Переключатель обхода ответвителей сети Mylinking™ ML-BYPASS-100
2*байпас плюс 1*модульная конструкция монитора, каналы 10/40/100GE, макс. 640 Гбит/с
Обзоры
Mylinking™ Network Tap Bypass Switch разработан и разработан для гибкого развертывания различных типов встроенного оборудования безопасности, обеспечивая при этом высокую надежность сети.
При развертывании Mylinking™ Smart Bypass Switch Tap:
- Пользователи могут гибко устанавливать/удалять оборудование/инструменты безопасности и не будут влиять и прерывать текущую сеть;
- Mylinking™ Network Tap Bypass Switch с интеллектуальной функцией определения работоспособности для мониторинга в режиме реального времени нормального рабочего состояния встроенных устройств безопасности.Как только встроенные устройства безопасности сработают, функция защиты автоматически отключится, чтобы поддерживать нормальную сетевую связь;
- Технология выборочной защиты трафика может быть использована для развертывания специального оборудования безопасности очистки трафика, технологии шифрования на основе контрольного оборудования.Эффективно выполнять встроенную защиту доступа для определенного типа трафика, разгружая давление обработки потока встроенного устройства;
- Технологию Load Balanced Traffic Protection можно использовать для кластерного развертывания защищенных последовательных встроенных устройств безопасности, чтобы обеспечить встроенную безопасность в средах с высокой пропускной способностью.
Сетевой переключатель Tap Bypass Расширенные функции и технологии
Режим защиты Mylinking™ «SpecFlow» и режим защиты «FullLink»
Mylinking™ Fast Bypass Switching Protection
Mylinking™ «LinkSafeSwitch»
Mylinking™ «WebService» Динамическая переадресация/выдача стратегии
Интеллектуальное обнаружение сообщений пульса Mylinking™
Mylinking™ Definable Heartbeat Messages (пакеты Heartbeat)
Многоканальная балансировка нагрузки Mylinking™
Интеллектуальное распределение трафика Mylinking™
Динамическая балансировка нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Руководство по настройке опционального переключателя обхода сети ответвления
БАЙПАСНЫЙ модульСлот модуля порта защиты:
Этот слот можно вставить в модуль порта защиты BYPASS с другой скоростью/номером порта.Заменяя различные типы модулей, он может поддерживать защиту BYPASS для нескольких требований к каналам 10G/40G/100G.
Модуль МОНИТОРСлот модуля порта;
В этот слот можно вставить модуль МОНИТОР с разными скоростями/портами.Он может поддерживать несколько каналов 10G/40G/100G для встроенного последовательного развертывания устройств мониторинга путем замены различных модулей.
Правила выбора модуля
На основе различных развернутых ссылок и требований к развертыванию оборудования для мониторинга вы можете гибко выбирать различные конфигурации модулей в соответствии с вашими реальными требованиями к среде;при выборе модуля придерживайтесь следующих правил:
1. Компоненты шасси являются обязательными, и вы должны выбрать компоненты шасси, прежде чем выбирать какие-либо другие модули.В то же время, пожалуйста, выберите различные способы питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Все устройство поддерживает до 2 слотов для модуля BYPASS и 1 слот для модуля MONITOR;вы не можете выбрать больше, чем количество слотов для настройки.В зависимости от комбинации количества слотов и модели модуля устройство может поддерживать до четырех средств защиты канала 10GE;или он может поддерживать до четырех каналов 40GE;или он может поддерживать до одного канала 100GE.
3. Модель модуля «BYP-MOD-L1CG» может быть вставлена только в SLOT1 для правильной работы.
