Przełącznik obejścia odczepu sieciowego Mylinking™ ML-BYPASS-100
2*Bypass plus 1*Monitor Konstrukcja modułowa, łącza 10/40/100GE, maks. 640 Gb/s
Przeglądy
Przełącznik obejściowy Mylinking™ Network Tap został przebadany i opracowany z myślą o elastycznym wdrażaniu różnych typów sprzętu zabezpieczającego, zapewniając jednocześnie wysoką niezawodność sieci.
Wdrażając inteligentny przełącznik obejściowy Mylinking™:
- Użytkownicy mogą elastycznie instalować/deinstalować urządzenia/narzędzia zabezpieczające, nie wpływając na bieżącą sieć ani nie przerywając jej działania;
- Przełącznik obejścia gniazd sieciowych Mylinking™ z inteligentną funkcją wykrywania stanu, umożliwiający monitorowanie w czasie rzeczywistym prawidłowego stanu działania urządzeń zabezpieczających. W przypadku wystąpienia wyjątku w działaniu urządzeń zabezpieczających, funkcja ochrony zostanie automatycznie pominięta, aby utrzymać normalną komunikację sieciową.
- Technologia selektywnej ochrony ruchu może być wykorzystana do wdrożenia specjalistycznego sprzętu zabezpieczającego przed czyszczeniem ruchu, technologii szyfrowania opartej na sprzęcie audytowym. Skutecznie realizuje ochronę dostępu inline dla określonego typu ruchu, odciążając urządzenie inline od obciążenia przepływem.
- Technologię Load Balanced Traffic Protection można stosować w przypadku klastrowego wdrażania bezpiecznych urządzeń zabezpieczających łącza szeregowe w celu spełnienia wymogów bezpieczeństwa łącza w środowiskach o dużej przepustowości.
Zaawansowane funkcje i technologie przełącznika obejścia odczepu sieciowego
Tryb ochrony „SpecFlow” i tryb ochrony „FullLink” w Mylinking™
Szybka ochrona przełączania Mylinking™
Mylinking™ „LinkSafeSwitch”
Dynamiczna strategia „WebService” Mylinking™ – przekazywanie/wydawanie
Inteligentne wykrywanie wiadomości Heartbeat Mylinking™
Mylinking™ Definiowalne komunikaty Heartbeat (pakiety Heartbeat)
Mylinking™ – równoważenie obciążenia wielolinkowego
Mylinking™ Inteligentna dystrybucja ruchu
Dynamiczne równoważenie obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, cechy „EasyConfig/AdvanceConfig”)
Opcjonalny przewodnik konfiguracji przełącznika obejścia odczepu sieciowego
Moduł BYPASSGniazdo modułu portu ochronnego:
To gniazdo można włożyć do modułu portu ochrony BYPASS o różnej prędkości/numerze portu. Poprzez wymianę różnych typów modułów, może ono obsługiwać ochronę BYPASS dla wielu łączy 10G/40G/100G.
Moduł MONITORGniazdo modułu portu;
Do tego gniazda można włożyć moduł MONITOR o różnych prędkościach/portach. Moduł obsługuje wiele łączy 10G/40G/100G, umożliwiając instalację szeregowego urządzenia monitorującego poprzez wymianę różnych modułów.
Zasady wyboru modułów
Na podstawie różnych wdrożonych łączy i wymagań dotyczących wdrażania sprzętu monitorującego możesz elastycznie wybierać różne konfiguracje modułów, aby spełnić rzeczywiste wymagania Twojego środowiska. Podczas wybierania modułu postępuj zgodnie z następującymi zasadami:
1. Komponenty podwozia są obowiązkowe i należy je wybrać przed doborem jakichkolwiek innych modułów. Jednocześnie należy wybrać różne metody zasilania (AC/DC) w zależności od potrzeb.
