Chave de desvio de rede Mylinking™ ML-BYPASS-200
2 * Bypass mais 1 * Monitor de design modular, links 10/40/100GE, máximo de 640 Gbps
1- Visão geral
Ao implantar o Mylinking™ Smart Bypass Switch:
- Os usuários podem instalar/desinstalar equipamentos de segurança com flexibilidade e não afetarão a rede atual e interromperão;
- Mylinking ™ Network Tap Bypass Switch com função inteligente de detecção de integridade para monitoramento em tempo real do estado normal de funcionamento do dispositivo de segurança serial, uma vez que o dispositivo de segurança serial funcione com exceção, a proteção será ignorada automaticamente para manter a comunicação normal da rede;
- A tecnologia seletiva de proteção de tráfego pode ser usada para implantar equipamentos específicos de segurança de limpeza de tráfego, tecnologia de criptografia baseada no equipamento de auditoria.Realizar efetivamente a proteção de acesso serial para o tipo de tráfego específico, descarregando a pressão de manuseio de fluxo do dispositivo série;
- A tecnologia Load Balanced Traffic Protection pode ser usada para implantação em cluster de dispositivos seriais seguros para atender à necessidade de segurança serial em ambientes de alta largura de banda.
Com o rápido desenvolvimento da Internet, a ameaça à segurança da informação da rede está a tornar-se cada vez mais séria, pelo que uma variedade de aplicações de protecção da segurança da informação são cada vez mais utilizadas.Quer se trate de equipamento tradicional de controle de acesso (firewall) ou um novo tipo de meio de proteção mais avançado, como sistema de prevenção de intrusões (IPS), plataforma unificada de gerenciamento de ameaças (UTM), sistema de ataque de serviço anti-negação (Anti-DDoS), Anti- span Gateway, sistema unificado de identificação e controle de tráfego DPI e muitos dispositivos de segurança são implantados em série nos nós principais da rede, a implementação da política de segurança de dados correspondente para identificar e lidar com o tráfego legal / ilegal.Ao mesmo tempo, porém, a rede de computadores gerará um grande atraso na rede ou até mesmo interrupção da rede em caso de failover, manutenção, atualização, substituição de equipamentos e assim por diante em um ambiente de aplicativos de rede de produção altamente confiável, os usuários não aguentam.
2- Recursos e tecnologias avançadas do switch de bypass de rede
Modo de proteção Mylinking™ “SpecFlow” e tecnologia de modo de proteção “FullLink”
Tecnologia de proteção de comutação rápida Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Tecnologia de encaminhamento de estratégia dinâmica/problema
Tecnologia inteligente de detecção de mensagens de batimento cardíaco Mylinking™
Tecnologia de mensagens de pulsação definíveis Mylinking™
Tecnologia de balanceamento de carga multi-link Mylinking™
Tecnologia de distribuição inteligente de tráfego Mylinking™
Tecnologia de balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
3- Guia de configuração do switch bypass de rede
DESVIARSlot do módulo da porta de proteção:
Este slot pode ser inserido no módulo de porta de proteção BYPASS com velocidade/número de porta diferente.Ao substituir diferentes tipos de módulos, ele pode suportar proteção BYPASS de vários links 10G/40G/100G.
MONITORSlot de módulo de porta;
Este slot pode ser inserido no módulo da porta MONITOR com diferentes velocidades/portas.Ele pode suportar a implantação de vários dispositivos de monitoramento serial on-line de link 10G/40G/100G, substituindo diferentes modelos.
Regras de seleção de módulos
Com base em diferentes links implantados e requisitos de implantação de equipamentos de monitoramento, você pode escolher com flexibilidade diferentes configurações de módulos para atender às necessidades reais do seu ambiente;siga as seguintes regras ao selecionar:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar qualquer outro módulo.Ao mesmo tempo, escolha diferentes métodos de fonte de alimentação (AC/DC) de acordo com suas necessidades.
