Przełącznik obejściowy sieciowy Mylinking™ ML-BYPASS-100
2*obejście plus 1* modułowa konstrukcja monitora, łącza 10/40/100GE, maks. 640 Gb/s
Przeglądy
Przełącznik obejściowy Mylinking™ Network Tap Bypass został zbadany i opracowany pod kątem elastycznego wdrażania różnego rodzaju wbudowanego sprzętu zabezpieczającego, zapewniając jednocześnie wysoką niezawodność sieci.
Wdrażając inteligentny przełącznik obejściowy Mylinking™, dotknij:
- Użytkownicy mogą elastycznie instalować/odinstalowywać sprzęt/narzędzia zabezpieczające i nie będą wpływać na bieżącą sieć ani zakłócać jej;
- Mylinking™ Network Tap Bypass Switch z inteligentną funkcją wykrywania stanu zdrowia, umożliwiającą monitorowanie w czasie rzeczywistym normalnego stanu pracy wbudowanych urządzeń zabezpieczających. Gdy wbudowane urządzenia zabezpieczające zadziałają jako wyjątek, funkcja ochrony zostanie automatycznie ominięta, aby utrzymać normalną komunikację sieciową;
- Technologię selektywnej ochrony ruchu można zastosować do wdrożenia określonego sprzętu zabezpieczającego do czyszczenia ruchu, a technologię szyfrowania opartą na sprzęcie audytowym. Skutecznie realizuj ochronę dostępu inline dla określonego rodzaju ruchu, rozładowując ciśnienie przepływu urządzenia inline;
- Technologię Load Balanced Traffic Protection można wykorzystać do klastrowego wdrażania bezpiecznych szeregowych urządzeń zabezpieczających, aby zapewnić bezpieczeństwo wbudowane w środowiskach o dużej przepustowości.
Przełącznik sieciowy Tap Bypass Zaawansowane funkcje i technologie
Tryb ochrony Mylinking™ „SpecFlow” i tryb ochrony „FullLink”.
Ochrona szybkiego przełączania obejściowego Mylinking™
Mylinking™ „LinkSafeSwitch”
Strategia dynamiczna Mylinking™ „WebService” Przekazywanie/problem
Mylinking™ Inteligentne wykrywanie wiadomości pulsu
Definiowalne wiadomości pulsu Mylinking™ (pakiety pulsu)
Równoważenie obciążenia wielu łączy Mylinking™
Inteligentna dystrybucja ruchu Mylinking™
Dynamiczne równoważenie obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, charakterystyka „EasyConfig/AdvanceConfig”)
Przełącznik sieciowy Tap Bypass Opcjonalny przewodnik konfiguracji
Moduł BYPASSGniazdo modułu portu zabezpieczającego:
To gniazdo można włożyć do modułu portu zabezpieczającego BYPASS z inną prędkością/numerem portu. Zastępując różne typy modułów, może obsługiwać ochronę BYPASS dla wielu wymagań łączy 10G/40G/100G.
Moduł MONITORAGniazdo modułu portu;
Do tego gniazda można włożyć moduł MONITORA o różnych prędkościach/portach. Może obsługiwać wiele łączy 10G/40G/100G w celu wdrożenia szeregowego urządzenia monitorującego poprzez wymianę różnych modułów.
Zasady wyboru modułu
W oparciu o różne wdrożone łącza i wymagania dotyczące wdrożenia sprzętu monitorującego, możesz elastycznie wybierać różne konfiguracje modułów, aby spełnić Twoje rzeczywiste wymagania dotyczące środowiska; podczas wyboru modułu prosimy kierować się poniższymi zasadami:
1. Elementy podwozia są obowiązkowe i należy je wybrać przed wybraniem jakichkolwiek innych modułów. Jednocześnie proszę wybrać różne metody zasilania (AC/DC) w zależności od potrzeb.