2. Całe urządzenie obsługuje do 2 gniazd modułów BYPASS i 1 gniazdo modułu MONITOR; nie można wybrać więcej niż liczbę gniazd do skonfigurowania. W zależności od kombinacji liczby gniazd i modelu modułu, urządzenie może obsługiwać do czterech zabezpieczeń łącza 10GE; lub do czterech łączy 40GE; lub do jednego łącza 100GE.
3. Aby moduł „BYP-MOD-L1CG” działał prawidłowo, należy go włożyć tylko do gniazda SLOT1.
4. Moduł typu „BYP-MOD-XXX” można włożyć wyłącznie do gniazda modułu BYPASS; moduł typu „MON-MOD-XXX” można włożyć wyłącznie do gniazda modułu MONITOR w celu normalnej pracy.
| Model produktu | Parametry funkcji |
| Podwozie (host) | |
| ML-BYPASS-M100 | Standardowa obudowa 19-calowa 1U do montażu w szafie rack; maksymalny pobór mocy 250 W; modułowy host zabezpieczenia BYPASS; 2 gniazda modułów BYPASS; 1 gniazdo modułu MONITOR; opcjonalne zasilanie AC i DC; |
| MODUŁ OBEJŚCIA | |
| BYP-MOD-L2XG(LM/SM) | Obsługuje dwukierunkową ochronę szeregową łącza 10GE, interfejs 4*10GE, złącze LC; wbudowany transceiver optyczny; opcjonalnie łącze optyczne jedno-/wielomodowe, obsługuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Obsługuje dwukierunkową ochronę szeregową łącza 40GE, interfejs 4*40GE, złącze LC; wbudowany transceiver optyczny; opcjonalnie łącze optyczne jedno-/wielomodowe, obsługuje 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Obsługuje 1 kanał ochrony szeregowej łącza 100GE, 2 interfejsy 100GE, złącze LC; wbudowany transceiver optyczny; opcjonalnie pojedynczy wielomodowy moduł łącza optycznego, obsługuje 100GBASE-SR4/LR4; |
| MODUŁ MONITORA | |
| MON-MOD-L16XG | Moduł portu monitorującego 16*10GE SFP+; brak modułu transceivera optycznego; |
| MON-MOD-L8XG | Moduł portu monitorującego 8*10GE SFP+; brak modułu transceivera optycznego; |
| MON-MOD-L2CG | Moduł portu monitorującego 2*100GE QSFP28; brak modułu transceivera optycznego; |
| MON-MOD-L8QXG | Moduł portów monitorujących 8* 40GE QSFP+; brak modułu transceivera optycznego; |
Specyfikacje przełącznika obejściowego sieci TAP
| Modalność produktu | Przełącznik obejścia sieciowego ML-BYPASS-M100 | |
| Typ interfejsu | Interfejs MGT | 1*10/100/1000BASE-T Interfejs zarządzania adaptacyjnego; Obsługa zdalnego zarządzania HTTP/IP |
| Gniazdo modułu | 2*gniazdo modułu BYPASS;1*gniazdo modułu MONITOR; | |
| Linki obsługujące maksimum | Urządzenie obsługuje maksymalnie 4 łącza 10GE, 4 łącza 40GE lub 1 łącze 100GE | |
| Monitorowanie | Urządzenie obsługuje maksymalnie 16 portów monitorujących 10GE, 8 portów monitorujących 40GE lub 2 porty monitorujące 100GE. | |
| Funkcjonować | Możliwość przetwarzania w trybie pełnego dupleksu | 640 Gb/s |
| Na podstawie ochrony kaskadowej ruchu specyficznego dla IP/protokołu/portu pięciu krotek | Utrzymany | |
| Ochrona kaskadowa oparta na pełnym ruchu | Utrzymany | |
| Wielokrotne równoważenie obciążenia | Utrzymany | |
| Funkcja wykrywania bicia serca | Utrzymany | |
| Obsługa niezależności pakietów Ethernet | Utrzymany | |
| PRZEŁĄCZNIK OBEJŚCIOWY | Utrzymany | |
| Przełącznik BYPASS bez lampy błyskowej | Utrzymany | |
| ZARZĄDZANIE KONSOLĄ | Utrzymany | |
