Сетевой переключатель обхода Mylinking™ ML-BYPASS-100
Модульная конструкция с двумя обходными портами и одним монитором, каналы 10/40/100GE, максимальная скорость 640 Гбит/с.
Обзоры
Сетевой коммутатор обхода Mylinking™ Network Tap Bypass Switch разработан для гибкого развертывания различных типов встроенного оборудования безопасности, обеспечивая при этом высокую надежность сети.
При использовании интеллектуального обходного выключателя Mylinking™ Smart Bypass Switch Tap:
- Пользователи могут гибко устанавливать/удалять оборудование/инструменты обеспечения безопасности, и это не повлияет на работу существующей сети и не нарушит ее функционирование;
- Сетевой переключатель обхода Mylinking™ с интеллектуальной функцией обнаружения неисправности обеспечивает мониторинг нормального рабочего состояния встроенных устройств безопасности в режиме реального времени. В случае возникновения сбоев в работе встроенных устройств безопасности функция защиты автоматически отключается для поддержания нормальной сетевой связи.
- Технология выборочной защиты дорожного движения может использоваться для развертывания специального оборудования для обеспечения безопасности при уборке транспортных потоков, а также технологии шифрования на основе аудиторского оборудования. Это позволяет эффективно осуществлять защиту доступа в потоке для конкретного типа движения, снижая нагрузку на оборудование, предназначенное для обработки потока.
- Технология балансировки нагрузки для защиты трафика может использоваться для кластерного развертывания защищенных последовательных устройств прямой связи для обеспечения безопасности в высокоскоростных средах.
Расширенные функции и технологии коммутатора обхода сетевого подключения
Режим защиты Mylinking™ «SpecFlow» и режим защиты «FullLink»
Защита от быстрого обхода Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ «Веб-сервис» Динамическая стратегия пересылки/выдачи
Mylinking™ Интеллектуальное обнаружение сообщений пульса
Mylinking™ — настраиваемые сообщения пульса (пакеты пульса)
Многоканальная балансировка нагрузки Mylinking™
Mylinking™ Интеллектуальное распределение трафика
Mylinking™ Динамическая балансировка нагрузки
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, функция «EasyConfig/AdvanceConfig»)
Руководство по дополнительной настройке коммутатора обхода сетевого подключения
Модуль обходаСлот модуля защитного порта:
Этот слот позволяет устанавливать модули защиты BYPASS с различной скоростью/номером порта. Заменяя модули разных типов, можно обеспечить защиту BYPASS для нескольких каналов 10G/40G/100G.
Модуль МОНИТОРАСлот для портового модуля;
В этот слот можно установить модуль MONITOR с различными скоростями/портами. Он поддерживает несколько каналов 10G/40G/100G для развертывания устройств последовательного мониторинга путем замены различных модулей.
Правила выбора модулей
В зависимости от требований к развертыванию каналов связи и оборудования мониторинга, вы можете гибко выбирать различные конфигурации модулей в соответствии с вашими реальными потребностями; при выборе модуля, пожалуйста, следуйте следующим правилам:
1. Компоненты шасси являются обязательными, и их выбор необходимо произвести до выбора любых других модулей. Одновременно с этим, пожалуйста, выберите различные способы питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Устройство поддерживает до 2 слотов для модулей BYPASS и 1 слот для модуля MONITOR; количество слотов для настройки не может быть увеличено. В зависимости от количества слотов и модели модуля устройство может поддерживать до четырех защитных каналов 10GE; или до четырех каналов 40GE; или до одного канала 100GE.
3. Модуль модели "BYP-MOD-L1CG" можно корректно установить только в слот SLOT1.
