Chave de desvio de rede Mylinking™ ML-BYPASS-100
2 * Bypass mais 1 * Monitor de design modular, links 10/40/100GE, máximo de 640 Gbps
visões gerais
O Mylinking™ Network Tap Bypass Switch foi pesquisado e desenvolvido para ser usado para implantação flexível de vários tipos de equipamentos de segurança em linha, ao mesmo tempo que fornece alta confiabilidade de rede.
Ao implantar o Mylinking™ Smart Bypass Switch Tap:
- Os usuários podem instalar/desinstalar equipamentos/ferramentas de segurança com flexibilidade e não afetarão e interromperão a rede atual;
- Mylinking™ Network Tap Bypass Switch com função inteligente de detecção de integridade para monitoramento em tempo real do estado normal de funcionamento dos dispositivos de segurança em linha.Assim que os dispositivos de segurança em linha funcionarem de forma excepcional, a função de proteção será ignorada automaticamente para manter a comunicação normal da rede;
- A tecnologia seletiva de proteção de tráfego pode ser usada para implantar equipamentos específicos de segurança de limpeza de tráfego, tecnologia de criptografia baseada no equipamento de auditoria.Realizar efetivamente a proteção de acesso em linha para o tipo de tráfego específico, descarregando a pressão de manipulação de fluxo do dispositivo em linha;
- A tecnologia Load Balanced Traffic Protection pode ser usada para implantação em cluster de dispositivos de segurança in-line seriais seguros para atender à segurança in-line em ambientes de alta largura de banda.
Recursos e tecnologias avançadas do switch de bypass de rede
Modo de proteção Mylinking™ “SpecFlow” e modo de proteção “FullLink”
Proteção de comutação de bypass rápido Mylinking™
Mylinking™ “LinkSafeSwitch”
Encaminhamento/emissão de estratégia dinâmica Mylinking™ “WebService”
Detecção inteligente de mensagens de batimento cardíaco Mylinking™
Mensagens de pulsação definíveis Mylinking™ (pacotes de pulsação)
Balanceamento de carga multilink Mylinking™
Distribuição de tráfego inteligente Mylinking™
Balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuração opcional do switch de bypass de rede
Módulo BYPASSSlot do módulo da porta de proteção:
Este slot pode ser inserido no módulo de porta de proteção BYPASS com velocidade/número de porta diferente.Ao substituir diferentes tipos de módulos, ele pode suportar a proteção BYPASS de vários requisitos de links 10G/40G/100G.
Módulo MONITORSlot de módulo de porta;
Neste slot pode ser inserido o módulo MONITOR com diferentes velocidades/portas.Ele pode suportar vários links de 10G/40G/100G para implantação de dispositivos de monitoramento serial em linha, substituindo diferentes módulos.
Regras de seleção de módulos
Com base em diferentes links implantados e requisitos de implantação de equipamentos de monitoramento, você pode escolher com flexibilidade diferentes configurações de módulos para atender à sua solicitação de ambiente real;siga as seguintes regras durante a seleção do módulo:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar qualquer outro módulo.Ao mesmo tempo, escolha diferentes métodos de fonte de alimentação (AC/DC) de acordo com suas necessidades.
2. Todo o dispositivo suporta até 2 slots de módulo BYPASS e 1 slot de módulo MONITOR;você não pode selecionar mais do que o número de slots a serem configurados.Com base na combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link 10GE;ou pode suportar até quatro links 40GE;ou pode suportar até um link 100GE.
