Мережевий обхідний перемикач Mylinking™ ML-BYPASS-100
2*Bypass плюс 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
Огляди
Мережевий обхідний перемикач Mylinking™ досліджено та розроблено для гнучкого розгортання різних типів вбудованого обладнання безпеки, забезпечуючи при цьому високу надійність мережі.
Розгорнувши Mylinking™ Smart Bypass Switch Tap:
- Користувачі можуть гнучко встановлювати/видаляти обладнання/інструменти безпеки, не впливаючи на поточну мережу та не перериваючи її;
- Мережевий обхідний перемикач Mylinking™ із функцією інтелектуального виявлення працездатності для моніторингу нормального робочого стану вбудованих пристроїв безпеки в реальному часі.Після того, як вбудовані пристрої безпеки спрацьовують як виняток, функція захисту автоматично обходить, щоб підтримувати нормальний мережевий зв’язок;
- Технологію вибіркового захисту трафіку можна використовувати для розгортання спеціального обладнання безпеки очищення трафіку, технології шифрування на основі обладнання аудиту.Ефективно здійснювати захист внутрішнього доступу для конкретного типу трафіку, розвантажуючи тиск обробки потоку вбудованого пристрою;
- Технологію Load Balanced Traffic Protection можна використовувати для кластерного розгортання захищених послідовних вбудованих пристроїв безпеки для забезпечення внутрішньої безпеки в середовищах з високою пропускною здатністю.
Розширені функції та технології обхідного перемикача відводу мережі
Режим захисту Mylinking™ «SpecFlow» і режим захисту «FullLink».
Захист перемикання швидкого обходу Mylinking™
Mylinking™ “LinkSafeSwitch”
Динамічна стратегія пересилання/проблема Mylinking™ “WebService”.
Інтелектуальне виявлення повідомлень Mylinking™
Mylinking™ Визначені Heartbeat-повідомлення (Heartbeat Packets)
Багатоканальне балансування навантаження Mylinking™
Інтелектуальний розподіл трафіку Mylinking™
Динамічне балансування навантаження Mylinking™
Технологія віддаленого керування Mylinking™ (характеристики HTTP/WEB, TELNET/SSH, EasyConfig/AdvanceConfig)
Додатковий посібник із конфігурації перемикача обхідного відводу мережі
Модуль BYPASSСлот модуля порту захисту:
Цей слот можна вставити в модуль порту захисту BYPASS з іншою швидкістю/номером порту.Замінюючи різні типи модулів, він може підтримувати захист BYPASS для кількох вимог до каналів 10G/40G/100G.
Модуль МОНІТОРГніздо для модуля порту;
У цей слот можна вставити модуль MONITOR з різними швидкостями/портами.Він може підтримувати кілька каналів 10G/40G/100G для вбудованого послідовного розгортання пристроїв моніторингу шляхом заміни різних модулів.
Правила відбору модулів
На основі різних розгорнутих зв’язків і вимог до розгортання обладнання для моніторингу ви можете гнучко вибирати різні конфігурації модулів відповідно до фактичного запиту середовища;під час вибору модуля дотримуйтесь наступних правил:
1. Компоненти шасі є обов’язковими, і ви повинні вибрати компоненти шасі перед тим, як вибрати будь-які інші модулі.У той же час, будь ласка, виберіть різні методи живлення (AC/DC) відповідно до ваших потреб.
2. Весь пристрій підтримує до 2 слотів модуля BYPASS і 1 слота модуля MONITOR;ви не можете вибрати більше, ніж кількість слотів для налаштування.Залежно від кількості слотів і моделі модуля пристрій може підтримувати до чотирьох засобів захисту зв’язку 10GE;або він може підтримувати до чотирьох каналів 40GE;або він може підтримувати до одного посилання 100GE.
3. Модуль моделі "BYP-MOD-L1CG" можна вставити лише в SLOT1 для належної роботи.