2. Całe urządzenie obsługuje do 2 gniazd modułu BYPASS i 1 gniazda modułu MONITOR; nie możesz wybrać więcej niż liczba gniazd do skonfigurowania. W oparciu o kombinację liczby slotów i modelu modułu, urządzenie może obsługiwać do czterech zabezpieczeń łączy 10GE; lub może obsługiwać do czterech łączy 40GE; lub może obsługiwać do jednego łącza 100GE.
3. Model modułu „BYP-MOD-L1CG” można włożyć tylko do SLOT1, aby działał prawidłowo.
4. Moduł typu „BYP-MOD-XXX” można włożyć wyłącznie do gniazda modułu BYPASS; moduł typu „MON-MOD-XXX” można włożyć do gniazda modułu MONITOR tylko w celu normalnej pracy.
Model produktu | Parametry funkcji |
Obudowa (host) | |
ML-BYPASS-M100 | Standardowy stojak 19-calowy o wysokości 1U; maksymalny pobór mocy 250W; modułowy host zabezpieczający BYPASS; 2 gniazda modułu BYPASS; 1 gniazdo modułu MONITORA; Opcjonalnie AC i DC; |
MODUŁ BYPASSU | |
BYP-MOD-L2XG(LM/SM) | Obsługuje dwukierunkowe zabezpieczenie łącza szeregowego 10GE, interfejs 4*10GE, złącze LC; wbudowany transceiver optyczny; opcjonalne łącze optyczne jedno/wielomodowe, obsługuje 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Obsługuje dwukierunkowe zabezpieczenie szeregowe łącza 40GE, interfejs 4*40GE, złącze LC; wbudowany transceiver optyczny; opcjonalne łącze optyczne jedno/wielomodowe, obsługuje 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Obsługuje 1 kanałowe zabezpieczenie szeregowe łącza 100GE, interfejs 2*100GE, złącze LC; wbudowany transceiver optyczny; opcjonalne łącze optyczne, jednomodowe, obsługuje 100GBASE-SR4/LR4; |
MODUŁ MONITORA | |
MON-MOD-L16XG | Moduł portu monitorującego 16*10GE SFP+; brak modułu nadawczo-odbiorczego optycznego; |
MON-MOD-L8XG | Moduł portu monitorującego 8*10GE SFP+; brak modułu nadawczo-odbiorczego optycznego; |
MON-MOD-L2CG | Moduł portu monitorującego 2*100GE QSFP28; brak modułu nadawczo-odbiorczego optycznego; |
MON-MOD-L8QXG | Moduł portu monitorującego 8* 40GE QSFP+; brak modułu nadawczo-odbiorczego optycznego; |
Dane techniczne przełącznika obejściowego sieci TAP
Modalność produktu | ML-BYPASS-M100 Sieciowy przełącznik obejściowy typu Inline | |
Typ interfejsu | Interfejs MGT | 1*10/100/1000BASE-T Adaptacyjny interfejs zarządzania; Obsługa zdalnego zarządzania HTTP/IP |
Gniazdo modułu | 2*gniazdo modułu BYPASS; 1*gniazdo modułu MONITOR; | |
Linki obsługujące maksimum | Urządzenie obsługuje maksymalnie łącza 4*10GE lub łącza 4*40GE lub łącza 1*100GE | |
Monitorowanie | Urządzenie obsługuje maksymalnie 16*10GE portów monitorowania lub 8*40GE portów monitorowania lub 2*100GE portów monitorowania; | |
Funkcjonować | Możliwość przetwarzania w trybie pełnego dupleksu | 640 Gb/s |
W oparciu o ochronę kaskadową ruchu specyficznego dla protokołu IP/protokołu/portu i pięciu krotek | Utrzymany | |
Ochrona kaskadowa oparta na pełnym ruchu | Utrzymany | |
Równoważenie wielu obciążeń | Utrzymany | |
Niestandardowa funkcja wykrywania bicia serca | Utrzymany | |
Obsługa niezależności pakietu Ethernet | Utrzymany | |
PRZEŁĄCZNIK OBEJŚCIOWY | Utrzymany | |
Przełącznik BYPASS bez lampy błyskowej | Utrzymany | |
KONSOLA MGT | Utrzymany | |
