Сетевой переключатель обхода Mylinking™ ML-BYPASS-200
Модульная конструкция с двумя обходными портами и одним монитором, каналы 10/40/100GE, максимальная скорость 640 Гбит/с.
1. Обзоры
Внедрение интеллектуального обходного коммутатора Mylinking™:
- Пользователи могут гибко устанавливать/удалять оборудование безопасности, что не повлияет на работу существующей сети и не вызовет сбоев;
- Сетевой переключатель обхода защиты Mylinking™ с интеллектуальной функцией обнаружения неисправности обеспечивает мониторинг нормального рабочего состояния последовательного защитного устройства в режиме реального времени. В случае возникновения сбоя в работе последовательного защитного устройства защита автоматически отключается для поддержания нормальной сетевой связи.
- Технология выборочной защиты дорожного движения может использоваться для развертывания специализированного оборудования для обеспечения безопасности при уборке транспортных потоков, а также технологии шифрования на основе аудиторского оборудования. Это позволяет эффективно осуществлять последовательную защиту доступа для конкретного типа транспортного потока, снижая нагрузку на оборудование, предназначенное для обработки потоков.
- Технология балансировки нагрузки для защиты трафика может использоваться для кластерного развертывания защищенных последовательных устройств с целью обеспечения безопасности последовательных соединений в средах с высокой пропускной способностью.
С быстрым развитием интернета угроза информационной безопасности сети становится все более серьезной, поэтому все шире используются различные приложения для защиты информации. Будь то традиционное оборудование контроля доступа (брандмауэр) или новые, более совершенные средства защиты, такие как системы предотвращения вторжений (IPS), платформы унифицированного управления угрозами (UTM), системы защиты от DDoS-атак (Anti-DDoS), шлюзы защиты от перехвата трафика (Anti-Span Gateway), системы идентификации и контроля трафика (DPI), и многие другие устройства безопасности, развертываемые последовательно на ключевых узлах сети, реализуют соответствующую политику защиты данных для идентификации и обработки легального/нелегального трафика. В то же время, однако, компьютерная сеть может генерировать значительные задержки или даже сбои в случае переключения на резервный сервер, технического обслуживания, обновления, замены оборудования и т.д. в высоконадежной производственной сетевой среде, чего пользователи не могут допустить.
Расширенные возможности и технологии двухсетевого коммутатора обхода ответвлений.
Технология Mylinking™ «SpecFlow» и «FullLink»
Технология быстрой защиты от переключения Mylinking™
Технология Mylinking™ “LinkSafeSwitch”
Технология динамической стратегии пересылки/выдачи Mylinking™ “WebService”.
Технология интеллектуального обнаружения сообщений пульса Mylinking™
Технология Mylinking™ для определения параметров пульсации
Технология балансировки нагрузки Mylinking™ Multi-link
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, функция «EasyConfig/AdvanceConfig»)
Руководство по настройке коммутатора обхода 3-сетевого ответвления
ОБХОДСлот модуля защитного порта:
Этот слот можно установить в модуль защиты BYPASS с различной скоростью/количеством портов. Заменяя модули разных типов, можно обеспечить защиту BYPASS для нескольких каналов 10G/40G/100G.
МОНИТОРСлот для портового модуля;
Этот слот можно установить в модуль порта MONITOR с различными скоростями/портами. Он поддерживает развертывание нескольких устройств онлайн-мониторинга с каналами 10G/40G/100G путем замены различных моделей.
Правила выбора модулей
В зависимости от требований к развертыванию каналов связи и оборудования мониторинга, вы можете гибко выбирать различные конфигурации модулей в соответствии с потребностями вашей реальной среды; при выборе, пожалуйста, следуйте следующим правилам:
1. Компоненты шасси являются обязательными, и их выбор необходимо произвести до выбора любых других модулей. Одновременно с этим, пожалуйста, выберите различные способы питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Вся система поддерживает до 2 слотов для модулей BYPASS и 1 слот для модуля MONITOR; количество слотов для настройки не может быть увеличено. В зависимости от количества слотов и модели модуля устройство может поддерживать до четырех защитных каналов 10GE; или до четырех каналов 40GE; или до одного канала 100GE.
3. Модуль модели "BYP-MOD-L1CG" можно корректно установить только в слот SLOT1.
4. Модуль типа "BYP-MOD-XXX" можно устанавливать только в слот модуля BYPASS; модуль типа "MON-MOD-XXX" для нормальной работы можно устанавливать только в слот модуля MONITOR.