3. O módulo modelo "BYP-MOD-L1CG" só pode ser inserido no SLOT1 para funcionar corretamente.
4. O módulo tipo “BYP-MOD-XXX” somente pode ser inserido no slot do módulo BYPASS;o módulo tipo "MON-MOD-XXX" só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo de Produto | Parâmetros de função |
| Chassi (anfitrião) | |
| ML-BYPASS-M100 | Montagem em rack padrão 1U de 19 polegadas;consumo máximo de energia 250W;host protetor BYPASS modular;2 slots para módulo BYPASS;1 slot para módulo MONITOR;CA e CC opcionais; |
| MÓDULO DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE de 2 vias, interface 4 * 10GE, conector LC;transceptor óptico integrado;link óptico único/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE de 2 vias, interface 4 * 40GE, conector LC;transceptor óptico integrado;link óptico único/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2 * 100GE, conector LC;transceptor óptico integrado;link óptico único multimodo opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORAMENTO | |
| MON-MOD-L16XG | Módulo de porta de monitoramento 16*10GE SFP+;nenhum módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento 8*10GE SFP+;nenhum módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28;nenhum módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de porta de monitoramento 8*40GE QSFP+;nenhum módulo transceptor óptico; |
Especificações do switch de desvio de rede TAP
| Modalidade do Produto | Interruptor de bypass de torneira de rede em linha ML-BYPASS-M100 | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de gerenciamento adaptativo;Suporta gerenciamento remoto de HTTP/IP |
| Slot do módulo | 2 * slot do módulo BYPASS; 1 * slot do módulo MONITOR; | |
| Links com suporte máximo | O dispositivo suporta no máximo links 4*10GE ou links 4*40GE ou links 1*100GE | |
| Monitoramento | O dispositivo suporta no máximo 16 portas de monitoramento 10GE ou 8 portas de monitoramento 40GE ou 2 portas de monitoramento 100GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Baseado em IP/protocolo/porta proteção em cascata de tráfego específica de cinco tuplas | Suportado | |
| Proteção em cascata baseada em tráfego total | Suportado | |
| Balanceamento de carga múltiplo | Suportado | |
| Função personalizada de detecção de batimentos cardíacos | Suportado | |
| Suporta independência de pacote Ethernet | Suportado | |
| INTERRUPTOR DE BYPASS | Suportado | |
| Chave BYPASS sem flash | Suportado | |
| CONSOLE MGT | Suportado | |
| Gerenciamento de IP/WEB | Suportado | |
| SNMP V1/V2C MGT | Suportado | |
| TELNET/SSH MGT | Suportado | |
| Protocolo SYSLOG | Suportado | |
| Autorização do usuário | Baseado em autorização de senha/AAA/TACACS+ | |
| Elétrico | Tensão nominal de alimentação | AC-220V/DC-48V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | AC-3A / DC-10A | |
| Potência nominal | 100 W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | Interface Ethernet 1*10/100/1000M | |
| Autorização de senha | Suportado | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
Aplicação do switch de desvio de rede TAP (conforme a seguir)
5.1 O Risco dos Equipamentos de Segurança Inline (IPS/FW)
A seguir está um modo típico de implantação de IPS (Sistema de Prevenção de Intrusões), FW (Firewall), IPS / FW é implantado como equipamento de rede em linha (como roteadores, switches, etc.) entre o tráfego por meio da implementação de verificações de segurança, de acordo com a política de segurança correspondente para determinar a liberação ou bloqueio do tráfego correspondente, para alcançar o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar IPS (Sistema de Prevenção de Intrusões) / FW (Firewall) como uma implantação em linha do equipamento, geralmente implantado no local chave da rede corporativa para implementar segurança em linha, a confiabilidade de seus dispositivos conectados afeta diretamente a disponibilidade geral da rede corporativa.Uma vez que os dispositivos de segurança em linha sobrecarreguem, travem, atualizações de software, atualizações de políticas, etc., toda a disponibilidade da rede corporativa será bastante afetada.Neste ponto, apenas através do corte da rede, o jumper de bypass físico pode fazer com que a rede seja restaurada, mas isso está afetando seriamente a confiabilidade da rede.IPS (Intrusion Prevention System) / FW (Firewall) e outros dispositivos em linha, por um lado, melhoram a implantação da segurança da rede corporativa, por outro lado, também reduzem a confiabilidade das redes corporativas, aumentando o risco de a rede não estar disponível.
