Сетевой обходной переключатель Mylinking™ ML-BYPASS-200
Модульная конструкция с 2 обходными линиями и 1 монитором, соединения 10/40/100GE, макс. 640 Гбит/с
1-Обзоры
Благодаря использованию интеллектуального обходного коммутатора Mylinking™:
- Пользователи могут гибко устанавливать/удалять оборудование безопасности, не оказывая влияния на текущую сеть и не прерывая ее работу;
- Обходной переключатель ответвления сети Mylinking™ с интеллектуальной функцией определения состояния работоспособности в режиме реального времени отслеживает нормальное рабочее состояние последовательного устройства безопасности. Как только возникает исключение в работе последовательного устройства безопасности, защита автоматически обходит его, чтобы поддерживать нормальную сетевую связь;
- Технология селективной защиты трафика может быть использована для развертывания специального оборудования для очистки трафика, а также технологии шифрования на основе оборудования аудита. Эффективно реализуется последовательная защита доступа для определенного типа трафика, что снижает нагрузку на последовательное устройство.
- Технология защиты трафика с балансировкой нагрузки может использоваться для кластерного развертывания защищенных последовательных устройств с целью удовлетворения потребности в последовательной безопасности в средах с высокой пропускной способностью.
С быстрым развитием Интернета угроза сетевой информационной безопасности становится все более серьезной, поэтому все шире используются различные приложения защиты информационной безопасности. Будь то традиционное оборудование контроля доступа (межсетевой экран) или новый тип более продвинутых средств защиты, таких как система предотвращения вторжений (IPS), унифицированная платформа управления угрозами (UTM), система защиты от атак типа «отказ в обслуживании» (Anti-DDoS), шлюз Anti-span, унифицированная система идентификации и контроля трафика DPI, и многие устройства безопасности последовательно развертываются в ключевых узлах сети, реализуя соответствующую политику безопасности данных для выявления и борьбы с легальным / нелегальным трафиком. В то же время, однако, компьютерная сеть будет генерировать большую сетевую задержку или даже сбой сети в случае отказа, обслуживания, модернизации, замены оборудования и так далее в высоконадежной среде производственных сетевых приложений, пользователи не могут этого выдержать.
Расширенные функции и технологии двухсетевого обходного коммутатора
Технология режима защиты Mylinking™ «SpecFlow» и режима защиты «FullLink»
Технология защиты быстрого обходного переключения Mylinking™
Технология Mylinking™ «LinkSafeSwitch»
Технология динамической пересылки/выпуска стратегий Mylinking™ «WebService»
Интеллектуальная технология обнаружения сообщений о сердечном ритме Mylinking™
Технология определяемых сообщений о сердечном ритме Mylinking™
Технология многоканальной балансировки нагрузки Mylinking™
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Руководство по настройке байпасного коммутатора с тремя сетевыми ответвлениями
ОБХОДСлот модуля порта защиты:
Этот слот можно вставить в модуль порта защиты BYPASS с разной скоростью и номером порта. Заменяя разные типы модулей, можно обеспечить защиту BYPASS для нескольких каналов 10G/40G/100G.
МОНИТОРСлот модуля порта;
Этот слот можно установить в модуль порта MONITOR с различными скоростями/портами. Он поддерживает установку нескольких устройств мониторинга последовательного соединения 10G/40G/100G, заменяя разные модели.
Правила выбора модулей
Исходя из различных требований к развертыванию каналов связи и оборудования мониторинга, вы можете гибко выбирать различные конфигурации модулей, которые будут соответствовать реальным потребностям вашей среды. При выборе соблюдайте следующие правила:
1. Компоненты шасси являются обязательными, и их необходимо выбрать до выбора любых других модулей. Также, пожалуйста, выберите подходящий способ питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Устройство поддерживает до двух слотов для модулей BYPASS и одного слота для модуля MONITOR. Количество слотов не может быть больше, чем задано в настройках. В зависимости от количества слотов и модели модуля устройство может поддерживать до четырёх защитных каналов 10GE, до четырёх каналов 40GE или до одного канала 100GE.
3. Для корректной работы модуль модели «BYP-MOD-L1CG» может быть вставлен только в слот SLOT1.
