Обходной переключатель сети Mylinking™ ML-BYPASS-100
2*байпаса плюс 1*модульная конструкция монитора, каналы 10/40/100GE, макс. 640 Гбит/с
Обзоры
Обходной переключатель Mylinking™ Network Tap был исследован и разработан для гибкого развертывания различных типов встроенного оборудования безопасности, обеспечивая при этом высокую надежность сети.
Используя интеллектуальный обходной переключатель Mylinking™:
- Пользователи могут гибко устанавливать/удалять оборудование/инструменты безопасности, не влияя и не прерывая работу текущей сети;
- Mylinking™ Network Tap Bypass Switch с интеллектуальной функцией определения работоспособности для мониторинга нормального рабочего состояния встроенных устройств безопасности в режиме реального времени. Как только встроенные устройства безопасности сработают, функция защиты автоматически отключится для поддержания нормальной сетевой связи;
- Технология выборочной защиты трафика может быть использована для развертывания специального оборудования безопасности очистки трафика, технологии шифрования на основе оборудования аудита. Эффективно осуществлять защиту линейного доступа для конкретного типа трафика, разгружая давление обработки потока встроенного устройства;
- Технология защиты трафика с балансировкой нагрузки может использоваться для кластерного развертывания безопасных последовательных встроенных устройств безопасности для обеспечения встроенной безопасности в средах с высокой пропускной способностью.
Обходной переключатель сетевого ответвления Расширенные функции и технологии
Режим защиты Mylinking™ «SpecFlow» и режим защиты «FullLink»
Защита от быстрого переключения Mylinking™
Mylinking™ «LinkSafeSwitch»
Динамическая стратегия пересылки/выдачи Mylinking™ «WebService»
Интеллектуальное обнаружение сообщений Mylinking™ Heartbeat
Определяемые сообщения Heartbeat Mylinking™ (пакеты Heartbeat)
Многоканальная балансировка нагрузки Mylinking™
Интеллектуальное распределение трафика Mylinking™
Mylinking™ Динамическая балансировка нагрузки
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Дополнительное руководство по настройке сетевого переключателя обхода сети
БАЙПАС МодульСлот модуля порта защиты:
Этот слот можно вставить в модуль порта защиты BYPASS с другой скоростью/номером порта. Заменяя различные типы модулей, он может поддерживать защиту BYPASS для нескольких каналов 10G/40G/100G.
Модуль МОНИТОРСлот модуля порта;
В этот слот можно вставить модуль МОНИТОРА с разными скоростями/портами. Он может поддерживать несколько каналов 10G/40G/100G для последовательного развертывания устройств мониторинга путем замены различных модулей.
Правила выбора модулей
В зависимости от различных развернутых каналов связи и требований к развертыванию оборудования мониторинга вы можете гибко выбирать различные конфигурации модулей в соответствии с фактическими требованиями вашей среды; Пожалуйста, соблюдайте следующие правила при выборе модуля:
1. Компоненты шасси являются обязательными, и вы должны выбрать компоненты шасси, прежде чем выбирать любые другие модули. В то же время, пожалуйста, выберите различные методы питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Все устройство поддерживает до 2 слотов модуля BYPASS и 1 слота модуля MONITOR; вы не можете выбрать больше, чем количество слотов для настройки. В зависимости от количества слотов и модели модуля устройство может поддерживать до четырех средств защиты каналов 10GE; или он может поддерживать до четырех каналов 40GE; или он может поддерживать до одного канала 100GE.
3. Модель модуля «BYP-MOD-L1CG» может быть вставлена только в СЛОТ1 для правильной работы.
