Mylinking™ Network Trykk på Bypass Switch ML-BYPASS-100
2*Bypass pluss 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
Oversikter
Mylinking™ Network Tap Bypass Switch er undersøkt og utviklet for å brukes til fleksibel distribusjon av ulike typer inline-sikkerhetsutstyr samtidig som den gir høy nettverkspålitelighet.
Ved å distribuere Mylinking™ Smart Bypass Switch Trykk på:
- Brukere kan fleksibelt installere/avinstallere sikkerhetsutstyr/verktøy og vil ikke påvirke og avbryte gjeldende nettverk;
- Mylinking™ Network Tap Bypass Switch med intelligent helsedeteksjonsfunksjon for sanntidsovervåking av den normale arbeidstilstanden til de innebygde sikkerhetsenhetene.Når de innebygde sikkerhetsenhetene fungerer unntak, vil beskyttelsesfunksjonen automatisk omgå for å opprettholde normal nettverkskommunikasjon;
- Selektiv trafikkbeskyttelsesteknologi kan brukes til å distribuere spesifikt trafikkrensingssikkerhetsutstyr, krypteringsteknologi basert på revisjonsutstyret.Utfør effektivt inline-tilgangsbeskyttelsen for den spesifikke trafikktypen, og avlast strømningshåndteringstrykket til inline-enheten;
- Load Balanced Traffic Protection-teknologi kan brukes til gruppert distribusjon av sikre serielle innebygde sikkerhetsenheter for å møte innebygd sikkerhet i miljøer med høy båndbredde.
Nettverk Trykk Bypass Switch Avanserte funksjoner og teknologier
Mylinking™ "SpecFlow" beskyttelsesmodus og "FullLink" beskyttelsesmodus
Mylinking™ Fast Bypass Switch Protection
Mylinking™ "LinkSafeSwitch"
Mylinking™ "WebService" dynamisk strategi videresending/utstedelse
Mylinking™ Intelligent Heartbeat Message Detection
Mylinking™-definerbare hjerteslagmeldinger (hjerteslagpakker)
Mylinking™ Multi-link lastbalansering
Mylinking™ intelligent trafikkdistribusjon
Mylinking™ Dynamisk lastbalansering
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-karakteristikk)
Nettverk Trykk Bypass Switch Valgfri konfigurasjonsveiledning
BYPASS-modulBeskyttelsesportmodulspor:
Dette sporet kan settes inn i BYPASS beskyttelsesportmodul med forskjellig hastighet/portnummer.Ved å erstatte ulike typer moduler, kan den støtte BYPASS-beskyttelse av flere krav til 10G/40G/100G-koblinger.
MONITOR-modulportmodulspor;
Dette sporet kan settes inn i MONITOR-modulen med forskjellige hastigheter/porter.Den kan støtte flere koblinger på 10G/40G/100G for inline seriell overvåkingsenhet ved å erstatte forskjellige moduler.
Regler for modulvalg
Basert på ulike distribuerte koblinger og krav til utplassering av overvåkingsutstyr, kan du fleksibelt velge ulike modulkonfigurasjoner for å møte din faktiske miljøforespørsel;følg følgende regler når du velger modul:
1. Chassiskomponentene er obligatoriske, og du må velge chassiskomponentene før du velger andre moduler.Samtidig, velg forskjellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele enheten støtter opptil 2 BYPASS-modulspor og 1 MONITOR-modulspor;du kan ikke velge mer enn antall spor som skal konfigureres.Basert på kombinasjonen av antall spor og modulmodellen, kan enheten støtte opptil fire 10GE-linkbeskyttelser;eller den kan støtte opptil fire 40GE-koblinger;eller den kan støtte opptil én 100GE-kobling.
3. Modulmodellen "BYP-MOD-L1CG" kan bare settes inn i SLOT1 for å fungere skikkelig.
4. Modultypen "BYP-MOD-XXX" kan bare settes inn i BYPASS-modulsporet;modultypen "MON-MOD-XXX" kan bare settes inn i MONITOR-modulsporet for normal drift.
