Interruptor de bypass de tap de rede Mylinking™ ML-BYPASS-200
Design modular com 2 portas de bypass e 1 monitor, links 10/40/100GE, velocidade máxima de 640 Gbps.
1-Visão geral
Ao implantar o Mylinking™ Smart Bypass Switch:
- Os usuários podem instalar/desinstalar equipamentos de segurança de forma flexível, sem afetar ou interromper a rede atual;
- O Mylinking™ Network Tap Bypass Switch possui uma função inteligente de detecção de integridade para monitoramento em tempo real do estado de funcionamento normal do dispositivo de segurança serial. Caso o dispositivo de segurança serial apresente alguma exceção, a proteção será automaticamente desativada para manter a comunicação normal da rede.
- A tecnologia de proteção seletiva de tráfego pode ser usada para implantar equipamentos de segurança específicos para limpeza de tráfego, com tecnologia de criptografia baseada em equipamentos de auditoria. Isso permite realizar com eficácia a proteção de acesso serial para tipos específicos de tráfego, aliviando a pressão sobre o fluxo de dispositivos em série.
- A tecnologia de Proteção de Tráfego com Balanceamento de Carga pode ser usada para a implantação em cluster de dispositivos seriais seguros, atendendo à necessidade de segurança serial em ambientes de alta largura de banda.
Com o rápido desenvolvimento da Internet, a ameaça à segurança da informação em rede está se tornando cada vez mais séria, o que leva ao uso crescente de diversas aplicações de proteção de segurança da informação. Sejam equipamentos tradicionais de controle de acesso (firewall) ou novos tipos de medidas de proteção mais avançadas, como sistemas de prevenção de intrusão (IPS), plataformas unificadas de gerenciamento de ameaças (UTM), sistemas anti-DDoS, gateways anti-SPAN e sistemas unificados de identificação e controle de tráfego DPI, muitos dispositivos de segurança são implantados em série nos nós principais da rede, implementando as políticas de segurança de dados correspondentes para identificar e lidar com tráfego lícito e ilícito. Entretanto, em ambientes de produção de alta confiabilidade, falhas, manutenções, atualizações e substituições de equipamentos podem gerar atrasos significativos ou até mesmo interrupções na rede, situações inaceitáveis para os usuários.
Chave de bypass de derivação de rede dupla: recursos e tecnologias avançadas
Tecnologia Mylinking™ com Modos de Proteção “SpecFlow” e “FullLink”
Tecnologia de proteção de comutação de bypass rápido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de Encaminhamento/Emissão de Estratégia Dinâmica “WebService” Mylinking™
Tecnologia de Detecção Inteligente de Batimentos Cardíacos Mylinking™
Tecnologia de mensagens de batimento cardíaco definíveis Mylinking™
Tecnologia de balanceamento de carga multilink Mylinking™
Tecnologia de Distribuição Inteligente de Tráfego Mylinking™
Tecnologia de balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, recurso “EasyConfig/AdvanceConfig”)
Guia de Configuração do Switch de Bypass de 3 Redes
IGNORARSlot para módulo de porta de proteção:
Este slot pode ser inserido em um módulo de porta de proteção BYPASS com diferentes velocidades/números de portas. Ao substituir diferentes tipos de módulos, é possível suportar a proteção BYPASS de múltiplas conexões de 10G/40G/100G.
MONITORSlot para módulo de porta;
Este slot pode ser inserido no módulo de porta MONITOR com diferentes velocidades/portas. Ele suporta a implantação de múltiplos dispositivos de monitoramento serial online com links de 10G/40G/100G, bastando substituir os modelos existentes.
Regras de seleção de módulos
Com base nos diferentes links implantados e nos requisitos de implantação dos equipamentos de monitoramento, você pode escolher de forma flexível diferentes configurações de módulos para atender às necessidades reais do seu ambiente; siga as seguintes regras ao selecionar:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar quaisquer outros módulos. Além disso, escolha diferentes métodos de alimentação (CA/CC) de acordo com suas necessidades.