| Zarządzanie IP/siecią | Utrzymany | |
| Zarządzanie SNMP V1/V2C | Utrzymany | |
| Zarządzanie TELNET/SSH | Utrzymany | |
| Protokół SYSLOG | Utrzymany | |
| Autoryzacja użytkownika | Na podstawie autoryzacji hasłem/AAA/TACACS+ | |
| Elektryczny | Napięcie znamionowe zasilania | AC-220V/DC-48V【Opcjonalnie】 |
| Znamionowa częstotliwość zasilania | 50 Hz | |
| Znamionowy prąd wejściowy | AC-3A / DC-10A | |
| Moc znamionowa | 100 W | |
| Środowisko | Temperatura pracy | 0–50℃ |
| Temperatura przechowywania | -20-70℃ | |
| Wilgotność robocza | 10%-95%, bez kondensacji | |
| Konfiguracja użytkownika | Konfiguracja konsoli | Interfejs RS232,115200,8,N,1 |
| Interfejs MGT poza pasmem | Interfejs Ethernet 1*10/100/1000M | |
| Autoryzacja hasłem | Utrzymany | |
| Wysokość podwozia | Przestrzeń podwozia (U) | 1U 19 cali, 485 mm * 44,5 mm * 350 mm |
Zastosowanie przełącznika obejściowego sieci TAP (jak poniżej)
5.1 Ryzyko związane ze sprzętem zabezpieczającym w linii (IPS/FW)
Poniżej przedstawiono typowy tryb wdrożenia IPS (system zapobiegania włamaniom), FW (zapora sieciowa). IPS/FW wdrażany jest jako wbudowany sprzęt sieciowy (taki jak routery, przełączniki itp.) pomiędzy ruchem poprzez wdrożenie kontroli bezpieczeństwa, zgodnie z odpowiednią polityką bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt obrony bezpieczeństwa.
Jednocześnie możemy zaobserwować IPS (Intrusion Prevention System) / FW (Firewall) jako wdrożenie inline sprzętu, zazwyczaj wdrażane w kluczowej lokalizacji sieci przedsiębiorstwa w celu wdrożenia zabezpieczeń inline, niezawodność podłączonych urządzeń bezpośrednio wpływa na ogólną dostępność sieci przedsiębiorstwa. Przeciążenie urządzeń zabezpieczających inline, awaria, aktualizacje oprogramowania, aktualizacje zasad itp. znacząco wpływają na dostępność całej sieci przedsiębiorstwa. W tym momencie, jedynie poprzez odcięcie sieci, fizyczne obejście zworki może przywrócić sieć, ale poważnie wpływa to na jej niezawodność. IPS (Intrusion Prevention System) / FW (Firewall) i inne urządzenia inline z jednej strony poprawiają wdrażanie zabezpieczeń sieci przedsiębiorstwa, z drugiej strony zmniejszają niezawodność sieci przedsiębiorstwa, zwiększając ryzyko braku dostępu do sieci.
5.2 Ochrona sprzętu serii Inline Link
Mylinking™ „Bypass Switch” jest wdrażany jako wbudowany pomiędzy urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych pomiędzy urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS (Intrusion Prevention System) / FW (Firewall), „Bypass Switch” do IPS / FW. Gdy IPS / FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „Bypass Switch” poprzez inteligentną funkcję wykrywania komunikatów Heartbeat w odpowiednim czasie wykrywa, a tym samym pomija wadliwe urządzenie, bez przerywania działania sieci, szybki sprzęt sieciowy bezpośrednio podłączony w celu ochrony normalnej sieci komunikacyjnej; gdy odzyskiwanie po awarii IPS / FW, ale także poprzez inteligentne wykrywanie pakietów Heartbeat w odpowiednim czasie, funkcja ta przywraca oryginalne łącze do bezpieczeństwa kontroli bezpieczeństwa sieci przedsiębiorstwa.
