Mylinking™ Network Tap Bypass Switch ML-BYPASS-200
2 * Bypass máis 1 * Monitor de deseño modular, enlaces 10/40/100GE, 640 Gbps máximo
1- Visións xerais
Ao implementar Mylinking™ Smart Bypass Switch:
- Os usuarios poden instalar/desinstalar equipos de seguridade de forma flexible e non afectarán á rede actual nin interromperán;
- Mylinking™ Network Tap Bypass Switch con función de detección de saúde intelixente para o seguimento en tempo real do estado de funcionamento normal do dispositivo de seguridade en serie, unha vez que a excepción do dispositivo de seguridade en serie funcione, a protección evitarase automaticamente para manter a comunicación normal da rede;
- A tecnoloxía de protección selectiva do tráfico pódese usar para implementar equipos de seguridade específicos de limpeza de tráfico, tecnoloxía de cifrado baseada no equipo de auditoría.Realice eficazmente a protección de acceso en serie para o tipo de tráfico específico, descargando a presión de manexo do fluxo do dispositivo en serie;
- A tecnoloxía Load Balanced Traffic Protection pódese usar para a implantación en clúster de dispositivos en serie seguros para satisfacer a necesidade de seguridade en serie en ambientes de gran ancho de banda.
Co rápido desenvolvemento de Internet, a ameaza da seguridade da información da rede é cada vez máis grave, polo que unha variedade de aplicacións de protección de seguridade da información úsanse cada vez máis amplamente.Tanto se se trata dun equipo tradicional de control de acceso (firewall) como dun novo tipo de medios de protección máis avanzados, como o sistema de prevención de intrusións (IPS), a plataforma unificada de xestión de ameazas (UTM), o sistema de ataque de servizo anti-denegación (Anti-DDoS), o sistema anti-intrusión. span Gateway, Unified DPI Traffic Identification and Control System, e moitos dispositivos de seguridade están implantados en serie nos nodos clave de rede, a implementación da correspondente política de seguridade de datos para identificar e xestionar o tráfico legal / ilegal.Ao mesmo tempo, con todo, a rede de ordenadores xerará un gran atraso de rede ou mesmo unha interrupción da rede en caso de falla, mantemento, actualización, substitución de equipos, etc. nun ambiente de aplicación de rede de produción altamente fiable, os usuarios non poden soportar isto.
2- Rede Tap Bypass Switch Funcións e tecnoloxías avanzadas
Modo de protección "SpecFlow" Mylinking™ e tecnoloxía de modo de protección "FullLink".
Tecnoloxía de protección de conmutación de bypass rápido Mylinking™
Tecnoloxía "LinkSafeSwitch" Mylinking™
Mylinking™ "WebService" Estratexia dinámica de reenvío/tecnoloxía de problemas
Tecnoloxía intelixente de detección de mensaxes de latido cardíaco Mylinking™
Tecnoloxía de mensaxes de latido cardíaco definible Mylinking™
Tecnoloxía de equilibrio de carga Mylinking™ Multi-link
Tecnoloxía de distribución de tráfico intelixente Mylinking™
Tecnoloxía de equilibrio de carga dinámica Mylinking™
Tecnoloxía de xestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
3- Guía de configuración do interruptor de derivación de toque de rede
BYPASSRanura do módulo de porto de protección:
Este slot pódese inserir no módulo de porto de protección BYPASS cun número de porto/velocidade diferente.Ao substituír diferentes tipos de módulos, pode admitir a protección BYPASS de múltiples ligazóns 10G/40G/100G.
MONITORRanura do módulo de porto;
Este slot pódese inserir no módulo de porto MONITOR con diferentes velocidades/portos.Pode admitir a implantación de dispositivos de monitorización en serie de varias ligazóns 10G/40G/100G substituíndo diferentes modelos.
Regras de selección de módulos
Con base en diferentes ligazóns despregadas e requisitos de implantación de equipos de monitorización, pode escoller de forma flexible diferentes configuracións de módulos para satisfacer as necesidades reais do seu contorno;siga as seguintes regras ao seleccionar:
1. Os compoñentes do chasis son obrigatorios e debes seleccionar os compoñentes do chasis antes de seleccionar outros módulos.Ao mesmo tempo, escolla diferentes métodos de alimentación (AC/DC) segundo as súas necesidades.
