Interruptor de desvio de derivação de rede Mylinking™ ML-BYPASS-200
2*Bypass mais 1*Monitor Design Modular, Links 10/40/100GE, Máx. 640 Gbps
1-Visões gerais
Ao implementar o Mylinking™ Smart Bypass Switch:
- Os usuários podem instalar/desinstalar equipamentos de segurança de forma flexível e não afetarão a rede atual nem interromperão;
- Mylinking™ Network Tap Bypass Switch com função de detecção de integridade inteligente para monitoramento em tempo real do estado normal de funcionamento do dispositivo de segurança serial, uma vez que a exceção de funcionamento do dispositivo de segurança serial, a proteção será automaticamente ignorada para manter a comunicação normal da rede;
- A tecnologia de proteção seletiva de tráfego pode ser utilizada para implantar equipamentos de segurança específicos para limpeza de tráfego e tecnologia de criptografia baseada em equipamentos de auditoria. Realizar com eficácia a proteção de acesso serial para o tipo específico de tráfego, aliviando a pressão de manuseio do fluxo do dispositivo em série;
- A tecnologia de proteção de tráfego balanceado de carga pode ser usada para implantação em cluster de dispositivos seriais seguros para atender à necessidade de segurança serial em ambientes de alta largura de banda.
Com o rápido desenvolvimento da internet, a ameaça à segurança das informações em rede está se tornando cada vez mais séria, de modo que uma variedade de aplicações de proteção de segurança da informação está sendo utilizada cada vez mais amplamente. Sejam equipamentos tradicionais de controle de acesso (firewall) ou novos tipos de meios de proteção mais avançados, como sistemas de prevenção de intrusão (IPS), plataformas unificadas de gerenciamento de ameaças (UTM), sistemas anti-ataque de serviço de negação (Anti-DDoS), gateways anti-span, sistemas unificados de identificação e controle de tráfego DPI, e muitos dispositivos de segurança são implantados em série nos nós-chave da rede, implementando a política de segurança de dados correspondente para identificar e lidar com tráfego legal/ilegal. Ao mesmo tempo, no entanto, a rede de computadores gerará um grande atraso na rede ou até mesmo uma interrupção na rede em caso de failover, manutenção, atualização, substituição de equipamentos, etc. Em um ambiente de aplicação de rede de produção altamente confiável, os usuários não podem tolerar isso.
2-Network Tap Bypass Switch Recursos e tecnologias avançadas
Tecnologia de modo de proteção “SpecFlow” e modo de proteção “FullLink” Mylinking™
Tecnologia de proteção de comutação de bypass rápido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de encaminhamento/emissão de estratégia dinâmica “WebService” Mylinking™
Tecnologia de detecção de mensagens de batimentos cardíacos inteligentes Mylinking™
Tecnologia de mensagens de pulsação definível Mylinking™
Tecnologia de balanceamento de carga multi-link Mylinking™
Tecnologia de Distribuição Inteligente de Tráfego Mylinking™
Tecnologia de balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guia de configuração do switch de bypass de derivação de 3 redes
IGNORARSlot do módulo de porta de proteção:
Este slot pode ser inserido em um módulo de porta de proteção BYPASS com diferentes velocidades/números de portas. Substituindo diferentes tipos de módulos, ele pode suportar a proteção BYPASS de múltiplos links 10G/40G/100G.
MONITORSlot do módulo de porta;
Este slot pode ser inserido no módulo de porta MONITOR com diferentes velocidades/portas. Ele pode suportar a implantação de múltiplos dispositivos de monitoramento serial online com link 10G/40G/100G, substituindo diferentes modelos.
Regras de seleção de módulos
Com base em diferentes links implantados e requisitos de implantação de equipamentos de monitoramento, você pode escolher com flexibilidade diferentes configurações de módulos para atender às necessidades reais do seu ambiente; siga as seguintes regras ao selecionar:
1. Os componentes do chassi são obrigatórios e você deve selecioná-los antes de selecionar quaisquer outros módulos. Ao mesmo tempo, escolha diferentes métodos de alimentação (CA/CC) de acordo com suas necessidades.
