Обходной переключатель сетевого ответвителя Mylinking™ ML-BYPASS-200
Модульная конструкция 2*Bypass плюс 1*Monitor, соединения 10/40/100GE, макс. 640 Гбит/с
1-Обзоры
При использовании интеллектуального обходного коммутатора Mylinking™:
- Пользователи могут гибко устанавливать/удалять оборудование безопасности, не оказывая влияния на текущую сеть и не прерывая ее работу;
- Обходной сетевой коммутатор Mylinking™ с интеллектуальной функцией обнаружения работоспособности для мониторинга в режиме реального времени нормального рабочего состояния последовательного устройства безопасности. Как только происходит исключение в работе последовательного устройства безопасности, защита автоматически обходит его, чтобы поддерживать нормальную сетевую связь;
- Технология селективной защиты трафика может быть использована для развертывания специального оборудования безопасности очистки трафика, технологии шифрования на основе оборудования аудита. Эффективно осуществлять последовательную защиту доступа для определенного типа трафика, разгружая давление обработки потока последовательного устройства;
- Технология защиты трафика с балансировкой нагрузки может использоваться для кластерного развертывания защищенных последовательных устройств с целью удовлетворения потребности в последовательной безопасности в средах с высокой пропускной способностью.
С быстрым развитием Интернета угроза сетевой информационной безопасности становится все более серьезной, поэтому все шире используются различные приложения защиты информационной безопасности. Будь то традиционное оборудование контроля доступа (брандмауэр) или новый тип более продвинутых средств защиты, таких как система предотвращения вторжений (IPS), унифицированная платформа управления угрозами (UTM), система атак типа «отказ в обслуживании» (Anti-DDoS), шлюз Anti-span, унифицированная система идентификации и управления трафиком DPI, и многие устройства безопасности последовательно развертываются в ключевых узлах сети, реализуя соответствующую политику безопасности данных для идентификации и борьбы с законным / незаконным трафиком. В то же время, однако, компьютерная сеть будет генерировать большую сетевую задержку или даже сбой сети в случае отказа, обслуживания, обновления, замены оборудования и т. д. в высоконадежной среде приложений производственной сети, пользователи не могут этого выдержать.
2-сетевой обходной коммутатор с расширенными функциями и технологиями
Технология режима защиты Mylinking™ «SpecFlow» и режима защиты «FullLink»
Технология защиты быстрого обходного переключения Mylinking™
Технология Mylinking™ «LinkSafeSwitch»
Технология динамической пересылки/выпуска стратегии Mylinking™ «WebService»
Технология обнаружения интеллектуальных сообщений Mylinking™ Heartbeat
Технология определяемых сообщений о сердцебиении Mylinking™
Технология многоканальной балансировки нагрузки Mylinking™
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Руководство по настройке коммутатора обхода 3-сетевого ответвления
ОБХОДСлот модуля порта защиты:
Этот слот может быть вставлен в модуль порта защиты BYPASS с другой скоростью/номером порта. Заменяя различные типы модулей, он может поддерживать защиту BYPASS нескольких соединений 10G/40G/100G.
МОНИТОРСлот для модуля порта;
Этот слот может быть вставлен в модуль порта MONITOR с различными скоростями/портами. Он может поддерживать развертывание нескольких устройств последовательного мониторинга 10G/40G/100G, заменяя разные модели.
Правила выбора модуля
На основе различных развернутых каналов связи и требований к развертыванию оборудования мониторинга вы можете гибко выбирать различные конфигурации модулей в соответствии с фактическими потребностями вашей среды; при выборе соблюдайте следующие правила:
1. Компоненты шасси являются обязательными, и вы должны выбрать компоненты шасси, прежде чем выбирать любые другие модули. В то же время, пожалуйста, выбирайте различные методы питания (AC/DC) в соответствии с вашими потребностями.
2. Вся машина поддерживает до 2 слотов для модулей BYPASS и 1 слот для модуля MONITOR; вы не можете выбрать больше, чем количество слотов для настройки. В зависимости от комбинации количества слотов и модели модуля устройство может поддерживать до четырех защит каналов 10GE; или оно может поддерживать до четырех каналов 40GE; или оно может поддерживать до одного канала 100GE.
3. Для правильной работы модуль модели «BYP-MOD-L1CG» можно вставить только в слот SLOT1.