5.2 Proteção de Equipamentos da Série Link Inline
Mylinking™ " Bypass Switch " é implantado em linha entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre dispositivos de rede não leva mais diretamente para IPS (Intrusion Prevention System) / FW (Firewall), " Bypass Switch " para IPS/FW, quando o IPS/FW devido a sobrecarga, falha, atualizações de software, atualizações de políticas e outras condições de falha, o "Bypass Switch" através da detecção inteligente de mensagens de pulsação Função da descoberta oportuna e, assim, ignorar o dispositivo defeituoso, sem interromper a premissa da rede, o equipamento de rede rápido conectado diretamente para proteger a rede de comunicação normal;quando a recuperação de falhas IPS / FW, mas também através da detecção inteligente de pacotes Heartbeat de detecção oportuna da função, o link original para restaurar a segurança das verificações de segurança da rede corporativa.
Mylinking™ "Bypass Switch" possui uma poderosa função inteligente de detecção de mensagem de batimento cardíaco, o usuário pode personalizar o intervalo de batimento cardíaco e o número máximo de novas tentativas, através de uma mensagem de batimento cardíaco personalizada no IPS / FW para testes de integridade, como enviar a mensagem de verificação de batimento cardíaco para a porta upstream/downstream do IPS/FW e, em seguida, receba da porta upstream/downstream do IPS/FW e julgue se o IPS/FW está funcionando normalmente enviando e recebendo a mensagem de pulsação.
5.3 Proteção da Série de Tração em Linha de Fluxo de Política “SpecFlow”
Quando o dispositivo de rede de segurança só precisa lidar com o tráfego específico na proteção de segurança em série, através da função de processamento de tráfego Mylinking™ "Network Tap Bypass Switch", através da estratégia de triagem de tráfego para conectar o tráfego "Preocupado" do dispositivo de segurança é enviado de volta diretamente ao link da rede, e a" seção de tráfego em questão "é a tração para o dispositivo de segurança em linha para realizar verificações de segurança.Isto não só manterá a aplicação normal da função de detecção de segurança do dispositivo de segurança, mas também reduzirá o fluxo ineficiente do equipamento de segurança para lidar com a pressão;ao mesmo tempo, o "Network Tap Bypass Switch" pode detectar a condição de funcionamento do dispositivo de segurança em tempo real.O dispositivo de segurança funciona de forma anormal, ignorando diretamente o tráfego de dados para evitar a interrupção do serviço de rede.
O Mylinking ™ Inline Traffic Bypass Tap pode identificar o tráfego com base no identificador de cabeçalho da camada L2-L4, como etiqueta VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta de protocolo da camada de transporte, etiqueta de chave de cabeçalho de protocolo e breve.Uma variedade de combinações flexíveis de condições de correspondência podem ser definidas de forma flexível para definir os tipos de tráfego específicos que são de interesse para um dispositivo de segurança específico e podem ser amplamente utilizadas para a implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.) .
5.4 Proteção em série com carga balanceada
O Mylinking™ "Network Tap Bypass Switch" é implantado em linha entre dispositivos de rede (roteadores, switches, etc.).Quando um único desempenho de processamento IPS / FW não é suficiente para lidar com o tráfego de pico do link de rede, a função de balanceamento de carga de tráfego do protetor, o "agrupamento" de vários processamentos de cluster IPS / FW tráfego de link de rede, pode efetivamente reduzir o único IPS / FW pressão de processamento, melhorar o desempenho geral de processamento para atender à alta largura de banda do ambiente de implantação.
Mylinking™ "Network Tap Bypass Switch" possui uma poderosa função de balanceamento de carga, de acordo com a etiqueta VLAN do quadro, informações MAC, informações IP, número da porta, protocolo e outras informações sobre a distribuição de tráfego de balanceamento de carga Hash para garantir que cada IPS / FW fluxo de dados recebidos Integridade da sessão.