2. Toda a máquina suporta até 2 slots de módulo BYPASS e 1 slot de módulo MONITOR;você não pode selecionar mais do que o número de slots a serem configurados.Com base na combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link 10GE;ou pode suportar até quatro links 40GE;ou pode suportar até um link 100GE.
3. O módulo modelo “BYP-MOD-L1CG” só pode ser inserido no SLOT1 para funcionar corretamente.
4. O módulo tipo “BYP-MOD-XXX” somente pode ser inserido no slot do módulo BYPASS;o módulo tipo “MON-MOD-XXX” só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo de Produto | Parâmetros de função |
| Chassi (anfitrião) | |
| ML-BYPASS-M200 | Montagem em rack padrão 1U de 19 polegadas;consumo máximo de energia 250W;host protetor BYPASS modular;2 slots para módulo BYPASS;1 slot para módulo MONITOR;CA e CC opcionais; |
| MÓDULO DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE de 2 vias, interface 4 * 10GE, conector LC;transceptor óptico integrado;link óptico único/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE de 2 vias, interface 4 * 40GE, conector LC;transceptor óptico integrado;link óptico único/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2 * 100GE, conector LC;transceptor óptico integrado;link óptico único multimodo opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORAMENTO | |
| MON-MOD-L16XG | Módulo de porta de monitoramento 16*10GE SFP+;nenhum módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento 8*10GE SFP+;nenhum módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28;nenhum módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de porta de monitoramento 8*40GE QSFP+;nenhum módulo transceptor óptico; |
4- Especificações do switch de bypass TAP de rede
| Modalidade do Produto | Chave de bypass serial ML-BYPASS-M200 | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de gerenciamento adaptativo;Suporta gerenciamento remoto de HTTP/IP |
| Slot do módulo | 2 * slot do módulo BYPASS; 1 * slot do módulo MONITOR; | |
| Links com suporte máximo | O dispositivo suporta no máximo links 4*10GE ou links 4*40GE ou links 1*100GE | |
| Monitor | O dispositivo suporta no máximo 16 portas de monitoramento 10GE ou 8 portas de monitoramento 40GE ou 2 portas de monitoramento 100GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Baseado em IP/protocolo/porta proteção em cascata de tráfego específica de cinco tuplas | Apoiar | |
| Proteção em cascata baseada em tráfego total | Apoiar | |
| Balanceamento de carga múltiplo | Apoiar | |
| Função personalizada de detecção de batimentos cardíacos | Apoiar | |
| Suporta independência de pacote Ethernet | Apoiar | |
| INTERRUPTOR DE BYPASS | Apoiar | |
| Chave BYPASS sem flash | Apoiar | |
| CONSOLE MGT | Apoiar | |
| Gerenciamento de IP/WEB | Apoiar | |
| SNMP V1/V2C MGT | Apoiar | |
| TELNET/SSH MGT | Apoiar | |
| Protocolo SYSLOG | Apoiar | |
| Autorização do usuário | Baseado em autorização de senha/AAA/TACACS+ | |
| Elétrico | Tensão nominal de alimentação | AC-220V/DC-48V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | AC-3A / DC-10A | |
| Potência nominal | 100 W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | Interface Ethernet 1*10/100/1000M | |
| Autorização de senha | Apoiar | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
5- Aplicação do switch TAP Bypass de rede (conforme a seguir)
A seguir está um modo típico de implantação de IPS (Sistema de Prevenção de Intrusões), FW (Firewall), IPS / FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) entre o tráfego por meio da implementação de verificações de segurança, de acordo com a política de segurança correspondente para determinar a liberação ou bloqueio do tráfego correspondente, para alcançar o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar IPS/FW como uma implantação serial do equipamento, geralmente implantado no local chave da rede corporativa para implementar segurança serial, a confiabilidade de seus dispositivos conectados afeta diretamente a disponibilidade geral da rede corporativa.Uma vez que os dispositivos seriais sobrecarreguem, travem, atualizações de software, atualizações de políticas, etc., toda a disponibilidade da rede corporativa será bastante afetada.Neste ponto, somente através do corte da rede, o jumper de bypass físico pode fazer com que a rede seja restaurada, afetando seriamente a confiabilidade da rede.IPS / FW e outros dispositivos seriais, por um lado, melhoram a implantação da segurança da rede corporativa, por outro lado, também reduzem a confiabilidade das redes corporativas, aumentando o risco de a rede não estar disponível.