| Produktmodell | Funksjonsparametere |
| Chassis (vert) | |
| ML-BYPASS-M100 | 1U standard 19-tommers rackmontering;maksimalt strømforbruk 250W;modulær BYPASS beskytter vert;2 BYPASS-modulspor;1 MONITOR-modulspor;AC og DC valgfritt; |
| OMGANGSMODUL | |
| BYP-MOD-L2XG(LM/SM) | Støtter 2-veis 10GE link seriell beskyttelse, 4*10GE grensesnitt, LC-kontakt;innebygd optisk transceiver;optisk lenke enkelt/multimode valgfritt, støtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Støtter 2-veis 40GE link seriell beskyttelse, 4*40GE grensesnitt, LC-kontakt;innebygd optisk transceiver;optisk lenke enkelt/multimode valgfritt, støtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Støtter 1-kanals 100GE-link seriell beskyttelse, 2*100GE-grensesnitt, LC-kontakt;innebygd optisk transceiver;optisk lenke enkelt multimodus valgfritt, støtter 100GBASE-SR4/LR4 ; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ overvåkingsportmodul;ingen optisk sender/mottakermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ overvåkingsportmodul;ingen optisk sender/mottakermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 overvåkingsportmodul;ingen optisk sender/mottakermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ overvåkingsportmodul;ingen optisk sender/mottakermodul; |
Spesifikasjoner for nettverk TAP Bypass Switch
| Produktmodalitet | ML-BYPASS-M100 Inline Network Trykk på Bypass Switch | |
| Type grensesnitt | MGT-grensesnitt | 1*10/100/1000BASE-T Adaptivt administrasjonsgrensesnitt;Støtte ekstern HTTP/IP-administrasjon |
| Modulspor | 2*BYPASS-modulspor;1*MONITOR-modulspor; | |
| Lenker som støtter maksimum | Enhetsstøtte maksimalt 4*10GE-koblinger eller 4*40GE-koblinger eller 1*100GE-koblinger | |
| Overvåkning | Enhetsstøtte maksimalt 16*10GE overvåkingsporter eller 8*40GE overvåkingsporter eller 2*100GE overvåkingsporter; | |
| Funksjon | Full dupleks prosesseringsevne | 640 Gbps |
| Basert på IP/protokoll/port fem tuppel spesifikk trafikkkaskadebeskyttelse | Støttes | |
| Kaskadebeskyttelse basert på full trafikk | Støttes | |
| Multippel belastningsbalansering | Støttes | |
| Egendefinert hjerteslagdeteksjonsfunksjon | Støttes | |
| Støtt Ethernet-pakkeuavhengighet | Støttes | |
| BYPASS-BRYTER | Støttes | |
| BYPASS Bryter uten blits | Støttes | |
| KONSOL MGT | Støttes | |
| IP/WEB MGT | Støttes | |
| SNMP V1/V2C MGT | Støttes | |
| TELNET/SSH MGT | Støttes | |
| SYSLOG-protokoll | Støttes | |
| Brukerautorisasjon | Basert på passordautorisasjon/AAA/TACACS+ | |
| Elektrisk | Nominell forsyningsspenning | AC-220V/DC-48V【Valgfritt】 |
| Nominell strømfrekvens | 50 HZ | |
| Nominell inngangsstrøm | AC-3A / DC-10A | |
| Nominell effekt | 100W | |
| Miljø | Arbeidstemperatur | 0–50 ℃ |
| Lager temperatur | -20-70 ℃ | |
| Arbeidsfuktighet | 10%-95%, Ingen kondens | |
| Brukerkonfigurasjon | Konsollkonfigurasjon | RS232-grensesnitt,115200,8,N,1 |
| MGT-grensesnitt utenfor båndet | 1*10/100/1000M Ethernet-grensesnitt | |
| Passordautorisasjon | Støttes | |
| Chassishøyde | Chassisplass(U) | 1U 19 tommer, 485mm*44,5mm*350mm |
Network TAP Bypass Switch Application (som følger)
5.1 Risikoen ved innebygd sikkerhetsutstyr (IPS / FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Brannmur) distribusjonsmodus, IPS / FW er utplassert som inline nettverksutstyr (som rutere, switcher, etc.) mellom trafikken gjennom implementering av sikkerhetssjekker, iht. den tilsvarende sikkerhetspolitikken for å bestemme utgivelsen eller blokkere den tilsvarende trafikken, for å oppnå effekten av sikkerhetsforsvar.