4. Модуль типа "BYP-MOD-XXX" можно устанавливать только в слот модуля BYPASS; модуль типа "MON-MOD-XXX" для нормальной работы можно устанавливать только в слот модуля MONITOR.
| Модель продукта | Параметры функции |
| Шасси (Хост) | |
| ML-BYPASS-M100 | Стандартный 1U корпус для установки в 19-дюймовую стойку; максимальное энергопотребление 250 Вт; модульный блок защиты BYPASS; 2 слота для модулей BYPASS; 1 слот для модуля MONITOR; поддержка переменного и постоянного тока (опционально). |
| ОБХОДНОЙ МОДУЛЬ | |
| BYP-MOD-L2XG(LM/SM) | Поддерживает двухстороннюю последовательную защиту канала 10GE, 4 интерфейса 10GE, разъем LC; встроенный оптический трансивер; опционально одно- или многорежимный оптический канал, поддержка 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает двухстороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический трансивер; опционально одно- или многорежимный оптический канал, поддержка 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает защиту последовательного канала 100GE, 2 интерфейса 100GE, разъем LC; встроенный оптический трансивер; опционально доступен одноканальный многомодовый оптический канал, поддерживает 100GBASE-SR4/LR4; |
| МОНИТОРНЫЙ МОДУЛЬ | |
| MON-MOD-L16XG | Модуль мониторинга 16*10GE SFP+; без оптического трансиверного модуля; |
| MON-MOD-L8XG | Модуль мониторинга 8*10GE SFP+; без оптического трансиверного модуля; |
| MON-MOD-L2CG | Модуль мониторинга 2*100GE QSFP28; без модуля оптического трансивера; |
| MON-MOD-L8QXG | Модуль мониторинга 8* 40GE QSFP+; без модуля оптического трансивера; |
Технические характеристики коммутатора обхода сетевого TAP
| Модальность продукта | ML-BYPASS-M100 Встраиваемый сетевой переключатель обхода | |
| Тип интерфейса | Интерфейс MGT | 1*10/100/1000BASE-T Адаптивный интерфейс управления; Поддержка удаленного управления по протоколам HTTP/IP |
| Слот модуля | 2 слота для модулей обхода; 1 слот для модуля мониторинга; | |
| Ссылки, поддерживающие максимальное | Устройство поддерживает максимум 4 канала 10GE, 4 канала 40GE или 1 канал 100GE. | |
| Мониторинг | Устройство поддерживает максимум 16 портов мониторинга 10GE, 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| Защита трафика на основе пятикомпонентной кортежи IP/протокол/порт (IP/протокол/порт) | Поддерживается | |
| Каскадная защита на основе полного трафика | Поддерживается | |
| Многоуровневая балансировка нагрузки | Поддерживается | |
| Функция пользовательского обнаружения сердцебиения | Поддерживается | |
| Поддержка независимости от пакетов Ethernet | Поддерживается | |
| ПЕРЕКЛЮЧАТЕЛЬ ОБХОДА | Поддерживается | |
| Переключатель обхода без прошивки | Поддерживается | |
| УПРАВЛЕНИЕ КОНСОЛЬЮ | Поддерживается | |
| IP/ВЕБ-управление | Поддерживается | |
| SNMP V1/V2C MGT | Поддерживается | |
| Управление Telnet/SSH | Поддерживается | |
| Протокол SYSLOG | Поддерживается | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрооборудование | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота мощности | 50 Гц | |
| Номинальный входной ток | AC-3A / DC-10A | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0–50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Пользовательская конфигурация | Конфигурация консоли | Интерфейс RS232, 115200, 8, N, 1 |
| Внеполосный интерфейс управления (MGT) | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживается | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
Применение коммутатора обхода сетевого TAP (см. ниже)
5.1 Риск, связанный с оборудованием встроенной системы безопасности (IPS/FW)
Ниже представлен типичный режим развертывания IPS (системы предотвращения вторжений) и FW (брандмауэра). IPS/FW развертываются как встроенное сетевое оборудование (например, маршрутизаторы, коммутаторы и т. д.), которое посредством проверок безопасности обрабатывает трафик и в соответствии с соответствующей политикой безопасности определяет, разрешать или блокировать соответствующий трафик, обеспечивая тем самым эффективность защиты.