4. Модуль типа «BYP-MOD-XXX» можно вставлять только в слот модуля BYPASS; модуль типа «MON-MOD-XXX» можно вставлять только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (хост) | |
| МЛ-БАЙПАС-М100 | Стандартное 19-дюймовое крепление 1U; максимальная потребляемая мощность 250 Вт; модульный блок защиты BYPASS; 2 слота для модулей ОБХОДА; 1 слот для модуля МОНИТОР; AC и DC опционально; |
| БАЙПАСНЫЙ МОДУЛЬ | |
| BYP-MOD-L2XG(LM/SM) | Поддерживает двустороннюю последовательную защиту канала 10GE, интерфейс 4*10GE, разъем LC; встроенный оптический трансивер; оптическая связь, одиночный/многомодовый опционально, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает двустороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический трансивер; оптическая связь, одно-/многомодовая опция, поддержка 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1-канальную последовательную защиту канала 100GE, интерфейс 2*100GE, разъем LC; встроенный оптический трансивер; оптический канал, одиночный многомодовый, опционально, поддерживает 100GBASE-SR4/LR4; |
| МОДУЛЬ МОНИТОРА | |
| МОН-МОД-L16XG | Модуль порта мониторинга 16*10GE SFP+; нет модуля оптического приемопередатчика; |
| МОН-МОД-L8XG | Модуль порта мониторинга 8*10GE SFP+; нет модуля оптического приемопередатчика; |
| МОН-МОД-L2CG | 2*100GE QSFP28 модуль порта мониторинга; нет модуля оптического приемопередатчика; |
| MON-MOD-L8QXG | 8* модуль порта мониторинга 40GE QSFP+; нет модуля оптического приемопередатчика; |
Технические характеристики сетевого переключателя TAP
| Модальность продукта | ML-BYPASS-M100 Обходной переключатель сетевого ответвителя | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T Адаптивный интерфейс управления; Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2*слота для модуля BYPASS; 1*слота для модуля МОНИТОРА; | |
| Ссылки, поддерживающие максимум | Устройство поддерживает максимум 4 канала 10GE, 4 канала 40GE или 1 канал 100GE. | |
| Мониторинг | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| Каскадная защита трафика на основе пяти кортежей IP/протокола/порта | Поддерживается | |
| Каскадная защита на основе полного трафика | Поддерживается | |
| Множественная балансировка нагрузки | Поддерживается | |
| Пользовательская функция обнаружения сердцебиения | Поддерживается | |
| Поддержка независимости пакетов Ethernet | Поддерживается | |
| БАЙПАСНЫЙ ВЫКЛЮЧАТЕЛЬ | Поддерживается | |
| Переключатель BYPASS без вспышки | Поддерживается | |
| КОНСОЛЬ МГТ | Поддерживается | |
| IP/ВЕБ-MGT | Поддерживается | |
| SNMP V1/V2C MGT | Поддерживается | |
| ТЕЛНЕТ/SSH MGT | Поддерживается | |
| Протокол системного журнала | Поддерживается | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрический | Номинальное напряжение питания | AC-220В/DC-48В【Опционально】 |
| Номинальная частота сети | 50 Гц | |
| Номинальный входной ток | АС-3А/ДК-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,Н,1 |
| Внеполосный интерфейс MGT | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживается | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм*44,5 мм*350 мм |
Приложение обходного переключателя Network TAP (как показано ниже)
5.1 Риск встроенного охранного оборудования (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (брандмауэра), IPS/FW развертывается как встроенное сетевое оборудование (например, маршрутизаторы, коммутаторы и т. д.) между трафиком посредством реализации проверок безопасности, в соответствии с соответствующая политика безопасности для определения выпуска или блокировки соответствующего трафика для достижения эффекта защиты безопасности.
В то же время мы можем наблюдать IPS (систему предотвращения вторжений) / FW (брандмауэр) как оперативное развертывание оборудования, обычно развертываемого в ключевом месте корпоративной сети для реализации встроенной безопасности, надежность подключенных к нему устройств напрямую влияет общая доступность сети предприятия. Перегрузка, сбой встроенных устройств безопасности, обновления программного обеспечения, обновления политик и т. д. сильно повлияют на доступность всей корпоративной сети. На данный момент мы только через обрыв сети, физическую перемычку обхода можем восстановить сеть, но это серьезно влияет на надежность сети. IPS (система предотвращения вторжений) / FW (межсетевой экран) и другие встроенные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
«Обходной коммутатор» Mylinking™ развертывается как встроенный между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS (системе предотвращения вторжений) / FW (межсетевому экрану), «Обходному переключателю». к IPS / FW, когда IPS / FW из-за перегрузки, сбоя, обновлений программного обеспечения, обновлений политик и других условий сбоя, «Обходной переключатель» посредством интеллектуального обнаружения сообщений пульса. Функция своевременного обнаружения и, таким образом, пропускает неисправное устройство, не нарушая работу сети, быстрое сетевое оборудование подключается напрямую для защиты нормальной сети связи; при восстановлении сбоя IPS / FW, но и через интеллектуальное обнаружение пакетов Heartbeat для своевременного обнаружения функции, исходную ссылку для восстановления безопасности проверок безопасности корпоративной сети.
Mylinking™ «Обходной переключатель» имеет мощную интеллектуальную функцию обнаружения сообщений пульса. Пользователь может настроить интервал пульса и максимальное количество повторов с помощью специального сообщения пульса на IPS/прошивке для проверки работоспособности, например, отправить сообщение проверки пульса. к восходящему/нисходящему порту IPS/FW, а затем получить от восходящего/нисходящего порта IPS/FW и оценить, нормально ли работает IPS/FW, отправляя и получая сообщение Heartbeat.
5.3 Поток политики «SpecFlow» Защита серии Inline Traction
Когда сетевому устройству безопасности необходимо иметь дело только с определенным трафиком в последовательной защите безопасности, через функцию обработки трафика Mylinking ™ «Переключатель обхода сети» через стратегию проверки трафика для подключения устройства безопасности «Соответствующий» трафик отправляется обратно непосредственно к сетевому каналу, и «соответствующий участок трафика» подключается к встроенному устройству безопасности для выполнения проверок безопасности. Это не только обеспечит нормальное применение функции обнаружения безопасности защитного устройства, но также уменьшит неэффективный поток защитного оборудования для борьбы с давлением; В то же время «Переключатель обхода сети» может определять рабочее состояние защитного устройства в режиме реального времени. Устройство безопасности работает ненормально, напрямую пропуская трафик данных, чтобы избежать нарушения сетевого обслуживания.
