Interruttore di bypass per derivazione di rete Mylinking™ ML-BYPASS-M100
Design modulare con 2 bypass e 1 monitor, collegamenti 10/40/100GE, velocità massima 640 Gbps.
Panoramiche
Lo switch di bypass per prese di rete Mylinking™ è stato progettato e sviluppato per consentire un'implementazione flessibile di diverse tipologie di apparecchiature di sicurezza in linea, garantendo al contempo un'elevata affidabilità di rete.
Installando l'interruttore bypass intelligente Mylinking™ Smart Bypass Switch Tap:
- Gli utenti possono installare/disinstallare in modo flessibile apparecchiature/strumenti di sicurezza senza che ciò influisca o interrompa la rete corrente;
- L'interruttore di bypass Mylinking™ Network Tap con funzione intelligente di rilevamento dello stato di salute monitora in tempo reale il normale funzionamento dei dispositivi di sicurezza in linea. Qualora i dispositivi di sicurezza in linea dovessero presentare anomalie, la funzione di protezione si disattiverà automaticamente per mantenere la normale comunicazione di rete.
- La tecnologia di protezione selettiva del traffico può essere utilizzata per implementare apparecchiature di sicurezza specifiche per la pulizia del traffico, basate su tecnologie di crittografia e apparecchiature di audit. Consente di realizzare efficacemente la protezione degli accessi in linea per il tipo di traffico specifico, alleviando la pressione di gestione del flusso del dispositivo in linea;
- La tecnologia Load Balanced Traffic Protection può essere utilizzata per la distribuzione in cluster di dispositivi di sicurezza seriali in linea sicuri, al fine di soddisfare i requisiti di sicurezza in linea in ambienti ad alta larghezza di banda.
Funzionalità e tecnologie avanzate dello switch di bypass Network Tap
Modalità di protezione “SpecFlow” e modalità di protezione “FullLink” di Mylinking™
Protezione con commutazione rapida bypass Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Inoltro/Emissione di criteri dinamici
Rilevamento intelligente dei pacchetti di battito cardiaco Mylinking™
Messaggi di battito cardiaco definibili Mylinking™ (pacchetti di battito cardiaco)
Bilanciamento del carico multi-link Mylinking™
Distribuzione intelligente del traffico Mylinking™
Bilanciamento dinamico del carico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, funzionalità "EasyConfig/AdvanceConfig")
Guida alla configurazione opzionale dell'interruttore di bypass Network Tap
Modulo BYPASSSlot per modulo porta di protezione:
Questo slot può essere inserito nel modulo della porta di protezione BYPASS con velocità/numero di porte differenti. Sostituendo diversi tipi di moduli, è possibile supportare la protezione BYPASS per molteplici collegamenti a 10G/40G/100G.
Modulo MONITORSlot per modulo porta;
In questo slot è possibile inserire il modulo MONITOR con diverse velocità/porte. Supporta collegamenti multipli da 10G/40G/100G per l'implementazione di dispositivi di monitoraggio seriale in linea, sostituendo i moduli.
Regole di selezione del modulo
In base ai diversi collegamenti implementati e ai requisiti di installazione delle apparecchiature di monitoraggio, è possibile scegliere in modo flessibile diverse configurazioni di moduli per soddisfare le esigenze specifiche del proprio ambiente; si prega di seguire le seguenti regole durante la selezione dei moduli:
1. I componenti dello chassis sono obbligatori e devi selezionarli prima di selezionare qualsiasi altro modulo. Allo stesso tempo, scegli il metodo di alimentazione (CA/CC) più adatto alle tue esigenze.
2. L'intero dispositivo supporta fino a 2 slot per moduli BYPASS e 1 slot per moduli MONITOR; non è possibile selezionare un numero di slot superiore a quello configurabile. In base alla combinazione del numero di slot e del modello del modulo, il dispositivo può supportare fino a quattro protezioni di collegamento 10GE; oppure fino a quattro collegamenti 40GE; oppure fino a un collegamento 100GE.
