Mylinking™ ネットワーク タップ バイパス スイッチ ML-BYPASS-100
2 * バイパスと 1 * モニターのモジュラー設計、10/40/100GE リンク、最大 640 Gbps
概要
Mylinking™ ネットワーク タップ バイパス スイッチは、高いネットワーク信頼性を提供しながら、さまざまな種類のインライン セキュリティ機器を柔軟に導入できるように研究開発されています。
Mylinking™ スマート バイパス スイッチ タップを導入することで、次のことが可能になります。
- ユーザーはセキュリティ機器/ツールを柔軟にインストール/アンインストールでき、現在のネットワークに影響を与えたり中断したりすることはありません。
- Mylinking™ ネットワーク タップ バイパス スイッチは、インライン セキュリティ デバイスの通常の動作状態をリアルタイムで監視するインテリジェントな健全性検出機能を備えています。インライン セキュリティ デバイスが例外的に動作すると、保護機能は自動的にバイパスされ、通常のネットワーク通信が維持されます。
- 選択的トラフィック保護テクノロジーを使用して、特定のトラフィック クリーニング セキュリティ機器、監査機器に基づく暗号化テクノロジーを展開できます。特定のトラフィック タイプに対してインライン アクセス保護を効果的に実行し、インライン デバイスのフロー処理圧力を軽減します。
- 負荷分散トラフィック保護テクノロジは、高帯域幅環境でのインライン セキュリティを満たすセキュア シリアル インライン セキュリティ デバイスのクラスタ化された展開に使用できます。
ネットワークタップバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードと「FullLink」保護モード
Mylinking™ 高速バイパス スイッチング保護
Mylinking™「LinkSafeSwitch」
Mylinking™「WebService」 動的戦略 転送・発行
Mylinking™ インテリジェント ハートビート メッセージ検出
Mylinking™ 定義可能なハートビート メッセージ (ハートビート パケット)
Mylinking™ マルチリンク負荷分散
Mylinking™ インテリジェントなトラフィック分散
Mylinking™ 動的負荷分散
Mylinking™ リモート管理技術(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
ネットワーク タップ バイパス スイッチ オプション構成ガイド
バイパスモジュール保護ポートモジュールスロット:
このスロットは、異なる速度/ポート番号の BYPASS 保護ポート モジュールに挿入できます。さまざまなタイプのモジュールを交換することで、複数の 10G/40G/100G リンク要件のバイパス保護をサポートできます。
モニターモジュールポートモジュールスロット。
このスロットには、さまざまな速度/ポートの MONITOR モジュールを挿入できます。さまざまなモジュールを交換することで、インライン シリアル モニタリング デバイスの導入のために 10G/40G/100G の複数のリンクをサポートできます。
モジュール選択ルール
導入されたさまざまなリンクと監視機器の導入要件に基づいて、実際の環境の要求を満たすためにさまざまなモジュール構成を柔軟に選択できます。モジュールを選択する際は、次のルールに従ってください。
1. シャーシ コンポーネントは必須であり、他のモジュールを選択する前にシャーシ コンポーネントを選択する必要があります。同時に、ニーズに応じて異なる電源方式(AC/DC)を選択してください。
2. デバイス全体は、最大 2 つの BYPASS モジュール スロットと 1 つの MONITOR モジュール スロットをサポートします。構成するスロットの数を超えるものを選択することはできません。スロットの数とモジュール モデルの組み合わせに基づいて、デバイスは最大 4 つの 10GE リンク保護をサポートできます。または、最大 4 つの 40GE リンクをサポートできます。または、最大 1 つの 100GE リンクをサポートできます。
3. モジュール モデル「BYP-MOD-L1CG」は、SLOT1 にのみ挿入して正常に動作します。
4. モジュール タイプ「BYP-MOD-XXX」は、BYPASS モジュール スロットにのみ挿入できます。モジュール タイプ「MON-MOD-XXX」は、通常動作の場合のみ MONITOR モジュール スロットに挿入できます。
| 製品モデル | 関数パラメータ |
| シャーシ(ホスト) | |
| ML-バイパス-M100 | 1U 標準 19 インチ ラックマウント。最大消費電力250W。モジュラー BYPASS プロテクター ホスト。2 BYPASS モジュール スロット。1 MONITORモジュールスロット;AC および DC はオプションです。 |
