Przełącznik obejścia sieciowego kranu Mylinking™ ML-BYPASS-100
2*Bypass plus 1*Modułowa konstrukcja monitora, łącza 10/40/100GE, maks. 640 Gb/s
Przeglądy
Mylinking™ Network Tap Bypass Switch został opracowany i opracowany z myślą o elastycznym wdrażaniu różnego rodzaju wbudowanych urządzeń zabezpieczających przy jednoczesnym zapewnieniu wysokiej niezawodności sieci.
Wdrażając Mylinking™ Smart Bypass Switch Tap:
- Użytkownicy mogą elastycznie instalować/odinstalowywać sprzęt/narzędzia zabezpieczające i nie wpływają na obecną sieć ani nie przerywają jej;
- Mylinking™ Network Tap Bypass Przełącznik z inteligentną funkcją wykrywania stanu do monitorowania w czasie rzeczywistym normalnego stanu pracy wbudowanych urządzeń zabezpieczających.Gdy wbudowane urządzenia zabezpieczające zadziałają wyjątek, funkcja ochrony zostanie automatycznie pominięta, aby utrzymać normalną komunikację sieciową;
- Technologia selektywnej ochrony ruchu może być wykorzystana do wdrożenia określonego sprzętu do czyszczenia ruchu, technologii szyfrowania opartej na sprzęcie do audytu.Skutecznie przeprowadzaj ochronę dostępu w linii dla określonego rodzaju ruchu, rozładowując ciśnienie obsługi przepływu urządzenia w linii;
- Technologia Load Balanced Traffic Protection może być używana do klastrowego wdrażania bezpiecznych szeregowych wbudowanych urządzeń zabezpieczających w celu zapewnienia bezpieczeństwa wbudowanego w środowiskach o dużej przepustowości.
Network Tap Bypass Switch Zaawansowane funkcje i technologie
Tryb ochrony „SpecFlow” Mylinking™ i tryb ochrony „FullLink”.
Ochrona szybkiego przełączania obejściowego Mylinking™
Mylinking™ „LinkSafeSwitch”
Mylinking™ „WebService” Przekierowanie/problem z dynamiczną strategią
Mylinking™ Inteligentne wykrywanie wiadomości o biciu serca
Definiowalne komunikaty pulsu Mylinking™ (pakiety pulsu)
Równoważenie obciążenia wielu łączy Mylinking™
Inteligentna dystrybucja ruchu Mylinking™
Dynamiczne równoważenie obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, charakterystyka „EasyConfig/AdvanceConfig”)
Network Tap Bypass Switch Opcjonalna instrukcja konfiguracji
Moduł BYPASSGniazdo modułu portu ochrony:
To gniazdo można włożyć do modułu portu zabezpieczającego BYPASS z inną prędkością/numerem portu.Zastępując różne typy modułów, może obsługiwać ochronę BYPASS wielu wymagań łączy 10G/40G/100G.
Moduł MONITORAGniazdo modułu portu;
Do tego gniazda można włożyć moduł MONITOR z różnymi prędkościami/portami.Może obsługiwać wiele łączy 10G/40G/100G do wdrażania szeregowych urządzeń monitorujących poprzez wymianę różnych modułów.
Zasady wyboru modułów
W oparciu o różne wdrożone łącza i wymagania dotyczące wdrażania sprzętu monitorującego, możesz elastycznie wybierać różne konfiguracje modułów, aby spełnić rzeczywiste wymagania dotyczące środowiska;proszę kierować się poniższymi zasadami podczas wyboru modułu:
1. Elementy podwozia są obowiązkowe i należy je wybrać przed wybraniem jakichkolwiek innych modułów.Jednocześnie wybierz różne metody zasilania (AC/DC) w zależności od potrzeb.