2. O equipamento suporta até 2 slots para módulos BYPASS e 1 slot para módulo MONITOR; não é possível selecionar mais slots do que o número especificado. Dependendo da combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link 10GE; ou até quatro links 40GE; ou até um link 100GE.
3. O módulo modelo "BYP-MOD-L1CG" só pode ser inserido no SLOT1 para funcionar corretamente.
4. O módulo do tipo "BYP-MOD-XXX" só pode ser inserido no slot do módulo BYPASS; o módulo do tipo "MON-MOD-XXX" só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo do produto | Parâmetros da função |
| Chassi (Host) | |
| ML-BYPASS-M200 | Rackmount padrão 1U de 19 polegadas; consumo máximo de energia de 250 W; host de proteção BYPASS modular; 2 slots para módulos BYPASS; 1 slot para módulo MONITOR; alimentação CA e CC opcional; |
| MÓDULO DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE bidirecional, interface 4*10GE, conector LC; transceptor óptico integrado; link óptico monomodo/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE bidirecional, interface 4*40GE, conector LC; transceptor óptico integrado; link óptico monomodo/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2*100GE, conector LC; transceptor óptico integrado; link óptico multimodo único opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORAMENTO | |
| MON-MOD-L16XG | Módulo de porta de monitoramento SFP+ 16*10GE; sem módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento SFP+ 8*10GE; sem módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28; sem módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de monitoramento com 8 portas QSFP+ de 40GE; sem módulo transceptor óptico; |
Especificações do Switch de Bypass TAP de 4 Redes
| Modalidade do produto | Interruptor de bypass serial ML-BYPASS-M200 | |
| Tipo de interface | Interface MGT | Interface de gerenciamento adaptável 1*10/100/1000BASE-T; Suporte para gerenciamento remoto HTTP/IP. |
| Slot do módulo | 2 slots para módulo BYPASS; 1 slot para módulo MONITOR; | |
| Links que suportam o máximo | O dispositivo suporta no máximo 4 links 10GE, 4 links 40GE ou 1 link 100GE. | |
| Monitor | O dispositivo suporta no máximo 16 portas de monitoramento 10GE, 8 portas de monitoramento 40GE ou 2 portas de monitoramento 100GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Com base em uma tupla de cinco tuplas IP/protocolo/porta, protege o tráfego em cascata. | Apoiar | |
| Proteção em cascata baseada no tráfego total | Apoiar | |
| Balanceamento de carga múltiplo | Apoiar | |
| Função personalizada de detecção de batimentos cardíacos | Apoiar | |
| Suporte à independência do pacote Ethernet | Apoiar | |
| INTERRUPTOR DE BYPASS | Apoiar | |
| Interruptor BYPASS sem flash | Apoiar | |
| GERENCIAMENTO DO CONSOLE | Apoiar | |
| Gerenciamento de IP/Web | Apoiar | |
| Gerenciamento SNMP V1/V2C | Apoiar | |
| Gerenciamento de TELNET/SSH | Apoiar | |
| Protocolo SYSLOG | Apoiar | |
| Autorização do usuário | Com base na autorização por senha/AAA/TACACS+ | |
| Elétrica | Tensão de alimentação nominal | AC-220V/DC-48V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | AC-3A / DC-10A | |
| Potência nominal | 100W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, Sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | 1 interface Ethernet 10/100/1000M | |
| Autorização por senha | Apoiar | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
5 - Aplicação do Switch de Bypass TAP de Rede (conforme a seguir)
A seguir, apresentamos um modo típico de implantação de um IPS (Sistema de Prevenção de Intrusões) e FW (Firewall). O IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) para realizar verificações de segurança no tráfego, determinando se o tráfego é liberado ou bloqueado de acordo com a política de segurança correspondente, alcançando assim o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar o IPS/FW como uma implantação em série de equipamentos, geralmente instalados em locais críticos da rede corporativa para implementar segurança em série. A confiabilidade dos dispositivos conectados a ele afeta diretamente a disponibilidade geral da rede corporativa. Uma vez que os dispositivos em série sofram sobrecarga, falhas, atualizações de software, atualizações de políticas, etc., a disponibilidade de toda a rede corporativa será seriamente afetada. Nesse ponto, a única maneira de restaurar a rede é interrompendo-a ou utilizando jumpers de bypass físicos, o que compromete seriamente a confiabilidade da rede. O IPS/FW e outros dispositivos em série, por um lado, melhoram a segurança da rede corporativa, mas, por outro, também reduzem a confiabilidade da rede, aumentando o risco de indisponibilidade da mesma.
