per implementar la seguretat en sèrie. La fiabilitat dels dispositius connectats afecta directament la disponibilitat general de la xarxa empresarial. Quan els dispositius en sèrie es sobrecarreguen, es bloquegen, s'actualitzen el programari, es actualitzen les polítiques, etc., la disponibilitat de tota la xarxa empresarial es veurà molt afectada. En aquest punt, només mitjançant un tall de xarxa o un jumper de bypass físic es pot restaurar la xarxa, cosa que afecta seriosament la fiabilitat de la xarxa. IPS/FW i altres dispositius en sèrie, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, però de l'altra, també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
5.2 Protecció d'equips de la sèrie Inline Link
El "Bypass Switch" de Mylinking™ es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.) i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS/FW, sinó que el "Bypass Switch" passa a IPS/FW. Quan l'IPS/FW falla a causa d'una sobrecàrrega, bloqueig, actualitzacions de programari, actualitzacions de polítiques i altres condicions d'error, el "Bypass Switch" realitza un descobriment oportú a través de la funció intel·ligent de detecció de missatges de batec del cor, i així omet el dispositiu defectuós, sense interrompre la premissa de la xarxa, l'equip de xarxa connectat directament ràpidament per protegir la xarxa de comunicació normal; quan la recuperació d'errors d'IPS/FW, però també a través de la detecció intel·ligent de paquets de batec del cor, la detecció oportú de la funció intel·ligent de detecció de paquets de batec del cor, l'enllaç original per restaurar la seguretat de les comprovacions de seguretat de la xarxa empresarial.
Mylinking™ "Bypass Switch" té una potent funció intel·ligent de detecció de missatges de batecs cardíacs. L'usuari pot personalitzar l'interval de batecs cardíacs i el nombre màxim d'intents mitjançant un missatge de batec cardíac personalitzat a l'IPS/FW per a proves d'estat, com ara enviar el missatge de comprovació de batecs cardíacs al port aigües amunt/avall de l'IPS/FW i, a continuació, rebre'l del port aigües amunt/avall de l'IPS/FW, i jutjar si l'IPS/FW funciona normalment enviant i rebent el missatge de batec cardíac.
5.3 Flux de polítiques "SpecFlow" Protecció en sèrie de tracció en línia
Quan el dispositiu de xarxa de seguretat només necessita gestionar el trànsit específic en la protecció de seguretat en sèrie, a través de la funció de processament del trànsit "Bypass Switch" de Mylinking™, mitjançant l'estratègia de filtratge del trànsit per connectar el dispositiu de seguretat, el trànsit "Concerned" es reenvia directament a l'enllaç de xarxa, i la "secció de trànsit concerned" es dirigeix al dispositiu de seguretat en línia per realitzar comprovacions de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Bypass Switch" pot detectar l'estat de funcionament del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal i evita directament el trànsit de dades per evitar la interrupció del servei de xarxa.
El Mylinking™ Traffic Bypass Protector pot identificar el trànsit basant-se en l'identificador de la capçalera de la capa L2-L4, com ara l'etiqueta VLAN, l'adreça MAC d'origen/destí, l'adreça IP d'origen, el tipus de paquet IP, el port del protocol de la capa de transport, l'etiqueta clau de la capçalera del protocol, etc. Es pot definir de manera flexible una varietat de combinacions flexibles de condicions de coincidència per definir els tipus de trànsit específics que són d'interès per a un dispositiu de seguretat concret i es poden utilitzar àmpliament per al desplegament de dispositius especials d'auditoria de seguretat (RDP, SSH, auditoria de bases de dades, etc.).
5.4 Protecció en sèrie amb càrrega equilibrada
El "Bypass Switch" Mylinking™ es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan el rendiment de processament d'un únic IPS/FW no és suficient per fer front al trànsit màxim d'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" del trànsit d'enllaç de xarxa de processament de múltiples clústers IPS/FW, pot reduir eficaçment la pressió de processament d'un únic IPS/FW, millorar el rendiment general del processament per satisfer l'elevat ample de banda de l'entorn de desplegament.