2. Całe urządzenie obsługuje do 2 gniazd modułu BYPASS i 1 gniazda modułu MONITOR;nie możesz wybrać więcej niż liczbę gniazd do skonfigurowania.W oparciu o kombinację liczby gniazd i modelu modułu, urządzenie może obsługiwać do czterech zabezpieczeń łącza 10GE;lub może obsługiwać do czterech łączy 40GE;lub może obsługiwać do jednego łącza 100GE.
3. Model modułu „BYP-MOD-L1CG” można włożyć tylko do SLOT1, aby działał poprawnie.
4. Moduł typu „BYP-MOD-XXX” można włożyć tylko do gniazda modułu BYPASS;moduł typu „MON-MOD-XXX” można włożyć do gniazda modułu MONITOR tylko w celu normalnej pracy.
| Model produktu | Parametry funkcji |
| Podwozie (host) | |
| ML-BYPASS-M100 | Standardowy 19-calowy stojak 1U;maksymalny pobór mocy 250W;modułowy host zabezpieczający BYPASS;2 gniazda modułów BYPASS;1 gniazdo modułu MONITOR;opcjonalnie AC i DC; |
| MODUŁ BYPASSU | |
| BYP-MOD-L2XG(LM/SM) | Obsługuje 2-drożne zabezpieczenie szeregowe łącza 10GE, interfejs 4*10GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne jedno/wielomodowe opcjonalne, obsługuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Obsługuje 2-drożne zabezpieczenie szeregowe łącza 40GE, interfejs 4*40GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne jedno/wielomodowe opcjonalnie, obsługuje 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Obsługuje 1 kanałową ochronę szeregową łącza 100GE, interfejs 2*100GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne pojedynczy wielomodowy opcjonalnie, obsługuje 100GBASE-SR4/LR4; |
| MODUŁ MONITORA | |
| MON-MOD-L16XG | Moduł portu monitorowania 16*10GE SFP+;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L8XG | Moduł portu monitorowania 8*10GE SFP+;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L2CG | Moduł portu monitorowania 2*100GE QSFP28;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L8QXG | 8* moduł portu monitorowania 40GE QSFP+;brak optycznego modułu nadawczo-odbiorczego; |
Specyfikacje sieciowego przełącznika obejściowego TAP
| Modalność produktu | ML-BYPASS-M100 Sieciowy przełącznik obejścia kranu sieciowego | |
| Typ interfejsu | Interfejs MGT | 1*10/100/1000BASE-T Adaptacyjny interfejs zarządzania;Obsługa zdalnego zarządzania HTTP/IP |
| Gniazdo modułu | 2 * gniazdo modułu BYPASS; 1 * gniazdo modułu MONITOR; | |
| Linki obsługujące maksimum | Urządzenie obsługuje maksymalnie łącza 4*10GE lub łącza 4*40GE lub łącza 1*100GE | |
| Monitorowanie | Urządzenie obsługuje maksymalnie 16*10GE portów monitorowania lub 8*40GE portów monitorowania lub 2*100GE portów monitorowania; | |
| Funkcjonować | Możliwość przetwarzania w trybie pełnego dupleksu | 640 Gb/s |
| W oparciu o ochronę kaskady ruchu IP/protokołu/portu 5 krotek | Utrzymany | |
| Ochrona kaskadowa oparta na pełnym ruchu | Utrzymany | |
| Wielokrotne równoważenie obciążenia | Utrzymany | |
| Niestandardowa funkcja wykrywania bicia serca | Utrzymany | |
| Obsługuje niezależność pakietów Ethernet | Utrzymany | |
| PRZEŁĄCZNIK OBEJŚCIA | Utrzymany | |
| BYPASS Przełącznik bez lampy błyskowej | Utrzymany | |
| KONSOLA MGT | Utrzymany | |
| IP/WEB MGT | Utrzymany | |
| SNMP V1/V2C MGT | Utrzymany | |
| TELNET/SSH MGT | Utrzymany | |
| protokół SYSLOG | Utrzymany | |
| Autoryzacja użytkownika | Na podstawie autoryzacji hasłem/AAA/TACACS+ | |
