Mylinking™ Network Tap Bypass Switch ML-BYPASS-200
2 * Bypass més 1 * Disseny modular de monitor, enllaços 10/40/100GE, 640 Gbps màxim
1-Descripcions generals
En desplegar Mylinking™ Smart Bypass Switch:
- Els usuaris poden instal·lar/desinstal·lar equips de seguretat de manera flexible i no afectaran la xarxa actual ni interrompran;
- Mylinking™ Network Tap Bypass Switch amb funció de detecció de salut intel·ligent per al monitoratge en temps real de l'estat de funcionament normal del dispositiu de seguretat sèrie, un cop l'excepció de funcionament del dispositiu de seguretat en sèrie, la protecció es desviarà automàticament per mantenir la comunicació normal de la xarxa;
- La tecnologia de protecció selectiva del trànsit es pot utilitzar per desplegar equips específics de seguretat de neteja de trànsit, tecnologia de xifratge basada en l'equip d'auditoria. Realitzeu eficaçment la protecció d'accés en sèrie per al tipus de trànsit específic, descarregant la pressió de gestió del flux del dispositiu en sèrie;
- La tecnologia Load Balanced Traffic Protection es pot utilitzar per al desplegament en clúster de dispositius sèrie segurs per satisfer la necessitat de seguretat en sèrie en entorns d'ample de banda elevat.
Amb el ràpid desenvolupament d'Internet, l'amenaça de la seguretat de la informació de la xarxa és cada cop més greu, de manera que una varietat d'aplicacions de protecció de seguretat de la informació s'utilitzen cada cop més àmpliament. Tant si es tracta d'equips de control d'accés tradicionals (tallafocs) com d'un nou tipus de mitjans de protecció més avançats, com ara el sistema de prevenció d'intrusions (IPS), la plataforma unificada de gestió d'amenaces (UTM), el sistema d'atac de servei anti-denegació (Anti-DDoS), l'anti- span Gateway, Unified DPI Traffic Identification and Control System, i molts dispositius de seguretat es despleguen en sèrie als nodes clau de xarxa, la implementació de la corresponent política de seguretat de dades per identificar i fer front al trànsit legal / il·legal. Al mateix temps, però, la xarxa informàtica generarà un gran retard de la xarxa o fins i tot una interrupció de la xarxa en cas de fallada, manteniment, actualització, substitució d'equips, etc. en un entorn d'aplicació de xarxa de producció altament fiable, els usuaris no ho poden suportar.
2-Xarxa Tap Bypass Switch Funcions i tecnologies avançades
Mode de protecció "SpecFlow" de Mylinking™ i tecnologia de mode de protecció "FullLink".
Tecnologia de protecció de commutació de bypass ràpid Mylinking™
Tecnologia "LinkSafeSwitch" Mylinking™
Mylinking™ "Servei web" d'estratègia dinàmica de reenviament/tecnologia de problemes
Tecnologia intel·ligent de detecció de missatges de ritme cardíac Mylinking™
Tecnologia de missatges de batec cardíac definibles Mylinking™
Tecnologia d'equilibri de càrrega multienllaç Mylinking™
Tecnologia de distribució intel·ligent de trànsit Mylinking™
Tecnologia d'equilibri dinàmic de càrrega Mylinking™
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuració de l'interruptor de bypass de 3 tocs de xarxa
BYPASSRanura del mòdul del port de protecció:
Aquesta ranura es pot inserir al mòdul de port de protecció BYPASS amb un número de port/velocitat diferent. En substituir diferents tipus de mòduls, pot suportar la protecció BYPASS de múltiples enllaços 10G/40G/100G.
MONITORRanura del mòdul de port;
Aquesta ranura es pot inserir al mòdul de port MONITOR amb diferents velocitats/ports. Pot suportar múltiples enllaços 10G/40G/100G per al desplegament de dispositius de monitorització sèrie en línia substituint diferents models.
Normes de selecció de mòduls
A partir de diferents enllaços desplegats i requisits de desplegament d'equips de monitorització, podeu triar de manera flexible diferents configuracions de mòduls per satisfer les vostres necessitats reals de l'entorn; Si us plau, seguiu les regles següents en seleccionar:
1. Els components del xassís són obligatoris i heu de seleccionar els components del xassís abans de seleccionar altres mòduls. Al mateix temps, trieu diferents mètodes d'alimentació (AC/DC) segons les vostres necessitats.