5.2 Proteção de Equipamentos da Série Inline Link
O "Bypass Switch" da Mylinking™ é implantado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre os dispositivos de rede não passa mais diretamente pelo IPS/FW. Em vez disso, o "Bypass Switch" conecta o IPS/FW ao IPS/FW. Quando o IPS/FW apresenta falhas devido a sobrecarga, travamento, atualizações de software, atualizações de políticas ou outras condições, o "Bypass Switch" detecta o dispositivo com defeito por meio de sua função inteligente de detecção de mensagens de pulsação, ignorando-o e, assim, conectando rapidamente os equipamentos de rede diretamente, protegendo a comunicação normal da rede. Na recuperação de falhas do IPS/FW, o "Bypass Switch" também detecta o dispositivo com defeito por meio da detecção inteligente de pacotes de pulsação, restaurando a conexão original e garantindo a segurança da rede corporativa.
O "Bypass Switch" da Mylinking™ possui uma poderosa função inteligente de detecção de mensagens de pulsação. O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas, através de uma mensagem de pulsação personalizada no IPS/FW para teste de integridade. Por exemplo, a mensagem de verificação de pulsação é enviada para a porta upstream/downstream do IPS/FW e, em seguida, recebida da mesma porta, determinando se o IPS/FW está funcionando normalmente por meio do envio e recebimento da mensagem de pulsação.
5.3 Política “SpecFlow” Fluxo de Tração em Linha Série Proteção
Quando o dispositivo de segurança da rede precisa lidar apenas com tráfego específico na proteção de segurança em série, a função de pré-processamento de tráfego "Bypass Switch" do Mylinking™ permite que o tráfego "em questão" seja enviado diretamente de volta para o link de rede através de uma estratégia de filtragem de tráfego. Essa seção de tráfego é então encaminhada para o dispositivo de segurança em linha para realizar verificações de segurança. Isso não só mantém o funcionamento normal da função de detecção de segurança do dispositivo, como também reduz o fluxo ineficiente de dados que o equipamento de segurança precisa lidar. Além disso, o "Bypass Switch" detecta em tempo real o estado de funcionamento do dispositivo de segurança. Caso o dispositivo apresente alguma anormalidade, o tráfego de dados é desviado diretamente para evitar a interrupção do serviço de rede.
O Mylinking™ Traffic Bypass Protector consegue identificar o tráfego com base no identificador do cabeçalho das camadas L2 a L4, como a tag VLAN, o endereço MAC de origem/destino, o endereço IP de origem, o tipo de pacote IP, a porta do protocolo da camada de transporte, a tag de chave do cabeçalho do protocolo, entre outros. Diversas combinações flexíveis de condições de correspondência podem ser definidas para identificar os tipos de tráfego específicos de interesse para um determinado dispositivo de segurança, sendo amplamente utilizado na implementação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.).
5.4 Proteção em Série com Balanceamento de Carga
O "Bypass Switch" da Mylinking™ é implantado em série entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga do dispositivo, que "agrupa" o processamento do tráfego do link de rede por um cluster de múltiplos IPS/FW, pode reduzir efetivamente a pressão de processamento de um único IPS/FW, melhorando o desempenho geral de processamento para atender às exigências de alta largura de banda do ambiente de implantação.
