Mylinking™ 네트워크 탭 바이패스 스위치 ML-BYPASS-100
2*바이패스 + 1*모니터 모듈식 설계, 10/40/100GE 링크, 최대 640Gbps
개요
Mylinking™ 네트워크 탭 바이패스 스위치는 높은 네트워크 안정성을 제공하면서 다양한 유형의 인라인 보안 장비를 유연하게 배포하는 데 사용할 수 있도록 연구 개발되었습니다.
Mylinking™ Smart Bypass Switch Tap을 배포하면 다음과 같은 이점이 있습니다.
- 사용자는 보안 장비/도구를 유연하게 설치/제거할 수 있으며 현재 네트워크에 영향을 주거나 중단하지 않습니다.
- 인라인 보안 장치의 정상 작동 상태를 실시간으로 모니터링하는 지능형 상태 감지 기능을 갖춘 Mylinking™ 네트워크 탭 바이패스 스위치입니다.인라인 보안 장치가 예외적으로 작동하면 정상적인 네트워크 통신을 유지하기 위해 보호 기능이 자동으로 우회됩니다.
- 선택적 트래픽 보호 기술은 특정 트래픽 정리 보안 장비, 감사 장비 기반 암호화 기술을 배포하는 데 사용할 수 있습니다.인라인 장치의 흐름 처리 압력을 완화하여 특정 트래픽 유형에 대한 인라인 액세스 보호를 효과적으로 수행합니다.
- 로드 밸런싱 트래픽 보호 기술은 고대역폭 환경에서 인라인 보안을 충족하기 위해 보안 직렬 인라인 보안 장치의 클러스터 배포에 사용될 수 있습니다.
네트워크 탭 바이패스 스위치 고급 기능 및 기술
Mylinking™ "SpecFlow" 보호 모드 및 "FullLink" 보호 모드
Mylinking™ 고속 바이패스 스위칭 보호
Mylinking™ "LinkSafeSwitch"
Mylinking™ “WebService” 동적 전략 전달/발행
Mylinking™ 지능형 하트비트 메시지 감지
Mylinking™ 정의 가능한 하트비트 메시지(하트비트 패킷)
Mylinking™ 다중 링크 로드 밸런싱
Mylinking™ 지능형 트래픽 분산
Mylinking™ 동적 로드 밸런싱
Mylinking™ 원격 관리 기술(HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” 특성)
네트워크 탭 바이패스 스위치 옵션 구성 가이드
바이패스 모듈보호 포트 모듈 슬롯:
이 슬롯은 속도/포트 번호가 다른 BYPASS 보호 포트 모듈에 삽입될 수 있습니다.다양한 유형의 모듈을 교체함으로써 여러 10G/40G/100G 링크 요구 사항에 대한 BYPASS 보호를 지원할 수 있습니다.
모니터 모듈포트 모듈 슬롯;
이 슬롯에는 다양한 속도/포트의 MONITOR 모듈을 삽입할 수 있습니다.다양한 모듈을 교체하여 인라인 직렬 모니터링 장치 배포를 위해 10G/40G/100G의 다중 링크를 지원할 수 있습니다.
모듈 선택 규칙
다양한 배포 링크 및 모니터링 장비 배포 요구 사항을 기반으로 실제 환경 요청을 충족하기 위해 다양한 모듈 구성을 유연하게 선택할 수 있습니다.모듈을 선택하는 동안 다음 규칙을 따르십시오.
1. 섀시 구성 요소는 필수이며 다른 모듈을 선택하기 전에 섀시 구성 요소를 선택해야 합니다.동시에 필요에 따라 다양한 전원 공급 방법(AC/DC)을 선택하십시오.
2. 전체 장치는 최대 2개의 BYPASS 모듈 슬롯과 1개의 MONITOR 모듈 슬롯을 지원합니다.구성할 슬롯 수보다 더 많이 선택할 수는 없습니다.슬롯 수와 모듈 모델의 조합에 따라 장치는 최대 4개의 10GE 링크 보호를 지원할 수 있습니다.또는 최대 4개의 40GE 링크를 지원할 수 있습니다.또는 최대 하나의 100GE 링크를 지원할 수 있습니다.
