Interruptor de bypass de tap de rede Mylinking™ ML-BYPASS-100
Design modular com 2 portas de bypass e 1 monitor, links 10/40/100GE, velocidade máxima de 640 Gbps.
Visão geral
O Mylinking™ Network Tap Bypass Switch foi pesquisado e desenvolvido para ser usado na implantação flexível de vários tipos de equipamentos de segurança em linha, proporcionando alta confiabilidade de rede.
Ao implantar o Mylinking™ Smart Bypass Switch Tap:
- Os usuários podem instalar/desinstalar equipamentos/ferramentas de segurança de forma flexível, sem afetar ou interromper a rede atual;
- O Mylinking™ Network Tap Bypass Switch possui uma função inteligente de detecção de integridade para monitoramento em tempo real do estado de funcionamento normal dos dispositivos de segurança em linha. Caso ocorra alguma exceção no funcionamento dos dispositivos de segurança em linha, a função de proteção será automaticamente desativada para manter a comunicação normal da rede;
- A tecnologia de proteção seletiva de tráfego pode ser usada para implantar equipamentos de segurança específicos para limpeza de tráfego, com tecnologia de criptografia baseada em equipamentos de auditoria. Isso permite realizar com eficácia a proteção de acesso em linha para tipos específicos de tráfego, aliviando a pressão sobre o dispositivo de gerenciamento de fluxo.
- A tecnologia de proteção de tráfego com balanceamento de carga pode ser usada para implantação em cluster de dispositivos de segurança seriais inline seguros, atendendo aos requisitos de segurança inline em ambientes de alta largura de banda.
Switch de bypass de derivação de rede: recursos e tecnologias avançadas
Modo de proteção “SpecFlow” e modo de proteção “FullLink” do MyLinking™
Proteção de comutação de bypass rápido Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Estratégia Dinâmica de Encaminhamento/Emissão
Detecção inteligente de mensagens de batimentos cardíacos Mylinking™
Mensagens de pulsação definíveis do Mylinking™ (pacotes de pulsação)
Balanceamento de carga multi-link Mylinking™
Distribuição Inteligente de Tráfego Mylinking™
Balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, recurso “EasyConfig/AdvanceConfig”)
Guia de Configuração Opcional do Switch de Bypass de Network Tap
Módulo BYPASSSlot para módulo de porta de proteção:
Este slot pode ser inserido em um módulo de porta de proteção BYPASS com diferentes velocidades/números de portas. Ao substituir diferentes tipos de módulos, é possível suportar a proteção BYPASS de múltiplas conexões de 10G/40G/100G.
Módulo MONITORSlot para módulo de porta;
Este slot permite a inserção do módulo MONITOR com diferentes velocidades/portas. Ele suporta múltiplas conexões de 10G/40G/100G para implantação de dispositivos de monitoramento serial em linha, bastando substituir os módulos.
Regras de seleção de módulos
Com base nos diferentes links implantados e nos requisitos de implantação do equipamento de monitoramento, você pode escolher de forma flexível diferentes configurações de módulos para atender às necessidades específicas do seu ambiente; siga as seguintes regras ao selecionar seus módulos:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar quaisquer outros módulos. Além disso, escolha diferentes métodos de alimentação (CA/CC) de acordo com suas necessidades.
2. O dispositivo suporta até 2 slots para módulos BYPASS e 1 slot para módulo MONITOR; não é possível selecionar mais slots do que o número indicado. Dependendo da combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link 10GE; ou até quatro links 40GE; ou até um link 100GE.