4. Модуль типа «BYP-MOD-XXX» можно вставить только в слот модуля BYPASS; модуль типа «MON-MOD-XXX» можно вставить только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (Хост) | |
| МЛ-БАЙПАС-М200 | Стандартная 19-дюймовая стойка высотой 1U; максимальная потребляемая мощность 250 Вт; модульный хост-устройство защиты BYPASS; 2 слота для модулей BYPASS; 1 слот для модуля MONITOR; опционально переменный и постоянный ток; |
| ОБХОДНОЙ МОДУЛЬ | |
| BYP-MOD-L2XG(ЛМ/СМ) | Поддерживает 2-стороннюю последовательную защиту канала 10GE, интерфейс 4*10GE, разъем LC; встроенный оптический приемопередатчик; опционально оптический одномодовый/многомодовый канал, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает 2-стороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический приемопередатчик; опционально оптический одномодовый/многомодовый канал, поддерживает 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1 канал последовательной защиты связи 100GE, интерфейс 2*100GE, разъем LC; встроенный оптический приемопередатчик; опционально одномодовый оптический канал, поддерживает 100GBASE-SR4/LR4; |
| МОДУЛЬ МОНИТОРА | |
| MON-MOD-L16XG | Модуль порта мониторинга 16*10GE SFP+; без оптического приемопередатчика; |
| MON-MOD-L8XG | Модуль порта мониторинга 8*10GE SFP+; без оптического приемопередатчика; |
| MON-MOD-L2CG | Модуль порта мониторинга 2*100GE QSFP28; без оптического приемопередающего модуля; |
| MON-MOD-L8QXG | Модуль порта мониторинга 8* 40GE QSFP+; без оптического приемопередающего модуля; |
Технические характеристики 4-сетевого обходного коммутатора TAP
| Модальность продукта | Переключатель последовательного байпаса ML-BYPASS-M200 | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T адаптивный интерфейс управления; Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2*слота для модуля BYPASS; 1*слот для модуля MONITOR; | |
| Ссылки, поддерживающие максимальную | Устройство поддерживает максимум 4 канала 10GE или 4 канала 40GE или 1 канал 100GE | |
| Монитор | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE. | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| На основе IP/протокола/порта, пяти кортежного трафика, каскадная защита | Поддерживать | |
| Каскадная защита на основе полного трафика | Поддерживать | |
| Множественная балансировка нагрузки | Поддерживать | |
| Пользовательская функция обнаружения сердцебиения | Поддерживать | |
| Поддержка независимости пакетов Ethernet | Поддерживать | |
| ПЕРЕКЛЮЧАТЕЛЬ ОБХОДА | Поддерживать | |
| Переключатель BYPASS без вспышки | Поддерживать | |
| КОНСОЛЬ MGT | Поддерживать | |
| IP/WEB MGT | Поддерживать | |
| SNMP V1/V2C MGT | Поддерживать | |
| TELNET/SSH MGT | Поддерживать | |
| Протокол SYSLOG | Поддерживать | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрические | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота сети | 50 Гц | |
| Номинальный входной ток | АС-3А / ДС-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,N,1 |
| Интерфейс MGT вне диапазона | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживать | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
Применение 5-сетевого обходного коммутатора TAP (см. ниже)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (межсетевого экрана). IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.) между трафиком путем реализации проверок безопасности, согласно соответствующей политике безопасности для определения освобождения или блокировки соответствующего трафика для достижения эффекта защиты безопасности.
В то же время мы можем рассматривать IPS/FW как последовательное развертывание оборудования, обычно развертываемого в ключевых местах корпоративной сети для реализации последовательной безопасности. Надёжность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. Перегрузка, сбой, обновление программного обеспечения, обновление политик и т. д. последовательных устройств значительно повлияют на доступность всей корпоративной сети. В этот момент мы можем восстановить сеть только через отключение сети, физическую обходную перемычку, что серьёзно влияет на надёжность сети. IPS/FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надёжность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Mylinking™ «Обходной коммутатор» последовательно подключается к сетевым устройствам (маршрутизаторам, коммутаторам и т. д.), и поток данных между сетевыми устройствами больше не идет напрямую к IPS / FW, «Обходной коммутатор» к IPS / FW. Когда IPS / FW перегружен, сбой, обновление программного обеспечения, обновление политик и другие условия сбоя, «Обходной коммутатор» с помощью функции обнаружения интеллектуальных сообщений Heartbeat своевременно обнаруживает и, таким образом, пропускает неисправное устройство, не прерывая работу сети, быстрое сетевое оборудование напрямую подключается для защиты нормальной сети связи; когда восстановление работы IPS / FW неисправен, но также с помощью функции обнаружения интеллектуальных пакетов Heartbeat своевременно обнаруживает исходное соединение для восстановления безопасности проверки безопасности корпоративной сети.
Mylinking™ «Bypass Switch» обладает мощной интеллектуальной функцией обнаружения сообщений о тактовом сигнале. Пользователь может настраивать интервал между отправками и максимальное количество повторных попыток с помощью специального сообщения о тактовом сигнале на IPS/FW для проверки работоспособности, например, отправлять сообщение о проверке тактового сигнала на восходящий/нисходящий порт IPS/FW, а затем получать его с восходящего/нисходящего порта IPS/FW и определять, нормально ли работает IPS/FW, отправляя и получая сообщение о тактовом сигнале.