4. Модуль типа «BYP-MOD-XXX» может быть вставлен только в слот модуля BYPASS;модуль типа "MON-MOD-XXX" может быть вставлен только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (хост) | |
| МЛ-БАЙПАС-M100 | стандартная 19-дюймовая стойка высотой 1U;максимальная потребляемая мощность 250Вт;модульный блок защиты BYPASS;2 слота для модуля BYPASS;1 слот для модуля МОНИТОР;переменный и постоянный ток опционально; |
| БАЙПАСНЫЙ МОДУЛЬ | |
| BYP-MOD-L2XG(LM/SM) | Поддерживает двустороннюю последовательную защиту 10GE, интерфейс 4*10GE, разъем LC;встроенный оптический трансивер;Опционально одиночный/многомодовый оптический канал, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает двустороннюю последовательную защиту 40GE, интерфейс 4*40GE, разъем LC;встроенный оптический трансивер;Опционально одиночный/многомодовый оптический канал, поддерживает 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1 последовательную защиту канала 100GE, интерфейс 2*100GE, разъем LC;встроенный оптический трансивер;одиночный многомодовый оптический канал опционально, поддерживает 100GBASE-SR4/LR4; |
| МОНИТОР МОДУЛЬ | |
| МОН-МОД-L16XG | Модуль порта мониторинга 16*10GE SFP+;нет модуля оптического приемопередатчика; |
| МОН-МОД-L8XG | Модуль порта мониторинга 8*10GE SFP+;нет модуля оптического приемопередатчика; |
| ПН-МОД-L2CG | 2*100GE QSFP28 модуль порта мониторинга;нет модуля оптического приемопередатчика; |
| ПН-МОД-L8QXG | Модуль порта мониторинга 8* 40GE QSFP+;нет модуля оптического приемопередатчика; |
Технические характеристики переключателя обхода сети TAP
| Модальность продукта | ML-BYPASS-M100 Встроенный обходной переключатель ответвителей сети | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T адаптивный интерфейс управления;Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2 слота для модуля BYPASS; 1 слот для модуля MONITOR; | |
| Ссылки, поддерживающие максимум | Устройство поддерживает максимум 4 канала 10GE или 4 канала 40GE или 1 канал 100GE. | |
| Мониторинг | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| На основе IP/протокола/порта пять кортежей для каскадной защиты трафика | Поддерживается | |
| Каскадная защита на основе полного трафика | Поддерживается | |
| Множественная балансировка нагрузки | Поддерживается | |
| Пользовательская функция обнаружения сердцебиения | Поддерживается | |
| Поддержка независимости пакетов Ethernet | Поддерживается | |
| БАЙПАСНЫЙ ПЕРЕКЛЮЧАТЕЛЬ | Поддерживается | |
| BYPASS Switch без вспышки | Поддерживается | |
| КОНСОЛЬНЫЙ МГТ | Поддерживается | |
| IP/ВЕБ МГТ | Поддерживается | |
| SNMP V1/V2C МГТ | Поддерживается | |
| ТЕЛНЕТ/SSH МГТ | Поддерживается | |
| SYSLOG-протокол | Поддерживается | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрический | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота сети | 50 Гц | |
| Номинальный входной ток | АС-3А/ДС-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсата | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,N,1 |
| Внеполосный интерфейс MGT | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживается | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
Сетевое приложение TAP Bypass Switch (как показано ниже)
5.1 Риск встроенного оборудования безопасности (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (брандмауэра), IPS / FW развертывается как встроенное сетевое оборудование (например, маршрутизаторы, коммутаторы и т. д.) между трафиком посредством реализации проверок безопасности, в соответствии с соответствующую политику безопасности, чтобы определить выпуск или блокировку соответствующего трафика, чтобы добиться эффекта защиты безопасности.
В то же время мы можем наблюдать IPS (система предотвращения вторжений) / FW (брандмауэр) как встроенное развертывание оборудования, обычно развернутое в ключевом месте корпоративной сети для реализации встроенной безопасности, надежность подключенных к нему устройств напрямую влияет общая доступность корпоративной сети.Перегрузка встроенных устройств безопасности, сбой, обновление программного обеспечения, обновление политики и т. д. серьезно повлияют на доступность всей корпоративной сети.На данный момент мы можем восстановить сеть только через обрыв сети, перемычка физического обхода, но это серьезно влияет на надежность сети.IPS (система предотвращения вторжений) / FW (брандмауэр) и другие встроенные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Mylinking™ «Bypass Switch» развертывается как встроенный между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS (системе предотвращения вторжений) / FW (брандмауэру), «Bypass Switch». для IPS / FW, когда IPS / FW из-за перегрузки, сбоя, обновлений программного обеспечения, обновлений политики и других условий отказа, «Переключатель обхода» с помощью интеллектуальной функции обнаружения сообщений пульса своевременного обнаружения и, таким образом, пропустить неисправное устройство, без прерывания помещения сети, быстрое сетевое оборудование, напрямую подключенное для защиты нормальной сети связи;при восстановлении после сбоя IPS / FW, но и с помощью интеллектуального обнаружения пакетов Heartbeat, своевременного обнаружения функции, исходная ссылка для восстановления безопасности проверок безопасности корпоративной сети.
Mylinking ™ «Bypass Switch» имеет мощную интеллектуальную функцию обнаружения сообщений о сердцебиении, пользователь может настроить интервал сердцебиения и максимальное количество повторных попыток с помощью настраиваемого сообщения о сердцебиении на IPS / FW для проверки работоспособности, например, отправить сообщение о проверке сердцебиения. к восходящему / нисходящему порту IPS / FW, а затем получить от восходящего / нисходящего порта IPS / FW и оценить, нормально ли работает IPS / FW, отправив и получив сообщение пульса.
5.3 Поток политик «SpecFlow» Встроенная защита серии Traction
Когда защитному сетевому устройству нужно иметь дело только с определенным трафиком в последовательной защите безопасности, с помощью функции Mylinking ™ «Network Tap Bypass Switch» трафика на обработку, через стратегию проверки трафика для подключения устройства безопасности «Обеспокоенный» трафик отправляется обратно непосредственно к сетевому каналу, а «заинтересованный участок трафика» - это тяга к встроенному предохранительному устройству для проверки безопасности.Это не только сохранит нормальное применение функции обнаружения безопасности предохранительного устройства, но также уменьшит неэффективный поток предохранительного оборудования для борьбы с давлением;в то же время «обходной переключатель сетевого ответвления» может определять рабочее состояние защитного устройства в режиме реального времени.Защитное устройство работает ненормально, напрямую обходит трафик данных, чтобы избежать нарушения работы сети.