4. Модуль типа «BYP-MOD-XXX» можно вставить только в слот модуля BYPASS; модуль типа «MON-MOD-XXX» можно вставить только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (Хост) | |
| ML-BYPASS-M200 | 1U стандартная 19-дюймовая стойка; максимальная потребляемая мощность 250 Вт; модульный хост-устройство защиты BYPASS; 2 слота для модулей BYPASS; 1 слот для модуля MONITOR; опционально переменный и постоянный ток; |
| МОДУЛЬ ОБХОДА | |
| BYP-MOD-L2XG(ЛМ/СМ) | Поддерживает 2-стороннюю последовательную защиту канала 10GE, интерфейс 4*10GE, разъем LC; встроенный оптический трансивер; опционально оптический одно-/многомодовый канал, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает 2-стороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический трансивер; опционально оптический одно-/многомодовый канал, поддерживает 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1 канал последовательной защиты соединения 100GE, интерфейс 2*100GE, разъем LC; встроенный оптический трансивер; опционально оптическое одномодовое соединение, поддерживает 100GBASE-SR4/LR4; |
| МОДУЛЬ МОНИТОРА | |
| MON-MOD-L16XG | Модуль порта мониторинга 16*10GE SFP+; без модуля оптического трансивера; |
| МОН-МОД-L8XG | Модуль порта мониторинга 8*10GE SFP+; без модуля оптического трансивера; |
| МОН-МОД-L2CG | Модуль порта мониторинга 2*100GE QSFP28; без модуля оптического приемопередатчика; |
| МОН-МОД-L8QXG | Модуль порта мониторинга 8* 40GE QSFP+; без модуля оптического приемопередатчика; |
Технические характеристики 4-сетевого обходного коммутатора TAP
| Модальность продукта | Переключатель байпаса серийного типа ML-BYPASS-M200 | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T адаптивный интерфейс управления; Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2*слота для модуля BYPASS; 1*слот для модуля MONITOR; | |
| Ссылки, поддерживающие максимум | Устройство поддерживает максимум 4*10GE соединения или 4*40GE соединения или 1*100GE соединение | |
| Монитор | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полной дуплексной обработки | 640 Гбит/с |
| Основанный на IP/протоколе/порте пятикортежный каскадный трафик защиты | Поддерживать | |
| Каскадная защита на основе полного трафика | Поддерживать | |
| Множественная балансировка нагрузки | Поддерживать | |
| Пользовательская функция обнаружения сердцебиения | Поддерживать | |
| Поддержка независимости пакетов Ethernet | Поддерживать | |
| ПЕРЕКЛЮЧАТЕЛЬ ОБХОДА | Поддерживать | |
| Переключатель BYPASS без вспышки | Поддерживать | |
| КОНСОЛЬ MGT | Поддерживать | |
| IP/WEB MGT | Поддерживать | |
| SNMP V1/V2C МГТ | Поддерживать | |
| TELNET/SSH MGT | Поддерживать | |
| Протокол SYSLOG | Поддерживать | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрические | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота сети | 50Гц | |
| Номинальный входной ток | АС-3А / DC-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,N,1 |
| Интерфейс MGT вне диапазона | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживать | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов,485мм*44.5мм*350мм |
5-сетевое применение обходного коммутатора TAP (как указано ниже)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (межсетевого экрана). IPS / FW развертывается последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.) между трафиком путем реализации проверок безопасности, согласно соответствующей политике безопасности, для определения освобождения или блокировки соответствующего трафика, для достижения эффекта защиты безопасности.
В то же время мы можем наблюдать IPS / FW как последовательное развертывание оборудования, обычно развертываемого в ключевом месте корпоративной сети для реализации последовательной безопасности, надежность его подключенных устройств напрямую влияет на общую доступность корпоративной сети. После перегрузки последовательных устройств, сбоя, обновления программного обеспечения, обновления политики и т. д., доступность всей корпоративной сети будет сильно затронута. На этом этапе мы только через сетевой разрез, физическую обходную перемычку можем восстановить сеть, серьезно влияя на надежность сети. IPS / FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Mylinking™ «Обходной коммутатор» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS / FW, «Обходной коммутатор» к IPS / FW, когда IPS / FW из-за перегрузки, сбоя, обновления программного обеспечения, обновления политики и других условий сбоя, «Обходной коммутатор» через интеллектуальную функцию обнаружения сообщений Heartbeat своевременно обнаруживает и, таким образом, пропускает неисправное устройство, не прерывая предпосылку сети, быстрое сетевое оборудование напрямую подключается для защиты нормальной сети связи; когда восстановление сбоя IPS / FW, но также через интеллектуальное обнаружение пакетов Heartbeat своевременно обнаруживает функцию, исходное соединение для восстановления безопасности проверки безопасности корпоративной сети.
Mylinking™ «Bypass Switch» имеет мощную интеллектуальную функцию обнаружения сообщений о тактовых импульсах. Пользователь может настраивать интервал между отправками и максимальное количество повторных попыток с помощью настраиваемого сообщения о тактовых импульсах на IPS/FW для проверки работоспособности, например, отправлять сообщение о проверке тактовых импульсов на восходящий/нисходящий порт IPS/FW, а затем получать его с восходящего/нисходящего порта IPS/FW и определять, нормально ли работает IPS/FW, отправляя и получая сообщение о тактовых импульсах.
5.3 Политика «SpecFlow» Поток Встроенная Защита Тяговой Серии
Когда сетевому устройству безопасности нужно иметь дело только с определенным трафиком в последовательной защите безопасности, через функцию обработки трафика Mylinking™ «Обходной переключатель», через стратегию скрининга трафика для подключения устройства безопасности «Обеспокоенный» трафик отправляется обратно непосредственно в сетевое соединение, а «соответствующий раздел трафика» тянется к встроенному устройству безопасности для выполнения проверок безопасности. Это не только сохранит нормальное применение функции обнаружения безопасности устройства безопасности, но и сократит неэффективный поток оборудования безопасности для борьбы с давлением; в то же время «Обходной переключатель» может обнаруживать рабочее состояние устройства безопасности в режиме реального времени. Устройство безопасности работает ненормально, обходит трафик данных напрямую, чтобы избежать нарушения работы сети.
