Interruptor de desvio de derivação de rede Mylinking™ ML-BYPASS-100
2*Bypass mais 1*Monitor Design Modular, Links 10/40/100GE, Máx. 640 Gbps
Visões gerais
O Mylinking™ Network Tap Bypass Switch foi pesquisado e desenvolvido para ser usado em implantação flexível de vários tipos de equipamentos de segurança em linha, ao mesmo tempo em que fornece alta confiabilidade de rede.
Ao implementar o Mylinking™ Smart Bypass Switch Tap:
- Os usuários podem instalar/desinstalar equipamentos/ferramentas de segurança de forma flexível e não afetarão nem interromperão a rede atual;
- Interruptor de desvio de tap de rede Mylinking™ com função de detecção inteligente de integridade para monitoramento em tempo real do estado normal de funcionamento dos dispositivos de segurança em linha. Assim que os dispositivos de segurança em linha funcionarem excepcionalmente, a função de proteção será automaticamente desviada para manter a comunicação normal da rede;
- A tecnologia de proteção seletiva de tráfego pode ser utilizada para implantar equipamentos de segurança específicos para limpeza de tráfego, com tecnologia de criptografia baseada em equipamentos de auditoria. Realizar com eficácia a proteção de acesso em linha para o tipo específico de tráfego, aliviando a pressão de manuseio do fluxo do dispositivo em linha;
- A tecnologia de proteção de tráfego balanceado de carga pode ser usada para implantação em cluster de dispositivos de segurança seriais inline seguros para atender à segurança inline em ambientes de alta largura de banda.
Recursos e tecnologias avançadas do Network Tap Bypass Switch
Modo de proteção “SpecFlow” e modo de proteção “FullLink” Mylinking™
Proteção de comutação de bypass rápido Mylinking™
Mylinking™ “LinkSafeSwitch”
Estratégia dinâmica de encaminhamento/emissão do Mylinking™ “WebService”
Detecção de mensagem de pulsação inteligente Mylinking™
Mensagens de pulsação definíveis Mylinking™ (pacotes de pulsação)
Balanceamento de carga multi-link Mylinking™
Distribuição Inteligente de Tráfego Mylinking™
Balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuração opcional do switch de desvio de tap de rede
Módulo BYPASSSlot do módulo de porta de proteção:
Este slot pode ser inserido em um módulo de porta de proteção BYPASS com diferentes velocidades/números de portas. Substituindo diferentes tipos de módulos, ele pode suportar a proteção BYPASS de múltiplos requisitos de links 10G/40G/100G.
Módulo MONITORSlot do módulo de porta;
Este slot permite a inserção do módulo MONITOR com diferentes velocidades/portas. Ele suporta múltiplos links de 10G/40G/100G para implantação de dispositivos de monitoramento serial em linha, substituindo diferentes módulos.
Regras de seleção de módulos
Com base em diferentes links implantados e requisitos de implantação de equipamentos de monitoramento, você pode escolher com flexibilidade diferentes configurações de módulo para atender à sua solicitação de ambiente real; siga as seguintes regras durante a seleção do módulo:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar quaisquer outros módulos. Ao mesmo tempo, escolha diferentes métodos de alimentação (CA/CC) de acordo com suas necessidades.
2. O dispositivo completo suporta até 2 slots de módulo BYPASS e 1 slot de módulo MONITOR; não é possível selecionar mais slots do que o número necessário para configurar. Com base na combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link de 10 GE; ou até quatro links de 40 GE; ou até um link de 100 GE.