2. Tota la màquina admet fins a 2 ranures de mòdul BYPASS i 1 ranura de mòdul MONITOR; no podeu seleccionar més del nombre d'espais per configurar. Segons la combinació del nombre de ranures i el model de mòdul, el dispositiu pot suportar fins a quatre proteccions d'enllaç 10GE; o pot suportar fins a quatre enllaços 40GE; o pot suportar fins a un enllaç 100GE.
3. El mòdul model "BYP-MOD-L1CG" només es pot inserir a SLOT1 per funcionar correctament.
4. El tipus de mòdul "BYP-MOD-XXX" només es pot inserir a la ranura del mòdul BYPASS; el tipus de mòdul "MON-MOD-XXX" només es pot inserir a la ranura del mòdul MONITOR per al funcionament normal.
Model de producte | Paràmetres de funció |
Xassís (amfitrió) | |
ML-BYPASS-M200 | Muntatge en bastidor estàndard 1U de 19 polzades; consum màxim d'energia 250W; amfitrió protector modular BYPASS; 2 ranures de mòdul BYPASS; 1 ranura per al mòdul MONITOR; AC i DC opcionals; |
MÒDUL DE BYPASS | |
BYP-MOD-L2XG(LM/SM) | Admet protecció sèrie d'enllaç 10GE bidireccional, interfície 4 * 10GE, connector LC; transceptor òptic integrat; enllaç òptic únic/multimode opcional, admet 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Admet protecció sèrie d'enllaç 40GE bidireccional, interfície 4 * 40GE, connector LC; transceptor òptic integrat; enllaç òptic únic/multimode opcional, admet 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Admet protecció sèrie d'enllaços d'1 canal 100GE, interfície 2 * 100GE, connector LC; transceptor òptic integrat; enllaç òptic únic multimode opcional, admet 100GBASE-SR4/LR4; |
MÒDUL DE MONITOR | |
MON-MOD-L16XG | Mòdul de port de supervisió SFP+ de 16 * 10GE; cap mòdul transceptor òptic; |
MON-MOD-L8XG | Mòdul de port de monitorització SFP+ 8 * 10GE; cap mòdul transceptor òptic; |
MON-MOD-L2CG | 2 * 100GE QSFP28 mòdul de port de supervisió; cap mòdul transceptor òptic; |
MON-MOD-L8QXG | 8 * 40GE QSFP+ mòdul de port de supervisió; cap mòdul transceptor òptic; |
Especificacions de l'interruptor de derivació TAP de 4 xarxes
Modalitat de producte | Interruptor de bypass sèrie ML-BYPASS-M200 | |
Tipus d'interfície | Interfície MGT | 1 * 10/100/1000BASE-T Interfície de gestió adaptativa; Admet la gestió remota d'HTTP/IP |
Ranura del mòdul | 2 * ranura del mòdul BYPASS; 1 * ranura del mòdul MONITOR; | |
Enllaços de suport màxim | El dispositiu admet un màxim d'enllaços 4*10GE o enllaços 4*40GE o enllaços 1*100GE | |
Monitor | El dispositiu admet un màxim de ports de supervisió de 16 * 10GE o ports de monitorització de 8 * 40GE o ports de monitorització de 2 * 100GE; | |
Funció | Capacitat de processament dúplex complet | 640 Gbps |
Basat en la protecció en cascada de trànsit específica IP/protocol/port de cinc tuples | Suport | |
Protecció en cascada basada en el trànsit total | Suport | |
Equilibri de càrrega múltiple | Suport | |
Funció personalitzada de detecció de batecs cardíacs | Suport | |
Admet la independència del paquet Ethernet | Suport | |
INTERRUPTOR DE BYPASS | Suport | |
Interruptor BYPASS sense flaix | Suport | |
CONSOLA MGT | Suport | |
MGT IP/WEB | Suport | |
SNMP V1/V2C MGT | Suport | |
TELNET/SSH MGT | Suport | |
Protocol SYSLOG | Suport | |
Autorització d'usuari | Basat en l'autorització de contrasenya/AAA/TACACS+ | |
Elèctric | Tensió nominal d'alimentació | AC-220V/DC-48V【Opcional】 |
Freqüència de potència nominal | 50 Hz | |
Corrent nominal d'entrada | AC-3A / DC-10A | |
Potència nominal | 100W | |
Medi ambient | Temperatura de treball | 0-50 ℃ |
Temperatura d'emmagatzematge | -20-70 ℃ | |
Humitat de treball | 10% -95%, sense condensació | |
Configuració d'usuari | Configuració de la consola | Interfície RS232,115200,8,N,1 |
Interfície MGT fora de banda | Interfície Ethernet 1*10/100/1000M | |
Autorització de contrasenya | Suport | |
Alçada del xassís | Espai del xassís (U) | 1U 19 polzades, 485 mm * 44,5 mm * 350 mm |
Aplicació de commutació de derivació TAP de 5 xarxes (com a continuació)
