Переключатель обхода ответвителей сети Mylinking™ ML-BYPASS-200
2*байпас плюс 1*модульная конструкция монитора, каналы 10/40/100GE, макс. 640 Гбит/с
1- Обзоры
При развертывании Mylinking™ Smart Bypass Switch:
- Пользователи могут гибко устанавливать/удалять оборудование безопасности и не будут влиять на текущую сеть и прерывать работу;
- Mylinking ™ Network Tap Bypass Switch с интеллектуальной функцией обнаружения работоспособности для мониторинга в режиме реального времени нормального рабочего состояния последовательного устройства безопасности, как только возникает исключение работы последовательного устройства безопасности, защита автоматически отключается для поддержания нормальной сетевой связи;
- Технология выборочной защиты трафика может быть использована для развертывания специального оборудования безопасности очистки трафика, технологии шифрования на основе контрольного оборудования.Эффективно выполнять защиту последовательного доступа для определенного типа трафика, разгружая давление обработки потока последовательного устройства;
- Технологию Load Balanced Traffic Protection можно использовать для кластерного развертывания безопасных последовательных устройств, чтобы удовлетворить потребность в последовательной безопасности в средах с высокой пропускной способностью.
С быстрым развитием Интернета угроза безопасности сетевой информации становится все более серьезной, поэтому все шире используются разнообразные приложения для защиты информации.Будь то традиционное оборудование контроля доступа (брандмауэр) или новый тип более совершенных средств защиты, таких как система предотвращения вторжений (IPS), единая платформа управления угрозами (UTM), система защиты от атак типа «отказ в обслуживании» (Anti-DDoS), защита от span Gateway, унифицированная система идентификации и контроля трафика DPI, а также множество устройств безопасности последовательно развернуты в ключевых узлах сети, реализация соответствующей политики безопасности данных для выявления и обработки легального / нелегального трафика.В то же время, однако, компьютерная сеть будет генерировать большую задержку сети или даже сбой сети в случае аварийного переключения, обслуживания, обновления, замены оборудования и т. д. в высоконадежной среде производственных сетевых приложений, пользователи не могут этого вынести.
2- Расширенные функции и технологии сетевого переключателя Tap Bypass Switch
Режим защиты Mylinking™ «SpecFlow» и технология режима защиты «FullLink»
Технология Mylinking™ Fast Bypass Switching Protection Protection
Технология Mylinking™ «LinkSafeSwitch»
Mylinking™ «WebService» Технология динамической пересылки/выдачи стратегии
Технология Mylinking™ Intelligent Heartbeat Detection Message Detection
Технология Mylinking™ Definable Heartbeat Messages
Многоканальная технология балансировки нагрузки Mylinking™
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
3- Руководство по настройке переключателя обхода сети ответвления
БАЙПАССлот модуля порта защиты:
Этот слот можно вставить в модуль порта защиты BYPASS с другой скоростью/номером порта.Заменяя различные типы модулей, он может поддерживать защиту BYPASS для нескольких каналов 10G/40G/100G.
МОНИТОРСлот модуля порта;
Этот слот может быть вставлен в модуль порта МОНИТОР с различными скоростями/портами.Он может поддерживать развертывание нескольких 10G/40G/100G подключений последовательных устройств онлайн-мониторинга путем замены различных моделей.
Правила выбора модуля
Основываясь на различных развернутых каналах связи и требованиях к развертыванию оборудования для мониторинга, вы можете гибко выбирать различные конфигурации модулей в соответствии с реальными потребностями вашей среды;при выборе придерживайтесь следующих правил:
1. Компоненты шасси являются обязательными, и вы должны выбрать компоненты шасси, прежде чем выбирать какие-либо другие модули.В то же время, пожалуйста, выберите различные способы питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2. Вся машина поддерживает до 2 слотов для модулей BYPASS и 1 слот для модуля MONITOR;вы не можете выбрать больше, чем количество слотов для настройки.В зависимости от комбинации количества слотов и модели модуля устройство может поддерживать до четырех средств защиты канала 10GE;или он может поддерживать до четырех каналов 40GE;или он может поддерживать до одного канала 100GE.