MGT IP/WEB | Utrzymany | |
SNMP V1/V2C MGT | Utrzymany | |
TELNET/SSH MGT | Utrzymany | |
Protokół SYSLOG | Utrzymany | |
Autoryzacja użytkownika | Na podstawie autoryzacji hasłem/AAA/TACACS+ | |
Elektryczny | Znamionowe napięcie zasilania | AC-220V/DC-48V 【Opcjonalnie】 |
Znamionowa częstotliwość zasilania | 50 Hz | |
Znamionowy prąd wejściowy | AC-3A/DC-10A | |
Moc znamionowa | 100 W | |
Środowisko | Temperatura pracy | 0-50 ℃ |
Temperatura przechowywania | -20-70 ℃ | |
Wilgotność robocza | 10%-95%, bez kondensacji | |
Konfiguracja użytkownika | Konfiguracja konsoli | Interfejs RS232,115200,8,N,1 |
Pozapasmowy interfejs MGT | Interfejs Ethernet 1*10/100/1000M | |
Autoryzacja hasłem | Utrzymany | |
Wysokość podwozia | Przestrzeń podwozia (U) | 1U 19 cali, 485 mm * 44,5 mm * 350 mm |
Aplikacja przełącznika obejściowego sieci TAP (w następujący sposób)
5.1 Ryzyko związane ze sprzętem zabezpieczającym Inline (IPS / FW)
Poniżej przedstawiono typowy tryb wdrażania IPS (system zapobiegania włamaniom), FW (zapora sieciowa), IPS / FW jest wdrażany jako sprzęt sieciowy inline (taki jak routery, przełączniki itp.) pomiędzy ruchem poprzez wdrożenie kontroli bezpieczeństwa, zgodnie z odpowiednia polityka bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt ochrony bezpieczeństwa.
Jednocześnie możemy zaobserwować IPS (System zapobiegania włamaniom) / FW (Firewall) jako wdrożenie typu inline sprzętu, zwykle wdrażane w kluczowej lokalizacji sieci korporacyjnej w celu wdrożenia bezpieczeństwa inline, na niezawodność podłączonych urządzeń bezpośrednio wpływa ogólną dostępność sieci korporacyjnej. W przypadku przeciążenia wbudowanych urządzeń zabezpieczających, awarii, aktualizacji oprogramowania, aktualizacji zasad itp., dostępność całej sieci przedsiębiorstwa będzie znacznie ograniczona. W tym momencie możemy jedynie przeciąć sieć, a zworka fizycznego obejścia może spowodować przywrócenie sieci, ale poważnie wpływa to na niezawodność sieci. IPS (Intrusion Prevention System) / FW (Firewall) i inne urządzenia inline z jednej strony poprawiają wdrażanie zabezpieczeń sieci korporacyjnej, z drugiej strony zmniejszają także niezawodność sieci korporacyjnych, zwiększając ryzyko niedostępności sieci.
5.2 Ochrona sprzętu serii Inline Link
Mylinking™ „Przełącznik obejściowy” jest wdrażany w trybie inline pomiędzy urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych między urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS (systemu zapobiegania włamaniom) / FW (zapory ogniowej), „przełącznika obejściowego” do IPS/FW, gdy IPS/FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „przełącznik obejściowy” poprzez inteligentne wykrywanie komunikatów pulsu. Funkcja szybkiego wykrywania, a tym samym pominięcia wadliwego urządzenia, bez zakłócania działania sieci, szybki sprzęt sieciowy podłączony bezpośrednio w celu ochrony normalnej sieci komunikacyjnej; podczas odzyskiwania awarii IPS / FW, ale także poprzez inteligentne wykrywanie pakietów Heartbeat w celu szybkiego wykrycia funkcji, oryginalnego łącza do przywracania bezpieczeństwa kontroli bezpieczeństwa sieci korporacyjnej.