2. A máquina completa suporta até 2 slots de módulo BYPASS e 1 slot de módulo MONITOR; não é possível selecionar mais slots do que o número necessário para configurar. Com base na combinação do número de slots e do modelo do módulo, o dispositivo pode suportar até quatro proteções de link de 10 GE; ou até quatro links de 40 GE; ou até um link de 100 GE.
3. O modelo de módulo "BYP-MOD-L1CG" só pode ser inserido no SLOT1 para funcionar corretamente.
4. O tipo de módulo "BYP-MOD-XXX" só pode ser inserido no slot do módulo BYPASS; o tipo de módulo "MON-MOD-XXX" só pode ser inserido no slot do módulo MONITOR para operação normal.
| Modelo do produto | Parâmetros de função |
| Chassi (Host) | |
| ML-BYPASS-M200 | Montagem em rack padrão 1U de 19 polegadas; consumo máximo de energia de 250 W; host protetor BYPASS modular; 2 slots para módulo BYPASS; 1 slot para módulo MONITOR; CA e CC opcionais; |
| MÓDULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Suporta proteção serial de link 10GE de 2 vias, interface 4*10GE, conector LC; transceptor óptico integrado; link óptico único/multimodo opcional, suporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Suporta proteção serial de link 40GE de 2 vias, interface 4*40GE, conector LC; transceptor óptico integrado; link óptico único/multimodo opcional, suporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Suporta proteção serial de link 100GE de 1 canal, interface 2*100GE, conector LC; transceptor óptico integrado; multimodo único de link óptico opcional, suporta 100GBASE-SR4/LR4; |
| MÓDULO MONITOR | |
| MON-MOD-L16XG | Módulo de porta de monitoramento 16*10GE SFP+; sem módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de porta de monitoramento 8*10GE SFP+; sem módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de porta de monitoramento 2*100GE QSFP28; sem módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de porta de monitoramento 8* 40GE QSFP+; sem módulo transceptor óptico; |
Especificações do switch de bypass TAP de 4 redes
| Modalidade do Produto | Interruptor de bypass serial ML-BYPASS-M200 | |
| Tipo de interface | Interface MGT | 1*10/100/1000BASE-T Interface de gerenciamento adaptável; Suporte para gerenciamento remoto HTTP/IP |
| Slot de módulo | 2*Slot para módulo BYPASS;1*Slot para módulo MONITOR; | |
| Links que suportam o máximo | O dispositivo suporta no máximo 4 links de 10 GE ou 4 links de 40 GE ou 1 link de 100 GE | |
| Monitor | O dispositivo suporta no máximo 16 portas de monitoramento de 10 GE ou 8 portas de monitoramento de 40 GE ou 2 portas de monitoramento de 100 GE; | |
| Função | Capacidade de processamento full duplex | 640 Gbps |
| Com base na proteção de cascata de tráfego específica de tupla de IP/protocolo/porta cinco | Apoiar | |
| Proteção em cascata baseada em tráfego total | Apoiar | |
| Balanceamento de carga múltipla | Apoiar | |
| Função de detecção de batimentos cardíacos personalizada | Apoiar | |
| Suporte à independência do pacote Ethernet | Apoiar | |
| INTERRUPTOR DE BYPASS | Apoiar | |
| Interruptor BYPASS sem flash | Apoiar | |
| CONSOLE GGT | Apoiar | |
| Gerenciamento de IP/WEB | Apoiar | |
| Gerenciamento SNMP V1/V2C | Apoiar | |
| Gerenciamento de TELNET/SSH | Apoiar | |
| Protocolo SYSLOG | Apoiar | |
| Autorização do usuário | Com base na autorização de senha/AAA/TACACS+ | |
| Elétrica | Tensão de alimentação nominal | CA-220 V/CC-48 V【Opcional】 |
| Frequência de potência nominal | 50 Hz | |
| Corrente de entrada nominal | CA-3A / CC-10A | |
| Potência nominal | 100 W | |
| Ambiente | Temperatura de trabalho | 0-50℃ |
| Temperatura de armazenamento | -20-70℃ | |
| Umidade de trabalho | 10%-95%, sem condensação | |
| Configuração do usuário | Configuração do console | Interface RS232,115200,8,N,1 |
| Interface MGT fora de banda | 1*interface Ethernet 10/100/1000M | |
| Autorização de senha | Apoiar | |
| Altura do chassi | Espaço do chassi (U) | 1U 19 polegadas, 485 mm * 44,5 mm * 350 mm |
5-Aplicação do switch de bypass TAP de rede (conforme a seguir)