3. Модель модуля «BYP-MOD-L1CG» может быть вставлена только в SLOT1 для правильной работы.
4. Модуль типа «BYP-MOD-XXX» может быть вставлен только в слот модуля BYPASS;модуль типа «MON-MOD-XXX» может быть вставлен только в слот модуля MONITOR для нормальной работы.
| Модель продукта | Параметры функции |
| Шасси (хост) | |
| МЛ-БАЙПАС-M200 | стандартная 19-дюймовая стойка высотой 1U;максимальная потребляемая мощность 250Вт;модульный блок защиты BYPASS;2 слота для модуля BYPASS;1 слот для модуля МОНИТОР;переменный и постоянный ток опционально; |
| БАЙПАСНЫЙ МОДУЛЬ | |
| BYP-MOD-L2XG(ЛМ/СМ) | Поддерживает двустороннюю последовательную защиту 10GE, интерфейс 4*10GE, разъем LC;встроенный оптический трансивер;Опционально одиночный/многомодовый оптический канал, поддерживает 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддерживает двустороннюю последовательную защиту 40GE, интерфейс 4*40GE, разъем LC;встроенный оптический трансивер;Опционально одиночный/многомодовый оптический канал, поддерживает 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддерживает 1 последовательную защиту канала 100GE, интерфейс 2*100GE, разъем LC;встроенный оптический трансивер;одиночный многомодовый оптический канал опционально, поддерживает 100GBASE-SR4/LR4; |
| МОНИТОР МОДУЛЬ | |
| МОН-МОД-L16XG | Модуль порта мониторинга 16*10GE SFP+;нет модуля оптического приемопередатчика; |
| МОН-МОД-L8XG | Модуль порта мониторинга 8*10GE SFP+;нет модуля оптического приемопередатчика; |
| ПН-МОД-L2CG | 2*100GE QSFP28 модуль порта мониторинга;нет модуля оптического приемопередатчика; |
| ПН-МОД-L8QXG | Модуль порта мониторинга 8* 40GE QSFP+;нет модуля оптического приемопередатчика; |
4- Спецификации переключателя обхода сети TAP
| Модальность продукта | Последовательный переключатель байпаса ML-BYPASS-M200 | |
| Тип интерфейса | Интерфейс МГТ | 1*10/100/1000BASE-T адаптивный интерфейс управления;Поддержка удаленного управления HTTP/IP |
| Слот модуля | 2 слота для модуля BYPASS; 1 слот для модуля MONITOR; | |
| Ссылки, поддерживающие максимум | Устройство поддерживает максимум 4 канала 10GE или 4 канала 40GE или 1 канал 100GE. | |
| Монитор | Устройство поддерживает максимум 16 портов мониторинга 10GE или 8 портов мониторинга 40GE или 2 порта мониторинга 100GE; | |
| Функция | Возможность полнодуплексной обработки | 640 Гбит/с |
| На основе IP/протокола/порта пять кортежей для каскадной защиты трафика | Поддерживать | |
| Каскадная защита на основе полного трафика | Поддерживать | |
| Множественная балансировка нагрузки | Поддерживать | |
| Пользовательская функция обнаружения сердцебиения | Поддерживать | |
| Поддержка независимости пакетов Ethernet | Поддерживать | |
| БАЙПАСНЫЙ ПЕРЕКЛЮЧАТЕЛЬ | Поддерживать | |
| BYPASS Switch без вспышки | Поддерживать | |
| КОНСОЛЬНЫЙ МГТ | Поддерживать | |
| IP/ВЕБ МГТ | Поддерживать | |
| SNMP V1/V2C МГТ | Поддерживать | |
| ТЕЛНЕТ/SSH МГТ | Поддерживать | |
| SYSLOG-протокол | Поддерживать | |
| Авторизация пользователя | На основе авторизации по паролю/AAA/TACACS+ | |
| Электрический | Номинальное напряжение питания | AC-220V/DC-48V【Опционально】 |
| Номинальная частота сети | 50 Гц | |
| Номинальный входной ток | АС-3А/ДС-10А | |
| Номинальная мощность | 100 Вт | |
| Среда | Рабочая температура | 0-50℃ |
| Температура хранения | -20-70℃ | |
| Рабочая влажность | 10%-95%, без конденсата | |
| Конфигурация пользователя | Конфигурация консоли | Интерфейс RS232,115200,8,N,1 |
| Внеполосный интерфейс MGT | 1*10/100/1000M Ethernet-интерфейс | |
| Авторизация по паролю | Поддерживать | |
| Высота шасси | Пространство шасси (U) | 1U 19 дюймов, 485 мм * 44,5 мм * 350 мм |
5- Применение переключателя обхода сети TAP (как показано ниже)
Ниже приведен типичный режим развертывания IPS (система предотвращения вторжений), FW (брандмауэр), IPS / FW развертывается последовательно на сетевом оборудовании (маршрутизаторы, коммутаторы и т. д.) между трафиком путем реализации проверок безопасности, в соответствии с соответствующую политику безопасности, чтобы определить выпуск или блокировку соответствующего трафика, чтобы добиться эффекта защиты безопасности.