Mylinking™ „Bypass Switch” ma zaawansowaną, inteligentną funkcję wykrywania komunikatów Heartbeat. Użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób za pomocą niestandardowego komunikatu Heartbeat na IPS/FW w celu sprawdzenia stanu urządzenia, np. wysyłając komunikat kontroli pulsu do portu nadrzędnego/podrzędnego IPS/FW, a następnie odbierając go z portu nadrzędnego/podrzędnego IPS/FW i oceniając, czy IPS/FW działa prawidłowo, wysyłając i odbierając komunikat Heartbeat.
5.3 Polityka „SpecFlow” Ochrona serii trakcji liniowej Flow
Gdy urządzenie sieciowe musi obsłużyć tylko określony ruch w szeregu, funkcja Mylinking™ „Network Tap Bypass Switch” przetwarza ruch w czasie rzeczywistym, a strategia kontroli ruchu łączy urządzenie zabezpieczające z ruchem „zagrożonym”, który jest odsyłany bezpośrednio do łącza sieciowego, a „zagrożona sekcja ruchu” jest przekazywana do wbudowanego urządzenia bezpieczeństwa w celu przeprowadzenia kontroli bezpieczeństwa. Pozwala to nie tylko na utrzymanie normalnego działania funkcji wykrywania bezpieczeństwa urządzenia bezpieczeństwa, ale także na zmniejszenie nieefektywnego przepływu urządzeń bezpieczeństwa w celu radzenia sobie z ciśnieniem; jednocześnie „Network Tap Bypass Switch” może wykrywać stan pracy urządzenia bezpieczeństwa w czasie rzeczywistym. Urządzenie bezpieczeństwa działa nieprawidłowo, bezpośrednio omijając ruch danych, aby uniknąć zakłóceń w działaniu sieci.
Moduł Mylinking™ Inline Traffic Bypass Tap może identyfikować ruch na podstawie identyfikatora nagłówka warstwy L2-L4, takiego jak znacznik VLAN, adres MAC źródła/docelowy, adres IP źródła, typ pakietu IP, port protokołu warstwy transportowej, znacznik klucza nagłówka protokołu itd. Różnorodne warunki dopasowania można elastycznie definiować w celu określenia konkretnych typów ruchu, które są interesujące dla danego urządzenia zabezpieczającego. Może być on szeroko stosowany do wdrażania specjalistycznych urządzeń audytowych (RDP, SSH, audyt baz danych itp.).
5.4 Zabezpieczenie szeregowe z równoważonym obciążeniem
Przełącznik Mylinking™ „Network Tap Bypass Switch” jest wdrażany w trybie inline pomiędzy urządzeniami sieciowymi (routerami, przełącznikami itp.). Gdy wydajność przetwarzania pojedynczego IPS/FW nie jest wystarczająca, aby obsłużyć szczytowy ruch w łączu sieciowym, funkcja równoważenia obciążenia, czyli „grupowanie” wielu klastrów IPS/FW przetwarzających ruch w łączu sieciowym, może skutecznie zmniejszyć obciążenie pojedynczego IPS/FW i poprawić ogólną wydajność przetwarzania, aby sprostać wysokim wymaganiom przepustowości środowiska wdrożeniowego.
Przełącznik obejścia sieciowego Mylinking™ „Network Tap Bypass Switch” ma wydajną funkcję równoważenia obciążenia, która na podstawie znacznika VLAN ramki, informacji MAC, informacji IP, numeru portu, protokołu i innych informacji dotyczących rozkładu obciążenia Hash równoważy ruch, aby zapewnić integralność sesji każdego IPS/FW otrzymanego przepływu danych.