Samtidig kan vi observere IPS(Intrusion Prevention System) / FW(Firewall) som en inline-distribusjon av utstyret, vanligvis distribuert på nøkkelplasseringen til bedriftsnettverket for å implementere inline-sikkerhet, påliteligheten til de tilkoblede enhetene påvirker direkte den generelle tilgjengeligheten av bedriftsnettverk.Når de innebygde sikkerhetsenhetene overbelastes, krasjer, programvareoppdateringer, policyoppdateringer osv., vil hele bedriftsnettverkets tilgjengelighet bli sterkt påvirket.På dette tidspunktet, kan vi bare gjennom nettverket kutte, fysisk bypass jumper gjøre nettverket for å bli gjenopprettet, men det er alvorlig påvirker påliteligheten til nettverket.IPS(Intrusion Prevention System) / FW(Brannmur) og andre inline-enheter forbedrer på den ene siden distribusjonen av bedriftsnettverkssikkerhet, på den annen side reduserer også påliteligheten til bedriftsnettverk, noe som øker risikoen for at nettverket ikke er tilgjengelig.
5.2 Inline Link-seriens utstyrsbeskyttelse
Mylinking™ " Bypass Switch " er distribuert som inline mellom nettverksenheter (rutere, svitsjer, etc.), og dataflyten mellom nettverksenheter fører ikke lenger direkte til IPS (Intrusion Prevention System) / FW (Brannmur), " Bypass Switch " til IPS / FW, når IPS / FW på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre forhold for feil, "Bypass Switch" gjennom intelligent hjerteslag meldingsdeteksjon Funksjon av rettidig oppdagelse, og dermed hoppe over den defekte enheten, uten å avbryte forutsetningen til nettverket, det raske nettverksutstyret direkte koblet for å beskytte det normale kommunikasjonsnettverket;Når IPS / FW feil gjenoppretting, men også gjennom intelligente Heartbeat Packets Deteksjon av rettidig gjenkjenning av funksjonen, den opprinnelige koblingen for å gjenopprette sikkerheten til bedriftens nettverk sikkerhetssjekker.
Mylinking™ "Bypass Switch" har en kraftig intelligent hjerteslagmeldingsdeteksjonsfunksjon, brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk, gjennom en egendefinert hjerteslagmelding på IPS/FW for helsetesting, for eksempel sende hjerteslagssjekkmeldingen til oppstrøms/nedstrømsporten til IPS/FW, og motta deretter fra oppstrøms/nedstrømsporten til IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
5.3 "SpecFlow" Policy Flow Inline Traction Series Protection
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i seriesikkerhetsbeskyttelse, sendes via Mylinking™ "Nettverkstrykkbypassbryter" trafikk per-behandling, gjennom trafikkscreeningsstrategien for å koble til sikkerhetsanordningen "Bekymret" trafikk sendes tilbake direkte til nettverksforbindelsen, og den "berørte trafikkdelen" er trekkraft til in-line sikkerhetsanordningen for å utføre sikkerhetssjekker.Dette vil ikke bare opprettholde den normale bruken av sikkerhetsdeteksjonsfunksjonen til sikkerhetsanordningen, men også redusere den ineffektive strømmen av sikkerhetsutstyret for å håndtere trykket;samtidig kan " Network Tap Bypass Switch " oppdage arbeidstilstanden til sikkerhetsenheten i sanntid.Sikkerhetsenheten fungerer unormalt forbigår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
Mylinking™ Inline Traffic Bypass Tap kan identifisere trafikk basert på L2-L4-laghodeidentifikatoren, for eksempel VLAN-tag, kilde-/destinasjons-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokollport, protokollhodenøkkeltag, og så videre.En rekke samsvarende forhold fleksible kombinasjoner kan defineres fleksibelt for å definere de spesifikke trafikktypene som er av interesse for en bestemt sikkerhetsenhet og kan brukes mye for utplassering av spesielle sikkerhetsrevisjonsenheter (RDP, SSH, databaserevisjon, etc.) .
5.4 Lastbalansert seriebeskyttelse
Mylinking™ "Network Tap Bypass Switch" er distribuert som inline mellom nettverksenheter (rutere, brytere, etc.).Når en enkelt IPS / FW-behandlingsytelse ikke er tilstrekkelig til å takle topptrafikk for nettverksforbindelser, kan trafikkbelastningsbalanseringsfunksjonen til beskytteren, "sammenkoblingen" av flere IPS / FW-klyngebehandlingsnettverkskoblingstrafikk, effektivt redusere enkelt IPS / FW behandlingspress, forbedre den generelle behandlingsytelsen for å møte den høye båndbredden til distribusjonsmiljøet.