Mylinking™ "Bypass Switch" té una potent funció d'equilibri de càrrega, segons l'etiqueta VLAN del marc, la informació MAC, la informació IP, el número de port, el protocol i altra informació sobre la distribució de l'equilibri de càrrega Hash del trànsit per garantir que cada sessió de flux de dades IPS/FW rebuda mantingui la integritat.
5.5 Protecció de tracció de flux d'equips en línia multi-sèrie (canviar la connexió sèrie a connexió paral·lela)
En alguns enllaços clau (com ara punts de connexió a Internet, enllaços d'intercanvi d'àrea de servidors), la ubicació sovint es deu a les necessitats de funcions de seguretat i al desplegament de múltiples equips de proves de seguretat en línia (com ara tallafocs, equips anti-atac DDOS, tallafocs d'aplicacions WEB, equips de prevenció d'intrusions, etc.), múltiples equips de detecció de seguretat alhora en sèrie a l'enllaç per augmentar la connexió d'un únic punt de fallada, reduint la fiabilitat general de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant un llarg període i una acció de tall de projectes més grans per completar la implementació amb èxit d'aquests projectes.
Mitjançant el desplegament unificat del "commutador de bypass", el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "concatenació física, mode de concatenació lògica". L'enllaç a l'enllaç d'un únic punt de fallada millora la fiabilitat de l'enllaç, mentre que el "commutador de bypass" al flux d'enllaç sota demanda de tracció, per aconseguir el mateix flux amb el mode original d'efecte de processament segur.
Diagrama de desplegament de més d'un dispositiu de seguretat alhora en sèrie:
Diagrama de desplegament del commutador de bypass TAP de xarxa Mylinking™:
5.6 Basat en l'estratègia dinàmica de la protecció per detecció de seguretat de tracció del trànsit
"Commutador de derivació" Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció de detecció de seguretat de tracció del trànsit, el desplegament de la manera que es mostra a continuació:
Per exemple, si es prenen les proves de seguretat de "protecció i detecció d'atacs anti-DDoS", mitjançant el desplegament frontal d'un "Bypass Switch" i després un equip de protecció anti-DDOS connectat al "Bypass Switch", en el "Protector de tracció" habitual, es redirigeix la quantitat total de trànsit a velocitat de cable alhora que la sortida del mirall de flux es dirigeix al "Dispositiu de protecció anti-atacs DDOS". Un cop detectada la IP del servidor (o segment de xarxa IP) després de l'atac, el "Dispositiu de protecció anti-atacs DDOS" generarà les regles de coincidència del flux de trànsit objectiu i les enviarà al "Bypass Switch" a través de la interfície de lliurament de polítiques dinàmiques. El "Bypass Switch" pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de polítiques dinàmiques i "reunir regles" immediatament, "la regla afecta el trànsit del servidor d'atac i "la tracció" a l'equip de "protecció i detecció d'atacs anti-DDoS" per al seu processament, de manera que el flux d'atac sigui efectiu i després es torni a injectar a la xarxa.
L'esquema d'aplicació basat en el "Bypass Switch" és més fàcil d'implementar que la injecció de rutes BGP tradicional o altres esquemes de tracció de trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
"Bypass Switch" té les característiques següents per admetre la protecció dinàmica per detecció de seguretat de polítiques:
1, "Commutador de bypass" per proporcionar fora de les regles basades en la interfície WEBSERVICE, fàcil integració amb dispositius de seguretat de tercers.
2, "Commutador de bypass" basat en el xip ASIC pur de maquinari que reenvia paquets a velocitat de cable de fins a 10 Gbps sense bloquejar el reenviament del commutador i "biblioteca de regles dinàmiques de tracció del trànsit" independentment del nombre.
3, la funció BYPASS professional integrada "Bypass Switch", fins i tot si el protector falla, també pot ignorar l'enllaç sèrie original immediatament, sense afectar l'enllaç original de la comunicació normal.
