Przełącznik obejścia sieciowego kranu Mylinking™ ML-BYPASS-200
2*Bypass plus 1*Modułowa konstrukcja monitora, łącza 10/40/100GE, maks. 640 Gb/s
1- Przeglądy
Wdrażając inteligentny przełącznik Bypass Mylinking™:
- Użytkownicy mogą elastycznie instalować/odinstalowywać sprzęt zabezpieczający i nie wpłynie to na bieżącą sieć i nie przerwie;
- Mylinking™ Network Tap Bypass Switch z inteligentną funkcją wykrywania stanu do monitorowania w czasie rzeczywistym normalnego stanu pracy szeregowego urządzenia zabezpieczającego, po wyjątku pracy szeregowego urządzenia zabezpieczającego ochrona zostanie automatycznie pominięta, aby utrzymać normalną komunikację sieciową;
- Technologia selektywnej ochrony ruchu może być wykorzystana do wdrożenia określonego sprzętu do czyszczenia ruchu, technologii szyfrowania opartej na sprzęcie do audytu.Skutecznie przeprowadzaj ochronę dostępu szeregowego dla określonego rodzaju ruchu, rozładowując ciśnienie obsługi przepływu urządzenia szeregowego;
- Technologia Load Balanced Traffic Protection może być używana do klastrowego wdrażania bezpiecznych urządzeń szeregowych w celu zaspokojenia potrzeb bezpieczeństwa szeregowego w środowiskach o dużej przepustowości.
Wraz z szybkim rozwojem Internetu zagrożenie bezpieczeństwa informacji w sieci staje się coraz poważniejsze, dlatego coraz szerzej stosuje się różnorodne aplikacje do ochrony bezpieczeństwa informacji.Niezależnie od tego, czy jest to tradycyjny sprzęt kontroli dostępu (zapora ogniowa), czy nowy typ bardziej zaawansowanych środków ochrony, takich jak system zapobiegania włamaniom (IPS), ujednolicona platforma zarządzania zagrożeniami (UTM), system anty-odmowy usługi ataku (Anty-DDoS), anty- span Gateway, Unified DPI Traffic Identification and Control System oraz wiele urządzeń zabezpieczających jest rozmieszczonych szeregowo w kluczowych węzłach sieci, wdrażając odpowiednią politykę bezpieczeństwa danych w celu identyfikacji i radzenia sobie z legalnym / nielegalnym ruchem.Jednocześnie jednak sieć komputerowa będzie generować duże opóźnienia sieciowe lub nawet zakłócenia w sieci w przypadku przełączania awaryjnego, konserwacji, aktualizacji, wymiany sprzętu itd. W wysoce niezawodnym środowisku aplikacji sieci produkcyjnej użytkownicy nie mogą tego znieść.
2- Network Tap Bypass Switch Zaawansowane funkcje i technologie
Tryb ochrony „SpecFlow” Mylinking™ i technologia trybu ochrony „FullLink”.
Technologia szybkiego przełączania obejściowego Mylinking™
Technologia Mylinking™ „LinkSafeSwitch”.
Mylinking™ „WebService” Technologia dynamicznego przekazywania/wydawania strategii
Inteligentna technologia wykrywania wiadomości Mylinking™
Technologia wiadomości Mylinking™ z możliwością definiowania pulsu
Technologia równoważenia obciążenia Multi-link Mylinking™
Technologia inteligentnej dystrybucji ruchu Mylinking™
Technologia dynamicznego równoważenia obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, charakterystyka „EasyConfig/AdvanceConfig”)
3- Podręcznik konfiguracji przełącznika obejściowego kranu sieciowego
OBJAZDGniazdo modułu portu ochrony:
To gniazdo można włożyć do modułu portu zabezpieczającego BYPASS z inną prędkością/numerem portu.Zastępując różne typy modułów, może obsługiwać ochronę BYPASS wielu łączy 10G/40G/100G.