A seguir está um modo típico de implantação de IPS (Sistema de Prevenção de Intrusão), FW (Firewall), o IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) entre o tráfego por meio da implementação de verificações de segurança, de acordo com a política de segurança correspondente para determinar a liberação ou bloqueio do tráfego correspondente, para obter o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar o IPS/FW como uma implantação serial de equipamentos, geralmente implantados em locais-chave da rede corporativa para implementar a segurança serial. A confiabilidade dos dispositivos conectados afeta diretamente a disponibilidade geral da rede corporativa. Uma vez que os dispositivos seriais sofram sobrecarga, falhas, atualizações de software, atualizações de políticas, etc., toda a disponibilidade da rede corporativa será significativamente afetada. Nesse caso, somente através do corte da rede e do jumper de bypass físico é possível restaurar a rede, afetando seriamente a confiabilidade da rede. IPS/FW e outros dispositivos seriais, por um lado, melhoram a implantação da segurança da rede corporativa, por outro, também reduzem a confiabilidade das redes corporativas, aumentando o risco de indisponibilidade da rede.
5.2 Proteção de equipamentos da série Inline Link
O "Bypass Switch" do Mylinking™ é implantado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre dispositivos de rede não leva mais diretamente ao IPS/FW, "Bypass Switch" para IPS/FW, quando o IPS/FW devido a sobrecarga, falha, atualizações de software, atualizações de políticas e outras condições de falha, o "Bypass Switch" através da função de detecção de mensagem de pulsação inteligente da descoberta oportuna e, assim, pule o dispositivo com defeito, sem interromper a premissa da rede, o equipamento de rede rápido conectado diretamente para proteger a rede de comunicação normal; quando a recuperação de falha do IPS/FW, mas também através da detecção de pacotes de pulsação inteligente da detecção oportuna da função, o link original para restaurar a segurança das verificações de segurança da rede corporativa.
O Mylinking™ "Bypass Switch" possui uma poderosa função de detecção de mensagem de pulsação inteligente. O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas por meio de uma mensagem de pulsação personalizada no IPS/FW para testes de integridade, como enviar a mensagem de verificação de pulsação para a porta upstream/downstream do IPS/FW e, em seguida, receber da porta upstream/downstream do IPS/FW e avaliar se o IPS/FW está funcionando normalmente enviando e recebendo a mensagem de pulsação.
5.3 Proteção de série de tração em linha de fluxo de política “SpecFlow”
Quando o dispositivo de rede de segurança precisa lidar apenas com o tráfego específico na proteção de segurança em série, por meio da função de processamento de tráfego "Bypass Switch" do Mylinking™, o tráfego "em questão" é enviado diretamente para o link de rede por meio da estratégia de triagem de tráfego para conectar o dispositivo de segurança, e a "seção de tráfego em questão" é direcionada ao dispositivo de segurança em linha para realizar verificações de segurança. Isso não apenas manterá a aplicação normal da função de detecção de segurança do dispositivo de segurança, mas também reduzirá o fluxo ineficiente do equipamento de segurança para lidar com a pressão; ao mesmo tempo, o "Bypass Switch" pode detectar a condição de funcionamento do dispositivo de segurança em tempo real. O dispositivo de segurança, em caso de funcionamento anormal, ignora o tráfego de dados diretamente para evitar a interrupção do serviço de rede.
O Mylinking™ Traffic Bypass Protector pode identificar o tráfego com base no identificador de cabeçalho das camadas L2-L4, como tag VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta do protocolo da camada de transporte, tag de chave do cabeçalho do protocolo, etc. Uma variedade de condições de correspondência pode ser definida de forma flexível para definir os tipos de tráfego específicos de interesse para um dispositivo de segurança específico, podendo ser amplamente utilizada para a implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.).
5.4 Proteção em série com balanceamento de carga
O "Bypass Switch" Mylinking™ é implantado em série entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga de tráfego do protetor, o "agrupamento" do tráfego de link de rede de processamento de múltiplos clusters IPS/FW, pode reduzir efetivamente a pressão de processamento de um único IPS/FW e melhorar o desempenho geral do processamento para atender à alta largura de banda do ambiente de implantação.