4. Модуль типу "BYP-MOD-XXX" можна вставляти лише в слот модуля BYPASS;модуль типу "MON-MOD-XXX" можна вставити лише в слот модуля MONITOR для нормальної роботи.
| Модель продукту | Параметри функції |
| Шасі (хост) | |
| ML-BYPASS-M100 | 1U стандартна 19-дюймова стійка;максимальна споживана потужність 250Вт;модульний хост-протектор BYPASS;2 слота для модуля BYPASS;1 слот для модуля MONITOR;Змінний і постійний струм необов'язкові; |
| МОДУЛЬ БАЙПАСУ | |
| BYP-MOD-L2XG(LM/SM) | Підтримує двосторонній послідовний захист зв’язку 10GE, інтерфейс 4*10GE, роз’єм LC;вбудований оптичний трансивер;одно/багатомодовий оптичний зв’язок, підтримує 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Підтримує двосторонній послідовний захист зв’язку 40GE, інтерфейс 4*40GE, роз’єм LC;вбудований оптичний трансивер;одно/багатомодовий оптичний зв’язок, підтримується 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Підтримує 1-канальний послідовний захист зв’язку 100GE, інтерфейс 2*100GE, роз’єм LC;вбудований оптичний трансивер;оптичний канал, одиночний багатомодовий опціональний, підтримує 100GBASE-SR4/LR4; |
| МОДУЛЬ МОНІТОРА | |
| MON-MOD-L16XG | Модуль порту моніторингу 16*10GE SFP+;відсутність оптичного приймально-передавального модуля; |
| MON-MOD-L8XG | 8*10GE SFP+ модуль порту моніторингу;відсутність оптичного приймально-передавального модуля; |
| MON-MOD-L2CG | 2*100GE QSFP28 модуль порту моніторингу;відсутність оптичного приймально-передавального модуля; |
| MON-MOD-L8QXG | 8* модуль порту моніторингу 40GE QSFP+;відсутність оптичного приймально-передавального модуля; |
Технічні характеристики обхідного перемикача TAP мережі
| Модальність продукту | ML-BYPASS-M100 Вбудований мережевий обхідний перемикач | |
| Тип інтерфейсу | Інтерфейс MGT | 1*10/100/1000BASE-T Адаптивний інтерфейс управління;Підтримка дистанційного керування HTTP/IP |
| Гніздо для модуля | 2*Слот для модуля BYPASS;1*Слот для модуля MONITOR; | |
| Максимальна підтримка посилань | Пристрій підтримує максимум 4*10GE посилань або 4*40GE посилань або 1*100GE посилань | |
| Моніторинг | Пристрій підтримує максимум 16*10GE портів моніторингу або 8*40GE портів моніторингу або 2*100GE портів моніторингу; | |
| функція | Повнодуплексна обробка | 640 Гбіт/с |
| На основі каскадного захисту трафіку з п’ятьма кортежами IP/протокол/порт | Підтримується | |
| Каскадний захист на основі повного трафіку | Підтримується | |
| Багаторазове балансування навантаження | Підтримується | |
| Спеціальна функція виявлення серцебиття | Підтримується | |
| Підтримка незалежності пакетів Ethernet | Підтримується | |
| ОБХІДНИЙ ПЕРЕМИКАЧ | Підтримується | |
| BYPASS Перемикач без спалаху | Підтримується | |
| КОНСОЛЬ MGT | Підтримується | |
| IP/WEB MGT | Підтримується | |
| SNMP V1/V2C MGT | Підтримується | |
| TELNET/SSH MGT | Підтримується | |
| Протокол SYSLOG | Підтримується | |
| Авторизація користувача | На основі авторизації паролем/AAA/TACACS+ | |
| Електричний | Номінальна напруга живлення | AC-220V/DC-48V【Додатково】 |
| Номінальна частота живлення | 50 Гц | |
| Номінальний вхідний струм | AC-3A / DC-10A | |
| Номінальна потужність | 100 Вт | |
| Навколишнє середовище | Робоча температура | 0-50 ℃ |
| Температура зберігання | -20-70 ℃ | |
| Робоча вологість | 10%-95%, без конденсації | |
| Конфігурація користувача | Конфігурація консолі | Інтерфейс RS232,115200,8,N,1 |
| Зовнішній інтерфейс MGT | 1*10/100/1000M Ethernet інтерфейс | |
| Авторизація паролем | Підтримується | |
| Висота шасі | Розмір шасі(U) | 1U 19 дюймів, 485 мм * 44,5 мм * 350 мм |
Додаток перемикача обходу TAP мережі (як показано нижче)
5.1 Ризик вбудованого обладнання безпеки (IPS / FW)
Нижче наведено типовий режим розгортання IPS (система запобігання вторгненням), FW (брандмауер), IPS / FW розгортається як вбудоване мережеве обладнання (таке як маршрутизатори, комутатори тощо) між трафіком через виконання перевірок безпеки, відповідно до відповідну політику безпеки для визначення звільнення або блокування відповідного трафіку для досягнення ефекту захисту безпеки.