Mylinking™ Inline Traffic Bypass Tap может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, такого как тег VLAN, MAC-адрес источника/получателя, исходный IP-адрес, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и скоро.Различные гибкие комбинации условий соответствия могут быть гибко определены для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и могут широко использоваться для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит базы данных и т. д.) .
5.4 Последовательная защита с балансировкой нагрузки
Mylinking™ «Network Tap Bypass Switch» развертывается как встроенный между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.).Когда одной производительности обработки IPS/FW недостаточно, чтобы справиться с пиковым трафиком сетевого канала, функция балансировки нагрузки трафика защитного устройства, «объединение» нескольких кластеров IPS/FW, обрабатывающих трафик сетевого канала, может эффективно уменьшить одиночный IPS/FW. давление обработки, улучшить общую производительность обработки, чтобы соответствовать высокой пропускной способности среды развертывания Утверждение.
Mylinking ™ «Network Tap Bypass Switch» имеет мощную функцию балансировки нагрузки в соответствии с тегом кадра VLAN, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении трафика с балансировкой хеш-нагрузки, чтобы гарантировать, что каждый IPS / FW Полученный поток данных Целостность сеанса.
5.5 Защита потока многосерийного встроенного оборудования (изменение последовательного соединения на параллельное соединение)
В некоторых ключевых каналах (таких как интернет-магазины, каналы обмена серверами) расположение часто связано с потребностями в функциях безопасности и развертыванием нескольких встроенных средств тестирования безопасности (таких как брандмауэр (FW), оборудование для защиты от DDOS-атак, Брандмауэр веб-приложений (WAF), система предотвращения вторжений (IPS) и т. д.), несколько устройств обнаружения безопасности одновременно последовательно на канале, чтобы увеличить ссылку единой точки отказа, снижая общую надежность сети.А в вышеупомянутом онлайн-развертывании оборудования для обеспечения безопасности, модернизации оборудования, замене оборудования и других операциях сеть в течение длительного времени прерывает обслуживание и более крупные действия по сокращению проектов для завершения успешной реализации таких проектов.
Путем унифицированного развертывания «сетевого переключателя обхода ответвлений» режим развертывания нескольких устройств безопасности, последовательно подключенных к одному и тому же каналу, можно изменить с «режим физической конкатенации» на «режим физической конкатенации, режим логической конкатенации». ссылка единой точки отказа для повышения надежности ссылки, в то время как «переключатель обхода» на потоке ссылки по требованию тяги, для достижения того же потока с исходным режимом безопасного эффекта обработки.
Более одного устройства безопасности одновременно на встроенной схеме развертывания:
Схема развертывания переключателя обхода сети TAP Mylinking™:
5.6 На основе динамической стратегии защиты от обнаружения трафика
«Переключатель обхода сетевого ответвления» Еще один расширенный сценарий приложения основан на динамической стратегии приложений защиты от обнаружения тяги трафика, способ развертывания которого показан ниже:
Возьмем, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение», например, через внешнее развертывание «Обходного переключателя сетевого ответвления», а затем оборудование для защиты от DDOS, а затем подключите к «Обходному переключателю сетевого ответвления», в обычном «Tracction Protector» на полный объем трафика с проводной скоростью переадресация одновременно с зеркальным выводом потока на «устройство защиты от DDOS-атак», после обнаружения IP-адреса сервера (или IP-сегмента сети) после атака, «устройство защиты от DDOS-атак» сгенерирует правила сопоставления целевого потока трафика и отправит их на «сетевой переключатель обхода ответвлений» через интерфейс доставки динамической политики.«Переключатель обхода сетевого отвода» может обновлять «динамику трафика» после получения правил динамической политики. Пул правил «и немедленно» правило попадает в трафик сервера атаки «тракция» на «защиту от DDoS-атак и обнаружение» оборудования для обработки, быть эффективным после потока атаки, а затем повторно внедряться в сеть.
Схему приложения, основанную на «Network Tap Bypass Switch», проще реализовать, чем традиционную инъекцию маршрута BGP или другую схему тяги трафика, и среда меньше зависит от сети, а надежность выше.
«Коммутатор обхода сети ответвления» имеет следующие характеристики для поддержки защиты обнаружения безопасности динамической политики:
1, «Переключатель обхода сетевого крана», чтобы обеспечить вне правил, основанных на интерфейсе WEBSERIVCE, простую интеграцию со сторонними устройствами безопасности.
2, «BNetwork Tap Bypass Switch», основанный на чистом аппаратном чипе ASIC, пересылающем пакеты со скоростью до 10 Гбит/с без блокировки переадресации коммутатора, и «библиотеке динамических правил тяги трафика» независимо от номера.
3, встроенная профессиональная функция BYPASS «Переключатель обхода сетевого крана», даже в случае отказа самого протектора, также может немедленно обойти исходный последовательный канал, не влияет на исходный канал нормальной связи.