3. 모듈 모델 "BYP-MOD-L1CG"는 SLOT1에만 삽입하여 제대로 작동할 수 있습니다.
4. 모듈 유형 "BYP-MOD-XXX"는 BYPASS 모듈 슬롯에만 삽입할 수 있습니다.모듈 유형 "MON-MOD-XXX"는 정상 작동을 위해 MONITOR 모듈 슬롯에만 삽입할 수 있습니다.
| 제품 모델 | 기능 매개변수 |
| 섀시(호스트) | |
| ML-바이패스-M100 | 1U 표준 19인치 랙마운트;최대 전력 소비 250W;모듈형 BYPASS 보호기 호스트;2개의 BYPASS 모듈 슬롯;모니터 모듈 슬롯 1개;AC 및 DC는 선택 사항입니다. |
| 바이패스 모듈 | |
| BYP-MOD-L2XG(LM/SM) | 양방향 10GE 링크 직렬 보호, 4*10GE 인터페이스, LC 커넥터를 지원합니다.내장형 광트랜시버;광학 링크 단일/다중 모드 옵션, 10GBASE-SR/LR 지원; |
| BYP-MOD-L2QXG(LM/SM) | 양방향 40GE 링크 직렬 보호, 4*40GE 인터페이스, LC 커넥터를 지원합니다.내장형 광트랜시버;광학 링크 단일/다중 모드 옵션, 40GBASE-SR4/LR4 지원; |
| BYP-MOD-L1CG(LM/SM) | 1채널 100GE 링크 직렬 보호, 2*100GE 인터페이스, LC 커넥터를 지원합니다.내장형 광트랜시버;광학 링크 단일 다중 모드 옵션, 100GBASE-SR4/LR4 지원; |
| 모니터 모듈 | |
| MON-MOD-L16XG | 16*10GE SFP+ 모니터링 포트 모듈;광트랜시버 모듈 없음; |
| MON-MOD-L8XG | 8*10GE SFP+ 모니터링 포트 모듈;광트랜시버 모듈 없음; |
| MON-MOD-L2CG | 2*100GE QSFP28 모니터링 포트 모듈;광트랜시버 모듈 없음; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ 모니터링 포트 모듈;광트랜시버 모듈 없음; |
네트워크 TAP 바이패스 스위치 사양
| 제품 양식 | ML-BYPASS-M100 인라인 네트워크 탭 바이패스 스위치 | |
| 인터페이스 유형 | MGT 인터페이스 | 1*10/100/1000BASE-T 적응형 관리 인터페이스;원격 HTTP/IP 관리 지원 |
| 모듈 슬롯 | 2*바이패스 모듈 슬롯; 1*모니터 모듈 슬롯; | |
| 최대 지원 링크 | 장치 지원 최대 4*10GE 링크 또는 4*40GE 링크 또는 1*100GE 링크 | |
| 모니터링 | 장치는 최대 16*10GE 모니터링 포트 또는 8*40GE 모니터링 포트 또는 2*100GE 모니터링 포트를 지원합니다. | |
| 기능 | 전이중 처리 능력 | 640Gbps |
| IP/프로토콜/포트 5개 튜플 특정 트래픽 캐스케이드 보호를 기반으로 합니다. | 지원됨 | |
| 전체 트래픽을 기반으로 한 계단식 보호 | 지원됨 | |
| 다중 로드 밸런싱 | 지원됨 | |
| 맞춤형 심박 감지 기능 | 지원됨 | |
| 이더넷 패키지 독립성 지원 | 지원됨 | |
| 바이패스 스위치 | 지원됨 | |
| 플래시가 없는 BYPASS 스위치 | 지원됨 | |
| 콘솔 관리 | 지원됨 | |