Перехватчик обхода трафика Mylinking™ может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, такого как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и скоро. Гибкая комбинация различных условий соответствия может быть гибко определена для определения конкретных типов трафика, которые представляют интерес для конкретного устройства безопасности, и может широко использоваться для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.). .
5.4 Последовательная защита со сбалансированной нагрузкой
«Network Tap Bypass Switch» Mylinking™ устанавливается в линию между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одной IPS/FW недостаточно, чтобы справиться с пиковым трафиком сетевого канала, функция балансировки трафика предохранителя, «объединение» нескольких кластеров обработки сетевого трафика IPS/FW, может эффективно уменьшить одиночный IPS/FW. давление обработки, улучшить общую производительность обработки, чтобы удовлетворить высокую пропускную способность среды развертывания.
Mylinking™ «Network Tap Bypass Switch» имеет мощную функцию балансировки нагрузки в соответствии с тегом VLAN кадра, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении хэш-балансировки нагрузки трафика, чтобы гарантировать, что каждый IPS / FW полученный поток данных. Целостность сеанса.
5.5 Защита от тяги многосерийного линейного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (таких как интернет-магазины, каналы обмена серверной областью) местоположение часто обусловлено потребностями функций безопасности и развертыванием множественного встроенного оборудования для тестирования безопасности (например, брандмауэра (FW), оборудования для защиты от DDOS-атак, Брандмауэр веб-приложений (WAF), система предотвращения вторжений (IPS) и т. д.), одновременное последовательное подключение нескольких устройств обнаружения безопасности на канале для увеличения соединения с одной точкой отказа, снижая общую надежность сети. А в ходе вышеупомянутого онлайн-развертывания оборудования безопасности, модернизации оборудования, замены оборудования и других операций, это приведет к длительному перерыву в обслуживании сети и более масштабным действиям по сокращению проекта для завершения успешной реализации таких проектов.
Путем унифицированного развертывания «переключателя обхода сети» режим развертывания нескольких устройств безопасности, последовательно подключенных к одному и тому же каналу, можно изменить с «режима физической конкатенации» на «режим физической конкатенации, режим логической конкатенации». Ссылка на ссылка единой точки отказа для повышения надежности ссылки, в то время как «обходной переключатель» на линии потока по требованию тяги, чтобы достичь того же потока с исходным режимом безопасного эффекта обработки.
Одновременное использование нескольких устройств безопасности в соответствии со схемой встроенного развертывания:
Схема развертывания обходного переключателя TAP сети Mylinking™:
5.6 На основе динамической стратегии защиты от обнаружения безопасности движения
«Переключатель обхода сети». Другой сценарий расширенного приложения основан на динамической стратегии приложений защиты от обнаружения тяги трафика, развертывание которого показано ниже:
Возьмите оборудование для тестирования безопасности «Защита и обнаружение DDoS-атак», например, посредством внешнего развертывания «Обходного переключателя сетевого отвода», а затем оборудования защиты от DDOS, а затем подключите его к «Обходному переключателю сетевого отвода», в обычном «Защитнике тяги» на весь объем трафика, пересылаемом со скоростью провода, в то же время выход зеркала потока на «устройство защиты от DDOS-атак», однажды обнаруженное для IP-адреса сервера (или сегмента IP-сети) после При атаке «устройство защиты от DDOS-атак» сгенерирует правила сопоставления целевого потока трафика и отправит их на «переключатель обхода сети» через интерфейс динамической доставки политики. «Переключатель обхода сети» может обновлять «динамику тяги трафика» после получения правил динамической политики. Пул правил «и немедленно» правило попадает в трафик сервера атаки «трафик» к оборудованию «защиты и обнаружения анти-DDoS-атак» для обработки, быть эффективным после потока атаки, а затем повторно внедряться в сеть.
Схема приложения, основанная на «переключателе обхода сети», проще реализовать, чем традиционное внедрение маршрута BGP или другая схема привлечения трафика, а среда меньше зависит от сети и надежность выше.
«Переключатель обхода сети» имеет следующие характеристики для поддержки динамической защиты при обнаружении политики безопасности:
1, «Переключатель обхода сети», обеспечивающий вне правил на основе интерфейса WEBSERIVCE, простую интеграцию со сторонними устройствами безопасности.
2, «BNetwork Tap Bypass Switch» на основе аппаратного чистого ASIC-чипа, пересылающего пакеты со скоростью до 10 Гбит / с без блокировки пересылки коммутатора, и «библиотека динамических правил тяги трафика» независимо от количества.
3. Встроенная профессиональная функция ОБХОДА «сетевого переключателя», даже если сам предохранитель выйдет из строя, также можно немедленно обойти исходную последовательную связь, не влияет на исходную ссылку нормальной связи.
