Interruttore di bypass del tocco di rete Mylinking™ ML-BYPASS-100
2*Bypass più 1*Monitor Design modulare, collegamenti 10/40/100GE, massimo 640 Gbps
Panoramica
Mylinking™ Network Tap Bypass Switch è stato studiato e sviluppato per essere utilizzato per l'implementazione flessibile di vari tipi di apparecchiature di sicurezza in linea fornendo allo stesso tempo un'elevata affidabilità di rete.
Implementando Mylinking™ Smart Bypass Switch Tap:
- Gli utenti possono installare/disinstallare in modo flessibile apparecchiature/strumenti di sicurezza e non influenzeranno né interromperanno la rete attuale;
- Mylinking™ Network Tap Bypass Switch con funzione di rilevamento intelligente dello stato per il monitoraggio in tempo reale del normale stato di funzionamento dei dispositivi di sicurezza in linea.Una volta che i dispositivi di sicurezza in linea funzionano in modo eccezionale, la funzione di protezione verrà automaticamente bypassata per mantenere la normale comunicazione di rete;
- La tecnologia di protezione selettiva del traffico può essere utilizzata per implementare specifiche apparecchiature di sicurezza per la pulizia del traffico, tecnologia di crittografia basata sulle apparecchiature di controllo.Effettuare efficacemente la protezione dell'accesso in linea per il tipo di traffico specifico, scaricando la pressione di gestione del flusso del dispositivo in linea;
- La tecnologia di protezione del traffico con bilanciamento del carico può essere utilizzata per l'implementazione in cluster di dispositivi di sicurezza in linea seriali sicuri per soddisfare la sicurezza in linea in ambienti con larghezza di banda elevata.
Rete Tap Bypass Switch Funzionalità e tecnologie avanzate
Modalità di protezione “SpecFlow” di Mylinking™ e modalità di protezione “FullLink”.
Protezione dalla commutazione di bypass veloce Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Strategia dinamica di inoltro/emissione
Mylinking™ Rilevamento intelligente dei messaggi del battito cardiaco
Messaggi Heartbeat definibili Mylinking™ (pacchetti Heartbeat)
Mylinking™ Bilanciamento del carico multi-link
Mylinking™ Distribuzione intelligente del traffico
Mylinking™ Bilanciamento dinamico del carico
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, caratteristica “EasyConfig/AdvanceConfig”)
Guida alla configurazione opzionale dello switch di bypass del tocco di rete
Modulo BYPASSSlot del modulo porta di protezione:
Questo slot può essere inserito nel modulo della porta di protezione BYPASS con velocità/numero di porta diversi.Sostituendo diversi tipi di moduli, può supportare la protezione BYPASS di più collegamenti 10G/40G/100G.
Modulo MONITORSlot per modulo porta;
In questo slot è possibile inserire il modulo MONITOR con velocità/porte diverse.Può supportare più collegamenti 10G/40G/100G per l'implementazione di dispositivi di monitoraggio seriale in linea sostituendo diversi moduli.
Regole di selezione dei moduli
In base ai diversi collegamenti distribuiti e ai requisiti di distribuzione delle apparecchiature di monitoraggio, è possibile scegliere in modo flessibile diverse configurazioni di moduli per soddisfare la richiesta ambientale effettiva;si prega di seguire le seguenti regole durante la selezione del modulo:
1. I componenti dello chassis sono obbligatori ed è necessario selezionarli prima di selezionare qualsiasi altro modulo.Allo stesso tempo, scegli diversi metodi di alimentazione (AC/DC) in base alle tue esigenze.
2. L'intero dispositivo supporta fino a 2 slot per moduli BYPASS e 1 slot per moduli MONITOR;non è possibile selezionare più del numero di slot da configurare.In base alla combinazione del numero di slot e del modello del modulo, il dispositivo può supportare fino a quattro protezioni di collegamento 10GE;oppure può supportare fino a quattro collegamenti 40GE;oppure può supportare fino a un collegamento 100GE.