El següent és un mode de desplegament típic d'IPS (Sistema de prevenció d'intrusions), FW (Firewall), IPS / FW es desplega en sèrie als equips de xarxa (encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de controls de seguretat, segons la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS / FW com un desplegament en sèrie de l'equip, normalment desplegat a la ubicació clau de la xarxa empresarial per implementar la seguretat en sèrie, la fiabilitat dels seus dispositius connectats afecta directament la disponibilitat global de la xarxa empresarial. Una vegada que els dispositius en sèrie es sobrecarreguin, es bloquegen, les actualitzacions de programari, les actualitzacions de polítiques, etc., tota la disponibilitat de la xarxa empresarial es veurà molt afectada. En aquest punt, només a través del tall de la xarxa, el pont de derivació físic pot fer que la xarxa sigui restaurada, afectant seriosament la fiabilitat de la xarxa. IPS / FW i altres dispositius sèrie, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, d'altra banda també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
5.2 Protecció d'equips de la sèrie d'enllaços en línia
Mylinking™ "Bypass Switch" es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.), i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS / FW, "Bypass Switch" a IPS / FW, quan l'IPS / FW a causa de la sobrecàrrega, bloqueig, actualitzacions de programari, actualitzacions de polítiques i altres condicions de fallada, el "Bypass Switch" a través de la funció de detecció de missatges de batecs intel·ligents del descobriment oportú i, per tant, saltar el dispositiu defectuós, sense interrompre la premissa de la xarxa, l'equip de xarxa ràpid connectat directament per protegir la xarxa de comunicació normal; quan la recuperació de fallada IPS / FW, sinó també a través de paquets intel·ligents de batecs cardíacs Detecció de la detecció oportuna de la funció, l'enllaç original per restaurar la seguretat de les comprovacions de seguretat de la xarxa empresarial.
Mylinking™ "Bypass Switch" té una potent funció intel·ligent de detecció de missatges de batecs cardíacs, l'usuari pot personalitzar l'interval de batecs cardíacs i el nombre màxim de reintents, mitjançant un missatge de batecs cardíacs personalitzat a l'IPS / FW per a proves de salut, com ara enviar el missatge de verificació de batecs cardíacs. al port aigües amunt / aigües avall d'IPS / FW, i després rebeu des del port aigües amunt / aigües avall d'IPS / FW i jutgeu si l'IPS / FW funciona normalment mitjançant enviant i rebent el missatge del batec del cor.
5.3 Protecció de sèries de tracció en línia de flux de polítiques "SpecFlow".
Quan el dispositiu de xarxa de seguretat només ha de fer front al trànsit específic de la protecció de seguretat en sèrie, mitjançant la funció de processament de trànsit Mylinking™ "Bypass Switch", mitjançant l'estratègia de detecció de trànsit per connectar el dispositiu de seguretat "Concerned" el trànsit es retorna directament a l'enllaç de xarxa, i la "secció de trànsit en qüestió" és la tracció al dispositiu de seguretat en línia per dur a terme controls de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Bypass Switch" pot detectar l'estat de treball del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal evita el trànsit de dades directament per evitar la interrupció del servei de xarxa.
El Mylinking™ Traffic Bypass Protector pot identificar el trànsit en funció de l'identificador de capçalera de la capa L2-L4, com ara l'etiqueta VLAN, l'adreça MAC d'origen/destinació, l'adreça IP d'origen, el tipus de paquet IP, el port de protocol de la capa de transport, l'etiqueta clau de la capçalera del protocol, etc. activat. Es poden definir de manera flexible una varietat de combinacions flexibles de condicions de concordança per definir els tipus de trànsit específics que són d'interès per a un dispositiu de seguretat particular i es poden utilitzar àmpliament per al desplegament de dispositius especials d'auditoria de seguretat (RDP, SSH, auditoria de bases de dades, etc.) .