5.2 Proteção de Equipamentos da Série Link Inline
Mylinking™ “Bypass Switch” é implantado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre dispositivos de rede não leva mais diretamente para IPS/FW, “Bypass Switch” para IPS/FW, quando o IPS / FW devido a sobrecarga, falha, atualizações de software, atualizações de políticas e outras condições de falha, o “Bypass Switch” através da detecção inteligente de mensagens de pulsação Função de descoberta oportuna e, assim, ignorar o dispositivo defeituoso, sem interromper a premissa da rede, o equipamento de rede rápida conectado diretamente para proteger a rede de comunicação normal;quando a recuperação de falha IPS / FW, mas também através de pacotes de pulsação inteligentes Detecção de detecção oportuna da função, o link original para restaurar a segurança das verificações de segurança da rede corporativa.
Mylinking™ “Bypass Switch” possui uma poderosa função inteligente de detecção de mensagem de pulsação, o usuário pode personalizar o intervalo de pulsação e o número máximo de novas tentativas, através de uma mensagem de pulsação personalizada no IPS/FW para testes de integridade, como enviar a mensagem de verificação de pulsação para a porta upstream/downstream do IPS/FW e, em seguida, receba da porta upstream/downstream do IPS/FW e julgue se o IPS/FW está funcionando normalmente enviando e recebendo a mensagem de pulsação.
5.3 Proteção da Série de Tração em Linha de Fluxo de Política “SpecFlow”
Quando o dispositivo de rede de segurança só precisa lidar com o tráfego específico na proteção de segurança em série, através da função de processamento de tráfego Mylinking™ ”Bypass Switch”, através da estratégia de triagem de tráfego para conectar o dispositivo de segurança “Preocupado”, o tráfego é enviado de volta diretamente ao link de rede, e a “seção de tráfego em questão” é a tração para o dispositivo de segurança em linha para realizar verificações de segurança.Isto não só manterá a aplicação normal da função de detecção de segurança do dispositivo de segurança, mas também reduzirá o fluxo ineficiente do equipamento de segurança para lidar com a pressão;ao mesmo tempo, o “Bypass Switch” pode detectar a condição de funcionamento do dispositivo de segurança em tempo real.O dispositivo de segurança funciona de forma anormal, ignorando diretamente o tráfego de dados para evitar a interrupção do serviço de rede.
O Mylinking™ Traffic Bypass Protector pode identificar o tráfego com base no identificador de cabeçalho da camada L2-L4, como etiqueta VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta de protocolo da camada de transporte, etiqueta de chave de cabeçalho de protocolo e assim por diante. sobre.Uma variedade de combinações flexíveis de condições de correspondência podem ser definidas de forma flexível para definir os tipos de tráfego específicos que são de interesse para um dispositivo de segurança específico e podem ser amplamente utilizadas para a implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.) .
5.4 Proteção em série com carga balanceada
O “Bypass Switch” Mylinking™ é implantado em série entre dispositivos de rede (roteadores, switches, etc.).Quando um único desempenho de processamento IPS/FW não é suficiente para lidar com o tráfego de pico do link de rede, a função de balanceamento de carga de tráfego do protetor, o “agrupamento” de vários tráfegos de link de rede de processamento de cluster IPS/FW, pode efetivamente reduzir o único IPS/FW Pressão de processamento de FW, melhora o desempenho geral de processamento para atender à alta largura de banda do ambiente de implantação.