3. Il modulo modello "BYP-MOD-L1CG" può essere inserito solo nello SLOT1 per funzionare correttamente.
4. Il modulo di tipo "BYP-MOD-XXX" può essere inserito solo nello slot del modulo BYPASS; il modulo di tipo "MON-MOD-XXX" può essere inserito solo nello slot del modulo MONITOR per il normale funzionamento.
| Modello di prodotto | Parametri di funzione |
| Chassis (Host) | |
| ML-BYPASS-M100 | Montaggio rack standard 1U da 19 pollici; consumo energetico massimo 250 W; host di protezione BYPASS modulare; 2 slot per moduli BYPASS; 1 slot per moduli MONITOR; alimentazione CA e CC opzionali; |
| MODULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Supporta la protezione seriale del collegamento 10GE bidirezionale, interfaccia 4*10GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico monomodale/multimodale opzionale, supporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Supporta la protezione seriale del collegamento 40GE bidirezionale, interfaccia 4*40GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico monomodale/multimodale opzionale, supporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Supporta la protezione seriale del collegamento 100GE a 1 canale, interfaccia 2*100GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico multimodale singolo opzionale, supporta 100GBASE-SR4/LR4; |
| MODULO MONITOR | |
| MON-MOD-L16XG | Modulo con 16 porte di monitoraggio SFP+ 10GE; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8XG | Modulo con 8 porte di monitoraggio SFP+ 10GE; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L2CG | Modulo con 2 porte di monitoraggio 100GE QSFP28; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8QXG | Modulo con 8 porte di monitoraggio 40GE QSFP+; nessun modulo ricetrasmettitore ottico; |
Specifiche dell'interruttore di bypass TAP di rete
| Modalità del prodotto | Interruttore di bypass di rete in linea ML-BYPASS-M100 | |
| Tipo di interfaccia | Interfaccia MGT | 1*10/100/1000BASE-T Interfaccia di gestione adattiva; Supporto per la gestione remota HTTP/IP |
| Slot per modulo | 2 slot per modulo BYPASS; 1 slot per modulo MONITOR; | |
| Collegamenti che supportano il massimo | Il dispositivo supporta un massimo di 4 collegamenti 10GE, 4 collegamenti 40GE o 1 collegamento 100GE. | |
| Monitoraggio | Il dispositivo supporta un massimo di 16 porte di monitoraggio 10GE, 8 porte di monitoraggio 40GE o 2 porte di monitoraggio 100GE; | |
| Funzione | Capacità di elaborazione full duplex | 640 Gbps |
| Protezione della cascata di traffico specifica basata su tuple IP/protocollo/porta | Supportato | |
| Protezione a cascata basata sul traffico completo | Supportato | |
| Bilanciamento di carichi multipli | Supportato | |
| Funzione personalizzata di rilevamento del battito cardiaco | Supportato | |
| Supporto indipendente dal pacchetto Ethernet | Supportato | |
| INTERRUTTORE DI BYPASS | Supportato | |
| Interruttore BYPASS senza flash | Supportato | |
| CONSOLE MGT | Supportato | |
| GESTIONE IP/WEB | Supportato | |
| Gestione SNMP V1/V2C | Supportato | |
| GESTIONE TELNET/SSH | Supportato | |
| Protocollo SYSLOG | Supportato | |
| Autorizzazione utente | Basato su autorizzazione tramite password/AAA/TACACS+ | |
| Elettrico | tensione di alimentazione nominale | AC-220V/DC-48V【Opzionale】 |
| frequenza di potenza nascosta | 50 Hz | |
| Corrente di ingresso nominale | CA 3A / CC 10A | |
| Potere di valutazione | 100W | |
| Ambiente | Temperatura di lavoro | 0-50℃ |
| Temperatura di conservazione | -20-70℃ | |
| Umidità di lavoro | 10%-95%, nessuna condensa | |
| Configurazione utente | Configurazione della console | Interfaccia RS232,115200,8,N,1 |
| Interfaccia MGT fuori banda | 1 interfaccia Ethernet 10/100/1000M | |
| autorizzazione tramite password | Supportato | |
| Altezza del telaio | Spazio del telaio (U) | 1U 19 pollici, 485 mm*44,5 mm*350 mm |
Applicazione dello switch di bypass TAP di rete (come di seguito)
5.1 Il rischio delle apparecchiature di sicurezza in linea (IPS/FW)
Di seguito viene illustrato un tipico schema di implementazione di un IPS (Intrusion Prevention System) e di un FW (Firewall). L'IPS/FW viene installato come apparecchiatura di rete in linea (ad esempio router, switch, ecc.) tra i dispositivi di rete, eseguendo controlli di sicurezza e, in base alla policy di sicurezza corrispondente, determinando se consentire o bloccare il traffico, al fine di garantire la protezione della sicurezza.