Mylinking™ Traffic Bypass Protector может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, например тега VLAN, MAC-адреса источника/назначения, IP-адреса источника, типа IP-пакета, порта протокола транспортного уровня, ключевого тега заголовка протокола и т. д. Можно гибко определить различные гибкие комбинации условий соответствия для определения конкретных типов трафика, которые представляют интерес для конкретного устройства безопасности, и их можно широко использовать для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит базы данных и т. д.).
5.4 Последовательная защита с балансировкой нагрузки
Mylinking™ «Bypass Switch» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительность обработки одного IPS / FW недостаточна для обработки пикового трафика сетевого соединения, функция балансировки нагрузки трафика защитника, «объединение» нескольких кластеров IPS / FW, обрабатывающих трафик сетевого соединения, может эффективно снизить нагрузку обработки одного IPS / FW, улучшить общую производительность обработки для соответствия высокой пропускной способности среды развертывания.
Mylinking™ «Bypass Switch» имеет мощную функцию балансировки нагрузки, в соответствии с тегом кадра VLAN, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о хэш-распределении нагрузки балансировки трафика, чтобы гарантировать, что каждый IPS / FW получает поток данных целостности сеанса.
5.5 Защита от тяги многопоточного линейного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (таких как интернет-розетки, соединение обмена серверной зоной) расположение часто обусловлено потребностями функций безопасности и развертыванием нескольких встроенных тестовых устройств безопасности (таких как брандмауэр, оборудование для защиты от DDOS-атак, брандмауэр веб-приложений, оборудование для предотвращения вторжений и т. д.), несколько устройств обнаружения безопасности одновременно в ряд на соединении увеличивают связь единой точки отказа, снижая общую надежность сети. А в вышеупомянутом развертывании оборудования безопасности в режиме онлайн, модернизации оборудования, замене оборудования и других операциях, приведут к длительному перерыву в обслуживании сети и более масштабному сокращению проекта для завершения успешной реализации таких проектов.
Развертывание «обходного переключателя» унифицированным образом позволяет изменить режим развертывания нескольких устройств безопасности, подключенных последовательно к одной линии связи, с «режима физической конкатенации» на «режим физической конкатенации, логической конкатенации». Соединение на линии связи с единственной точкой отказа повышает надежность линии связи, в то время как «обходной переключатель» на линии связи обеспечивает тягу потока по требованию, чтобы достичь того же потока с исходным режимом эффекта безопасной обработки.
Схема последовательного развертывания более одного устройства безопасности одновременно:
Схема развертывания обходного коммутатора TAP Mylinking™ Network:
5.6 На основе динамической стратегии обнаружения безопасности дорожного движения
«Обходной переключатель» Другой расширенный сценарий применения основан на динамической стратегии обнаружения и защиты приложений безопасности дорожного движения, развертывание которых показано ниже:
Возьмите, например, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение», через фронтальное развертывание «Обходного коммутатора», а затем оборудование защиты от DDOS, а затем подключите к «Обходному коммутатору», в обычном «Защитнике тяги» для полного объема трафика, пересылающего скорость провода, в то же время поток зеркалируется на «Устройство защиты от DDOS-атак», как только обнаруживается IP-адрес сервера (или сегмент сети IP) после атаки, «Устройство защиты от DDOS-атак» сгенерирует правила соответствия целевого потока трафика и отправит их на «Обходной коммутатор» через интерфейс доставки динамической политики. «Обходной коммутатор» может обновить «динамическую тягу трафика» после получения динамических правил политики «Пул правил» и немедленно «правило попало в трафик сервера атаки» тяга на «Оборудование защиты от DDoS-атак и обнаружение» для обработки, чтобы быть эффективным после потока атаки, а затем повторно введено в сеть.
Схема применения на основе «обходного коммутатора» проще в реализации, чем традиционная схема внедрения маршрута BGP или другая схема передачи трафика, а окружающая среда меньше зависит от сети, а надежность выше.
«Обходной коммутатор» имеет следующие характеристики для поддержки динамической политики безопасности обнаружения:
1. «Обходной переключатель» для обеспечения выхода за рамки правил на основе интерфейса WEBSERIVCE, простая интеграция со сторонними устройствами безопасности.
2. «Обходной коммутатор» на основе чисто аппаратной микросхемы ASIC, пересылающий пакеты со скоростью до 10 Гбит/с без блокировки пересылки коммутатора, и «динамическая библиотека правил тяги трафика» независимо от количества.
3. «Обходной переключатель» со встроенной профессиональной функцией ОБХОДА, даже если сам протектор выходит из строя, можно также немедленно обойти исходный последовательный канал, не влияя на исходный канал нормальной связи.