2. Toda a máquina admite ata 2 ranuras para módulo BYPASS e 1 ranura para módulo MONITOR;non pode seleccionar máis que o número de slots para configurar.En función da combinación do número de slots e do modelo de módulo, o dispositivo pode soportar ata catro proteccións de enlace 10GE;ou pode soportar ata catro ligazóns 40GE;ou pode admitir ata unha ligazón 100GE.
3. O modelo de módulo "BYP-MOD-L1CG" só se pode inserir no SLOT1 para funcionar correctamente.
4. O tipo de módulo "BYP-MOD-XXX" só se pode inserir na ranura do módulo BYPASS;o tipo de módulo "MON-MOD-XXX" só se pode inserir na ranura do módulo MONITOR para o funcionamento normal.
| Modelo de produto | Parámetros da función |
| Chasis (anfitrión) | |
| ML-BYPASS-M200 | Montaxe en rack estándar 1U de 19 polgadas;consumo máximo de enerxía 250W;anfitrión protector modular BYPASS;2 ranuras para módulos BYPASS;1 ranura para módulo MONITOR;AC e DC opcional; |
| MÓDULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serie enlace 10GE bidireccional, interface 4*10GE, conector LC;transceptor óptico incorporado;enlace óptico único/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serie enlace 40GE bidireccional, interface 4*40GE, conector LC;transceptor óptico incorporado;enlace óptico único/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección serie de enlace 100GE de 1 canle, interface 2*100GE, conector LC;transceptor óptico incorporado;enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITOR | |
| MON-MOD-L16XG | Módulo de porto de monitorización SFP+ 16*10GE;sen módulo de transceptor óptico; |
| MON-MOD-L8XG | Módulo de porto de monitorización SFP+ 8*10GE;sen módulo de transceptor óptico; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 módulo de porto de monitorización;sen módulo de transceptor óptico; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ módulo de porto de monitorización;sen módulo de transceptor óptico; |
4- Especificacións do interruptor de derivación TAP de rede
| Modalidade do produto | Interruptor de derivación serie ML-BYPASS-M200 | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de xestión adaptativa;Admite a xestión remota de HTTP/IP |
| Ranura para módulos | 2 * ranura para módulo BYPASS; 1 * ranura para módulo MONITOR; | |
| Ligazóns que admiten o máximo | O dispositivo admite un máximo de ligazóns 4*10GE ou ligazóns 4*40GE ou ligazóns 1*100GE | |
| Monitor | O dispositivo admite un máximo de portos de monitorización de 16 * 10 GE ou portos de monitorización de 8 * 40 GE ou portos de monitorización de 2 * 100 GE; | |
| Función | Capacidade de procesamento dúplex completo | 640 Gbps |
| Baseado na protección en cascada de tráfico específica de IP/protocolo/porto cinco tuplas | Apoiar | |
| Protección en cascada baseada no tráfico total | Apoiar | |
| Equilibrio de carga múltiple | Apoiar | |
| Función personalizada de detección de latidos cardíacos | Apoiar | |
| Admite a independencia do paquete Ethernet | Apoiar | |
| INTERRUPTOR DE BYPASS | Apoiar | |
| Interruptor BYPASS sen flash | Apoiar | |
| CONSOLA MGT | Apoiar | |
| MGT IP/WEB | Apoiar | |
| SNMP V1/V2C MGT | Apoiar | |
| TELNET/SSH MGT | Apoiar | |
| Protocolo SYSLOG | Apoiar | |
| Autorización do usuario | Baseado na autorización de contrasinal/AAA/TACACS+ | |
| Eléctrico | Tensión nominal de alimentación | AC-220V/DC-48V【Opcional】 |
| Frecuencia de potencia nominal | 50 Hz | |
| Intensidade de entrada nominal | AC-3A/DC-10A | |
| Potencia nominal | 100 W | |
| Medio ambiente | Temperatura de traballo | 0-50 ℃ |
| Temperatura de almacenamento | -20-70 ℃ | |
| Humidade de traballo | 10%-95%, sen condensación | |
| Configuración de usuario | Configuración da consola | Interface RS232,115200,8,N,1 |
| Interface MGT fóra de banda | Interfaz Ethernet 1*10/100/1000M | |
| Autorización de contrasinal | Apoiar | |
| Altura do chasis | Espazo do chasis (U) | 1U 19 polgadas, 485 mm * 44,5 mm * 350 mm |
5- Aplicación de conmutador de derivación TAP de rede (como a continuación)
O seguinte é un IPS típico (Sistema de prevención de intrusións), FW (Firewall) modo de implantación, IPS / FW se desprega en serie para os equipos de rede (routers, switches, etc.) entre o tráfico mediante a implementación de controis de seguridade, segundo a correspondente política de seguridade para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
Ao mesmo tempo, podemos observar IPS / FW como un despregamento en serie do equipo, normalmente despregado na localización clave da rede empresarial para implementar a seguridade en serie, a fiabilidade dos seus dispositivos conectados afecta directamente a dispoñibilidade global da rede empresarial.Unha vez que os dispositivos en serie se sobrecarguen, fallen, actualizacións de software, actualizacións de políticas, etc., toda a dispoñibilidade da rede empresarial verase moi afectada.Neste punto, só a través do corte de rede, puente de derivación física pode facer que a rede se restableza, afectando seriamente a fiabilidade da rede.IPS / FW e outros dispositivos en serie, por unha banda, melloran a implantación da seguridade da rede empresarial, por outra banda, tamén reducen a fiabilidade das redes empresariais, aumentando o risco de que a rede non estea dispoñible.