3. Il modello del modulo "BYP-MOD-L1CG" può essere inserito solo nello SLOT1 per funzionare correttamente.
4. Il tipo di modulo "BYP-MOD-XXX" può essere inserito solo nello slot del modulo BYPASS;il tipo di modulo "MON-MOD-XXX" può essere inserito nello slot del modulo MONITOR solo per il normale funzionamento.
| Modello di prodotto | Parametri di funzione |
| Telaio (ospite) | |
| ML-BYPASS-M100 | Montaggio su rack standard da 19 pollici 1U;consumo energetico massimo 250 W;host di protezione BYPASS modulare;2 slot per moduli BYPASS;1 slot per modulo MONITOR;CA e CC opzionali; |
| MODULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Supporta protezione seriale collegamento 10GE a 2 vie, interfaccia 4*10GE, connettore LC;ricetrasmettitore ottico integrato;collegamento ottico singolo/multimodale opzionale, supporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Supporta protezione seriale collegamento 40GE a 2 vie, interfaccia 4*40GE, connettore LC;ricetrasmettitore ottico integrato;collegamento ottico singolo/multimodale opzionale, supporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Supporta protezione seriale collegamento 1 canale 100GE, interfaccia 2*100GE, connettore LC;ricetrasmettitore ottico integrato;collegamento ottico singolo multimodale opzionale, supporta 100GBASE-SR4/LR4; |
| MODULO MONITOR | |
| MON-MOD-L16XG | Modulo porta di monitoraggio SFP+ 16*10GE;nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8XG | Modulo porta di monitoraggio 8*10GE SFP+;nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L2CG | Modulo porta di monitoraggio QSFP28 2 * 100GE;nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8QXG | Modulo porta di monitoraggio 8* 40GE QSFP+;nessun modulo ricetrasmettitore ottico; |
Specifiche dell'interruttore di bypass TAP di rete
| Modalità del prodotto | ML-BYPASS-M100 Interruttore di bypass con rubinetto di rete in linea | |
| Tipo di interfaccia | Interfaccia MGT | 1 interfaccia di gestione adattiva 10/100/1000BASE-T;Supporta la gestione HTTP/IP remota |
| Slot del modulo | 2*Slot per modulo BYPASS; 1*Slot per modulo MONITOR; | |
| Collegamenti che supportano il massimo | Il dispositivo supporta un massimo di collegamenti 4*10GE o collegamenti 4*40GE o collegamenti 1*100GE | |
| Monitoraggio | Il dispositivo supporta un massimo di 16 porte di monitoraggio 10GE o 8 porte di monitoraggio 40GE o 2 porte di monitoraggio 100GE; | |
| Funzione | Capacità di elaborazione full duplex | 640 Gbps |
| Basato sulla protezione a cascata del traffico specifico di IP/protocollo/porta cinque tuple | Supportato | |
| Protezione in cascata basata sul traffico completo | Supportato | |
| Bilanciamento del carico multiplo | Supportato | |
| Funzione di rilevamento del battito cardiaco personalizzata | Supportato | |
| Supporta l'indipendenza del pacchetto Ethernet | Supportato | |
| INTERRUTTORE DI BYPASS | Supportato | |
| Interruttore BYPASS senza flash | Supportato | |
| CONSOLE MGT | Supportato | |
| Gestione IP/WEB | Supportato | |
| SNMP V1/V2C MGT | Supportato | |
| GESTIONE TELNET/SSH | Supportato | |
| Protocollo SYSLOG | Supportato | |
| Autorizzazione dell'utente | Basato sull'autorizzazione tramite password/AAA/TACACS+ | |
| Elettrico | Tensione di alimentazione nominale | AC-220V/DC-48V【Opzionale】 |
| Frequenza di alimentazione nominale | 50Hz | |
| Corrente di ingresso nominale | AC-3A / DC-10A | |
| Potenza nominale | 100 W | |
| Ambiente | Temperatura di lavoro | 0-50℃ |
| Temperatura di conservazione | -20-70℃ | |
| Umidità di lavoro | 10%-95%, senza condensa | |
| Configurazione utente | Configurazione della consolle | Interfaccia RS232,115200,8,N,1 |
| Interfaccia MGT fuori banda | 1 interfaccia Ethernet 10/100/1000M | |
| Autorizzazione della password | Supportato | |
| Altezza del telaio | Spazio sul telaio (U) | 1U da 19 pollici, 485 mm*44,5 mm*350 mm |
Applicazione interruttore bypass TAP di rete (come segue)
5.1 Il rischio delle apparecchiature di sicurezza in linea (IPS/FW)
Quella che segue è una tipica modalità di implementazione IPS (Intrusion Prevention System), FW (Firewall), IPS/FW viene implementato come apparecchiatura di rete in linea (come router, switch, ecc.) tra il traffico attraverso l'implementazione di controlli di sicurezza, secondo la corrispondente politica di sicurezza per determinare il rilascio o il blocco del traffico corrispondente, per ottenere l'effetto di difesa della sicurezza.