5.5 Proteção de tração de fluxo de equipamento em linha multissérie (alterar conexão serial para conexão paralela)
Em alguns links importantes (como pontos de Internet, link de troca de área de servidor), a localização geralmente se deve às necessidades de recursos de segurança e à implantação de vários equipamentos de teste de segurança em linha (como firewall (FW), equipamento de ataque anti-DDOS, Firewall de aplicação WEB (WAF), Sistema de prevenção de intrusões (IPS), etc.), vários equipamentos de detecção de segurança ao mesmo tempo em série no link para aumentar o link de um único ponto de falha, reduzindo a confiabilidade geral da rede.E na implantação on-line de equipamentos de segurança mencionados acima, atualizações de equipamentos, substituição de equipamentos e outras operações, causarão uma interrupção de serviço da rede por um longo período e uma ação maior de corte de projeto para completar a implementação bem-sucedida de tais projetos.
Ao implantar o "Network Tap Bypass Switch" de maneira unificada, o modo de implantação de vários dispositivos de segurança conectados em série no mesmo link pode ser alterado de "modo de concatenação física" para "concatenação física, modo de concatenação lógica". link de um único ponto de falha para melhorar a confiabilidade do link, enquanto o "bypass switch" no fluxo do link sob demanda de tração, para alcançar o mesmo fluxo com o modo original de efeito de processamento seguro.
Mais de um dispositivo de segurança ao mesmo tempo como diagrama de implantação em linha:
Diagrama de implantação do switch bypass TAP de rede Mylinking™:
5.6 Baseado na Estratégia Dinâmica de Proteção de Detecção de Segurança de Tração de Tráfego
"Network Tap Bypass Switch" Outro cenário de aplicação avançada é baseado na estratégia dinâmica de aplicações de proteção de detecção de segurança de tração de tráfego, a implantação do caminho conforme mostrado abaixo:
Pegue o equipamento de teste de segurança "Proteção e detecção de ataque anti-DDoS", por exemplo, por meio da implantação front-end de "Network Tap Bypass Switch" e, em seguida, equipamento de proteção anti-DDOS e, em seguida, conectado ao "Network Tap Bypass Switch", no habitual "Protetor de tração" para a quantidade total de encaminhamento de velocidade de tráfego ao mesmo tempo, a saída do espelho de fluxo para o "dispositivo de proteção contra ataques anti-DDOS", uma vez detectado para um IP do servidor (ou segmento de rede IP) após o ataque, "dispositivo de proteção contra ataque anti-DDOS" irá gerar as regras de correspondência de fluxo de tráfego alvo e enviá-las para o "Network Tap Bypass Switch" através da interface de entrega de política dinâmica.O "Network Tap Bypass Switch" pode atualizar a "tração dinâmica de tráfego" após receber o conjunto de regras de regras de política dinâmica "e imediatamente" a regra atinge o tráfego do servidor de ataque "tração para o equipamento" proteção e detecção de ataque anti-DDoS "para processamento, para ser eficaz após o fluxo de ataque e então reinjetado na rede.
O esquema de aplicação baseado no "Network Tap Bypass Switch" é mais fácil de implementar do que a injeção de rota BGP tradicional ou outro esquema de tração de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
"Network Tap Bypass Switch" possui as seguintes características para oferecer suporte à proteção de detecção de segurança de política dinâmica:
1, "Network Tap Bypass Switch" para fornecer fora das regras baseadas na interface WEBSERIVCE, fácil integração com dispositivos de segurança de terceiros.
2, "BNetwork Tap Bypass Switch" baseado no chip ASIC puro de hardware que encaminha pacotes de velocidade de fio de até 10 Gbps sem bloquear o encaminhamento de switch e "biblioteca de regras dinâmicas de tração de tráfego", independentemente do número.
3, "Network Tap Bypass Switch" função BYPASS profissional integrada, mesmo se o próprio protetor falhar, também pode ignorar o link serial original imediatamente, não afeta o link original da comunicação normal.