5.2 Protección de equipos da serie de enlaces en liña
Mylinking™ "Conmutador de derivación" implícase en serie entre os dispositivos de rede (routers, conmutadores, etc.), e o fluxo de datos entre os dispositivos de rede xa non conduce directamente a IPS / FW, "Conmutador de derivación" a IPS / FW, cando o IPS / FW debido á sobrecarga, fallo, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o "Bypass Switch" mediante a detección de mensaxes intelixentes de latido cardíaco Función de descubrimento oportuno e, polo tanto, saltar o dispositivo avariado, sen interromper a premisa da rede, o equipo de rede rápida conectado directamente para protexer a rede de comunicación normal;cando a recuperación de fallo IPS / FW, pero tamén a través de paquetes intelixentes de latido cardíaco Detección de detección oportuna da función, a ligazón orixinal para restaurar a seguridade das comprobacións de seguridade da rede empresarial.
Mylinking™ "Bypass Switch" ten unha poderosa función de detección de mensaxes de latido cardíaco intelixente, o usuario pode personalizar o intervalo de latido cardíaco e o número máximo de reintentos, a través dunha mensaxe de latido cardíaco personalizada no IPS / FW para probas de saúde, como enviar a mensaxe de verificación do latido cardíaco. ao porto ascendente / descendente de IPS / FW e, a continuación, reciba desde o porto ascendente / descendente de IPS / FW e xulgue se o IPS / FW funciona normalmente enviando e recibindo a mensaxe de latido cardíaco.
5.3 Protección da serie de tracción en liña de fluxo de políticas "SpecFlow".
Cando o dispositivo de rede de seguranza só necesita xestionar o tráfico específico na protección de seguranza en serie, a través da función de procesamento de tráfico Mylinking™ "Bypass Switch", a través da estratexia de control de tráfico para conectar o dispositivo de seguridade "En cuestión" o tráfico envíase de volta directamente ao enlace de rede e a "sección de tráfico en cuestión" é a tracción ao dispositivo de seguridade en liña para realizar comprobacións de seguridade.Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión;ao mesmo tempo, o "Interruptor de derivación" pode detectar o estado de traballo do dispositivo de seguridade en tempo real.O dispositivo de seguridade funciona de forma anormal evita o tráfico de datos directamente para evitar a interrupción do servizo de rede.
O Mylinking™ Traffic Bypass Protector pode identificar o tráfico baseándose no identificador de cabeceira da capa L2-L4, como a etiqueta VLAN, o enderezo MAC de orixe/destino, o enderezo IP de orixe, o tipo de paquete IP, o porto de protocolo da capa de transporte, a etiqueta clave da cabeceira do protocolo, etc. on.Pódense definir de forma flexible unha variedade de condicións de coincidencia combinación flexible para definir os tipos de tráfico específicos que son de interese para un dispositivo de seguranza particular e poden ser amplamente utilizados para a implantación de dispositivos especiais de auditoría de seguridade (RDP, SSH, auditoría de bases de datos, etc.) .