3. O módulo modelo "BYP-MOD-L1CG" só pode ser inserido no SLOT1 para funcionar corretamente.
4. O módulo do tipo "BYP-MOD-XXX" só pode ser inserido no slot do módulo BYPASS; o módulo do tipo "MON-MOD-XXX" só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo do produto | Parâmetros da função |
| Chassi (Host) | |
| ML-BYPASS-M100 | Rackmount padrão 1U de 19 polegadas; consumo máximo de energia de 250 W; host de proteção BYPASS modular; 2 slots para módulos BYPASS; 1 slot para módulo MONITOR; alimentação CA e CC opcional; |
| MÓDULO DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE bidirecional, interface 4*10GE, conector LC; transceptor óptico integrado; link óptico monomodo/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE bidirecional, interface 4*40GE, conector LC; transceptor óptico integrado; link óptico monomodo/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2*100GE, conector LC; transceptor óptico integrado; link óptico multimodo único opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORAMENTO | |
| MON-MOD-L16XG | Módulo de porta de monitoramento SFP+ 16*10GE; sem módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento SFP+ 8*10GE; sem módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28; sem módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de monitoramento com 8 portas QSFP+ de 40GE; sem módulo transceptor óptico; |
Especificações do Switch de Bypass TAP de Rede
| Modalidade do produto | ML-BYPASS-M100 Interruptor de bypass de rede em linha | |
| Tipo de interface | Interface MGT | Interface de gerenciamento adaptável 1*10/100/1000BASE-T; Suporte para gerenciamento remoto HTTP/IP. |
| Slot do módulo | 2 slots para módulo BYPASS; 1 slot para módulo MONITOR; | |
| Links que suportam o máximo | O dispositivo suporta no máximo 4 links 10GE, 4 links 40GE ou 1 link 100GE. | |
| Monitoramento | O dispositivo suporta no máximo 16 portas de monitoramento 10GE, 8 portas de monitoramento 40GE ou 2 portas de monitoramento 100GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Com base em uma tupla de cinco tuplas IP/protocolo/porta, protege o tráfego em cascata. | Apoiado | |
| Proteção em cascata baseada no tráfego total | Apoiado | |
| Balanceamento de carga múltiplo | Apoiado | |
| Função personalizada de detecção de batimentos cardíacos | Apoiado | |
| Suporte à independência do pacote Ethernet | Apoiado | |
| INTERRUPTOR DE BYPASS | Apoiado | |
| Interruptor BYPASS sem flash | Apoiado | |
| GERENCIAMENTO DO CONSOLE | Apoiado | |
| Gerenciamento de IP/Web | Apoiado | |
| Gerenciamento SNMP V1/V2C | Apoiado | |
| Gerenciamento de TELNET/SSH | Apoiado | |
| Protocolo SYSLOG | Apoiado | |
| Autorização do usuário | Com base na autorização por senha/AAA/TACACS+ | |
| Elétrica | Tensão de alimentação nominal | AC-220V/DC-48V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | AC-3A / DC-10A | |
| Potência nominal | 100W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, Sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | 1 interface Ethernet 10/100/1000M | |
| Autorização por senha | Apoiado | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
Aplicação do Switch de Bypass TAP de Rede (conforme a seguir)
5.1 O risco dos equipamentos de segurança em linha (IPS/FW)
A seguir, apresentamos um modo típico de implantação de IPS (Sistema de Prevenção de Intrusões) e FW (Firewall). O IPS/FW é implantado como um equipamento de rede em linha (como roteadores, switches, etc.) que realiza verificações de segurança no tráfego, determinando se o tráfego é liberado ou bloqueado de acordo com a política de segurança correspondente, a fim de obter o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar que os sistemas IPS (Sistemas de Prevenção de Intrusões) e FW (Firewalls) são implementados como equipamentos em linha, geralmente em pontos críticos da rede corporativa para garantir a segurança. A confiabilidade dos dispositivos conectados a eles afeta diretamente a disponibilidade geral da rede. Quando esses dispositivos de segurança em linha sofrem sobrecarga, falhas, atualizações de software ou de políticas, etc., a disponibilidade de toda a rede corporativa é seriamente comprometida. Nesse ponto, a única solução é interromper a rede ou utilizar jumpers físicos para restaurá-la, o que afeta gravemente sua confiabilidade. Assim, os sistemas IPS e FW, juntamente com outros dispositivos em linha, por um lado, melhoram a segurança da rede corporativa, mas, por outro, reduzem sua confiabilidade, aumentando o risco de indisponibilidade.
5.2 Proteção de Equipamentos da Série Inline Link
O "Bypass Switch" da Mylinking™ é implantado em linha entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre os dispositivos de rede não passa mais diretamente pelo IPS (Sistema de Prevenção de Intrusões) / FW (Firewall). Em vez disso, o "Bypass Switch" conecta o IPS/FW diretamente ao IPS/FW. Quando o IPS/FW apresenta falhas devido a sobrecarga, travamento, atualizações de software, atualizações de políticas ou outras condições, o "Bypass Switch" detecta o problema em tempo real através da função inteligente de detecção de mensagens de pulsação (heartbeat), evitando assim o dispositivo com defeito e mantendo a comunicação normal da rede sem interromper o funcionamento. Da mesma forma, quando o IPS/FW falha, o "Bypass Switch" também detecta o problema em tempo real através da função inteligente de detecção de pacotes de pulsação (heartbeat), restaurando a conexão original e garantindo a segurança da rede corporativa.
O "Bypass Switch" da Mylinking™ possui uma poderosa função inteligente de Detecção de Mensagens de Pulsação (Heartbeat Message Detection). O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas, através de uma mensagem de pulsação personalizada no IPS/FW para teste de integridade. Por exemplo, a mensagem de verificação de pulsação é enviada para a porta upstream/downstream do IPS/FW e, em seguida, recebida da mesma porta, permitindo verificar se o IPS/FW está funcionando normalmente através do envio e recebimento da mensagem de pulsação.
5.3 Política “SpecFlow” Fluxo de Tração em Linha Série Proteção
Quando o dispositivo de segurança da rede precisa lidar apenas com tráfego específico na proteção de segurança em série, a função de pré-processamento de tráfego do "Network Tap Bypass Switch" do Mylinking™ permite que o tráfego "em questão" seja enviado diretamente de volta para o link de rede através de uma estratégia de filtragem de tráfego. Essa seção de tráfego é então encaminhada para o dispositivo de segurança em linha para realizar verificações de segurança. Isso não só mantém o funcionamento normal da função de detecção de segurança do dispositivo, como também reduz o fluxo ineficiente de dados que o equipamento de segurança precisa lidar. Além disso, o "Network Tap Bypass Switch" detecta em tempo real o estado de funcionamento do dispositivo de segurança. Caso o dispositivo apresente alguma anormalidade, o tráfego de dados é desviado diretamente para evitar a interrupção do serviço de rede.