MONITORGniazdo modułu portu;
To gniazdo można włożyć do modułu portu MONITOR z różnymi prędkościami/portami.Może obsługiwać wiele wdrożeń szeregowych urządzeń monitorujących online 10G/40G/100G, zastępując różne modele.
Zasady wyboru modułów
W oparciu o różne wdrożone łącza i wymagania dotyczące wdrażania sprzętu monitorującego, możesz elastycznie wybierać różne konfiguracje modułów, aby spełnić rzeczywiste potrzeby środowiska;proszę kierować się poniższymi zasadami przy wyborze:
1. Elementy podwozia są obowiązkowe i należy je wybrać przed wybraniem jakichkolwiek innych modułów.Jednocześnie wybierz różne metody zasilania (AC/DC) w zależności od potrzeb.
2. Cała maszyna obsługuje do 2 gniazd modułów BYPASS i 1 gniazdo modułu MONITOR;nie możesz wybrać więcej niż liczbę gniazd do skonfigurowania.W oparciu o kombinację liczby gniazd i modelu modułu, urządzenie może obsługiwać do czterech zabezpieczeń łącza 10GE;lub może obsługiwać do czterech łączy 40GE;lub może obsługiwać do jednego łącza 100GE.
3. Model modułu „BYP-MOD-L1CG” można włożyć tylko do SLOT1, aby działał prawidłowo.
4. Moduł typu „BYP-MOD-XXX” można włożyć tylko do gniazda modułu BYPASS;moduł typu „MON-MOD-XXX” można włożyć do gniazda modułu MONITOR tylko w celu normalnej pracy.
| Model produktu | Parametry funkcji |
| Podwozie (host) | |
| ML-BYPASS-M200 | Standardowy 19-calowy stojak 1U;maksymalny pobór mocy 250W;modułowy host zabezpieczający BYPASS;2 gniazda modułów BYPASS;1 gniazdo modułu MONITOR;opcjonalnie AC i DC; |
| MODUŁ BYPASSU | |
| BYP-MOD-L2XG(LM/SM) | Obsługuje 2-drożne zabezpieczenie szeregowe łącza 10GE, interfejs 4*10GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne jedno/wielomodowe opcjonalne, obsługuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Obsługuje 2-drożne zabezpieczenie szeregowe łącza 40GE, interfejs 4*40GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne jedno/wielomodowe opcjonalnie, obsługuje 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Obsługuje 1 kanałową ochronę szeregową łącza 100GE, interfejs 2*100GE, złącze LC;wbudowany transceiver optyczny;łącze optyczne pojedynczy wielomodowy opcjonalnie, obsługuje 100GBASE-SR4/LR4; |
| MODUŁ MONITORA | |
| MON-MOD-L16XG | Moduł portu monitorowania 16*10GE SFP+;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L8XG | Moduł portu monitorowania 8*10GE SFP+;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L2CG | Moduł portu monitorowania 2*100GE QSFP28;brak optycznego modułu nadawczo-odbiorczego; |
| MON-MOD-L8QXG | 8* moduł portu monitorowania 40GE QSFP+;brak optycznego modułu nadawczo-odbiorczego; |
4- Specyfikacje sieciowego przełącznika obejściowego TAP
| Modalność produktu | Szeregowy przełącznik obejściowy ML-BYPASS-M200 | |
| Typ interfejsu | Interfejs MGT | 1*10/100/1000BASE-T Adaptacyjny interfejs zarządzania;Obsługa zdalnego zarządzania HTTP/IP |
| Gniazdo modułu | 2 * gniazdo modułu BYPASS; 1 * gniazdo modułu MONITOR; | |
| Linki obsługujące maksimum | Urządzenie obsługuje maksymalnie łącza 4*10GE lub łącza 4*40GE lub łącza 1*100GE | |
| Monitor | Urządzenie obsługuje maksymalnie 16*10GE portów monitorowania lub 8*40GE portów monitorowania lub 2*100GE portów monitorowania; | |
| Funkcjonować | Możliwość przetwarzania w trybie pełnego dupleksu | 640 Gb/s |