Mylinking™ “Bypass Switch” possui uma poderosa função de balanceamento de carga, de acordo com a etiqueta VLAN do quadro, informações MAC, informações IP, número da porta, protocolo e outras informações sobre a distribuição de tráfego de balanceamento de carga Hash para garantir que cada IPS / FW receba dados fluxo Integridade da sessão.
5.5 Proteção de tração de fluxo de equipamento em linha multissérie (alterar conexão serial para conexão paralela)
Em alguns links importantes (como pontos de Internet, link de troca de área de servidor), a localização geralmente se deve às necessidades de recursos de segurança e à implantação de vários equipamentos de teste de segurança em linha (como firewall, equipamento de ataque anti-DDOS, firewall de aplicativo WEB , Equipamentos de prevenção de intrusões, etc.), vários equipamentos de detecção de segurança ao mesmo tempo em série no link para aumentar o link de um único ponto de falha, reduzindo a confiabilidade geral da rede.E na implantação on-line de equipamentos de segurança mencionados acima, atualizações de equipamentos, substituição de equipamentos e outras operações, causarão uma interrupção de serviço da rede por um longo período e uma ação maior de corte de projeto para completar a implementação bem-sucedida de tais projetos.
Ao implantar o “Bypass Switch” de maneira unificada, o modo de implantação de vários dispositivos de segurança conectados em série no mesmo link pode ser alterado de “modo de concatenação física” para “concatenação física, modo de concatenação lógica”. um único ponto de falha para melhorar a confiabilidade do link, enquanto o “bypass switch” no fluxo do link sob demanda de tração, para alcançar o mesmo fluxo com o modo original de efeito de processamento seguro.
Mais de um dispositivo de segurança ao mesmo tempo no diagrama de implantação em série:
Diagrama de implantação do switch bypass TAP de rede Mylinking™:
5.6 Baseado na Estratégia Dinâmica de Proteção de Detecção de Segurança de Tração de Tráfego
“Bypass Switch” Outro cenário de aplicação avançada é baseado na estratégia dinâmica de aplicações de proteção de detecção de segurança de tração de tráfego, a implantação da forma mostrada abaixo:
Pegue o equipamento de teste de segurança de “proteção e detecção de ataques anti-DDoS”, por exemplo, por meio da implantação front-end de “Bypass Switch” e, em seguida, equipamento de proteção anti-DDOS e depois conectado ao “Bypass Switch”, no habitual ” Protetor de tração “para a quantidade total de tráfego, encaminhamento de velocidade ao mesmo tempo, a saída do espelho de fluxo para o” dispositivo de proteção contra ataque anti-DDOS “, uma vez detectado para um IP do servidor (ou segmento de rede IP) após o ataque,” anti -Dispositivo de proteção contra ataques DDOS” irá gerar as regras de correspondência do fluxo de tráfego alvo e enviá-las para o “Bypass Switch” através da interface dinâmica de entrega de política.O " Bypass Switch " pode atualizar a "dinâmica de tração de tráfego" após receber as regras de política dinâmica Pool de regras "e imediatamente" a regra atinge o tráfego do servidor de ataque "tração para o equipamento de" proteção e detecção de ataque anti-DDoS "para processamento, para ser eficaz após o fluxo de ataque e então reinjetado na rede.
O esquema de aplicação baseado no “Bypass Switch” é mais fácil de implementar do que a tradicional injeção de rota BGP ou outro esquema de tração de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O “Bypass Switch” possui as seguintes características para suportar proteção de detecção de segurança de política dinâmica:
1, “Bypass Switch” para fornecer fora das regras baseadas na interface WEBSERIVCE, fácil integração com dispositivos de segurança de terceiros.
2, “Bypass Switch” baseado no chip ASIC puro de hardware, encaminhando pacotes de velocidade de fio de até 10 Gbps sem bloquear o encaminhamento de switch e “biblioteca de regras dinâmicas de tração de tráfego”, independentemente do número.
3, “Interruptor de Bypass” função BYPASS profissional integrada, mesmo se o próprio protetor falhar, também pode ignorar o link serial original imediatamente, não afeta o link original de comunicação normal.