3. O modelo de módulo "BYP-MOD-L1CG" só pode ser inserido no SLOT1 para funcionar corretamente.
4. O tipo de módulo "BYP-MOD-XXX" só pode ser inserido no slot do módulo BYPASS; o tipo de módulo "MON-MOD-XXX" só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo do produto | Parâmetros de função |
| Chassi (Host) | |
| ML-BYPASS-M100 | Montagem em rack padrão 1U de 19 polegadas; consumo máximo de energia de 250 W; host protetor BYPASS modular; 2 slots para módulo BYPASS; 1 slot para módulo MONITOR; CA e CC opcionais; |
| MÓDULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE de 2 vias, interface 4*10GE, conector LC; transceptor óptico integrado; link óptico único/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE de 2 vias, interface 4*40GE, conector LC; transceptor óptico integrado; link óptico único/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2*100GE, conector LC; transceptor óptico integrado; multimodo único de link óptico opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO MONITOR | |
| MON-MOD-L16XG | Módulo de porta de monitoramento 16*10GE SFP+; sem módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento 8*10GE SFP+; sem módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28; sem módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de porta de monitoramento 8* 40GE QSFP+; sem módulo transceptor óptico; |
Especificações do switch de bypass TAP de rede
| Modalidade do Produto | Interruptor de desvio de derivação de rede em linha ML-BYPASS-M100 | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de gerenciamento adaptável; Suporte para gerenciamento remoto HTTP/IP |
| Slot de módulo | 2*Slot para módulo BYPASS;1*Slot para módulo MONITOR; | |
| Links que suportam o máximo | O dispositivo suporta no máximo 4 links de 10 GE ou 4 links de 40 GE ou 1 link de 100 GE | |
| Monitoramento | O dispositivo suporta no máximo 16 portas de monitoramento de 10 GE ou 8 portas de monitoramento de 40 GE ou 2 portas de monitoramento de 100 GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Com base na proteção de cascata de tráfego específica de tupla de IP/protocolo/porta cinco | Suportado | |
| Proteção em cascata baseada em tráfego total | Suportado | |
| Balanceamento de carga múltipla | Suportado | |
| Função de detecção de batimentos cardíacos personalizada | Suportado | |
| Suporte à independência do pacote Ethernet | Suportado | |
| INTERRUPTOR DE BYPASS | Suportado | |
| Interruptor BYPASS sem flash | Suportado | |
| CONSOLE GGT | Suportado | |
| Gerenciamento de IP/WEB | Suportado | |
| Gerenciamento SNMP V1/V2C | Suportado | |
| Gerenciamento de TELNET/SSH | Suportado | |
| Protocolo SYSLOG | Suportado | |
| Autorização do usuário | Com base na autorização de senha/AAA/TACACS+ | |
| Elétrica | Tensão de alimentação nominal | CA-220 V/CC-48 V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | CA-3A / CC-10A | |
| Potência nominal | 100 W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | 1*interface Ethernet 10/100/1000M | |
| Autorização de senha | Suportado | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
Aplicação do interruptor de bypass TAP de rede (conforme a seguir)
5.1 O Risco dos Equipamentos de Segurança Inline (IPS/FW)
O que se segue é um modo típico de implantação de IPS (Sistema de Prevenção de Intrusão), FW (Firewall), o IPS/FW é implantado como equipamento de rede em linha (como roteadores, switches, etc.) entre o tráfego por meio da implementação de verificações de segurança, de acordo com a política de segurança correspondente para determinar a liberação ou bloqueio do tráfego correspondente, para obter o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar o IPS (Sistema de Prevenção de Intrusão) / FW (Firewall) como uma implantação em linha do equipamento, geralmente implantado no local-chave da rede corporativa para implementar a segurança em linha. A confiabilidade de seus dispositivos conectados afeta diretamente a disponibilidade geral da rede corporativa. Uma vez que os dispositivos de segurança em linha sobrecarreguem, travem, sejam atualizados por software, atualizações de políticas, etc., toda a disponibilidade da rede corporativa será significativamente afetada. Neste ponto, somente através do corte da rede, o jumper de bypass físico pode fazer com que a rede seja restaurada, mas está afetando seriamente a confiabilidade da rede. IPS (Sistema de Prevenção de Intrusão) / FW (Firewall) e outros dispositivos em linha, por um lado, melhoram a implantação da segurança da rede corporativa, por outro lado, também reduzem a confiabilidade das redes corporativas, aumentando o risco de a rede ficar indisponível.