Mylinking™ „Bypass Switch” posiada potężną, inteligentną funkcję wykrywania komunikatów pulsu. Użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób za pomocą niestandardowego komunikatu pulsu na IPS/FW w celu sprawdzenia stanu, np. wyślij wiadomość sprawdzającą puls do portu upstream/downstream IPS/FW, a następnie odbieraj z portu upstream/downstream IPS/FW i oceniaj, czy IPS/FW działa normalnie, wysyłając i odbierając komunikat pulsu.
5.3 Ochrona serii „SpecFlow” z serii Inline Traction
Gdy zabezpieczające urządzenie sieciowe musi obsłużyć tylko określony ruch w szeregowym zabezpieczeniu zabezpieczającym, poprzez funkcję przetwarzania ruchu Mylinking™ „Network Tap Bypass Switch” poprzez strategię przesiewania ruchu w celu podłączenia urządzenia zabezpieczającego „Zaniepokojony” ruch jest wysyłany z powrotem bezpośrednio do łącza sieciowego, a „odnośny odcinek ruchu” jest podłączony do wbudowanego urządzenia zabezpieczającego w celu przeprowadzenia kontroli bezpieczeństwa. Pozwoli to nie tylko utrzymać normalne działanie funkcji wykrywania bezpieczeństwa urządzenia zabezpieczającego, ale także zmniejszy nieefektywny przepływ urządzeń zabezpieczających radzących sobie z ciśnieniem; jednocześnie „przełącznik obejściowy Network Tap” może wykryć stan pracy urządzenia zabezpieczającego w czasie rzeczywistym. Urządzenie zabezpieczające działa nieprawidłowo i bezpośrednio omija ruch danych, aby uniknąć zakłóceń w działaniu usług sieciowych.
Mylinking™ Inline Traffic Bypass Tap może identyfikować ruch w oparciu o identyfikator nagłówka warstwy L2-L4, taki jak znacznik VLAN, źródłowy/docelowy adres MAC, źródłowy adres IP, typ pakietu IP, port protokołu warstwy transportowej, znacznik klucza nagłówka protokołu i Wkrótce. Można elastycznie zdefiniować różnorodne warunki dopasowania, elastycznie definiując określone typy ruchu, które są interesujące dla konkretnego urządzenia zabezpieczającego i mogą być szeroko stosowane do wdrażania specjalnych urządzeń do kontroli bezpieczeństwa (RDP, SSH, audyt baz danych itp.). .
5.4 Ochrona serii z równoważeniem obciążenia
Przełącznik Mylinking™ „Network Tap Bypass Switch” jest wdrażany w trybie inline pomiędzy urządzeniami sieciowymi (routerami, przełącznikami itp.). Gdy wydajność przetwarzania pojedynczego IPS/FW nie jest wystarczająca, aby poradzić sobie ze szczytowym ruchem łącza sieciowego, funkcja równoważenia obciążenia ruchu ochraniacza, „łączenie” ruchu łącza sieciowego wielu procesorów IPS/FW, może skutecznie zmniejszyć pojedynczy IPS/FW ciśnienie przetwarzania, popraw ogólną wydajność przetwarzania, aby sprostać dużej przepustowości środowiska wdrożeniowego.
Mylinking™ „Network Tap Bypass Switch” posiada potężną funkcję równoważenia obciążenia, zgodnie ze znacznikiem VLAN ramki, informacjami MAC, informacjami IP, numerem portu, protokołem i innymi informacjami dotyczącymi dystrybucji ruchu równoważącego obciążenie Hash, aby zapewnić, że każdy IPS/FW odebrany przepływ danych Integralność sesji.