| Elektryczny | Znamionowe napięcie zasilania | AC-220V/DC-48V【Opcjonalnie】 |
| Znamionowa częstotliwość zasilania | 50 Hz | |
| Znamionowy prąd wejściowy | AC-3A / DC-10A | |
| Moc znamionowa | 100 W | |
| Środowisko | Temperatura pracy | 0-50℃ |
| Temperatura przechowywania | -20-70℃ | |
| Wilgotność robocza | 10%-95%, bez kondensacji | |
| Konfiguracja użytkownika | Konfiguracja konsoli | Interfejs RS232,115200,8,N,1 |
| Interfejs MGT poza pasmem | 1*10/100/1000M interfejs Ethernet | |
| Autoryzacja hasłem | Utrzymany | |
| Wysokość podwozia | Przestrzeń podwozia (U) | 1U 19 cali, 485 mm * 44,5 mm * 350 mm |
Sieciowy przełącznik obejściowy TAP (jak poniżej)
5.1 Ryzyko związane z wyposażeniem zabezpieczającym w linii (IPS / FW)
Poniżej znajduje się typowy tryb wdrażania IPS (Intrusion Prevention System), FW (Firewall), IPS / FW jest wdrażany jako wbudowany sprzęt sieciowy (taki jak routery, przełączniki itp.) między ruchem poprzez wdrażanie kontroli bezpieczeństwa, zgodnie z odpowiednią politykę bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt obrony bezpieczeństwa.
Jednocześnie możemy zaobserwować, że IPS (Intrusion Prevention System) / FW (Firewall) jako inline wdrożenie sprzętu, zwykle wdrażane w kluczowej lokalizacji sieci przedsiębiorstwa w celu wdrożenia bezpieczeństwa inline, bezpośrednio wpływa na niezawodność podłączonych urządzeń ogólną dostępność sieci przedsiębiorstwa.Przeciążenie wbudowanych urządzeń zabezpieczających, awaria, aktualizacja oprogramowania, aktualizacja zasad itp. znacznie wpłynie na dostępność całej sieci przedsiębiorstwa.W tym momencie tylko poprzez odcięcie sieci, fizyczny mostek obejściowy możemy przywrócić sieć, ale poważnie wpływa to na niezawodność sieci.IPS (Intrusion Prevention System) / FW (Firewall) i inne urządzenia inline z jednej strony poprawiają wdrażanie zabezpieczeń sieci korporacyjnych, z drugiej strony zmniejszają również niezawodność sieci korporacyjnych, zwiększając ryzyko braku dostępności sieci.
5.2 Ochrona urządzeń serii Inline Link
Mylinking™ „Bypass Switch” jest wdrażany jako inline między urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych między urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS (Intrusion Prevention System) / FW (Firewall), „Bypass Switch” do IPS / FW, gdy IPS / FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „Bypass Switch” poprzez inteligentne wykrywanie komunikatów pulsu Funkcja szybkiego wykrywania, a tym samym pominięcia wadliwego urządzenia, bez przerywania założenia sieci, szybki sprzęt sieciowy podłączony bezpośrednio w celu ochrony normalnej sieci komunikacyjnej;podczas odzyskiwania awarii IPS / FW, ale także dzięki inteligentnemu wykrywaniu pakietów Heartbeat w odpowiednim czasie funkcja wykrywania oryginalnego linku do przywracania bezpieczeństwa kontroli bezpieczeństwa sieci przedsiębiorstwa.
Mylinking™ „Bypass Switch” ma potężną, inteligentną funkcję wykrywania komunikatów o pulsie, użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób, za pomocą niestandardowego komunikatu o pulsie na IPS / FW w celu przetestowania stanu, na przykład wysłania komunikatu sprawdzającego puls do portu upstream/downstream IPS/FW, a następnie odbierz z portu upstream/downstream IPS/FW i oceń, czy IPS/FW działa normalnie, wysyłając i odbierając komunikat pulsu.