5.2 Proteção de equipamentos da série Inline Link
O "Bypass Switch" do Mylinking™ é implantado como inline entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre dispositivos de rede não leva mais diretamente ao IPS (Sistema de Prevenção de Intrusão) / FW (Firewall), "Bypass Switch" para IPS / FW, quando o IPS / FW devido a sobrecarga, falha, atualizações de software, atualizações de política e outras condições de falha, o "Bypass Switch" por meio da função de detecção de mensagem de pulsação inteligente da descoberta oportuna e, assim, pule o dispositivo com defeito, sem interromper a premissa da rede, o equipamento de rede rápido conectado diretamente para proteger a rede de comunicação normal; quando a recuperação de falha do IPS / FW, mas também por meio da detecção de pacotes de pulsação inteligente da detecção oportuna da função, o link original para restaurar a segurança das verificações de segurança da rede corporativa.
O Mylinking™ "Bypass Switch" possui uma poderosa função inteligente de detecção de mensagem de pulsação. O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas por meio de uma mensagem de pulsação personalizada no IPS/FW para testes de integridade, como enviar a mensagem de verificação de pulsação para a porta upstream/downstream do IPS/FW e, em seguida, receber da porta upstream/downstream do IPS/FW e avaliar se o IPS/FW está funcionando normalmente enviando e recebendo a mensagem de pulsação.
5.3 Proteção de série de tração em linha de fluxo de política “SpecFlow”
Quando o dispositivo de rede de segurança precisa lidar apenas com o tráfego específico na proteção de segurança em série, por meio da função de processamento de tráfego "Network Tap Bypass Switch" do Mylinking™, o tráfego "em questão" é enviado diretamente para o link de rede por meio da estratégia de triagem de tráfego para conectar o dispositivo de segurança, e a "seção de tráfego em questão" é direcionada ao dispositivo de segurança em linha para realizar verificações de segurança. Isso não apenas manterá a aplicação normal da função de detecção de segurança do dispositivo de segurança, mas também reduzirá o fluxo ineficiente do equipamento de segurança para lidar com a pressão; ao mesmo tempo, o "Network Tap Bypass Switch" pode detectar a condição de funcionamento do dispositivo de segurança em tempo real. O dispositivo de segurança, em caso de funcionamento anormal, ignora o tráfego de dados diretamente para evitar a interrupção do serviço de rede.
O Mylinking™ Inline Traffic Bypass Tap pode identificar o tráfego com base no identificador de cabeçalho das camadas L2-L4, como tag VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta do protocolo da camada de transporte, tag de chave do cabeçalho do protocolo, etc. Uma variedade de condições de correspondência pode ser definida de forma flexível para definir os tipos de tráfego específicos de interesse para um dispositivo de segurança específico, podendo ser amplamente utilizada para a implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.).
5.4 Proteção em série com balanceamento de carga
O "Network Tap Bypass Switch" Mylinking™ é implantado em linha entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o tráfego de pico do link de rede, a função de balanceamento de carga de tráfego do protetor, o "agrupamento" de múltiplos clusters de processamento de IPS/FW no tráfego do link de rede, pode reduzir efetivamente a pressão de processamento de um único IPS/FW e melhorar o desempenho geral do processamento para atender à alta largura de banda do ambiente de implantação.
O Mylinking™ "Network Tap Bypass Switch" possui uma poderosa função de balanceamento de carga, de acordo com a tag VLAN do quadro, informações MAC, informações IP, número da porta, protocolo e outras informações sobre a distribuição de balanceamento de carga Hash do tráfego para garantir que cada IPS/FW receba a integridade da sessão do fluxo de dados.