5.5 Ochrona trakcji przepływu sprzętu szeregowego w wielu seriach (Zmień połączenie szeregowe na połączenie równoległe)
W przypadku niektórych kluczowych łączy (takich jak punkty internetowe, łącze do wymiany obszaru serwerów) lokalizacja jest często spowodowana potrzebami zabezpieczeń i rozmieszczeniem wielu wbudowanych urządzeń do testowania bezpieczeństwa (takich jak zapora sieciowa (FW), sprzęt zapobiegający atakom DDOS, Zapora sieciowa aplikacji internetowych (WAF), system zapobiegania włamaniom (IPS) itp.), wiele urządzeń do wykrywania bezpieczeństwa jednocześnie połączonych szeregowo na łączu w celu zwiększenia łącza w pojedynczym punkcie awarii, zmniejszając ogólną niezawodność sieci. W przypadku wyżej wymienionego wdrażania sprzętu zabezpieczającego on-line, modernizacja sprzętu, wymiana sprzętu i inne operacje spowodują dłuższą przerwę w świadczeniu usług sieciowych i konieczność cięcia projektów na większą skalę, aby zakończyć pomyślną realizację takich projektów.
Dzięki ujednoliconemu wdrożeniu „przełącznika obejścia sieciowego” można zmienić tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu z „trybu łączenia fizycznego” na „tryb łączenia fizycznego, łączenia logicznego”. Łącze na stronie łącze pojedynczego punktu awarii w celu poprawy niezawodności łącza, natomiast „przełącznik obejściowy” na łączu przepływu na żądanie trakcji, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego efektu przetwarzania.
Więcej niż jedno urządzenie zabezpieczające w tym samym czasie, co wbudowany schemat wdrażania:
Schemat wdrożenia przełącznika obejściowego Mylinking™ Network TAP:
5.6 Na podstawie Dynamicznej Strategii Ochrony Wykrywania Bezpieczeństwa Trakcji Ruchu
„Network Tap Bypass Switch” Inny zaawansowany scenariusz aplikacji opiera się na dynamicznej strategii aplikacji zabezpieczających przed wykrywaniem bezpieczeństwa trakcji ruchu, w sposób pokazany poniżej:
Weź na przykład sprzęt do testowania bezpieczeństwa „Ochrona i wykrywanie ataków Anti-DDoS”, poprzez wdrożenie na froncie „Network Tap Bypass Switch”, a następnie sprzęt zabezpieczający przed DDOS, a następnie podłącz go do „Network Tap Bypass Switch”, w zwykłym „zabezpieczeniu trakcji” do pełnego ruchu, przesyłanie z szybkością łącza w tym samym czasie, wyjście lustrzane przepływu do „urządzenia chroniącego przed atakami DDOS”, po wykryciu adresu IP serwera (lub segmentu sieci IP) po ataku”, „urządzenie chroniące przed atakami DDOS” wygeneruje reguły dopasowujące docelowy przepływ ruchu i wyśle je do „przełącznika obejścia sieciowego” za pośrednictwem interfejsu dynamicznego dostarczania zasad. Przełącznik „Network Tap Bypass Switch” może zaktualizować „dynamikę trakcji ruchu” po otrzymaniu reguł polityki dynamicznej Pula reguł „i natychmiast” reguła uderza w ruch serwera ataku „trakcję” do „sprzętu do ochrony i wykrywania ataków anty-DDoS” w celu przetwarzania, aby były skuteczne po przepływie ataku, a następnie ponownie wprowadzone do sieci.
Schemat aplikacji oparty na „Przełączniku obejścia sieciowego” jest łatwiejszy do wdrożenia niż tradycyjne wstrzykiwanie tras BGP lub inny schemat trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Przełącznik obejściowy Network Tap” ma następujące cechy umożliwiające obsługę dynamicznej ochrony przed wykryciem zasad:
1, „Przełącznik obejścia sieciowego”, aby zapewnić poza regułami opartymi na interfejsie WEBSERIVCE łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2, „BNetwork Tap Bypass Switch” oparty na sprzętowym czystym chipie ASIC, przesyłający pakiety z szybkością do 10 Gb/s bez blokowania przekazywania przełącznika oraz „bibliotekę dynamicznych reguł trakcji ruchu” niezależnie od liczby.
3, wbudowana profesjonalna funkcja BYPASS „Network Tap Bypass Switch”, nawet jeśli awaria samego zabezpieczenia, może również natychmiast ominąć oryginalne łącze szeregowe, nie wpływa to na oryginalne łącze normalnej komunikacji.