| Модель продукта | Параметры функции |
| Шасси (Хост) | |
| ML-BYPASS-M200 | Стандартный 1U корпус для установки в 19-дюймовую стойку; максимальное энергопотребление 250 Вт; модульный блок защиты BYPASS; 2 слота для модулей BYPASS; 1 слот для модуля MONITOR; поддержка переменного и постоянного тока (опционально). |
| ОБХОДНОЙ МОДУЛЬ | |
| BYP-MOD-L2XG(ЛМ/СМ) | Поддерживает двухстороннюю последовательную защиту канала 10GE, 4 интерфейса 10GE, разъем LC; встроенный оптический трансивер; опционально одно- или многорежимный оптический канал, поддержка 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает двухстороннюю последовательную защиту канала 40GE, интерфейс 4*40GE, разъем LC; встроенный оптический трансивер; опционально одно- или многорежимный оптический канал, поддержка 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает защиту последовательного канала 100GE, 2 интерфейса 100GE, разъем LC; встроенный оптический трансивер; опционально доступен одноканальный многомодовый оптический канал, поддерживает 100GBASE-SR4/LR4; |
| МОНИТОРНЫЙ МОДУЛЬ | |
| MON-MOD-L16XG | Модуль мониторинга 16*10GE SFP+; без оптического трансиверного модуля; |
| MON-MOD-L8XG | Модуль мониторинга 8*10GE SFP+; без оптического трансиверного модуля; |
| MON-MOD-L2CG | Модуль мониторинга 2*100GE QSFP28; без модуля оптического трансивера; |
| MON-MOD-L8QXG | Модуль мониторинга 8* 40GE QSFP+; без модуля оптического трансивера; |
Технические характеристики коммутатора обхода TAP для 4 сетей
| Модальность продукта | Последовательный обходной переключатель ML-BYPASS-M200 | |
| Тип интерфейса | Интерфейс MGT | 1*10/100/1000BASE-T Адаптивный интерфейс управления; Поддержка удаленного управления по протоколам HTTP/IP |
| Слот модуля | 2 слота для модулей обхода; 1 слот для модуля мониторинга; | |
| Ссылки, поддерживающие максимальное | Устройство поддерживает максимум 4 канала 10GE, 4 канала 40GE или 1 канал 100GE. | |
| Монитор | Устройство поддерживает максимум 16 портов мониторинга 10GE, 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| Защита трафика на основе пятикомпонентной кортежи IP/протокол/порт (IP/протокол/порт) | Поддерживать | |
| Каскадная защита на основе полного трафика | Поддерживать | |
| Многоуровневая балансировка нагрузки | Поддерживать | |
| Функция пользовательского обнаружения сердцебиения | Поддерживать | |
| Поддержка независимости от пакетов Ethernet | Поддерживать | |
| ПЕРЕКЛЮЧАТЕЛЬ ОБХОДА | Поддерживать | |
| Переключатель обхода без прошивки | Поддерживать | |
| УПРАВЛЕНИЕ КОНСОЛЬЮ | Поддерживать | |
| IP/ВЕБ-управление | Поддерживать | |
| SNMP V1/V2C MGT | Поддерживать | |
| Управление Telnet/SSH | Поддерживать | |
| Протокол SYSLOG | Поддерживать | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрооборудование | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота мощности | 50 Гц | |
| Номинальный входной ток | AC-3A / DC-10A | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0–50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсации | |
| Пользовательская конфигурация | Конфигурация консоли | Интерфейс RS232, 115200, 8, N, 1 |
| Внеполосный интерфейс управления (MGT) | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживать | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
Применение коммутатора обхода TAP в 5 сетях (см. ниже)
Ниже представлен типичный режим развертывания IPS (системы предотвращения вторжений) и FW (брандмауэра): IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.), осуществляя проверки безопасности между трафиками. В соответствии с соответствующей политикой безопасности определяется разрешение или блокировка соответствующего трафика для достижения эффекта защиты.
В то же время, мы можем рассматривать IPS/FW как последовательное развертывание оборудования, обычно устанавливаемое в ключевых местах корпоративной сети для реализации последовательной безопасности. Надежность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. В случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и т. д., доступность всей корпоративной сети значительно снижается. В этот момент восстановить сеть можно только путем отключения сети или использования физических обходных перемычек, что серьезно влияет на ее надежность. IPS/FW и другие последовательные устройства, с одной стороны, повышают уровень безопасности корпоративной сети, а с другой — снижают ее надежность, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Система Mylinking™ "Bypass Switch" устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не направляется напрямую к IPS/FW. "Bypass Switch" обращается к IPS/FW, и в случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и других причин сбоя, "Bypass Switch" благодаря интеллектуальной функции обнаружения сигналов пульса своевременно обнаруживает неисправное устройство, минуя его и не прерывая работу сети. Это позволяет быстро восстановить нормальное функционирование сети, обеспечивая прямое подключение сетевого оборудования. В случае сбоя IPS/FW, функция обнаружения сигналов пульса также позволяет своевременно восстановить исходное соединение и провести проверку безопасности корпоративной сети.
Функция обходного коммутатора Mylinking™ обладает мощной интеллектуальной функцией обнаружения сигналов пульса. Пользователь может настроить интервал пульса и максимальное количество повторных попыток. Для проверки работоспособности IPS/FW можно отправить пользовательское сообщение пульса на восходящий/нисходящий порт IPS/FW, а затем получить его оттуда и определить, работает ли IPS/FW нормально.