5.5 Proteção de tração de fluxo de equipamentos multissérie em linha (alterar conexão serial para conexão paralela)
Em alguns links importantes (como pontos de acesso à Internet e links de troca de área de servidor), a localização geralmente se deve às necessidades de recursos de segurança e à implantação de vários equipamentos de teste de segurança em linha (como firewalls (FW), equipamentos anti-ataque DDOS, firewalls de aplicativos WEB (WAF), sistemas de prevenção de intrusão (IPS), etc.), que exigem a instalação simultânea de vários equipamentos de detecção de segurança em série no link, aumentando a probabilidade de um único ponto de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, a atualização e a substituição de equipamentos de segurança mencionados acima, entre outras operações, causarão interrupções prolongadas no serviço da rede e cortes significativos no projeto para concluir a implementação bem-sucedida desses projetos.
Ao implantar o "Network Tap Bypass Switch" de forma unificada, o modo de implantação de vários dispositivos de segurança conectados em série no mesmo link pode ser alterado de "modo de concatenação física" para "modo de concatenação física, modo de concatenação lógica". O link no link de um único ponto de falha para melhorar a confiabilidade do link, enquanto o "bypass switch" no fluxo do link sob demanda de tração, para atingir o mesmo fluxo com o modo original de efeito de processamento seguro.
Mais de um dispositivo de segurança ao mesmo tempo como diagrama de implantação em linha:
Diagrama de implantação do switch de bypass TAP da rede Mylinking™:
5.6 Com base na estratégia dinâmica de proteção de detecção de segurança de tração de tráfego
"Network Tap Bypass Switch" Outro cenário de aplicação avançado é baseado na estratégia dinâmica de aplicações de proteção de detecção de segurança de tração de tráfego, a implantação da maneira mostrada abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Proteção e detecção de ataques anti-DDoS", por exemplo, por meio da implantação front-end do "Network Tap Bypass Switch" e, em seguida, do equipamento de proteção anti-DDoS. Em seguida, conectado ao "Network Tap Bypass Switch", no "Protetor de Tração" usual, todo o volume de tráfego é encaminhado em alta velocidade, ao mesmo tempo em que o fluxo de saída do espelho é direcionado para o "Dispositivo de Proteção contra Ataques Anti-DDoS". Uma vez detectado o IP do servidor (ou segmento de rede IP) após o ataque, o "Dispositivo de Proteção contra Ataques Anti-DDoS" gerará as regras de correspondência de fluxo de tráfego de destino e as enviará ao "Network Tap Bypass Switch" por meio da interface de entrega de política dinâmica. O "Network Tap Bypass Switch" pode atualizar a "tração dinâmica de tráfego" após receber as regras de política dinâmica do "pool de regras" e imediatamente "acertar a regra do tráfego do servidor de ataque" para o equipamento de "proteção e detecção de ataques anti-DDoS" para processamento, para que seja efetivo após o fluxo de ataque e, em seguida, reinjetado na rede.
O esquema de aplicação baseado no "Network Tap Bypass Switch" é mais fácil de implementar do que a injeção de rota BGP tradicional ou outro esquema de tração de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O "Network Tap Bypass Switch" possui as seguintes características para oferecer suporte à proteção de detecção de segurança de política dinâmica:
1, "Network Tap Bypass Switch" para fornecer fora das regras com base na interface WEBSERVCE, fácil integração com dispositivos de segurança de terceiros.
2, "BNetwork Tap Bypass Switch" baseado no chip ASIC de hardware puro, encaminhando pacotes de velocidade de fio de até 10 Gbps sem bloquear o encaminhamento do switch e "biblioteca de regras dinâmicas de tração de tráfego", independentemente do número.
3, a função BYPASS profissional integrada "Network Tap Bypass Switch", mesmo se o próprio protetor falhar, também pode ignorar o link serial original imediatamente, não afeta o link original da comunicação normal.