Mylinking™ "Network Tap Bypass Switch" har en kraftig lastbalanseringsfunksjon, i henhold til rammens VLAN-tag, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon om Hash-lastbalanseringsfordelingen av trafikk for å sikre at hver IPS / FW mottatt dataflyt Sesjonsintegritet.
5.5 Multi-series inline-utstyr flyttraksjonsbeskyttelse (endre seriekobling til parallellkobling)
I noen nøkkellenker (som Internett-uttak, serverområdeutvekslingskobling) skyldes plasseringen ofte behovene til sikkerhetsfunksjoner og utplassering av flere in-line sikkerhetstestingsutstyr (som brannmur (FW), anti-DDOS-angrepsutstyr, WEB Application Firewall(WAF), Intrusion Prevention System(IPS), etc.), flere sikkerhetsdeteksjonsutstyr samtidig i serie på koblingen for å øke koblingen til et enkelt feilpunkt, noe som reduserer den generelle påliteligheten til nettverket.Og i det ovennevnte sikkerhetsutstyret online distribusjon, utstyrsoppgraderinger, utstyrsutskifting og andre operasjoner, vil føre til at nettverket i lang tid tjenesteavbrudd og et større prosjektkutt handling for å fullføre en vellykket gjennomføring av slike prosjekter.
Ved å distribuere "Network Tap Bypass Switch" på en enhetlig måte, kan distribusjonsmodusen til flere sikkerhetsenheter koblet i serie på samme kobling endres fra "physical concatenation mode" til "physical concatenation, logical concatenation mode" Linken på koblingen av et enkelt punkt for svikt for å forbedre påliteligheten til koblingen, mens "bypass-bryteren" på koblingen flyt på forespørsel trekkraft, for å oppnå samme flyt med den opprinnelige modusen for sikker behandling effekt.
Mer enn én sikkerhetsenhet samtidig som inline distribusjonsdiagram:
Mylinking™ Network TAP Bypass Switch-distribusjonsdiagram:
5.6 Basert på den dynamiske strategien for Traffic Traction Security Detection Protection
"Network Tap Bypass Switch" Et annet avansert applikasjonsscenario er basert på den dynamiske strategien for beskyttelsesapplikasjoner for trafikksikkerhetsdeteksjon, utrullingen av måten som vist nedenfor:
Ta "Anti-DDoS angrepsbeskyttelse og deteksjon" sikkerhetstestutstyret, for eksempel gjennom front-end-distribusjonen av " Network Tap Bypass Switch " og deretter anti-DDOS beskyttelsesutstyr og deretter koblet til " Network Tap Bypass Switch ", i den vanlige " Traction protector "til hele mengden trafikk wire-speed forwarding samtidig som flytspeilet sendes ut til "anti-DDOS angrepsbeskyttelsesenheten", når det er oppdaget for en server IP (eller IP-nettverkssegment) etter at angrep," anti-DDOS-angrepsbeskyttelsesenhet " vil generere samsvarsregler for måltrafikkflyt og sende dem til "Nettverkstrykkbypassbryteren" gjennom det dynamiske grensesnittet for policylevering." Network Tap Bypass Switch " kan oppdatere "traffic traction dynamic" etter å ha mottatt de dynamiske policyreglene Rule pool "og umiddelbart" regelen treffer angrepsserveren trafikk "traction til" anti-DDoS angrepsbeskyttelse og deteksjon "utstyr for behandling, for å være effektiv etter angrepsflyten og deretter re-injisert inn i nettverket.
Applikasjonsopplegget basert på "Nettverkstap-bypass-bryteren" er enklere å implementere enn den tradisjonelle BGP-ruteinjeksjonen eller andre trafikktrekkskjemaer, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
"Network Tap Bypass Switch" har følgende egenskaper for å støtte dynamisk sikkerhetsdeteksjonsbeskyttelse:
1, " Network Tap Bypass Switch " for å gi utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrasjon med tredjeparts sikkerhetsenheter.
2, "BNetwork Tap Bypass Switch" basert på maskinvaren ren ASIC-brikke videresending opp til 10Gbps wire-speed pakker uten å blokkere brytervideresending, og "trafikk trekkraft dynamisk regelbibliotek" uavhengig av antall.
3, "Nettverk Tap Bypass Switch" innebygd profesjonell BYPASS funksjon, selv om beskytteren selv feil, kan også omgå den originale serielle koblingen umiddelbart, påvirker ikke den opprinnelige koblingen til normal kommunikasjon.