В то же время, мы можем наблюдать, что IPS (система предотвращения вторжений) / FW (брандмауэр) — это оборудование, развертываемое в режиме реального времени, обычно в ключевых точках корпоративной сети для обеспечения безопасности в режиме реального времени. Надежность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. В случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и т. д., доступность всей корпоративной сети значительно снижается. В этом случае мы можем восстановить сеть только путем отключения сети или использования физических перемычек, но это серьезно влияет на ее надежность. IPS (система предотвращения вторжений) / FW (брандмауэр) и другие устройства, развертываемые в режиме реального времени, с одной стороны, повышают безопасность корпоративной сети, а с другой — снижают ее надежность, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
«Обходной коммутатор» Mylinking™ устанавливается в линию между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не направляется напрямую к IPS (системе предотвращения вторжений) / FW (брандмауэру). «Обходной коммутатор» направляет данные к IPS/FW, и в случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и других причин сбоя, «Обходной коммутатор» благодаря интеллектуальной функции обнаружения сигналов пульса своевременно обнаруживает неисправное устройство, минуя его и не прерывая работу сети, обеспечивая быстрое прямое подключение сетевого оборудования для защиты нормальной связи. В случае восстановления после сбоя IPS/FW, благодаря интеллектуальной функции обнаружения пакетов пульса, также своевременно восстанавливается исходная связь, что позволяет проводить проверки безопасности корпоративной сети.
Функция обходного коммутатора Mylinking™ обладает мощной интеллектуальной функцией обнаружения сигналов пульса. Пользователь может настроить интервал пульса и максимальное количество повторных попыток, используя пользовательские сообщения пульса для проверки работоспособности IPS/FW. Например, сообщение проверки пульса отправляется на восходящий/нисходящий порт IPS/FW, а затем принимается с восходящего/нисходящего порта IPS/FW. Таким образом, по отправленным и полученным сообщениям пульса определяется, работает ли IPS/FW нормально.
5.3 Страховой полис “SpecFlow” серии Inline Traction
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты, функция предварительной обработки трафика Mylinking™ "Network Tap Bypass Switch" использует стратегию фильтрации трафика для прямого подключения "соответствующего" трафика к сетевому каналу, а "соответствующий" участок трафика передается на встроенное устройство безопасности для проведения проверок безопасности. Это не только обеспечивает нормальное функционирование функции обнаружения безопасности устройства, но и снижает неэффективную нагрузку на оборудование безопасности; одновременно "Network Tap Bypass Switch" может в режиме реального времени определять рабочее состояние устройства безопасности. При ненормальной работе устройства безопасности трафик данных передается напрямую, избегая сбоев в работе сети.
Устройство Mylinking™ Inline Traffic Bypass Tap позволяет идентифицировать трафик на основе идентификаторов заголовка уровня L2-L4, таких как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. Можно гибко задавать различные условия сопоставления для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и широко использовать его для развертывания специализированных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.).
5.4 Защита последовательного соединения со сбалансированной нагрузкой
Коммутатор Mylinking™ "Network Tap Bypass Switch" устанавливается в линию между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одной системы IPS/FW недостаточно для решения пиковых нагрузок сетевого трафика, функция балансировки нагрузки защитного устройства, "объединяющая" обработку трафика несколькими кластерами IPS/FW, позволяет эффективно снизить нагрузку на отдельную систему IPS/FW и повысить общую производительность обработки для обеспечения высокой пропускной способности в условиях развертывания.
Коммутатор Mylinking™ "Network Tap Bypass Switch" обладает мощной функцией балансировки нагрузки, распределяя трафик на основе тега VLAN кадра, информации MAC, IP-адреса, номера порта, протокола и другой информации, обеспечивая целостность сеанса при получении данных каждым IPS/FW.