У той же час ми можемо спостерігати IPS (система запобігання вторгненням) / FW (брандмауер) як вбудоване розгортання обладнання, яке зазвичай розгортається в ключовому місці корпоративної мережі для реалізації вбудованої безпеки, надійність підключених пристроїв безпосередньо впливає загальна доступність мережі підприємства.Після перевантаження вбудованих пристроїв безпеки, збою, оновлення програмного забезпечення, оновлень політики тощо це значно вплине на доступність усієї корпоративної мережі.На даний момент ми можемо відновити мережу лише за допомогою перемикання фізичного обходу, але це серйозно впливає на надійність мережі.IPS (система запобігання вторгненням) / FW (брандмауер) та інші вбудовані пристрої, з одного боку, покращують розгортання безпеки корпоративної мережі, з іншого боку також знижують надійність корпоративних мереж, збільшуючи ризик того, що мережа недоступна.
5.2 Захист обладнання серії Inline Link
«Обхідний комутатор» Mylinking™ розгортається як вбудований між мережевими пристроями (маршрутизаторами, комутаторами тощо), і потік даних між мережевими пристроями більше не веде безпосередньо до IPS (система запобігання вторгненням) / FW (брандмауер), «байпасний комутатор» до IPS / FW, коли IPS / FW через перевантаження, збій, оновлення програмного забезпечення, оновлення політики та інші умови несправності, «Перемикач обходу» через інтелектуальну функцію виявлення серцевих повідомлень своєчасного виявлення, і таким чином пропускає несправний пристрій, без переривання приміщення мережі, швидке мережеве обладнання безпосередньо підключене для захисту нормальної мережі зв'язку;при відновленні збоїв IPS / FW, а також за допомогою інтелектуального виявлення пакетів Heartbeat для своєчасного виявлення функції, оригінального посилання для відновлення безпеки перевірок безпеки корпоративної мережі.
Mylinking™ "Bypass Switch" має потужну інтелектуальну функцію виявлення серцевих повідомлень, користувач може налаштувати інтервал серцевих скорочень і максимальну кількість повторів за допомогою користувацьких серцевих повідомлень на IPS / FW для тестування працездатності, наприклад, надіслати повідомлення перевірки серцевих скорочень. до вихідного/низхідного порту IPS/FW, а потім отримати від висхідного/низхідного порту IPS/FW і судити про те, чи IPS/FW працює нормально, надсилаючи та отримуючи серцебиття.
5.3 Потік політики “SpecFlow” Inline Traction Series Protection
Коли мережевому пристрою безпеки потрібно мати справу лише з певним трафіком у послідовному захисті безпеки, через функцію обробки трафіку Mylinking™ «Мережевий обхідний перемикач» через стратегію скринінгу трафіку для підключення «Зацікавленого» пристрою безпеки надсилається трафік назад безпосередньо до мережі, а «відповідна ділянка трафіку» — це тяга до внутрішнього запобіжного пристрою для виконання перевірок безпеки.Це не тільки підтримуватиме нормальне застосування функції виявлення безпеки запобіжного пристрою, але також зменшить неефективний потік обладнання безпеки для роботи з тиском;в той же час, «Мережевий обхідний перемикач» може визначити робочий стан пристрою безпеки в режимі реального часу.Захисний пристрій працює неправильно, обходить трафік даних напряму, щоб уникнути перебоїв у роботі мережі.
Mylinking™ Inline Traffic Bypass Tap може ідентифікувати трафік на основі ідентифікатора заголовка рівня L2-L4, такого як тег VLAN, MAC-адреса джерела / призначення, IP-адреса джерела, тип IP-пакета, порт протоколу транспортного рівня, тег ключа заголовка протоколу та так далі.Гнучку комбінацію різноманітних умов збігу можна гнучко визначити, щоб визначити конкретні типи трафіку, які представляють інтерес для конкретного пристрою безпеки, і можуть широко використовуватися для розгортання спеціальних пристроїв аудиту безпеки (RDP, SSH, аудит бази даних тощо). .
5.4 Послідовний захист із збалансованим навантаженням
«Мережевий обхідний перемикач» Mylinking™ розгортається як вбудований між мережевими пристроями (маршрутизаторами, комутаторами тощо).Якщо одинична продуктивність обробки IPS/FW недостатня, щоб впоратися з піковим трафіком мережевого з’єднання, функція балансування навантаження трафіку протектора, «об’єднання» декількох мережевих з’єднань із обробкою кластерів IPS/FW, може ефективно зменшити один IPS/FW тиск обробки, покращити загальну продуктивність обробки, щоб відповідати високій пропускній здатності середовища розгортання.