O "Bypass Switch" da Mylinking™ possui uma poderosa função de balanceamento de carga, que distribui o tráfego de acordo com a tag VLAN do frame, informações MAC, informações IP, número da porta, protocolo e outras informações no Hash, garantindo a integridade da sessão do fluxo de dados recebido por cada IPS/FW.
5.5 Proteção contra tração de fluxo em equipamentos em linha de múltiplas séries (Alterar a conexão em série para conexão em paralelo)
Em alguns enlaces críticos (como pontos de acesso à internet, enlaces de troca de dados entre servidores), a localização é frequentemente determinada devido às necessidades de segurança e à implantação de múltiplos equipamentos de teste de segurança em linha (como firewalls, equipamentos anti-DDoS, firewalls de aplicações web, equipamentos de prevenção de intrusões, etc.). A presença simultânea de múltiplos equipamentos de detecção de segurança em série no mesmo enlace aumenta o risco de pontos únicos de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, atualização e substituição desses equipamentos de segurança em linha, bem como outras operações, podem causar interrupções prolongadas no serviço da rede e comprometer a execução de grandes projetos.
Ao implantar o "Bypass Switch" de forma unificada, o modo de implantação de múltiplos dispositivos de segurança conectados em série no mesmo link pode ser alterado do "modo de concatenação física" para o "modo de concatenação física e lógica". Isso melhora a confiabilidade do link, eliminando um único ponto de falha, enquanto o "Bypass Switch" controla o fluxo de dados sob demanda, garantindo o mesmo fluxo do modo original de processamento seguro.
Mais de um dispositivo de segurança instalado simultaneamente em um diagrama de implantação em série:
Diagrama de Implantação do Switch de Bypass TAP da Rede Mylinking™:
5.6 Com base na estratégia dinâmica de detecção e proteção de segurança de tração de tráfego
"Interruptor de Bypass" Outro cenário de aplicação avançado baseia-se na estratégia dinâmica de aplicações de proteção e detecção de segurança de tração de tráfego, cuja implantação é mostrada abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Proteção e detecção de ataques DDoS". Através da implantação de um "Bypass Switch" na interface, o equipamento de proteção anti-DDoS é conectado ao "Bypass Switch". No "Protetor de Tráfego", o tráfego é encaminhado em velocidade máxima, enquanto o espelhamento de fluxo é enviado ao "Dispositivo de Proteção Anti-DDoS". Quando um ataque é detectado em um servidor IP (ou segmento de rede IP) alvo, o "Dispositivo de Proteção Anti-DDoS" gera regras de correspondência de fluxo de tráfego e as envia ao "Bypass Switch" através da interface de entrega de políticas dinâmicas. O "Bypass Switch" atualiza o "pool de regras de tráfego dinâmico" após receber as regras de política dinâmicas e, imediatamente, direciona o tráfego do servidor atacado para o "Dispositivo de Proteção e Detecção de Ataques Anti-DDoS" para processamento, tornando o fluxo efetivo após o ataque e reinjetado na rede.
O esquema de aplicação baseado no "Bypass Switch" é mais fácil de implementar do que a injeção de rotas BGP tradicional ou outros esquemas de direcionamento de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O "Bypass Switch" possui as seguintes características para suportar a proteção de detecção de segurança de política dinâmica:
1. "Interruptor de bypass" para fornecer regras externas com base na interface WEBSERIVCE, facilitando a integração com dispositivos de segurança de terceiros.
2. "Bypass Switch" baseado em chip ASIC puro de hardware, encaminhando pacotes de até 10 Gbps em velocidade de linha sem bloquear o encaminhamento do switch, e "biblioteca de regras dinâmicas de tração de tráfego", independentemente do número.
3. O "Interruptor de Bypass" possui função BYPASS profissional integrada; mesmo que o próprio protetor apresente falha, ele pode contornar imediatamente o link serial original, sem afetar a comunicação normal do link original.