5.5 Zabezpieczenie trakcji przepływu w urządzeniach wielosegmentowych (zmiana połączenia szeregowego na równoległe)
W przypadku niektórych kluczowych łączy (takich jak gniazda internetowe, łącza wymiany serwerów) lokalizacja często wynika z potrzeb związanych z zabezpieczeniami i koniecznością wdrożenia wielu urządzeń do testowania bezpieczeństwa (takich jak zapora sieciowa (FW), urządzenia anty-DDOS, zapora sieciowa aplikacji internetowych (WAF), system zapobiegania włamaniom (IPS) itp.), a także jednoczesnego szeregowego stosowania wielu urządzeń do wykrywania zagrożeń na łączu, aby zwiększyć podatność na awarie, zmniejszając tym samym ogólną niezawodność sieci. W przypadku wspomnianego sprzętu zabezpieczającego, jego wdrażanie on-line, modernizacja, wymiana i inne operacje spowodują długotrwałe przerwy w działaniu sieci i konieczność przeprowadzenia działań mających na celu zakończenie pomyślnej realizacji.
Dzięki ujednoliconemu wdrożeniu „Network Tap Bypass Switch” tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu można zmienić z „trybu łączenia fizycznego” na „tryb łączenia fizycznego, logicznego”. Łącze na łączu eliminuje pojedynczy punkt awarii, aby poprawić niezawodność łącza, podczas gdy „przełącznik obejściowy” na łączu przepływa na żądanie, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego przetwarzania.
Schemat wdrożenia w trybie inline obejmującego więcej niż jedno urządzenie zabezpieczające:
Schemat wdrożenia przełącznika obejściowego Mylinking™ Network TAP:
5.6 W oparciu o dynamiczną strategię ochrony przed wykrywaniem zagrożeń ruchu drogowego
„Przełącznik obejścia odczepu sieciowego” Inny zaawansowany scenariusz zastosowania opiera się na dynamicznej strategii aplikacji zabezpieczających wykrywanie zagrożeń ruchu drogowego, wdrażanych w sposób pokazany poniżej:
Weźmy na przykład sprzęt do testowania bezpieczeństwa „ochrony przed atakami DDoS i ich wykrywania”, wdrażając front-end „Network Tap Bypass Switch”, a następnie sprzęt do ochrony przed atakami DDoS, podłączony do „Network Tap Bypass Switch”. W standardowym „Traction Protector” zapewnia on pełną przepustowość ruchu z prędkością łącza, jednocześnie przesyłając dane wyjściowe do „urządzenia do ochrony przed atakami DDoS”. Po wykryciu adresu IP serwera (lub segmentu sieci IP) po ataku „urządzenie do ochrony przed atakami DDoS” wygeneruje reguły dopasowania docelowego przepływu ruchu i prześle je do „Network Tap Bypass Switch” za pośrednictwem dynamicznego interfejsu dostarczania zasad. „Network Tap Bypass Switch” może zaktualizować „dynamikę ruchu” po otrzymaniu dynamicznych reguł zasad i natychmiast „przesłać” ruch z serwera atakującego do sprzętu do ochrony przed atakami DDoS i ich wykrywania w celu przetworzenia, aby działał po ataku, a następnie ponownie wstrzyknął go do sieci.
Schemat aplikacji bazujący na „Network Tap Bypass Switch” jest łatwiejszy do wdrożenia niż tradycyjne wstrzykiwanie tras BGP lub inne schematy trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Przełącznik omijający odczep sieciowy” ma następujące cechy umożliwiające obsługę dynamicznej ochrony wykrywania zasad bezpieczeństwa:
1. „Przełącznik obejścia sieciowego” umożliwiający działanie poza regułami opartymi na interfejsie WEBSERIVCE oraz łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2. „Przełącznik obejścia odczepu sieciowego” oparty na układzie scalonym ASIC przesyłającym pakiety z prędkością do 10 Gb/s bez blokowania przesyłania dalej przełącznika oraz „biblioteka dynamicznych reguł trakcji ruchu” niezależnie od liczby.
3. Wbudowana profesjonalna funkcja BYPASS „Network Tap Bypass Switch” pozwala na natychmiastowe ominięcie oryginalnego łącza szeregowego nawet w przypadku awarii samego zabezpieczenia, nie wpływając na oryginalne łącze normalnej komunikacji.