| バイパスモジュール | |
| BYP-MOD-L2XG(LM/SM) | 2ウェイ10GEリンクシリアル保護、4*10GEインターフェイス、LCコネクタをサポート。内蔵光トランシーバー;光リンク シングル/マルチモード オプション、10GBASE-SR/LR をサポート。 |
| BYP-MOD-L2QXG(LM/SM) | 2ウェイ40GEリンクシリアル保護、4*40GEインターフェイス、LCコネクタをサポート。内蔵光トランシーバー;光リンク シングル/マルチモード オプション、40GBASE-SR4/LR4 をサポート。 |
| BYP-MOD-L1CG (LM/SM) | 1 チャネル 100GE リンク シリアル保護、2*100GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー;光リンク シングル マルチモード オプション、100GBASE-SR4/LR4 をサポート。 |
| モニターモジュール | |
| MON-MOD-L16XG | 16*10GE SFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L8XG | 8*10GE SFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L2CG | 2*100GE QSFP28 モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L8QXG | 8* 40GE QSFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
ネットワークTAPバイパススイッチの仕様
| 製品モダリティ | ML-BYPASS-M100 インライン ネットワーク タップ バイパス スイッチ | |
| インターフェースの種類 | MGTインターフェース | 1*10/100/1000BASE-T 適応管理インターフェイス;リモートHTTP/IP管理をサポート |
| モジュールスロット | 2*BYPASS モジュール スロット;1*MONITOR モジュール スロット; | |
| 最大値をサポートするリンク | デバイスサポート最大 4*10GE リンク、4*40GE リンク、または 1*100GE リンク | |
| 監視 | デバイスは最大 16*10GE モニタリング ポート、または 8*40GE モニタリング ポート、または 2*100GE モニタリング ポートをサポートします。 | |
| 関数 | 全二重処理能力 | 640Gbps |
| IP/プロトコル/ポートに基づいた 5 つのタプル固有のトラフィック カスケード保護 | サポートされています | |
| フルトラフィックに基づくカスケード保護 | サポートされています | |
| 複数の負荷分散 | サポートされています | |
| カスタム心拍検出機能 | サポートされています | |
| イーサネットパッケージの独立性をサポート | サポートされています | |
| バイパススイッチ | サポートされています | |
| バイパススイッチ(フラッシュなし) | サポートされています | |
| コンソール管理 | サポートされています | |
| IP/WEB管理 | サポートされています | |
| SNMP V1/V2C MGT | サポートされています | |
| TELNET/SSH MGT | サポートされています | |
| SYSLOGプロトコル | サポートされています | |
| ユーザー認証 | パスワード認証/AAA/TACACS+ に基づく | |
| 電気 | 定格電源電圧 | AC-220V/DC-48V【オプション】 |
| 定格電源周波数 | 50Hz | |
| 定格入力電流 | AC-3A / DC-10A | |
| 定格出力 | 100W | |
| 環境 | 作業温度 | 0-50℃ |
| 保管温度 | -20~70℃ | |
| 使用湿度 | 10%-95%、結露なきこと | |
| ユーザー設定 | コンソール構成 | RS232 インターフェース、115200、8、N、1 |
| 帯域外 MGT インターフェイス | 1*10/100/1000Mイーサネットインターフェイス | |
| パスワード認証 | サポートされています | |
| シャーシの高さ | シャーシスペース(U) | 1U 19インチ、485mm*44.5mm*350mm |
ネットワーク TAP バイパス スイッチ アプリケーション (以下のように)
5.1 インラインセキュリティ機器(IPS/FW)のリスク