Allo stesso tempo, possiamo osservare IPS (Intrusion Prevention System) / FW (Firewall) come un'implementazione in linea delle apparecchiature, solitamente implementate nella posizione chiave della rete aziendale per implementare la sicurezza in linea, l'affidabilità dei dispositivi collegati influisce direttamente la disponibilità complessiva della rete aziendale.Una volta che i dispositivi di sicurezza in linea si sovraccaricano, si bloccano, si verificano aggiornamenti software, aggiornamenti di policy, ecc., la disponibilità dell'intera rete aziendale sarà notevolmente influenzata.A questo punto, solo attraverso l'interruzione della rete, il ponticello di bypass fisico può ripristinare la rete, ma ciò compromette seriamente l'affidabilità della rete.IPS (Intrusion Prevention System) / FW (Firewall) e altri dispositivi in linea da un lato migliorano l'implementazione della sicurezza della rete aziendale, dall'altro riducono anche l'affidabilità delle reti aziendali, aumentando il rischio che la rete non sia disponibile.
5.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ " Bypass Switch " viene distribuito come inline tra dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non porta più direttamente a IPS (Intrusion Prevention System) / FW (Firewall), " Bypass Switch " a IPS / FW, quando IPS / FW a causa di sovraccarico, arresto anomalo, aggiornamenti software, aggiornamenti delle policy e altre condizioni di guasto, il "Bypass Switch" attraverso la funzione di rilevamento intelligente dei messaggi heartbeat di rilevamento tempestivo e quindi salta il dispositivo difettoso, senza interrompere la premessa della rete, le apparecchiature di rete rapide direttamente collegate per proteggere la normale rete di comunicazione;quando il ripristino degli errori IPS / FW, ma anche attraverso il rilevamento intelligente dei pacchetti Heartbeat del rilevamento tempestivo della funzione, il collegamento originale per ripristinare la sicurezza dei controlli di sicurezza della rete aziendale.
Mylinking™ "Bypass Switch" dispone di una potente funzione intelligente di rilevamento dei messaggi di battito cardiaco, l'utente può personalizzare l'intervallo di battito cardiaco e il numero massimo di tentativi, tramite un messaggio di battito cardiaco personalizzato sull'IPS/FW per test di integrità, come inviare il messaggio di controllo del battito cardiaco alla porta upstream/downstream di IPS/FW, quindi ricevere dalla porta upstream/downstream di IPS/FW e giudicare se IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
5.3 Protezione della serie di trazione in linea del flusso di policy "SpecFlow".
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, attraverso la funzione di elaborazione del traffico "Network Tap Bypass Switch" di Mylinking™, attraverso la strategia di screening del traffico per collegare il dispositivo di sicurezza viene inviato il traffico "preoccupato" direttamente al collegamento di rete, e la" sezione di traffico interessata "è la trazione verso il dispositivo di sicurezza in linea per eseguire i controlli di sicurezza.Ciò non solo manterrà la normale applicazione della funzione di rilevamento di sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente dell'attrezzatura di sicurezza per gestire la pressione;allo stesso tempo, il "Network Tap Bypass Switch" può rilevare in tempo reale la condizione di funzionamento del dispositivo di sicurezza.Il dispositivo di sicurezza funziona in modo anomalo bypassando direttamente il traffico dati per evitare interruzioni del servizio di rete.
Il Mylinking™ Inline Traffic Bypass Tap è in grado di identificare il traffico in base all'identificatore dell'intestazione del livello L2-L4, come tag VLAN, indirizzo MAC di origine/destinazione, indirizzo IP di origine, tipo di pacchetto IP, porta del protocollo del livello di trasporto, tag chiave dell'intestazione del protocollo e Presto.È possibile definire in modo flessibile una varietà di combinazioni flessibili di condizioni di corrispondenza per definire i tipi di traffico specifici che interessano un particolare dispositivo di sicurezza e possono essere ampiamente utilizzati per l'implementazione di speciali dispositivi di controllo della sicurezza (RDP, SSH, controllo del database, ecc.) .
5.4 Protezione in serie con bilanciamento del carico
Il "Network Tap Bypass Switch" Mylinking™ viene utilizzato in linea tra i dispositivi di rete (router, switch, ecc.).Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti per far fronte al traffico di picco del collegamento di rete, la funzione di bilanciamento del carico di traffico del protettore, il "raggruppamento" di più traffico di collegamento di rete di elaborazione cluster IPS/FW, può ridurre efficacemente il singolo IPS/FW pressione di elaborazione, migliorare le prestazioni di elaborazione complessive per soddisfare l'elevata larghezza di banda dell'ambiente di distribuzione.