| W oparciu o ochronę kaskady ruchu IP/protokołu/portu 5 krotek | Wsparcie | |
| Ochrona kaskadowa oparta na pełnym ruchu | Wsparcie | |
| Wielokrotne równoważenie obciążenia | Wsparcie | |
| Niestandardowa funkcja wykrywania bicia serca | Wsparcie | |
| Obsługuje niezależność pakietów Ethernet | Wsparcie | |
| PRZEŁĄCZNIK OBEJŚCIA | Wsparcie | |
| BYPASS Przełącznik bez lampy błyskowej | Wsparcie | |
| KONSOLA MGT | Wsparcie | |
| IP/WEB MGT | Wsparcie | |
| SNMP V1/V2C MGT | Wsparcie | |
| TELNET/SSH MGT | Wsparcie | |
| protokół SYSLOG | Wsparcie | |
| Autoryzacja użytkownika | Na podstawie autoryzacji hasłem/AAA/TACACS+ | |
| Elektryczny | Znamionowe napięcie zasilania | AC-220V/DC-48V【Opcjonalnie】 |
| Znamionowa częstotliwość zasilania | 50 Hz | |
| Znamionowy prąd wejściowy | AC-3A / DC-10A | |
| Moc znamionowa | 100 W | |
| Środowisko | Temperatura pracy | 0-50℃ |
| Temperatura przechowywania | -20-70℃ | |
| Wilgotność robocza | 10%-95%, bez kondensacji | |
| Konfiguracja użytkownika | Konfiguracja konsoli | Interfejs RS232,115200,8,N,1 |
| Interfejs MGT poza pasmem | 1*10/100/1000M interfejs Ethernet | |
| Autoryzacja hasłem | Wsparcie | |
| Wysokość podwozia | Przestrzeń podwozia (U) | 1U 19 cali, 485 mm * 44,5 mm * 350 mm |
5- Sieciowy przełącznik obejściowy TAP (jak poniżej)
Poniżej przedstawiono typowy tryb wdrażania IPS (Intrusion Prevention System), FW (Firewall), IPS / FW jest wdrażany szeregowo do urządzeń sieciowych (routery, przełączniki itp.) między ruchem poprzez wdrażanie kontroli bezpieczeństwa, zgodnie z odpowiednią politykę bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt obrony bezpieczeństwa.
Jednocześnie możemy zaobserwować IPS / FW jako szeregowe wdrożenie sprzętu, zwykle rozmieszczonego w kluczowej lokalizacji sieci przedsiębiorstwa w celu wdrożenia bezpieczeństwa szeregowego, niezawodność podłączonych urządzeń bezpośrednio wpływa na ogólną dostępność sieci przedsiębiorstwa.Przeciążenie urządzeń szeregowych, awaria, aktualizacja oprogramowania, aktualizacja zasad itp. znacznie wpłynie na dostępność całej sieci przedsiębiorstwa.W tym momencie tylko poprzez odcięcie sieci, fizyczny mostek obejściowy może sprawić, że sieć zostanie przywrócona, poważnie wpływając na niezawodność sieci.IPS/FW i inne urządzenia szeregowe z jednej strony poprawiają wdrażanie zabezpieczeń sieci korporacyjnych, z drugiej strony zmniejszają również niezawodność sieci korporacyjnych, zwiększając ryzyko braku dostępności sieci.
5.2 Ochrona urządzeń serii Inline Link
Mylinking™ „Bypass Switch” jest wdrażany szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych między urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS/FW, „Bypass Switch” do IPS/FW, gdy IPS / FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „Bypass Switch” poprzez inteligentne wykrywanie komunikatów pulsu Funkcja szybkiego wykrywania, a tym samym pominięcia wadliwego urządzenia, bez przerywania działania sieci, szybki sprzęt sieciowy podłączony bezpośrednio w celu ochrony normalnej sieci komunikacyjnej;podczas odzyskiwania awarii IPS / FW, ale także poprzez inteligentne pakiety pulsu Wykrywanie wykrywania funkcji w odpowiednim czasie, oryginalny link do przywrócenia bezpieczeństwa kontroli bezpieczeństwa sieci przedsiębiorstwa.