O Mylinking™ Inline Traffic Bypass Tap pode identificar o tráfego com base no identificador do cabeçalho das camadas L2 a L4, como tag VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta do protocolo da camada de transporte, tag de chave do cabeçalho do protocolo e assim por diante. Uma variedade de combinações flexíveis de condições de correspondência pode ser definida para especificar os tipos de tráfego de interesse para um determinado dispositivo de segurança, podendo ser amplamente utilizado na implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.).
5.4 Proteção em Série com Balanceamento de Carga
O "Network Tap Bypass Switch" da Mylinking™ é implantado em linha entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga do dispositivo, que "agrupa" o processamento do tráfego do link de rede por um cluster de múltiplos IPS/FW, pode reduzir efetivamente a pressão de processamento de um único IPS/FW, melhorando o desempenho geral de processamento para atender às exigências de alta largura de banda do ambiente de implantação.
O "Network Tap Bypass Switch" da Mylinking™ possui uma poderosa função de balanceamento de carga, que distribui o tráfego de acordo com a tag VLAN do frame, informações MAC, informações IP, número da porta, protocolo e outras informações no Hash, garantindo a integridade da sessão do fluxo de dados recebido por cada IPS/FW.
5.5 Proteção contra tração de fluxo em equipamentos em linha de múltiplas séries (Alterar a conexão em série para conexão em paralelo)
Em alguns enlaces críticos (como pontos de acesso à Internet, enlaces de troca de dados entre servidores), a localização é frequentemente determinada devido às necessidades de segurança e à implantação de múltiplos equipamentos de teste de segurança em linha (como firewall (FW), equipamentos anti-DDoS, firewall de aplicações web (WAF), sistema de prevenção de intrusões (IPS), etc.). A instalação simultânea de múltiplos equipamentos de detecção de segurança em série no mesmo enlace aumenta o risco de pontos únicos de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, atualização e substituição desses equipamentos de segurança em linha, bem como outras operações, podem causar interrupções prolongadas no serviço da rede e comprometer a execução de grandes projetos.
Ao implantar o "Network Tap Bypass Switch" de forma unificada, o modo de implantação de múltiplos dispositivos de segurança conectados em série no mesmo link pode ser alterado do "modo de concatenação física" para o "modo de concatenação física e lógica". Isso melhora a confiabilidade do link, eliminando um único ponto de falha, enquanto o "bypass switch" controla o fluxo sob demanda, garantindo o mesmo fluxo do modo original de processamento seguro.
Mais de um dispositivo de segurança instalado simultaneamente, conforme o diagrama de implantação em linha:
Diagrama de Implantação do Switch de Bypass TAP da Rede Mylinking™:
5.6 Com base na estratégia dinâmica de detecção e proteção de segurança de tração de tráfego
"Interruptor de Bypass de Tap de Rede" Outro cenário de aplicação avançado baseia-se na estratégia dinâmica de aplicações de proteção e detecção de segurança de tração de tráfego, cuja implantação é mostrada abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Proteção e detecção de ataques DDoS". Através da implantação de um "Network Tap Bypass Switch" na interface, seguido pelo equipamento de proteção anti-DDoS, o "Network Tap Bypass Switch" encaminha todo o tráfego em velocidade de linha, espelhando simultaneamente o fluxo de saída para o "dispositivo de proteção anti-DDoS". Quando um ataque é detectado em um servidor IP (ou segmento de rede IP) alvo, o "dispositivo de proteção anti-DDoS" gera regras de correspondência de fluxo de tráfego e as envia para o "Network Tap Bypass Switch" através da interface de entrega de políticas dinâmicas. O "Network Tap Bypass Switch" atualiza o "pool de regras de roteamento de tráfego dinâmico" após receber as regras de política dinâmicas e, imediatamente, direciona o tráfego do servidor atacado para o "equipamento de proteção e detecção de ataques anti-DDoS" para processamento, tornando o fluxo efetivo após o ataque e reinjetado na rede.
O esquema de aplicação baseado no "Network Tap Bypass Switch" é mais fácil de implementar do que a injeção de rotas BGP tradicional ou outros esquemas de direcionamento de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O "Network Tap Bypass Switch" possui as seguintes características para suportar a proteção de detecção de segurança de política dinâmica:
1. "Interruptor de bypass de tap de rede" para fornecer regras externas com base na interface WEBSERIVCE, facilitando a integração com dispositivos de segurança de terceiros.
2, "BNetwork Tap Bypass Switch" baseado em chip ASIC puro de hardware que encaminha pacotes de até 10 Gbps em velocidade de linha sem bloquear o encaminhamento do switch, e "biblioteca de regras dinâmicas de tração de tráfego" independentemente do número.
3. O "Network Tap Bypass Switch" possui função BYPASS profissional integrada; mesmo que o próprio protetor apresente falha, ele pode contornar imediatamente o link serial original, sem afetar a comunicação normal do link original.
