Сетевой обходной переключатель Mylinking™ ML-BYPASS-100
Модульная конструкция с 2 обходными линиями и 1 монитором, соединения 10/40/100GE, макс. 640 Гбит/с
Обзоры
Сетевой обходной коммутатор Mylinking™ разработан и предназначен для гибкого развертывания различных типов встроенного оборудования безопасности, обеспечивая при этом высокую надежность сети.
Развернув Mylinking™ Smart Bypass Switch Tap:
- Пользователи могут гибко устанавливать/удалять оборудование/инструменты безопасности, не оказывая влияния на текущую сеть и не прерывая ее;
- Сетевой обходной переключатель Mylinking™ с интеллектуальной функцией контроля состояния позволяет в режиме реального времени отслеживать состояние встроенных устройств безопасности. При возникновении сбоя в работе встроенных устройств безопасности функция защиты автоматически перейдет в режим обхода для поддержания нормального сетевого соединения.
- Технология селективной защиты трафика может быть использована для развертывания специального оборудования безопасности очистки трафика, а также технологии шифрования на основе оборудования аудита. Эффективно реализуйте встроенную защиту доступа для определенного типа трафика, снижая нагрузку на встроенное устройство.
- Технология защиты трафика с балансировкой нагрузки может использоваться для кластерного развертывания защищенных последовательных линейных устройств безопасности для обеспечения встроенной безопасности в средах с высокой пропускной способностью.
Расширенные функции и технологии сетевого обходного переключателя
Режим защиты Mylinking™ «SpecFlow» и режим защиты «FullLink»
Защита быстрого переключения байпаса Mylinking™
Mylinking™ «LinkSafeSwitch»
Mylinking™ «WebService» Динамическая стратегия Пересылка/Выпуск
Интеллектуальное обнаружение сообщений Heartbeat Mylinking™
Определяемые сообщения Mylinking™ Heartbeat (пакеты Heartbeat)
Многоканальная балансировка нагрузки Mylinking™
Интеллектуальное распределение трафика Mylinking™
Динамическая балансировка нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Руководство по дополнительной настройке сетевого обходного переключателя
Модуль байпасаСлот модуля порта защиты:
Этот слот можно вставить в модуль порта защиты BYPASS с разной скоростью и количеством портов. Заменяя разные типы модулей, можно обеспечить защиту BYPASS для нескольких каналов 10G/40G/100G.
Модуль МОНИТОРАСлот модуля порта;
В этот слот можно вставить модуль MONITOR с различными скоростями и портами. Он поддерживает несколько каналов 10G/40G/100G для развертывания устройств последовательного мониторинга путем замены различных модулей.
Правила выбора модулей
Исходя из различных требований к развертыванию каналов связи и оборудования мониторинга, вы можете гибко выбирать различные конфигурации модулей, которые будут соответствовать вашим реальным требованиям к среде. При выборе модуля соблюдайте следующие правила:
1. Компоненты шасси являются обязательными, и их необходимо выбрать до выбора любых других модулей. Также, пожалуйста, выберите подходящий способ питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Устройство поддерживает до двух слотов для модулей BYPASS и одного слота для модуля MONITOR. Количество слотов не может быть больше, чем задано в настройках. В зависимости от количества слотов и модели модуля устройство может поддерживать до четырёх защитных каналов 10GE, до четырёх каналов 40GE или до одного канала 100GE.
3. Для корректной работы модуль модели «BYP-MOD-L1CG» может быть вставлен только в слот SLOT1.