Mylinking™ „Bypass Switch” ma potężną, inteligentną funkcję wykrywania komunikatów o pulsie, użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób za pomocą niestandardowego komunikatu pulsu na IPS / FW w celu przetestowania stanu, na przykład wysłania komunikatu sprawdzającego puls do portu upstream/downstream IPS/FW, a następnie odbierz z portu upstream/downstream IPS/FW i oceń, czy IPS/FW działa normalnie, wysyłając i odbierając komunikat pulsu.
5.3 „SpecFlow” Polityka Flow Inline Traction Series Protection
Gdy urządzenie sieciowe musi zajmować się tylko określonym ruchem w szeregowej ochronie bezpieczeństwa, poprzez funkcję przetwarzania ruchu Mylinking™ „Bypass Switch” na przetwarzanie, poprzez strategię kontroli ruchu w celu podłączenia urządzenia zabezpieczającego „Zaniepokojony” ruch jest odsyłany bezpośrednio z powrotem do łącza sieciowego, a „odnośny odcinek ruchu” jest trakcją do wbudowanego urządzenia zabezpieczającego w celu przeprowadzenia kontroli bezpieczeństwa.To nie tylko utrzyma normalne działanie funkcji wykrywania bezpieczeństwa urządzenia zabezpieczającego, ale także zmniejszy nieefektywny przepływ sprzętu zabezpieczającego w celu radzenia sobie z ciśnieniem;w tym samym czasie „przełącznik obejściowy” może wykrywać stan pracy urządzenia zabezpieczającego w czasie rzeczywistym.Urządzenie zabezpieczające działa nieprawidłowo i bezpośrednio omija ruch danych, aby uniknąć zakłóceń usług sieciowych.
Mylinking™ Traffic Bypass Protector może identyfikować ruch na podstawie identyfikatora nagłówka warstwy L2-L4, takiego jak znacznik VLAN, źródłowy/docelowy adres MAC, źródłowy adres IP, typ pakietu IP, port protokołu warstwy transportowej, znacznik klucza nagłówka protokołu itd. NA.Elastyczną kombinację różnych warunków dopasowywania można elastycznie definiować w celu zdefiniowania określonych typów ruchu, które są interesujące dla określonego urządzenia zabezpieczającego i mogą być szeroko stosowane do wdrażania specjalnych urządzeń do audytu bezpieczeństwa (RDP, SSH, audyt bazy danych itp.) .
5.4 Zabezpieczenie szeregowe o zrównoważonym obciążeniu
Mylinking™ „Bypass Switch” jest instalowany szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.).Gdy wydajność pojedynczego przetwarzania IPS/FW nie jest wystarczająca do poradzenia sobie ze szczytowym ruchem w łączu sieciowym, funkcja równoważenia obciążenia ruchu w urządzeniu zabezpieczającym, „łączenie” wielu klastrów IPS/FW przetwarzających ruch w łączu sieciowym, może skutecznie zredukować pojedynczy IPS/FW Presja przetwarzania FW, poprawa ogólnej wydajności przetwarzania, aby sprostać wysokiej przepustowości roszczenia środowiska wdrażania.
Mylinking™ „Bypass Switch” ma potężną funkcję równoważenia obciążenia, zgodnie z tagiem VLAN ramki, informacjami MAC, informacjami IP, numerem portu, protokołem i innymi informacjami dotyczącymi rozkładu ruchu równoważenia obciążenia Hash, aby zapewnić, że każdy IPS / FW otrzymane dane przepływ Integralność sesji.