5.3 „SpecFlow” Polityka Flow Inline Traction Series Protection
Gdy zabezpieczające urządzenie sieciowe musi obsłużyć tylko określony ruch w szeregowej ochronie bezpieczeństwa, poprzez funkcję przetwarzania ruchu Mylinking™ „Network Tap Bypass Switch” na przetwarzanie, poprzez strategię kontroli ruchu w celu podłączenia urządzenia zabezpieczającego „Zaniepokojony” ruch jest wysyłany z powrotem bezpośrednio do łącza sieciowego, a „odnośna sekcja ruchu” jest trakcją do wbudowanego urządzenia zabezpieczającego w celu przeprowadzenia kontroli bezpieczeństwa.To nie tylko utrzyma normalne działanie funkcji wykrywania bezpieczeństwa urządzenia zabezpieczającego, ale także zmniejszy nieefektywny przepływ sprzętu zabezpieczającego w celu radzenia sobie z ciśnieniem;w tym samym czasie „przełącznik obejściowy kranu sieciowego” może wykrywać stan pracy urządzenia zabezpieczającego w czasie rzeczywistym.Urządzenie zabezpieczające działa nieprawidłowo i bezpośrednio omija ruch danych, aby uniknąć zakłóceń usług sieciowych.
Mylinking™ Inline Traffic Bypass Tap może identyfikować ruch na podstawie identyfikatora nagłówka warstwy L2-L4, takiego jak tag VLAN, źródłowy/docelowy adres MAC, źródłowy adres IP, typ pakietu IP, port protokołu warstwy transportowej, znacznik klucza nagłówka protokołu i Wkrótce.Elastyczną kombinację różnych warunków dopasowywania można elastycznie definiować w celu zdefiniowania określonych typów ruchu, które są interesujące dla określonego urządzenia zabezpieczającego i mogą być szeroko stosowane do wdrażania specjalnych urządzeń do audytu bezpieczeństwa (RDP, SSH, audyt bazy danych itp.) .
5.4 Zabezpieczenie szeregowe o zrównoważonym obciążeniu
Mylinking™ „Network Tap Bypass Switch” jest wdrażany jako wbudowany między urządzeniami sieciowymi (routerami, przełącznikami itp.).Gdy wydajność pojedynczego przetwarzania IPS/FW nie jest wystarczająca, aby poradzić sobie ze szczytowym ruchem w łączu sieciowym, funkcja równoważenia obciążenia ruchu w protektorze, „łączenie” wielu klastrów przetwarzania IPS/FW w ruchu łącza sieciowego, może skutecznie zmniejszyć pojedynczy IPS/FW presja przetwarzania, poprawa ogólnej wydajności przetwarzania, aby sprostać wysokiej przepustowości środowiska wdrażania.
Mylinking™ „Network Tap Bypass Switch” ma potężną funkcję równoważenia obciążenia, zgodną z tagiem VLAN ramki, informacjami MAC, informacjami IP, numerem portu, protokołem i innymi informacjami na temat rozkładu obciążenia Hash w celu zapewnienia, że każdy IPS / FW odebrany przepływ danych Integralność sesji.
5.5 Zabezpieczenie trakcji przepływu urządzeń rzędowych z wieloma seriami (zmiana połączenia szeregowego na połączenie równoległe)
W przypadku niektórych kluczowych łączy (takich jak gniazda internetowe, łącza wymiany serwerów) lokalizacja jest często spowodowana potrzebami funkcji bezpieczeństwa i rozmieszczeniem wielu urządzeń do testowania bezpieczeństwa w linii (takich jak zapora ogniowa (FW), sprzęt do ataków anty-DDOS, Zapora aplikacji WEB (WAF), system zapobiegania włamaniom (IPS) itp.), wiele urządzeń do wykrywania zabezpieczeń jednocześnie połączonych szeregowo na łączu w celu zwiększenia łącza pojedynczego punktu awarii, zmniejszając ogólną niezawodność sieci.A w wyżej wymienionych urządzeniach zabezpieczających wdrażanie on-line, modernizacje sprzętu, wymiana sprzętu i inne operacje spowodują długotrwałą przerwę w świadczeniu usług w sieci i większą akcję cięcia projektu w celu pomyślnej realizacji takich projektów.