Mylinking™ "Network Tap Bypass Switch" ha una potente funzione di bilanciamento del carico, in base al tag VLAN del frame, informazioni MAC, informazioni IP, numero di porta, protocollo e altre informazioni sulla distribuzione del bilanciamento del carico Hash del traffico per garantire che ciascun IPS / FW flusso di dati ricevuto Integrità della sessione.
5.5 Protezione dalla trazione del flusso delle apparecchiature in linea multi-serie (cambiare la connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come punti vendita Internet, collegamenti di scambio di aree server) la posizione è spesso dovuta alle esigenze di funzionalità di sicurezza e all'implementazione di più apparecchiature di test di sicurezza in linea (come firewall (FW), apparecchiature anti-attacco DDOS, WEB Application Firewall (WAF), Intrusion Prevention System (IPS), ecc.), più apparecchiature di rilevamento di sicurezza contemporaneamente in serie sul collegamento per aumentare il collegamento di un singolo punto di guasto, riducendo l'affidabilità complessiva della rete.Inoltre, nell'implementazione online delle apparecchiature di sicurezza sopra menzionate, gli aggiornamenti delle apparecchiature, la sostituzione delle apparecchiature e altre operazioni, causeranno un'interruzione del servizio della rete per un lungo periodo e un'azione di riduzione del progetto più ampia per completare l'implementazione di successo di tali progetti.
Distribuendo il "Network Tap Bypass Switch" in modo unificato, la modalità di distribuzione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata da "modalità di concatenazione fisica" a "concatenazione fisica, modalità di concatenazione logica". collegamento di un singolo punto di guasto per migliorare l'affidabilità del collegamento, mentre l '"interruttore di bypass" sul flusso di collegamento su richiesta di trazione, per ottenere lo stesso flusso con la modalità originale di effetto di elaborazione sicura.
Più di un dispositivo di sicurezza contemporaneamente come diagramma di distribuzione in linea:
Diagramma di implementazione dello switch di bypass TAP di rete Mylinking™:
5.6 Basato sulla strategia dinamica di protezione del rilevamento della sicurezza della trazione del traffico
"Network Tap Bypass Switch" Un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione del rilevamento della sicurezza della trazione del traffico, l'implementazione del modo mostrato di seguito:
Prendiamo ad esempio l'attrezzatura per i test di sicurezza "Protezione e rilevamento degli attacchi anti-DDoS", attraverso l'implementazione front-end del "Network Tap Bypass Switch" e poi l'attrezzatura di protezione anti-DDOS e quindi collegata al "Network Tap Bypass Switch", nel consueto " Traction Protector "per l'intera quantità di traffico wire-speed inoltrando allo stesso tempo l'output dello specchio di flusso al" dispositivo di protezione dagli attacchi anti-DDOS ", una volta rilevato per un IP del server (o segmento di rete IP) dopo il attack, il "dispositivo di protezione dagli attacchi anti-DDOS" genererà le regole di corrispondenza del flusso di traffico target e le invierà al "Network Tap Bypass Switch" attraverso l'interfaccia di distribuzione della politica dinamica.Il " Network Tap Bypass Switch " può aggiornare la "dinamica di trazione del traffico" dopo aver ricevuto le regole della politica dinamica Pool di regole "e immediatamente" la regola colpisce il traffico del server di attacco "la trazione verso l'attrezzatura" di protezione e rilevamento degli attacchi anti-DDoS "per l'elaborazione, per essere efficaci dopo il flusso di attacco e quindi re-iniettati nella rete.
Lo schema applicativo basato sul "Network Tap Bypass Switch" è più facile da implementare rispetto alla tradizionale iniezione del percorso BGP o ad altri schemi di trazione del traffico, e l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Network Tap Bypass Switch" ha le seguenti caratteristiche per supportare la protezione del rilevamento di sicurezza della policy dinamica:
1, "Network Tap Bypass Switch" per fornire al di fuori delle regole basate sull'interfaccia WEBSERIVCE, facile integrazione con dispositivi di sicurezza di terze parti.
2, "BNetwork Tap Bypass Switch" basato sul chip ASIC hardware puro che inoltra pacchetti wire-speed fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche per la trazione del traffico" indipendentemente dal numero.
3, la funzione BYPASS professionale incorporata "Network Tap Bypass Switch", anche in caso di guasto della protezione stessa, può anche bypassare immediatamente il collegamento seriale originale, non influisce sul collegamento originale della normale comunicazione.