5.5 Многосерийная линейная защита от тяги потока (замена последовательного соединения на параллельное)
В некоторых ключевых звеньях (таких как интернет-розетки, коммутаторы серверной зоны) местоположение часто определяется необходимостью обеспечения безопасности и развертывания множества средств тестирования безопасности (таких как межсетевые экраны (FW), средства защиты от DDoS-атак, межсетевые экраны веб-приложений (WAF), системы предотвращения вторжений (IPS) и т. д.), а также одновременного последовательного размещения нескольких средств обнаружения угроз на звене, что увеличивает вероятность возникновения единой точки отказа и снижает общую надежность сети. Кроме того, развертывание, модернизация, замена и другие операции, связанные с вышеупомянутым оборудованием безопасности, приводят к длительным перебоям в работе сети и масштабным сокращениям затрат на успешную реализацию подобных проектов.
Благодаря унифицированному использованию «переключателя обхода сетевого подключения», режим работы нескольких устройств безопасности, соединенных последовательно по одному каналу связи, может быть изменен с «режима физического соединения» на «режим физического и логического соединения». Это повышает надежность канала связи в случае возникновения единой точки отказа, а «переключатель обхода» на канале связи обеспечивает передачу данных по требованию, сохраняя при этом эффективность обработки данных в том же режиме, что и в исходном.
Одновременное использование нескольких устройств безопасности в соответствии со схемой развертывания в режиме реального времени:
Схема развертывания коммутатора обхода сетевого TAP Mylinking™:
5.6. На основе динамической стратегии обнаружения и защиты в условиях нарушения безопасности дорожного движения.
«Коммутатор обхода сетевого подключения». Еще один передовой сценарий применения основан на динамической стратегии защиты от обнаружения и обнаружения нарушений безопасности трафика, развертывание которой показано ниже:
Рассмотрим, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение», которое, используя в качестве интерфейса коммутатор обхода сетевого трафика (Network Tap Bypass Switch), подключается к коммутатору обхода сетевого трафика. Обычное устройство защиты от атак (Traction Protector) перенаправляет весь трафик на высокой скорости, одновременно передавая зеркальный вывод потока на устройство защиты от DDoS-атак. После обнаружения атаки на IP-адрес сервера (или сегмент IP-сети) устройство защиты от DDoS-атак генерирует правила сопоставления целевого трафика и отправляет их на коммутатор обхода сетевого трафика через интерфейс динамической доставки политик. Коммутатор обхода сетевого трафика может обновить пул правил динамической политики трафика после получения правил и немедленно передать их на обработку устройству защиты от DDoS-атак и обнаружения, чтобы они вступили в силу после атаки и были повторно внедрены в сеть.
Схема применения, основанная на «коммутаторе обхода сетевого трафика», проще в реализации, чем традиционная инъекция маршрутов BGP или другие схемы управления трафиком, при этом она менее зависима от сети и обладает более высокой надежностью.
«Коммутатор обхода сетевого подключения» обладает следующими характеристиками для поддержки защиты от обнаружения угроз с помощью динамических политик безопасности:
1. «Переключатель обхода сетевого трафика» обеспечивает обход правил на основе интерфейса WEBSERIVCE и упрощает интеграцию с устройствами безопасности сторонних производителей.
2. "Коммутатор обхода сетевого трафика BNetwork Tap Bypass Switch", основанный на аппаратном обеспечении на базе микросхемы ASIC, обеспечивает пересылку пакетов со скоростью до 10 Гбит/с без блокировки коммутатора, а также "библиотеку динамических правил управления трафиком" независимо от количества.
3. Встроенная профессиональная функция обхода сетевого соединения "Network Tap Bypass Switch" позволяет даже в случае отказа самого защитного устройства немедленно обойти исходный последовательный канал связи, не влияя на нормальную работу исходного канала связи.