以下は一般的な IPS (侵入防止システム)、FW (ファイアウォール) の展開モードです。IPS/FW は、セキュリティ チェックの実装を通じてトラフィック間のインライン ネットワーク機器 (ルーター、スイッチなど) として展開されます。対応するセキュリティ ポリシーを使用して、対応するトラフィックのリリースまたはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS (侵入防御システム) / FW (ファイアウォール) が機器のインライン展開として観察できます。通常、インライン セキュリティを実装するために企業ネットワークの主要な場所に展開され、接続されたデバイスの信頼性が直接影響します。企業ネットワーク全体の可用性。インライン セキュリティ デバイスの過負荷、クラッシュ、ソフトウェア アップデート、ポリシー アップデートなどが発生すると、企業ネットワーク全体の可用性が大きな影響を受けます。現時点では、ネットワークを切断し、物理的なバイパス ジャンパを介してのみネットワークを復元できますが、ネットワークの信頼性に重大な影響を及ぼします。IPS (侵入防御システム) / FW (ファイアウォール) およびその他のインライン デバイスは、企業ネットワーク セキュリティの導入を向上させる一方で、企業ネットワークの信頼性を低下させ、ネットワークが利用できないリスクを高めます。
5.2 インラインリンクシリーズ機器の保護
Mylinking™「バイパススイッチ」は、ネットワークデバイス(ルーター、スイッチなど)間にインラインで導入され、ネットワークデバイス間のデータフローがIPS(侵入防御システム)/FW(ファイアウォール)「バイパススイッチ」に直接つながることがなくなります。 IPS / FW、IPS / FWが過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートおよびその他の障害状態により発生した場合、インテリジェントなハートビートメッセージ検出機能による「バイパススイッチ」によるタイムリーな検出機能により、障害のあるデバイスをスキップします。ネットワークの前提を中断することなく、高速ネットワーク機器を直接接続して通常の通信ネットワークを保護します。IPS / FW障害回復時だけでなく、インテリジェントなハートビートパケット検出機能によるタイムリーな検出機能により、元のリンクのセキュリティを復元し、企業ネットワークのセキュリティチェックを行います。
Mylinking™「バイパス スイッチ」には強力なインテリジェント ハートビート メッセージ検出機能があり、ユーザーはハートビート チェック メッセージの送信など、ヘルス テスト用に IPS / FW 上のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズできます。ハートビートメッセージをIPS/FWの上流/下流ポートに送信し、IPS/FWの上流/下流ポートから受信し、ハートビートメッセージを送受信することでIPS/FWが正常に動作しているか判断します。
5.3 「SpecFlow」ポリシー フロー インライン Traction シリーズ保護
セキュリティ ネットワーク デバイスが一連のセキュリティ保護で特定のトラフィックのみを処理する必要がある場合、Mylinking™ の「ネットワーク タップ バイパス スイッチ」トラフィック処理機能を通じて、トラフィック スクリーニング戦略を通じてセキュリティ デバイスに接続する「懸念される」トラフィックが送信されます。ネットワークリンクに直接戻され、「関係する交通セクション」がインライン安全装置にトラクションされて安全チェックが実行されます。これにより、安全装置の安全検出機能の正常な適用が維持されるだけでなく、圧力に対処するための安全装置の非効率な流れも削減されます。同時に、「ネットワークタップバイパススイッチ」は安全装置の作動状態をリアルタイムで検出できます。安全装置が異常に動作し、ネットワーク サービスの中断を避けるためにデータ トラフィックを直接バイパスします。
Mylinking™ インライン トラフィック バイパス タップは、VLAN タグ、送信元/宛先 MAC アドレス、送信元 IP アドレス、IP パケット タイプ、トランスポート層プロトコル ポート、プロトコル ヘッダー キー タグなどの L2 ~ L4 層ヘッダー識別子に基づいてトラフィックを識別できます。すぐ。さまざまな一致条件の柔軟な組み合わせを柔軟に定義して、特定のセキュリティ デバイスに関係する特定のトラフィック タイプを定義でき、特別なセキュリティ監査デバイス (RDP、SSH、データベース監査など) の展開に広く使用できます。 。
5.4 負荷分散された直列保護
Mylinking™「ネットワーク タップ バイパス スイッチ」は、ネットワーク デバイス (ルーター、スイッチなど) 間にインラインで導入されます。単一の IPS / FW の処理パフォーマンスがネットワーク リンクのピーク トラフィックに対処するのに十分でない場合、プロテクターのトラフィック ロード バランシング機能、つまりネットワーク リンク トラフィックを処理する複数の IPS / FW クラスターの「バンドル」により、単一の IPS / FW の処理パフォーマンスを効果的に削減できます。処理圧力を軽減し、導入環境の高帯域幅を満たすために全体的な処理パフォーマンスを向上させると主張しています。