5.3 Страховой полис “SpecFlow” серии Inline Traction
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты, функция предварительной обработки трафика Mylinking™ "Bypass Switch" использует стратегию фильтрации трафика для прямого возврата «соответствующего» трафика к сетевому каналу, а «соответствующий» участок трафика передается на встроенное устройство безопасности для проведения проверок безопасности. Это не только обеспечивает нормальное функционирование функции обнаружения безопасности устройства, но и снижает неэффективный поток нагрузки на оборудование безопасности; одновременно "Bypass Switch" может в режиме реального времени определять рабочее состояние устройства безопасности. При нештатной ситуации устройство безопасности напрямую обходит трафик данных, чтобы избежать сбоев в работе сети.
Устройство Mylinking™ Traffic Bypass Protector может идентифицировать трафик на основе идентификаторов заголовка уровня L2-L4, таких как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. Можно гибко задавать различные условия сопоставления для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и широко использовать его при развертывании специализированных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.).
5.4 Защита последовательного соединения со сбалансированной нагрузкой
Коммутатор обхода Mylinking™ устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одной системы IPS/FW недостаточно для решения пиковых нагрузок на сетевом канале, функция балансировки нагрузки защитного устройства, «объединяющая» обработку трафика несколькими кластерами IPS/FW, позволяет эффективно снизить нагрузку на отдельную систему IPS/FW и повысить общую производительность обработки для обеспечения высокой пропускной способности в условиях развертывания.
Коммутатор обхода Mylinking™ обладает мощной функцией балансировки нагрузки, распределяя трафик на основе тега VLAN кадра, информации MAC, IP-адреса, номера порта, протокола и другой информации с помощью хэширования, обеспечивая целостность сеанса при получении данных каждым IPS/FW.
5.5 Многосерийная линейная защита от тяги потока (замена последовательного соединения на параллельное)
В некоторых ключевых звеньях (таких как интернет-розетки, коммутаторы серверной зоны) местоположение часто определяется необходимостью обеспечения безопасности и развертывания множества средств тестирования безопасности (таких как межсетевые экраны, средства защиты от DDoS-атак, межсетевые экраны веб-приложений, средства предотвращения вторжений и т. д.), а также одновременного последовательного размещения нескольких средств обнаружения угроз на звене, что увеличивает вероятность отказа одного звена и снижает общую надежность сети. Кроме того, развертывание, модернизация и замена вышеупомянутого оборудования безопасности в режиме онлайн приводят к длительным перебоям в работе сети и требуют масштабных сокращений для успешной реализации подобных проектов.
Благодаря унифицированному использованию «обходного переключателя» режим работы нескольких устройств безопасности, соединенных последовательно по одному каналу связи, может быть изменен с «режима физического соединения» на «режим физического и логического соединения». Это повышает надежность канала связи, поскольку наличие единой точки отказа повышает надежность, а «обходной переключатель» в канале связи обеспечивает передачу данных по требованию, что позволяет добиться аналогичного эффекта безопасной обработки данных в исходном режиме.
Схема последовательного развертывания более чем одного устройства безопасности одновременно:
Схема развертывания коммутатора обхода сетевого TAP Mylinking™:
5.6. На основе динамической стратегии обнаружения и защиты в условиях нарушения безопасности дорожного движения.
«Обходной переключатель». Еще один передовой сценарий применения основан на динамической стратегии обнаружения и защиты в системах безопасности дорожного движения, развертывание которой показано ниже:
Рассмотрим, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение». Через интерфейс «Обходного коммутатора» и оборудование защиты от DDoS-атак, подключенное к «Обходному коммутатору», «Защитник трафика» обеспечивает пересылку трафика на полной скорости, одновременно передавая зеркальный вывод потока на «Устройство защиты от DDoS-атак». После обнаружения атаки на IP-адрес сервера (или сегмент IP-сети) «Устройство защиты от DDoS-атак» генерирует правила сопоставления целевого потока трафика и отправляет их на «Обходной коммутатор» через интерфейс динамической доставки политик. «Обходной коммутатор» может обновить «динамический трафик трафика» после получения пула правил динамической политики и немедленно передать правило, срабатывающее на атакующем сервере, на оборудование «Защита от DDoS-атак и обнаружение», для обработки, чтобы оно вступило в силу после атаки и затем было повторно внедрено в сеть.
Схема применения, основанная на «обходном коммутаторе», проще в реализации, чем традиционная инъекция маршрутов BGP или другие схемы управления трафиком, при этом она менее зависима от сети и обладает более высокой надежностью.
Функция «Обходной переключатель» обладает следующими характеристиками для поддержки защиты от обнаружения угроз с помощью динамических политик безопасности:
1. Функция «Обходной переключатель» обеспечивает обход правил на основе интерфейса WEBSERIVCE, что упрощает интеграцию с устройствами безопасности сторонних производителей.
2. «Обходной коммутатор», основанный на аппаратном обеспечении на базе микросхемы ASIC, обеспечивает пересылку пакетов со скоростью до 10 Гбит/с без блокировки коммутатора, а также «библиотеку динамических правил управления трафиком» независимо от количества.
3. Функция "Bypass Switch" со встроенным профессиональным обходным механизмом позволяет, даже в случае отказа самого защитного устройства, немедленно обойти исходный последовательный канал связи, не влияя на нормальную работу исходного канала связи.