Allo stesso tempo, possiamo osservare che i sistemi IPS (Intrusion Prevention System) / FW (Firewall) sono dispositivi installati in linea, solitamente posizionati in punti strategici della rete aziendale per implementare la sicurezza in linea. L'affidabilità dei dispositivi a essi collegati influisce direttamente sulla disponibilità complessiva della rete aziendale. Qualora i dispositivi di sicurezza in linea subiscano un sovraccarico, un blocco, un aggiornamento software o un aggiornamento delle policy, la disponibilità dell'intera rete aziendale ne risentirà gravemente. In tal caso, l'unico modo per ripristinare la rete è interrompere il collegamento fisico tramite un ponticello, ma ciò compromette seriamente l'affidabilità della rete. I sistemi IPS (Intrusion Prevention System) / FW (Firewall) e altri dispositivi in linea, da un lato, migliorano la sicurezza della rete aziendale, ma dall'altro ne riducono l'affidabilità, aumentando il rischio di interruzione del servizio.
5.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ "Bypass Switch" viene installato in linea tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non passa più direttamente attraverso l'IPS (Intrusion Prevention System) / FW (Firewall). Il "Bypass Switch" collega l'IPS / FW all'IPS / FW. Quando l'IPS / FW si guasta a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy o altre condizioni, il "Bypass Switch" rileva tempestivamente il problema tramite la funzione intelligente di rilevamento dei messaggi heartbeat, bypassando così il dispositivo difettoso e consentendo la connessione diretta e rapida delle apparecchiature di rete per proteggere la normale rete di comunicazione senza interrompere la rete locale. Al ripristino del guasto dell'IPS / FW, il "Bypass Switch" rileva tempestivamente il problema tramite la funzione intelligente di rilevamento dei pacchetti heartbeat, ripristinando il collegamento originale e garantendo la sicurezza della rete aziendale.
Mylinking™ "Bypass Switch" è dotato di una potente funzione intelligente di rilevamento del messaggio heartbeat. L'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per il test di integrità. Ad esempio, invia il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW e poi lo riceve dalla porta upstream/downstream dell'IPS/FW, valutando se l'IPS/FW funziona correttamente tramite l'invio e la ricezione del messaggio heartbeat.
5.3 Politica “SpecFlow” Flusso Trazione in linea Protezione Serie
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di pre-elaborazione del traffico "Network Tap Bypass Switch" di Mylinking™, attraverso la strategia di filtraggio del traffico, il traffico "interessato" connesso al dispositivo di sicurezza viene inviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento della sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente di gestione della pressione sulle apparecchiature di sicurezza; allo stesso tempo, il "Network Tap Bypass Switch" può rilevare lo stato di funzionamento del dispositivo di sicurezza in tempo reale. Il dispositivo di sicurezza funziona in modo anomalo, bypassando direttamente il traffico dati per evitare l'interruzione del servizio di rete.
Il Mylinking™ Inline Traffic Bypass Tap è in grado di identificare il traffico in base agli identificatori dell'intestazione dei livelli L2-L4, come tag VLAN, indirizzo MAC di origine/destinazione, indirizzo IP di origine, tipo di pacchetto IP, porta del protocollo di trasporto, tag chiave dell'intestazione del protocollo e così via. È possibile definire in modo flessibile una varietà di combinazioni di condizioni di corrispondenza per definire i tipi di traffico specifici di interesse per un particolare dispositivo di sicurezza e può essere ampiamente utilizzato per l'implementazione di dispositivi di audit di sicurezza speciali (RDP, SSH, audit di database, ecc.).
5.4 Protezione in serie con carico bilanciato
Il Mylinking™ "Network Tap Bypass Switch" viene installato in linea tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a gestire i picchi di traffico del collegamento di rete, la funzione di bilanciamento del carico del dispositivo di protezione, "raggruppando" il traffico di rete elaborato da più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione del singolo IPS/FW e migliorare le prestazioni di elaborazione complessive per soddisfare le elevate esigenze di larghezza di banda dell'ambiente di implementazione.