| IP/웹 관리 | 지원됨 | |
| SNMP V1/V2C MGT | 지원됨 | |
| 텔넷/SSH 관리 | 지원됨 | |
| SYSLOG 프로토콜 | 지원됨 | |
| 사용자 인증 | 비밀번호 인증/AAA/TACACS+ 기반 | |
| 전기 같은 | 정격 공급 전압 | AC-220V/DC-48V【별매】 |
| 정격 전력 주파수 | 50HZ | |
| 정격 입력 전류 | AC-3A / DC-10A | |
| 정격 전력 | 100W | |
| 환경 | 작동 온도 | 0~50℃ |
| 보관온도 | -20-70℃ | |
| 작동 습도 | 10%-95%, 응축 없음 | |
| 사용자 구성 | 콘솔 구성 | RS232 인터페이스,115200,8,N,1 |
| 대역외 MGT 인터페이스 | 1*10/100/1000M 이더넷 인터페이스 | |
| 비밀번호 인증 | 지원됨 | |
| 섀시 높이 | 섀시 공간(U) | 1U 19인치, 485mm*44.5mm*350mm |
네트워크 TAP Bypass Switch 적용(다음과 같음)
5.1 인라인 보안장비(IPS/FW)의 위험성
다음은 일반적인 IPS(Intrusion Prevention System), FW(Firewall) 배포 모드이며, IPS/FW는 보안 검사 구현을 통해 트래픽 간 인라인 네트워크 장비(라우터, 스위치 등)로 배포되며, 해당 보안 정책에 따라 해당 트래픽을 해제하거나 차단하여 보안 방어 효과를 달성합니다.
동시에 IPS(침입 방지 시스템)/FW(방화벽)는 일반적으로 인라인 보안을 구현하기 위해 기업 네트워크의 주요 위치에 배포되는 장비의 인라인 배포로, 연결된 장치의 신뢰성에 직접적인 영향을 미칩니다. 전반적인 기업 네트워크 가용성.인라인 보안 장치의 과부하, 충돌, 소프트웨어 업데이트, 정책 업데이트 등이 발생하면 전체 기업 네트워크 가용성에 큰 영향을 미치게 됩니다.현재로서는 네트워크 절단, 물리적 바이패스 점퍼를 통해서만 네트워크를 복원할 수 있지만 이는 네트워크의 신뢰성에 심각한 영향을 미치고 있습니다.IPS(침입 방지 시스템)/FW(방화벽) 및 기타 인라인 장치는 기업 네트워크 보안 구축을 향상시키는 반면, 기업 네트워크의 신뢰성을 저하시켜 네트워크 위험을 증가시키지 않습니다.
5.2 인라인 링크 시리즈 장비 보호
Mylinking™ "바이패스 스위치"는 네트워크 장치(라우터, 스위치 등) 사이에 인라인으로 구축되어, 네트워크 장치 간의 데이터 흐름이 더 이상 IPS(침입 방지 시스템)/FW(방화벽), "바이패스 스위치"로 직접 연결되지 않습니다. IPS/FW에 과부하, 충돌, 소프트웨어 업데이트, 정책 업데이트 및 기타 장애 조건으로 인해 IPS/FW가 실패할 때 지능형 하트비트 메시지 감지 기능을 통해 "바이패스 스위치"를 적시에 검색하여 결함이 있는 장치를 건너뜁니다. 네트워크의 전제를 방해하지 않고 빠른 네트워크 장비를 직접 연결하여 정상적인 통신 네트워크를 보호합니다.IPS/FW 장애 복구 시 지능형 하트비트 패킷 감지 기능을 통해 시기적절하게 감지 기능을 통해 원래 링크를 통해 기업 네트워크 보안 검사의 보안을 복원합니다.