O Mylinking™ "Bypass Switch" possui uma poderosa função de balanceamento de carga, de acordo com a tag VLAN do quadro, informações MAC, informações IP, número da porta, protocolo e outras informações sobre a distribuição de balanceamento de carga Hash do tráfego para garantir que cada IPS/FW receba a integridade da sessão do fluxo de dados.
5.5 Proteção de tração de fluxo de equipamentos multissérie em linha (alterar conexão serial para conexão paralela)
Em alguns links importantes (como pontos de acesso à Internet e links de troca de área de servidor), a localização geralmente se deve às necessidades de recursos de segurança e à implantação de vários equipamentos de teste de segurança em linha (como firewalls, equipamentos anti-DDOS, firewalls de aplicativos WEB, equipamentos de prevenção de intrusão, etc.), que exigem a instalação simultânea de vários equipamentos de detecção de segurança em série no link, aumentando a probabilidade de um único ponto de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, a atualização e a substituição de equipamentos de segurança mencionados acima, entre outras operações, causarão interrupções prolongadas no serviço da rede e cortes significativos no projeto para concluir a implementação bem-sucedida desses projetos.
Ao implantar o "Bypass Switch" de forma unificada, o modo de implantação de vários dispositivos de segurança conectados em série no mesmo link pode ser alterado de "modo de concatenação física" para "modo de concatenação física, modo de concatenação lógica". O link no link de um único ponto de falha para melhorar a confiabilidade do link, enquanto o "bypass switch" no fluxo do link sob demanda de tração, para atingir o mesmo fluxo com o modo original de efeito de processamento seguro.
Mais de um dispositivo de segurança ao mesmo tempo no diagrama de implantação em série:
Diagrama de implantação do switch de bypass TAP da rede Mylinking™:
5.6 Com base na estratégia dinâmica de proteção de detecção de segurança de tração de tráfego
"Bypass Switch" Outro cenário de aplicação avançada é baseado na estratégia dinâmica de aplicações de proteção de detecção de segurança de tração de tráfego, a implantação da maneira mostrada abaixo:
Por exemplo, o equipamento de teste de segurança "Proteção e Detecção de Ataques Anti-DDoS" é implementado no front-end com o "Bypass Switch" e, em seguida, com o equipamento de proteção anti-DDoS. Em seguida, conectado ao "Bypass Switch", o "Protetor de Tração" usual encaminha todo o tráfego em alta velocidade, enquanto o espelho de fluxo de saída é direcionado para o "Dispositivo de Proteção contra Ataques Anti-DDoS". Uma vez detectado o IP do servidor (ou segmento de rede IP) após o ataque, o "Dispositivo de Proteção contra Ataques Anti-DDoS" gera as regras de correspondência de fluxo de tráfego de destino e as envia ao "Bypass Switch" por meio da interface de entrega de política dinâmica. O "Bypass Switch" pode atualizar o "Dinâmico de Tração de Tráfego" após receber as regras de política dinâmica do "Pool de Regras" e, imediatamente, "acertar o tráfego do servidor de ataque" para o equipamento de "Proteção e Detecção de Ataques Anti-DDoS" para processamento, para que seja eficaz após o ataque e, em seguida, reinjetado na rede.
O esquema de aplicação baseado no "Bypass Switch" é mais fácil de implementar do que a injeção de rota BGP tradicional ou outro esquema de tração de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O "Bypass Switch" possui as seguintes características para oferecer suporte à proteção de detecção de segurança de política dinâmica:
1, "Bypass Switch" para fornecer fora das regras com base na interface WEBSERIVCE, fácil integração com dispositivos de segurança de terceiros.
2, "Bypass Switch" baseado no chip ASIC de hardware puro, encaminhando pacotes de velocidade de fio de até 10 Gbps sem bloquear o encaminhamento do switch e "biblioteca de regras dinâmicas de tração de tráfego", independentemente do número.
3, "Bypass Switch" função BYPASS profissional integrada, mesmo se o próprio protetor falhar, também pode ignorar o link serial original imediatamente, não afeta o link original da comunicação normal.