Mylinking™ «Network Tap Bypass Switch» має потужну функцію балансування навантаження відповідно до тегу VLAN кадру, інформації MAC, інформації про IP, номера порту, протоколу та іншої інформації про хеш-баланс розподілу навантаження трафіку, щоб гарантувати, що кожен IPS / FW отриманий потік даних Цілісність сеансу.
5.5 Багатосерійне вбудоване обладнання, захист від тяги потоку (змінити послідовне з’єднання на паралельне)
У деяких ключових зв’язках (таких як Інтернет-розетки, канали обміну серверною зоною) розташування часто пов’язане з потребами в функціях безпеки та розгортанням кількох вбудованих засобів тестування безпеки (таких як брандмауер (FW), обладнання для захисту від атак DDOS, Брандмауер WEB-додатків (WAF), система запобігання вторгненням (IPS) тощо), багаторазове обладнання для виявлення безпеки одночасно в послідовному з’єднанні для збільшення зв’язку з єдиною точкою збою, що знижує загальну надійність мережі.І в згаданому вище онлайновому розгортанні обладнання безпеки, модернізації обладнання, заміні обладнання та інших операціях призведе до тривалого переривання обслуговування мережі та більшого скорочення проекту для завершення успішної реалізації таких проектів.
Уніфікованим розгортанням «Network Tap Bypass Switch» режим розгортання кількох пристроїв безпеки, з’єднаних послідовно в одному каналі, можна змінити з «режим фізичного з’єднання» на «режим фізичного з’єднання, режим логічного з’єднання». Посилання на ланка єдиної точки відмови для підвищення надійності ланки, тоді як "обхідний перемикач" на ланці потоку на вимогу тяги, щоб досягти того самого потоку з оригінальним режимом безпечного ефекту обробки.
Більш ніж один пристрій безпеки одночасно як вбудована схема розгортання:
Схема розгортання комутатора обходу TAP мережі Mylinking™:
5.6 На основі динамічної стратегії безпеки виявлення трафіку
Інший розширений сценарій застосування базується на динамічній стратегії додатків захисту виявлення трафіку безпеки виявлення, розгортання способу, як показано нижче:
Візьмемо обладнання для тестування безпеки «Захист і виявлення атак від DDoS», наприклад, за допомогою зовнішнього розгортання «Перемикача обходу мережі», а потім обладнання захисту від DDOS, а потім підключеного до «Перемикача обходу мережі», у звичайному «Traction protector» до повного обсягу трафіку, пересилання швидкості проводу, одночасно з дзеркалом потоку, виведеним на «пристрій захисту від DDOS-атаки», після виявлення IP-адреси сервера (або сегмента IP-мережі) після атаки, «пристрій захисту від атак DDOS» генеруватиме правила відповідності цільового потоку трафіку та надсилатиме їх до «перемикача обходу мережі» через інтерфейс динамічної доставки політики.«Мережевий обхідний перемикач» може оновлювати «динаміку тяги трафіку» після отримання правил динамічної політики «пул правил» і негайно «правило вражає трафік сервера атак» тяги до «захисту та виявлення атак проти DDoS» обладнання для обробки, бути ефективним після потоку атаки, а потім повторно ввести в мережу.
Схему додатка на основі «мережевого обхідного перемикача» легше реалізувати, ніж традиційне впровадження маршруту BGP або іншу схему залучення трафіку, а середовище менше залежить від мережі, а надійність вища.
«Мережевий обхідний перемикач» має такі характеристики для підтримки захисту від виявлення динамічної безпеки:
1, «Мережевий обхідний перемикач» для забезпечення поза правилами на основі інтерфейсу WEBSERIVCE, легкої інтеграції з пристроями безпеки сторонніх виробників.
2, «BNetwork Tap Bypass Switch» на основі апаратного чіпа ASIC, що пересилає пакети зі швидкістю до 10 Гбіт/с без блокування переадресації комутатора, і «бібліотеку динамічних правил трафіку» незалежно від кількості.
3. Вбудована професійна функція BYPASS «Мережевий перемикач обходу», навіть якщо сам захисник вийшов з ладу, також може негайно обійти оригінальне послідовне з’єднання, не впливаючи на вихідне з’єднання нормального зв’язку.