4. Модуль типа «BYP-MOD-XXX» можно вставить только в слот модуля BYPASS; модуль типа «MON-MOD-XXX» можно вставить только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (Хост) | |
| МЛ-БАЙПАС-М100 | Стандартная 19-дюймовая стойка высотой 1U; максимальная потребляемая мощность 250 Вт; модульный хост-устройство защиты BYPASS; 2 слота для модулей BYPASS; 1 слот для модуля MONITOR; опционально переменный и постоянный ток; |
| ОБХОДНОЙ МОДУЛЬ | |
| BYP-MOD-L2XG(LM/SM) | Поддерживает 2-стороннюю последовательную защиту канала 10GE, интерфейс 4*10GE, разъем LC; встроенный оптический приемопередатчик; опционально оптический одномодовый/многомодовый канал, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает 2-стороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический приемопередатчик; опционально оптический одномодовый/многомодовый канал, поддерживает 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1 канал последовательной защиты связи 100GE, интерфейс 2*100GE, разъем LC; встроенный оптический приемопередатчик; опционально одномодовый оптический канал, поддерживает 100GBASE-SR4/LR4; |
| МОДУЛЬ МОНИТОРА | |
| MON-MOD-L16XG | Модуль порта мониторинга 16*10GE SFP+; без оптического приемопередатчика; |
| MON-MOD-L8XG | Модуль порта мониторинга 8*10GE SFP+; без модуля оптического приемопередатчика; |
| MON-MOD-L2CG | Модуль порта мониторинга 2*100GE QSFP28; без оптического приемопередающего модуля; |
| MON-MOD-L8QXG | Модуль порта мониторинга 8* 40GE QSFP+; без оптического приемопередающего модуля; |
Технические характеристики сетевого обходного коммутатора TAP
| Модальность продукта | ML-BYPASS-M100 Встроенный сетевой обходной переключатель | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T адаптивный интерфейс управления; Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2*слота для модуля BYPASS; 1*слот для модуля MONITOR; | |
| Ссылки, поддерживающие максимальную | Устройство поддерживает максимум 4 канала 10GE или 4 канала 40GE или 1 канал 100GE | |
| Мониторинг | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE. | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| На основе IP/протокола/порта, пяти кортежного трафика, каскадная защита | Поддерживается | |
| Каскадная защита на основе полного трафика | Поддерживается | |
| Множественная балансировка нагрузки | Поддерживается | |
| Пользовательская функция обнаружения сердцебиения | Поддерживается | |
| Поддержка независимости пакетов Ethernet | Поддерживается | |
| ПЕРЕКЛЮЧАТЕЛЬ ОБХОДА | Поддерживается | |
| Переключатель BYPASS без вспышки | Поддерживается | |
| КОНСОЛЬ MGT | Поддерживается | |
| IP/WEB MGT | Поддерживается | |
| SNMP V1/V2C MGT | Поддерживается | |
| TELNET/SSH MGT | Поддерживается | |
| Протокол SYSLOG | Поддерживается | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрические | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота сети | 50 Гц | |
| Номинальный входной ток | АС-3А / ДС-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,N,1 |
| Интерфейс MGT вне диапазона | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживается | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
Применение сетевого обходного переключателя TAP (см. ниже)
5.1 Риск встроенного оборудования безопасности (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (межсетевого экрана). IPS/FW развертывается как встроенное сетевое оборудование (такое как маршрутизаторы, коммутаторы и т. д.) между трафиком путем реализации проверок безопасности, согласно соответствующей политике безопасности для определения освобождения или блокировки соответствующего трафика для достижения эффекта защиты безопасности.
В то же время мы можем рассматривать IPS (систему предотвращения вторжений) / FW (межсетевой экран) как встроенное развертывание оборудования, обычно развертываемое в ключевом месте корпоративной сети для реализации встроенной безопасности, надежность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. Как только встроенные устройства безопасности перегружаются, выходят из строя, обновляются программное обеспечение, политики и т. д., доступность всей корпоративной сети будет значительно нарушена. На этом этапе мы можем восстановить сеть только через сетевой обрыв, физическую обходную перемычку, но это серьезно влияет на надежность сети. IPS (систему предотвращения вторжений) / FW (межсетевой экран) и другие встроенные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Mylinking™ «Обходной коммутатор» устанавливается между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.) и поток данных между сетевыми устройствами больше не ведет напрямую к IPS (система предотвращения вторжений) / FW (межсетевой экран). «Обходной коммутатор» переходит к IPS / FW. Когда IPS / FW перегружается, выходит из строя, обновляется программное обеспечение, политика безопасности и т. д., «Обходной коммутатор» своевременно обнаруживает неисправное устройство с помощью функции обнаружения интеллектуальных сообщений Heartbeat и пропускает его, не прерывая работу сети. Быстрое подключение сетевого оборудования обеспечивает защиту нормальной сети связи. При восстановлении работоспособности IPS / FW, а также благодаря функции обнаружения интеллектуальных пакетов Heartbeat, обеспечивается своевременное обнаружение исходного соединения для восстановления безопасности корпоративной сети.
Mylinking™ «Bypass Switch» обладает мощной интеллектуальной функцией обнаружения сообщений Heartbeat. Пользователь может настраивать интервал между отправками сообщений Heartbeat и максимальное количество повторных попыток с помощью настраиваемого сообщения Heartbeat на IPS/FW для проверки работоспособности, например, отправлять сообщение о проверке Heartbeat на восходящий/нисходящий порт IPS/FW, а затем получать его с восходящего/нисходящего порта IPS/FW и определять, нормально ли работает IPS/FW, отправляя и получая сообщение Heartbeat.
5.3 Политика «SpecFlow» Поток Встроенная Защита Тяговой Серии
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты безопасности, функция Mylinking™ «Network Tap Bypass Switch» обрабатывает трафик по отдельности, используя стратегию проверки трафика для подключения устройства безопасности, «соответствующий» трафик отправляется обратно непосредственно в сетевое соединение, а «соответствующий участок трафика» направляется на встроенное устройство безопасности для выполнения проверки безопасности. Это не только обеспечит нормальное применение функции обнаружения безопасности устройства безопасности, но и снизит неэффективный поток оборудования безопасности для борьбы с давлением; в то же время «Network Tap Bypass Switch» может отслеживать рабочее состояние устройства безопасности в режиме реального времени. Устройство безопасности напрямую обходит трафик данных в случае нештатной работы, чтобы избежать нарушения работы сети.