Mylinking™「ネットワーク タップ バイパス スイッチ」は、フレームの VLAN タグ、MAC 情報、IP 情報、ポート番号、プロトコルなどの情報に基づいて、トラフィックのハッシュ ロード バランシング分散を行う強力なロード バランシング機能を備えており、各 IPS / FW が確実に分散されるようにします。受信したデータ フロー セッションの整合性。
5.5 多直列インライン機器の流量トラクション保護(直列接続から並列接続への変更)
一部の主要なリンク (インターネット アウトレット、サーバー エリア交換リンクなど) では、多くの場合、セキュリティ機能の必要性と、複数のインライン セキュリティ テスト機器 (ファイアウォール (FW)、対 DDOS 攻撃機器、 WEB アプリケーション ファイアウォール (WAF)、侵入防止システム (IPS) など)、複数のセキュリティ検出装置をリンク上で同時に直列に接続すると、単一障害点のリンクが増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開では、機器のアップグレード、機器の交換、その他の作業により、ネットワークのサービスが長時間中断され、そのようなプロジェクトを成功裏に完了するには大規模なプロジェクト削減措置が発生します。
「ネットワークタップバイパススイッチ」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティ機器の導入モードを「物理コンカチネーションモード」から「物理コンカチネーション、論理コンカチネーションモード」に変更することができます。単一障害点のリンクを使用してリンクの信頼性を向上させ、リンク上の「バイパス スイッチ」はオンデマンドのトラクション フローを実現し、元のモードと同じフローの安全な処理効果を実現します。
複数のセキュリティ デバイスを同時にインライン展開する図:
Mylinking™ ネットワーク TAP バイパス スイッチの配置図:
5.6 交通トラクションセキュリティ検出保護の動的戦略に基づく
「ネットワーク タップ バイパス スイッチ」 もう 1 つの高度なアプリケーション シナリオは、トラフィック トラクション セキュリティ検出保護アプリケーションの動的戦略に基づいており、以下に示すような方法で展開されます。
たとえば、「アンチ DDoS 攻撃保護および検出」セキュリティ テスト装置を考えます。たとえば、フロントエンドに「ネットワーク タップ バイパス スイッチ」を導入し、次にアンチ DDOS 保護装置を「ネットワーク タップ バイパス スイッチ」に接続します。通常の「トラクション プロテクター」では、サーバー IP (または IP ネットワーク セグメント) が検出されると、トラフィックの全量をワイヤースピードで転送すると同時に、フロー ミラー出力が「アンチ DDOS 攻撃保護デバイス」に送信されます。 「DDOS 攻撃対策保護デバイス」は、ターゲット トラフィック フローの一致ルールを生成し、動的ポリシー配信インターフェイスを介して「ネットワーク タップ バイパス スイッチ」に送信します。「ネットワーク タップ バイパス スイッチ」は、動的ポリシー ルール ルール プールを受信した後、「トラフィック トラクション ダイナミック」を更新し、ルールが攻撃サーバーにヒットすると直ちに「トラフィック トラクション」を「DDoS 攻撃対策保護および検出」装置で処理します。攻撃フロー後に効果を発揮し、ネットワークに再注入されます。
「ネットワーク タップ バイパス スイッチ」に基づくアプリケーション スキームは、従来の BGP ルート インジェクションやその他のトラフィック トラクション スキームよりも実装が容易で、環境のネットワーク依存性が低く、信頼性が高くなります。
「ネットワーク タップ バイパス スイッチ」には、動的なポリシー セキュリティ検出保護をサポートする次の特性があります。
1、「ネットワーク タップ バイパス スイッチ」は、WEBSERIVCE インターフェイスに基づいてルールの外に提供し、サードパーティのセキュリティ デバイスと簡単に統合します。
2、「BNetwork Tap Bypass Switch」は、スイッチ転送をブロックすることなく最大 10 Gbps のワイヤスピード パケットを転送するハードウェア純粋な ASIC チップに基づいており、「トラフィック トラクション ダイナミック ルール ライブラリ」は数に関係ありません。
3、「ネットワークタップバイパススイッチ」内蔵の専門的なバイパス機能は、プロテクター自体に障害が発生した場合でも、元のシリアルリンクをすぐにバイパスすることができ、通常の通信の元のリンクには影響を与えません。