Mylinking™ "바이패스 스위치"에는 강력한 지능형 하트비트 메시지 감지 기능이 있으며, 사용자는 하트비트 확인 메시지 전송과 같은 상태 테스트를 위해 IPS/FW의 사용자 정의 하트비트 메시지를 통해 하트비트 간격과 최대 재시도 횟수를 사용자 정의할 수 있습니다. IPS/FW의 업스트림/다운스트림 포트로 전송한 후, IPS/FW의 업스트림/다운스트림 포트에서 수신하고, 하트비트 메시지를 송수신하여 IPS/FW가 정상적으로 작동하는지 판단합니다.
5.3 "SpecFlow" 정책 흐름 인라인 견인 시리즈 보호
보안 네트워크 장비가 일련의 보안 보호 중 특정 트래픽만 처리해야 하는 경우 Mylinking™ "Network Tap Bypass Switch" 트래픽별 처리 기능을 통해 보안 장비에 연결되는 트래픽 스크리닝 전략을 통해 "우려되는" 트래픽을 전송합니다. 네트워크 링크로 직접 돌아가 '해당 교통구간'을 인라인 안전장치로 견인해 안전점검을 실시한다.이는 안전 장치의 안전 감지 기능의 정상적인 적용을 유지할 뿐만 아니라 압력을 처리하기 위한 안전 장비의 비효율적인 흐름을 줄여줍니다.동시에 "네트워크 탭 바이패스 스위치"는 안전 장치의 작동 상태를 실시간으로 감지할 수 있습니다.안전 장치가 비정상적으로 작동하면 네트워크 서비스 중단을 방지하기 위해 데이터 트래픽을 직접 우회합니다.
Mylinking™ Inline Traffic Bypass Tap은 VLAN 태그, 소스/대상 MAC 주소, 소스 IP 주소, IP 패킷 유형, 전송 레이어 프로토콜 포트, 프로토콜 헤더 키 태그 등과 같은 L2-L4 레이어 헤더 식별자를 기반으로 트래픽을 식별할 수 있습니다. 곧.다양한 일치 조건의 유연한 조합을 유연하게 정의하여 특정 보안 장치에 관심이 있는 특정 트래픽 유형을 정의할 수 있으며 특수 보안 감사 장치(RDP, SSH, 데이터베이스 감사 등)의 배포에 널리 사용될 수 있습니다. .
5.4 로드 밸런싱된 시리즈 보호
Mylinking™ "네트워크 탭 바이패스 스위치"는 네트워크 장치(라우터, 스위치 등) 사이에 인라인으로 배포됩니다.단일 IPS/FW 처리 성능이 네트워크 링크 피크 트래픽을 처리하기에 충분하지 않은 경우 여러 IPS/FW 클러스터 처리 네트워크 링크 트래픽을 "번들링"하는 보호기의 트래픽 로드 밸런싱 기능을 통해 단일 IPS/FW를 효과적으로 줄일 수 있습니다. 처리 부담을 줄이고 전반적인 처리 성능을 향상시켜 배포 환경의 높은 대역폭을 충족시킵니다.
Mylinking™ "네트워크 탭 바이패스 스위치"는 프레임 VLAN 태그, MAC 정보, IP 정보, 포트 번호, 프로토콜 및 트래픽 해시 로드 밸런싱 배포에 대한 기타 정보에 따라 강력한 로드 밸런싱 기능을 갖추고 있어 각 IPS/FW를 보장합니다. 수신된 데이터 흐름 세션 무결성.
5.5 멀티 시리즈 인라인 장비 흐름 견인 보호(직렬 연결을 병렬 연결로 변경)
일부 주요 링크(예: 인터넷 콘센트, 서버 영역 교환 링크)에서 위치는 보안 기능의 요구와 여러 인라인 보안 테스트 장비(예: 방화벽(FW), 안티 DDOS 공격 장비, WAF(웹 애플리케이션 방화벽), IPS(침입 방지 시스템) 등), 여러 보안 탐지 장비가 링크에 동시에 직렬로 연결되어 단일 장애 지점의 링크가 증가하여 네트워크의 전반적인 신뢰성이 저하됩니다.그리고 위에서 언급한 보안 장비의 온라인 배포, 장비 업그레이드, 장비 교체 및 기타 작업으로 인해 네트워크가 장기간 서비스 중단을 일으키고 이러한 프로젝트의 성공적인 구현을 완료하기 위해 더 큰 프로젝트 중단 조치가 발생합니다.