Встроенный обходной ответвитель трафика Mylinking™ может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, такого как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. Можно гибко определить различные комбинации условий соответствия для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и широко использовать для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.).
5.4 Последовательная защита с балансировкой нагрузки
Коммутатор обхода сетевого трафика Mylinking™ разворачивается в качестве встроенного коммутатора между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности одного IPS/FW недостаточно для обработки пикового трафика в сетевом канале, функция балансировки нагрузки устройства защиты, объединяющая обработку трафика несколькими кластерами IPS/FW, позволяет эффективно снизить нагрузку на один IPS/FW и повысить общую производительность, обеспечивая высокую пропускную способность среды развертывания.
Mylinking™ «Network Tap Bypass Switch» имеет мощную функцию балансировки нагрузки, в соответствии с тегом VLAN фрейма, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении хэш-нагрузки балансировки трафика, чтобы гарантировать целостность сеанса каждого полученного IPS/FW потока данных.
5.5 Защита от тяги многопоточного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (например, интернет-розетки, линии обмена серверными зонами) местоположение часто обусловлено потребностями в функциях безопасности и развертыванием нескольких встроенных средств проверки безопасности (таких как межсетевые экраны (FW), средства защиты от DDOS-атак, межсетевые экраны веб-приложений (WAF), системы предотвращения вторжений (IPS) и т. д.). Одновременное последовательное подключение нескольких устройств обнаружения безопасности на одном соединении увеличивает вероятность отказа одной точки соединения и снижает общую надежность сети. Кроме того, в вышеупомянутых случаях оперативное развертывание оборудования безопасности, модернизация оборудования, замена оборудования и другие операции приведут к длительному перерыву в работе сети и значительному сокращению проекта для успешного завершения таких проектов.
Развертывание «сетевого обходного переключателя» унифицированным образом позволяет изменить режим развертывания нескольких устройств безопасности, последовательно подключенных к одному каналу связи, с «режима физической конкатенации» на «режим физической конкатенации, логической конкатенации». Соединение на линии связи с единой точкой отказа повышает надежность связи, в то время как «обходной переключатель» на линии связи по требованию тяги позволяет достичь того же потока с исходным режимом безопасной обработки.
Схема развертывания нескольких устройств безопасности одновременно:
Схема развертывания обходного коммутатора TAP Mylinking™ Network:
5.6 На основе динамической стратегии обнаружения нарушений правил дорожного движения
«Сетевой обходной переключатель». Другой передовой сценарий применения основан на динамической стратегии приложений обнаружения и защиты дорожного движения, развертывание которых показано ниже:
Возьмем, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и их обнаружение». Для этого сначала разворачиваем сетевой обходной коммутатор (Network Tap Bypass Switch), а затем подключаем к нему оборудование защиты от DDoS-атак. В обычном режиме «Защитник тяги» весь трафик пересылается на скорости передачи данных, одновременно зеркалируя поток, на «Устройство защиты от DDoS-атак». После обнаружения IP-адреса сервера (или сегмента IP-сети) после атаки устройство защиты от DDoS-атак генерирует правила сопоставления целевого потока трафика и отправляет их на «Сетевой обходной коммутатор» через интерфейс динамической доставки политик. «Сетевой обходной коммутатор» может обновить «Динамику тяги трафика» после получения динамических правил политики «Пункт правил» и немедленно направить «правило, поражающее атакующий серверный трафик» на оборудование защиты от DDoS-атак и их обнаружения для обработки, чтобы обеспечить эффективность потока после атаки и повторного ввода в сеть.
Схема применения на основе «сетевого обходного коммутатора» проще в реализации, чем традиционная схема внедрения маршрута BGP или другая схема перенаправления трафика, а окружающая среда меньше зависит от сети, а надежность выше.
«Сетевой обходной коммутатор» имеет следующие характеристики для поддержки динамической политики безопасности обнаружения:
1. «Сетевой обходной переключатель» обеспечивает выход за рамки правил на основе интерфейса WEBSERIVCE, легкую интеграцию со сторонними устройствами безопасности.
2. «BNetwork Tap Bypass Switch» на основе аппаратного чипа ASIC, пересылающего пакеты со скоростью передачи данных до 10 Гбит/с без блокировки пересылки коммутатора, и «динамической библиотеки правил перемещения трафика» независимо от количества.
3. Встроенная профессиональная функция BYPASS «Network Tap Bypass Switch» позволяет даже в случае отказа самого защитного устройства немедленно обойти исходный последовательный канал, не влияя на исходный канал нормальной связи.