5.5 Zabezpieczenie trakcji przepływu urządzeń rzędowych z wieloma seriami (zmiana połączenia szeregowego na połączenie równoległe)
W niektórych kluczowych łączach (takich jak gniazda internetowe, łącza wymiany serwerów) lokalizacja jest często spowodowana potrzebami funkcji bezpieczeństwa i rozmieszczeniem wielu urządzeń do testowania bezpieczeństwa w linii (takich jak zapora ogniowa, sprzęt do ataków anty-DDOS, zapora aplikacji WEB , sprzęt do zapobiegania włamaniom itp.), wiele urządzeń do wykrywania bezpieczeństwa w tym samym czasie szeregowo na łączu, aby zwiększyć łącze do pojedynczego punktu awarii, zmniejszając ogólną niezawodność sieci.A w wyżej wymienionych urządzeniach zabezpieczających wdrażanie on-line, modernizacje sprzętu, wymiana sprzętu i inne operacje spowodują długotrwałą przerwę w świadczeniu usług w sieci i większą akcję cięcia projektu w celu pomyślnej realizacji takich projektów.
Wdrażając „przełącznik obejściowy” w ujednolicony sposób, tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu można zmienić z „trybu konkatenacji fizycznej” na „konkatenację fizyczną, tryb konkatenacji logicznej”. pojedynczy punkt awarii w celu poprawy niezawodności łącza, podczas gdy "przełącznik obejściowy" na przepływie łącza na trakcji na żądanie, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego efektu przetwarzania.
Schemat wdrożenia więcej niż jednego urządzenia zabezpieczającego w tym samym czasie:
Schemat wdrożenia przełącznika Bypass Mylinking™ Network TAP:
5.6 W oparciu o Dynamiczną Strategię Ochrony Wykrywania Zabezpieczeń Trakcji Ruchu
„Bypass Switch” Inny zaawansowany scenariusz aplikacji oparty jest na dynamicznej strategii wykrywania bezpieczeństwa ruchu drogowego aplikacji zabezpieczających, wdrożenie sposobu, jak pokazano poniżej:
Weźmy na przykład sprzęt do testowania bezpieczeństwa „Ochrona przed atakami DDoS i wykrywanie”, poprzez wdrożenie „Przełącznika obejściowego”, a następnie sprzętu zabezpieczającego przed atakami DDoS, a następnie podłączenie do „Przełącznika obejściowego”, w zwykły sposób ” Ochrona trakcji „do pełnej ilości ruchu przesyłanego z szybkością łącza w tym samym czasie lustro przepływu wysyłane do„ urządzenia chroniącego przed atakami DDOS ”, po wykryciu adresu IP serwera (lub segmentu sieci IP) po ataku”, -Urządzenie ochrony przed atakami DDOS ”wygeneruje reguły dopasowywania docelowego przepływu ruchu i wyśle je do ”przełącznika obejściowego” za pośrednictwem dynamicznego interfejsu dostarczania zasad.” Bypass Switch ” może zaktualizować „dynamikę trakcji ruchu” po otrzymaniu reguł polityki dynamicznej Pula reguł „i natychmiast” uderzyć w serwer ataku „trakcję” ruchu do „ochrony przed atakami DDoS i sprzętu wykrywającego do przetwarzania, aby być skuteczny po zakończeniu ataku, a następnie ponownie wstrzyknięty do sieci.
Schemat aplikacji oparty na „Bypass Switch” jest łatwiejszy do wdrożenia niż tradycyjne wstrzykiwanie trasy BGP lub inny schemat trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Przełącznik obejściowy” ma następujące cechy wspierające dynamiczną ochronę przed wykryciem zasad bezpieczeństwa:
1, ” Bypass Switch ”, aby zapewnić poza regułami opartymi na interfejsie WEBSERIVCE, łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2, „Bypass Switch” oparty na czysto sprzętowym układzie ASIC, przekazującym pakiety z szybkością do 10 Gb/s bez blokowania przekazywania przełączników oraz „biblioteka dynamicznych reguł ruchu drogowego” niezależnie od liczby.
3, „przełącznik obejściowy” wbudowana profesjonalna funkcja BYPASS, nawet w przypadku awarii samego ochraniacza, może również natychmiast ominąć oryginalne łącze szeregowe, nie wpływa na oryginalne łącze normalnej komunikacji.