Mylinking™ "Network Tap Bypass Switch" dispone di una potente funzione di bilanciamento del carico che, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni, distribuisce il traffico tramite un hash per garantire l'integrità della sessione del flusso di dati ricevuto da ciascun IPS/FW.
5.5 Apparecchiature in linea multiserie con protezione contro la trazione del flusso (Modifica della connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come punti di accesso Internet, collegamenti di interscambio nell'area server) la posizione è spesso determinata dalle esigenze di sicurezza e dall'implementazione di più apparecchiature di test di sicurezza in linea (come firewall (FW), apparecchiature anti-attacco DDoS, Web Application Firewall (WAF), Intrusion Prevention System (IPS), ecc.), più apparecchiature di rilevamento della sicurezza contemporaneamente in serie sul collegamento aumentano il singolo punto di guasto del collegamento, riducendo l'affidabilità complessiva della rete. Inoltre, nell'implementazione online delle suddette apparecchiature di sicurezza, gli aggiornamenti, la sostituzione delle apparecchiature e altre operazioni causeranno una lunga interruzione del servizio di rete e un'azione di interruzione del progetto più ampia per completare con successo tali progetti.
Grazie all'implementazione unificata del "Network Tap Bypass Switch", la modalità di implementazione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata dalla "modalità di concatenazione fisica" alla "modalità di concatenazione fisica e logica". Il collegamento, in presenza di un singolo punto di guasto, migliora l'affidabilità del collegamento, mentre il "bypass switch" gestisce il flusso di traffico su richiesta, garantendo lo stesso flusso della modalità originale di elaborazione sicura.
È possibile installare più di un dispositivo di sicurezza contemporaneamente, come mostrato nello schema di distribuzione in linea:
Schema di installazione dell'interruttore di bypass TAP di rete Mylinking™:
5.6 Basato sulla strategia dinamica di rilevamento e protezione della sicurezza della trazione del traffico
"Interruttore di bypass del traffico di rete" Un altro scenario applicativo avanzato si basa sulla strategia dinamica di rilevamento e protezione della sicurezza del traffico, con la seguente modalità di implementazione:
Prendiamo ad esempio l'apparecchiatura di test di sicurezza "Anti-DDoS attack protection and detection", tramite l'implementazione front-end di "Network Tap Bypass Switch" e quindi l'apparecchiatura di protezione anti-DDoS e quindi collegata a "Network Tap Bypass Switch", nel normale "Traction Protector" a tutto il traffico inoltrando contemporaneamente l'intero flusso alla velocità di linea e l'uscita mirror del flusso al "dispositivo di protezione anti-DDoS attack protection". Una volta rilevato un attacco per un IP del server (o segmento di rete IP), il "dispositivo di protezione anti-DDoS attack protection" genererà le regole di corrispondenza del flusso di traffico target e le invierà a "Network Tap Bypass Switch" tramite l'interfaccia di consegna delle policy dinamiche. Il "Network Tap Bypass Switch" può aggiornare il "traffic traction dynamic" dopo aver ricevuto le regole del pool di regole "e immediatamente" la regola che colpisce il traffico del server di attacco "trapping" verso l'apparecchiatura "anti-DDoS attack protection and detection" per l'elaborazione, in modo che sia efficace dopo l'attacco e quindi reiniettato nella rete.
Lo schema applicativo basato su "Network Tap Bypass Switch" è più facile da implementare rispetto alla tradizionale iniezione di route BGP o ad altri schemi di acquisizione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Network Tap Bypass Switch" presenta le seguenti caratteristiche per supportare la protezione dinamica dal rilevamento della sicurezza delle policy:
1. "Network Tap Bypass Switch" per fornire accesso esterno alle regole basato sull'interfaccia WEBSERVICE, facile integrazione con dispositivi di sicurezza di terze parti.
2, "BNetwork Tap Bypass Switch" basato su un chip ASIC puro hardware che inoltra pacchetti fino a 10 Gbps alla velocità di linea senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3. Il "Network Tap Bypass Switch" integra una funzione BYPASS professionale che consente di bypassare immediatamente il collegamento seriale originale anche in caso di guasto del dispositivo di protezione stesso, senza compromettere la normale comunicazione.