5.3 Политика «SpecFlow» Поток Встроенная Защита Тяговой Серии
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты безопасности, функция обходного коммутатора Mylinking™ обрабатывает трафик поочередно, используя стратегию проверки трафика для подключения устройства безопасности, «соответствующий» трафик отправляется обратно непосредственно в сетевое соединение, а «соответствующий участок трафика» направляется на встроенное устройство безопасности для выполнения проверки безопасности. Это не только обеспечит нормальное применение функции обнаружения безопасности устройства безопасности, но и снизит неэффективный поток оборудования безопасности, работающего под давлением; в то же время «соответствующий коммутатор» может отслеживать состояние устройства безопасности в режиме реального времени. Устройство безопасности напрямую обходит трафик данных в случае нештатной работы, чтобы избежать сбоев в работе сети.
Защитник Mylinking™ Traffic Bypass Protector может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, такого как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. Можно гибко комбинировать различные условия соответствия, чтобы определить конкретные типы трафика, представляющие интерес для конкретного устройства безопасности, и широко использовать для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.).
5.4 Последовательная защита с балансировкой нагрузки
Обходной коммутатор Mylinking™ устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности одного IPS/FW недостаточно для обработки пикового трафика в сетевом канале, функция балансировки нагрузки устройства защиты, объединяющая несколько кластеров IPS/FW, обрабатывающих трафик в сетевом канале, позволяет эффективно снизить нагрузку на один IPS/FW и повысить общую производительность обработки, удовлетворяя требованиям высокой пропускной способности среды развертывания.
Mylinking™ «Bypass Switch» имеет мощную функцию балансировки нагрузки, в соответствии с тегом VLAN фрейма, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о хэш-распределении нагрузки балансировки трафика, чтобы гарантировать целостность сеанса каждого полученного IPS/FW потока данных.
5.5 Защита от тяги многопоточного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (например, интернет-розетках, каналах обмена данными между серверами) местоположение часто обусловлено потребностями в функциях безопасности и развертыванием нескольких встроенных устройств тестирования безопасности (таких как межсетевые экраны, системы защиты от DDOS-атак, межсетевые экраны веб-приложений, системы предотвращения вторжений и т. д.). Одновременное последовательное подключение нескольких устройств обнаружения безопасности на одном соединении увеличивает вероятность отказа одной точки соединения и снижает общую надежность сети. Кроме того, в вышеупомянутых случаях оперативное развертывание оборудования безопасности, модернизация оборудования, замена оборудования и другие операции приведут к длительному перерыву в работе сети и значительному сокращению проекта для успешного завершения таких проектов.
Развертывание «обходного переключателя» унифицированным образом позволяет изменить режим развертывания нескольких устройств безопасности, последовательно подключенных к одной линии связи, с «режима физической конкатенации» на «режим физической конкатенации, логической конкатенации». Соединение на линии связи с единой точкой отказа повышает надежность связи, в то время как «обходной переключатель» на линии связи по требованию тяги позволяет достичь того же потока с исходным режимом безопасной обработки.
Схема последовательного развертывания более одного устройства безопасности одновременно:
Схема развертывания обходного коммутатора TAP Mylinking™ Network:
5.6 На основе динамической стратегии обнаружения нарушений правил дорожного движения
«Обходной переключатель». Другой продвинутый сценарий применения основан на динамической стратегии обнаружения и защиты тяги дорожного движения, развертывание способа показано ниже:
Например, возьмем оборудование для тестирования безопасности «Защита от DDoS-атак и их обнаружение». Для этого сначала разворачиваем «Обходной коммутатор», а затем подключаем к «Обходному коммутатору». В обычном «Защитнике тяги» весь трафик пересылается на скорости передачи данных, одновременно зеркалируя поток, на «Устройство защиты от DDoS-атак». После обнаружения IP-адреса сервера (или сегмента IP-сети) после атаки «Устройство защиты от DDoS-атак» генерирует правила сопоставления целевого потока трафика и отправляет их «Обходному коммутатору» через интерфейс динамической доставки политик. «Обходной коммутатор» может обновить «Динамическую тягу трафика» после получения динамических правил политики «Пул правил» и немедленно направить «правило, поражающее атакующий серверный трафик» на «Оборудование защиты от DDoS-атак и их обнаружение» для обработки, чтобы обеспечить эффективность потока после атаки и повторного ввода в сеть.
Схему применения на основе «обходного коммутатора» проще реализовать, чем традиционную схему внедрения маршрута BGP или другую схему передачи трафика, а окружающая среда меньше зависит от сети, а надежность выше.
«Обходной коммутатор» имеет следующие характеристики для поддержки динамической политики безопасности обнаружения:
1. «Обходной переключатель» для обеспечения выхода за рамки правил на основе интерфейса WEBSERIVCE, простая интеграция со сторонними устройствами безопасности.
2. «Обходной коммутатор» на базе чистого аппаратного чипа ASIC, пересылающий пакеты со скоростью до 10 Гбит/с без блокировки пересылки коммутатора, и «динамическая библиотека правил перемещения трафика» независимо от количества.
3. Встроенная профессиональная функция «Обходной переключатель» позволяет даже в случае отказа самого защитного устройства немедленно обойти исходный последовательный канал, не влияя на исходный канал нормальной связи.