5.4 Protecció sèrie equilibrada de càrrega
El Mylinking™ "Bypass Switch" es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan un únic rendiment de processament IPS / FW no és suficient per fer front al trànsit màxim de l'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" de diversos tràfic d'enllaços de xarxa de processament de clúster IPS / FW, poden reduir eficaçment l'únic IPS / Pressió de processament de FW, millora el rendiment general del processament per satisfer l'ample de banda elevat de la reclamació de l'entorn de desplegament.
Mylinking™ "Bypass Switch" té una potent funció d'equilibri de càrrega, d'acord amb l'etiqueta VLAN de trama, informació MAC, informació IP, número de port, protocol i altra informació sobre la distribució d'equilibri de càrrega Hash del trànsit per garantir que cada IPS / FW rebi dades. flux Integritat de la sessió.
5.5 Protecció de tracció de flux d'equips multisèries en línia (canviar la connexió en sèrie a la connexió en paral·lel)
En alguns enllaços clau (com ara punts de venda d'Internet, enllaç d'intercanvi d'àrea del servidor) la ubicació es deu sovint a les necessitats de funcions de seguretat i al desplegament de múltiples equips de prova de seguretat en línia (com ara tallafoc, equips d'atac anti-DDOS, tallafoc d'aplicacions WEB). , equips de prevenció d'intrusions, etc.), múltiples equips de detecció de seguretat al mateix temps en sèrie a l'enllaç per augmentar l'enllaç d'un únic punt de fallada, reduint la fiabilitat global de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant molt de temps i una acció de tall de projecte més gran per completar la implementació amb èxit d'aquests projectes.
En desplegar el "Bypass Switch" d'una manera unificada, el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "mode de concatenació física, mode de concatenació lògica" L'enllaç de l'enllaç de un únic punt de falla per millorar la fiabilitat de l'enllaç, mentre que el "interruptor de derivació" al flux de l'enllaç a la tracció a la demanda, per aconseguir el mateix flux amb el mode original de processament segur efecte.
Més d'un dispositiu de seguretat al mateix temps al diagrama de desplegament en sèrie:
Diagrama de desplegament del commutador de derivació de la xarxa TAP Mylinking™:
5.6 Basat en l'estratègia dinàmica de protecció de detecció de seguretat de tracció del trànsit
"Bypass Switch" Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció de detecció de seguretat de tracció de trànsit, el desplegament de la manera com es mostra a continuació:
Agafeu l'equip de proves de seguretat "Protecció i detecció d'atacs anti-DDoS", per exemple, mitjançant el desplegament frontal de "Bypass Switch" i, a continuació, equips de protecció anti-DDOS i, a continuació, connectat al "Bypass Switch", de manera habitual. Protector de tracció "a la quantitat total d'enviament de velocitat de cable de trànsit al mateix temps que la sortida del mirall de flux al" dispositiu de protecció contra atacs anti-DDOS ", un cop detectat per a una IP de servidor (o segment de xarxa IP) després de l'atac", El dispositiu de protecció contra atacs anti-DDOS "generarà les regles de concordança del flux de trànsit objectiu i les enviarà al "Commutador de derivació" mitjançant la interfície de lliurament de polítiques dinàmiques. El " commutador de derivació " pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de la política dinàmica Grup de regles "i immediatament" la regla va colpejar el trànsit del servidor d'atac "tracció a l'equip de protecció i detecció d'atacs" anti-DDoS per processar, efectiu després del flux d'atac i després es torna a injectar a la xarxa.
L'esquema d'aplicació basat en el "Bypass Switch" és més fàcil d'implementar que la injecció de ruta tradicional BGP o un altre esquema de tracció del trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
"Bypass Switch" té les característiques següents per donar suport a la protecció de detecció de seguretat de política dinàmica:
1, "Bypass Switch" per proporcionar fora de les regles basades en la interfície WEBSERIVCE, una fàcil integració amb dispositius de seguretat de tercers.
2, "Bypass Switch" basat en el reenviament de xip ASIC pur de maquinari fins a paquets de velocitat de cable de 10 Gbps sense bloquejar el reenviament de commutadors i "biblioteca de regles dinàmiques de tracció de trànsit", independentment del nombre.
3, la funció BYPASS professional integrada "Bypass Switch", fins i tot si el protector mateix falla, també pot evitar l'enllaç sèrie original immediatament, no afecta l'enllaç original de la comunicació normal.