'네트워크 탭 바이패스 스위치'를 통일적으로 배치함으로써 동일한 링크에 직렬로 연결된 여러 보안장치의 배치 모드를 '물리적 연결 모드'에서 '물리적 연결, 논리적 연결 모드'로 변경할 수 있다. 단일 실패 지점의 링크는 링크의 신뢰성을 향상시키는 동시에 링크 흐름의 "우회 스위치"는 수요 견인에 따라 원래 모드의 안전 처리 효과와 동일한 흐름을 달성합니다.
인라인 배포 다이어그램과 동시에 두 개 이상의 보안 장치:
Mylinking™ 네트워크 TAP 바이패스 스위치 배포 다이어그램:
5.6 교통 견인 보안 탐지 보호의 동적 전략 기반
"네트워크 탭 바이패스 스위치" 또 다른 고급 애플리케이션 시나리오는 트래픽 견인 보안 탐지 보호 애플리케이션의 동적 전략을 기반으로 하며 아래와 같은 방식으로 배포됩니다.
예를 들어 "Anti-DDoS 공격 보호 및 탐지" 보안 테스트 장비를 "Network Tap Bypass Switch"의 프런트 엔드 배포를 통해 가져온 다음 Anti-DDoS 보호 장비를 "Network Tap Bypass Switch"에 연결합니다. 일반적인 " 트랙션 프로텍터 "에서 전체 트래픽 유선 속도 포워딩과 동시에 "안티 DDOS 공격 보호 장치"로 플로우 미러 출력을 한 번 서버 IP(또는 IP 네트워크 세그먼트)에 대해 감지한 후 공격, "안티 DDOS 공격 보호 장치"는 규칙과 일치하는 대상 트래픽 흐름을 생성하고 이를 동적 정책 전달 인터페이스를 통해 "네트워크 탭 바이패스 스위치"로 보냅니다."네트워크 탭 바이패스 스위치"는 동적 정책 규칙 규칙 풀을 수신한 후 "동적 트래픽 견인"을 업데이트하고 즉시 "공격 서버 트래픽 견인"을 처리하기 위한 "안티 DDoS 공격 보호 및 탐지" 장비로 업데이트할 수 있으며, 공격 흐름 후에 효과를 발휘한 다음 네트워크에 다시 주입합니다.
"Network Tap Bypass Switch"를 기반으로 한 응용 방식은 기존의 BGP 경로 주입이나 기타 트래픽 견인 방식보다 구현하기 쉽고, 환경은 네트워크에 덜 의존하고 신뢰성은 더 높습니다.
"네트워크 탭 바이패스 스위치"는 동적 정책 보안 탐지 보호를 지원하기 위해 다음과 같은 특징을 가지고 있습니다.
1, "네트워크 탭 바이패스 스위치"는 WEBSERIVCE 인터페이스를 기반으로 외부 규칙을 제공하고 타사 보안 장치와의 손쉬운 통합을 제공합니다.
2, "BNetwork Tap Bypass Switch"는 스위치 전달을 차단하지 않고 최대 10Gbps의 유선 속도 패킷을 전달하는 하드웨어 순수 ASIC 칩을 기반으로 하며 숫자에 관계없이 "트래픽 견인 동적 규칙 라이브러리"입니다.
3, "네트워크 탭 바이패스 스위치" 내장된 전문 BYPASS 기능은 보호기 자체에 장애가 발생하더라도 원래 직렬 링크를 즉시 우회할 수 있으며 정상적인 통신의 원래 링크에 영향을 미치지 않습니다.