В то же время мы можем наблюдать IPS / FW как последовательное развертывание оборудования, обычно развернутого в ключевом месте корпоративной сети для реализации последовательной безопасности, надежность подключенных к нему устройств напрямую влияет на общую доступность сети предприятия.После перегрузки последовательных устройств, сбоя, обновлений программного обеспечения, обновлений политик и т. д. доступность всей корпоративной сети будет сильно снижена.На данный момент мы можем восстановить сеть только через перемычку в сети, физический обходной перемычка, что серьезно влияет на надежность сети.IPS / FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
5.2 Защита оборудования серии Inline Link
Mylinking™ «Bypass Switch» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS/FW, «Bypass Switch» к IPS/FW, когда IPS / FW из-за перегрузки, сбоя, обновлений программного обеспечения, обновлений политики и других условий сбоя, «обходной переключатель» с помощью интеллектуальной функции обнаружения сообщений пульса, своевременного обнаружения и, таким образом, пропуска неисправного устройства, не прерывая помещения сети, быстрое сетевое оборудование, напрямую подключенное для защиты обычной сети связи;при восстановлении после сбоя IPS / FW, но и с помощью интеллектуальных пакетов сердцебиения Обнаружение своевременного обнаружения функции, исходная ссылка для восстановления безопасности проверок безопасности корпоративной сети.
Mylinking ™ «Bypass Switch» имеет мощную интеллектуальную функцию обнаружения сердцебиения, пользователь может настроить интервал сердцебиения и максимальное количество повторных попыток с помощью настраиваемого сообщения сердцебиения на IPS / FW для проверки работоспособности, например, отправить сообщение проверки сердцебиения. к восходящему / нисходящему порту IPS / FW, а затем получить от восходящего / нисходящего порта IPS / FW и оценить, нормально ли работает IPS / FW, отправив и получив сообщение пульса.
5.3 Поток политик «SpecFlow» Встроенная защита серии Traction
Когда сетевому устройству безопасности необходимо иметь дело только с определенным трафиком в последовательной защите безопасности, с помощью функции обработки трафика Mylinking ™ «Bypass Switch» с помощью стратегии проверки трафика для подключения устройства безопасности «Обеспокоенный» трафик отправляется обратно напрямую к сетевому соединению, а «соответствующий участок трафика» - это тяга к встроенному предохранительному устройству для проверки безопасности.Это не только сохранит нормальное применение функции обнаружения безопасности предохранительного устройства, но также уменьшит неэффективный поток предохранительного оборудования для борьбы с давлением;в то же время «переключатель байпаса» может определять рабочее состояние защитного устройства в режиме реального времени.Защитное устройство работает ненормально, напрямую обходит трафик данных, чтобы избежать нарушения работы сети.
Mylinking™ Traffic Bypass Protector может идентифицировать трафик на основе идентификатора заголовка уровня L2-L4, такого как тег VLAN, MAC-адрес источника/получателя, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. на.Различные гибкие комбинации условий соответствия могут быть гибко определены для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и могут широко использоваться для развертывания специальных устройств аудита безопасности (RDP, SSH, аудит базы данных и т. д.) .