Wdrażając przełącznik „Network Tap Bypass Switch” w ujednolicony sposób, tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu można zmienić z „trybu konkatenacji fizycznej” na „konkatenację fizyczną, tryb konkatenacji logicznej”. połączenie pojedynczego punktu awarii w celu poprawy niezawodności łącza, podczas gdy "przełącznik obejściowy" w przepływie łącza na trakcję na żądanie, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego efektu przetwarzania.
Więcej niż jedno urządzenie zabezpieczające w tym samym czasie, co wbudowany diagram wdrażania:
Schemat wdrożenia przełącznika Bypass Mylinking™ Network TAP:
5.6 W oparciu o Dynamiczną Strategię Ochrony Wykrywania Zabezpieczeń Trakcji Ruchu
„Network Tap Bypass Switch” Inny zaawansowany scenariusz aplikacji oparty jest na dynamicznej strategii aplikacji do wykrywania bezpieczeństwa ruchu drogowego, wdrażanie sposobu, jak pokazano poniżej:
Weźmy na przykład sprzęt do testowania zabezpieczeń „Ochrona przed atakami DDoS i wykrywanie” poprzez wdrożenie front-end „ Network Tap Bypass Switch ”, a następnie sprzęt do ochrony przed atakami DDoS, a następnie połączenie z „ Network Tap Bypass Switch ”, w zwykłym „Ochrona trakcji” do pełnej ilości ruchu przesyłanie z szybkością łącza w tym samym czasie wyjście lustra przepływu do „urządzenia ochrony przed atakami DDOS”, po wykryciu adresu IP serwera (lub segmentu sieci IP) po Attack „urządzenie chroniące przed atakami DDoS” wygeneruje reguły dopasowywania docelowego przepływu ruchu i wyśle je do „Network Tap Bypass Switch” za pośrednictwem dynamicznego interfejsu dostarczania zasad.Przełącznik „Network Tap Bypass Switch” może aktualizować „dynamikę trakcji ruchu” po otrzymaniu dynamicznych reguł polityki Pula reguł „i natychmiast” reguła uderza w ruch „trakcji” serwera ataku do „ochrony przed atakami DDoS i wykrywania” sprzętu do przetwarzania, aby były skuteczne po ataku, a następnie ponownie wstrzyknięte do sieci.
Schemat aplikacji oparty na "Network Tap Bypass Switch" jest łatwiejszy do wdrożenia niż tradycyjne wstrzykiwanie trasy BGP lub inny schemat trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Network Tap Bypass Switch” ma następujące cechy, które wspierają dynamiczną ochronę przed wykryciem zasad bezpieczeństwa:
1, „Network Tap Bypass Switch”, aby zapewnić poza regułami opartymi na interfejsie WEBSERIVCE, łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2, „BNetwork Tap Bypass Switch” oparty na czysto sprzętowym układzie ASIC, przekazującym pakiety z szybkością do 10 Gb/s bez blokowania przekazywania przełączników oraz „biblioteka dynamicznych reguł trakcji drogowej” niezależnie od liczby.
3, wbudowana profesjonalna funkcja BYPASS "Network Tap Bypass Switch", nawet jeśli sam ochraniacz ulegnie awarii, może również natychmiast ominąć oryginalne łącze szeregowe, nie wpływa na oryginalne łącze normalnej komunikacji.