5.4 Protección de serie equilibrada de carga
O "Bypass Switch" Mylinking™ está implantado en serie entre dispositivos de rede (routers, switches, etc.).Cando un único rendemento de procesamento IPS / FW non é suficiente para facer fronte ao tráfico máximo de enlace de rede, a función de equilibrio de carga de tráfico do protector, o "agrupamento" de múltiples IPS / FW procesamento de clúster de tráfico de enlace de rede, pode reducir eficazmente o único IPS / Presión de procesamento FW, mellorar o rendemento xeral de procesamento para cumprir o alto ancho de banda do ambiente de implantación Reclamación.
Mylinking™ "Bypass Switch" ten unha poderosa función de equilibrio de carga, segundo a etiqueta VLAN do marco, a información MAC, a información IP, o número de porto, o protocolo e outra información sobre a distribución do tráfico de equilibrio de carga Hash para garantir que cada IPS / FW reciba datos. fluxo Integridade da sesión.
5.5 Protección de tracción de fluxo de equipos en liña multiserie (cambiar conexión en serie a conexión paralela)
Nalgunhas ligazóns clave (como as tomas de Internet, o enlace de intercambio da área do servidor) a localización adoita ser debido ás necesidades de funcións de seguridade e á implantación de varios equipos de proba de seguridade en liña (como firewall, equipos de ataque anti-DDOS, firewall de aplicacións WEB). , Equipos de prevención de intrusións, etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a ligazón dun único punto de falla, reducindo a fiabilidade xeral da rede.E na implantación en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán a interrupción do servizo da rede durante moito tempo e unha acción de corte de proxecto máis grande para completar a implantación exitosa destes proxectos.
Ao implementar o "Bypass Switch" de forma unificada, o modo de despregamento de varios dispositivos de seguridade conectados en serie na mesma ligazón pódese cambiar de "modo de concatenación física" a "modo de concatenación física, modo de concatenación lóxica" A ligazón da ligazón de un único punto de falla para mellorar a fiabilidade do enlace, mentres que o "interruptor de derivación" no fluxo de enlace na tracción da demanda, para lograr o mesmo fluxo co modo orixinal de efecto de procesamento seguro.
Máis dun dispositivo de seguridade ao mesmo tempo no diagrama de implantación en serie:
Diagrama de implantación do interruptor de derivación TAP de rede Mylinking™:
5.6 Baseado na Estratexia Dinámica de Protección de Detección de Seguridade de Tracción de Tráfico
"Bypass Switch" Outro escenario de aplicacións avanzadas baséase na estratexia dinámica das aplicacións de protección de detección de seguridade de tracción de tráfico, o despregue do xeito como se mostra a continuación:
Tome o equipo de proba de seguridade "Protección e detección de ataques anti-DDoS", por exemplo, a través da implantación frontal de "Bloqueo de derivación" e despois o equipo de protección anti-DDOS e despois conectado ao "Interruptor de derivación", como é habitual. Protector de tracción "a toda a cantidade de tráfico de reenvío á velocidade de cable ao mesmo tempo que o espello de fluxo saíu ao" dispositivo de protección contra ataques anti-DDOS ", unha vez detectado para un servidor IP (ou segmento de rede IP) despois do ataque", anti -Dispositivo de protección contra ataques DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e enviaraas ao "Conmutador de derivación" a través da interface de entrega de políticas dinámicas.O "Conmutador de derivación" pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica. A regra do conxunto de regras "e inmediatamente" afecta ao tráfico do servidor de ataque "tracción ao" equipo de detección e protección contra ataques anti-DDoS para procesar, efectivo despois do fluxo de ataque e despois reinxectado na rede.
O esquema de aplicación baseado no "Conmutador de derivación" é máis fácil de implementar que a inxección de ruta BGP tradicional ou outro esquema de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.
O "Bypass Switch" ten as seguintes características para admitir a protección de detección de seguranza de políticas dinámicas:
1, "Bloquear interruptor" para proporcionar fóra das regras baseada na interface WEBSERIVCE, fácil integración con dispositivos de seguridade de terceiros.
2, "Conmutador de derivación" baseado no reenvío de chip ASIC puro de hardware ata paquetes de velocidade de cable de 10 Gbps sen bloquear o reenvío de conmutadores e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3, a función BYPASS profesional integrada "Interruptor de derivación", aínda que o propio protector falle, tamén pode ignorar a ligazón en serie orixinal inmediatamente, non afecta a ligazón orixinal de comunicación normal.