5.4 Последовательная защита с балансировкой нагрузки
Mylinking™ «Bypass Switch» устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.).Когда одной производительности обработки IPS / FW недостаточно для обработки пикового трафика сетевого канала, функция балансировки нагрузки трафика средства защиты, «объединение» нескольких кластеров IPS / FW, обрабатывающих трафик сетевого канала, может эффективно уменьшить одиночный IPS / Давление обработки FW, повысить общую производительность обработки, чтобы соответствовать высокой пропускной способности среды развертывания Утверждение.
Mylinking ™ «Bypass Switch» имеет мощную функцию балансировки нагрузки в соответствии с тегом кадра VLAN, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении трафика с балансировкой хеш-нагрузки, чтобы гарантировать, что каждый IPS / FW получил данные Целостность сеанса потока.
5.5 Защита потока многосерийного встроенного оборудования (изменение последовательного соединения на параллельное соединение)
В некоторых ключевых каналах (таких как интернет-магазины, каналы обмена серверами) расположение часто связано с потребностями функций безопасности и развертыванием нескольких встроенных средств тестирования безопасности (таких как брандмауэр, оборудование для защиты от DDOS-атак, брандмауэр веб-приложений). , оборудование для предотвращения вторжений и т. д.), несколько устройств обнаружения безопасности в то же время последовательно по ссылке, чтобы увеличить ссылку единой точки отказа, снижая общую надежность сети.А в вышеупомянутом онлайн-развертывании оборудования для обеспечения безопасности, модернизации оборудования, замене оборудования и других операциях сеть в течение длительного времени прерывает обслуживание и более крупные действия по сокращению проектов для завершения успешной реализации таких проектов.
Путем унифицированного развертывания «переключателя обхода» режим развертывания нескольких устройств безопасности, последовательно подключенных к одному и тому же каналу, можно изменить с «режим физической конкатенации» на «режим физической конкатенации, режим логической конкатенации». единая точка отказа для повышения надежности ссылки, в то время как «обходной переключатель» на потоке ссылки по требованию тяги, чтобы достичь того же потока с исходным режимом безопасного эффекта обработки.
Более одного устройства безопасности одновременно на схеме последовательного развертывания:
Схема развертывания переключателя обхода сети TAP Mylinking™:
5.6 На основе динамической стратегии защиты от обнаружения трафика
«Обходной переключатель» Еще один расширенный сценарий приложения основан на динамической стратегии приложений защиты от обнаружения тяги трафика, способ развертывания которого показан ниже:
Возьмите оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение», например, через внешнее развертывание «Обходного коммутатора», а затем оборудование защиты от DDoS-атак, а затем подключите к «Обходному коммутатору», как обычно » Traction Protector «перенаправляет весь объем трафика со скоростью проводной сети, одновременно зеркальный вывод потока на «устройство защиты от DDOS-атак», после обнаружения IP-адреса сервера (или IP-сегмента сети) после атаки», -Устройство защиты от DDOS-атак» будет генерировать правила сопоставления целевого потока трафика и отправлять их на «обходной коммутатор» через интерфейс доставки динамической политики.«Переключатель обхода» может обновить «динамику движения трафика» после получения правил динамической политики. эффективен после потока атаки, а затем повторно внедряется в сеть.
Схему приложения на основе «Bypass Switch» проще реализовать, чем традиционную инъекцию маршрута BGP или другую схему тяги трафика, и среда меньше зависит от сети, а надежность выше.
«Переключатель обхода» имеет следующие характеристики для поддержки защиты с обнаружением безопасности с помощью динамической политики:
1, «Обходной переключатель», чтобы обеспечить вне правил, основанных на интерфейсе WEBSERIVCE, простую интеграцию со сторонними устройствами безопасности.
2, «обходной коммутатор», основанный на чистом аппаратном чипе ASIC, пересылающем пакеты на скорости до 10 Гбит/с без блокировки переадресации коммутатора, и «библиотека динамических правил тяги трафика» независимо от номера.
3, «переключатель обхода», встроенная профессиональная функция BYPASS, даже в случае отказа самого протектора, также может немедленно обойти исходный последовательный канал, не влияет на исходный канал нормальной связи.
