Interruttore di bypass per derivazione di rete Mylinking™ ML-BYPASS-M200
Design modulare con 2 bypass e 1 monitor, collegamenti 10/40/100GE, velocità massima 640 Gbps.
1-Panoramiche
Installando l'interruttore di bypass intelligente Mylinking™:
- Gli utenti possono installare/disinstallare in modo flessibile le apparecchiature di sicurezza senza che ciò influisca sulla rete corrente o ne causi interruzioni;
- L'interruttore di bypass Mylinking™ Network Tap con funzione di rilevamento intelligente dello stato di salute monitora in tempo reale il normale funzionamento del dispositivo di sicurezza seriale; in caso di anomalie nel funzionamento del dispositivo di sicurezza seriale, la protezione verrà automaticamente bypassata per mantenere la normale comunicazione di rete;
- La tecnologia di protezione selettiva del traffico può essere utilizzata per implementare apparecchiature di sicurezza specifiche per la pulizia del traffico, basate su tecnologie di crittografia e apparecchiature di audit. In questo modo si esegue efficacemente la protezione dell'accesso seriale per il tipo di traffico specifico, alleggerendo la pressione di gestione del flusso del dispositivo in serie;
- La tecnologia Load Balanced Traffic Protection può essere utilizzata per la distribuzione in cluster di dispositivi seriali sicuri al fine di soddisfare l'esigenza di sicurezza seriale in ambienti ad alta larghezza di banda.
Con il rapido sviluppo di Internet, la minaccia alla sicurezza delle informazioni di rete sta diventando sempre più seria, pertanto si sta diffondendo sempre di più una varietà di applicazioni per la protezione della sicurezza delle informazioni. Che si tratti di tradizionali dispositivi di controllo degli accessi (firewall) o di nuovi tipi di strumenti di protezione più avanzati come sistemi di prevenzione delle intrusioni (IPS), piattaforme di gestione unificata delle minacce (UTM), sistemi anti-DDoS (Anti-Denial Service Attack), gateway anti-span, sistemi unificati di identificazione e controllo del traffico DPI, molti dispositivi di sicurezza vengono implementati in serie nei nodi chiave della rete, con l'applicazione delle relative politiche di sicurezza dei dati per identificare e gestire il traffico lecito/illegale. Allo stesso tempo, tuttavia, in un ambiente di rete di produzione altamente affidabile, si verificano notevoli ritardi o addirittura interruzioni di rete in caso di failover, manutenzione, aggiornamento, sostituzione di apparecchiature e così via, una situazione inaccettabile per gli utenti.
Interruttore di bypass a 2 derivazioni di rete: funzionalità e tecnologie avanzate
Tecnologia Mylinking™ con modalità di protezione “SpecFlow” e “FullLink”.
Tecnologia di protezione con commutazione a bypass rapido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia Mylinking™ “WebService” per l’inoltro/emissione dinamica delle policy.
Tecnologia Mylinking™ per il rilevamento intelligente dei pacchetti del battito cardiaco
Tecnologia Mylinking™ per la definizione dei pacchetti di battito cardiaco
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione del traffico intelligente Mylinking™
Tecnologia di bilanciamento dinamico del carico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, funzionalità "EasyConfig/AdvanceConfig")
Guida alla configurazione dell'interruttore di bypass a 3 derivazioni di rete
BYPASSSlot per modulo porta di protezione:
Questo slot può essere inserito nel modulo della porta di protezione BYPASS con velocità/numero di porte differenti. Sostituendo diversi tipi di moduli, è possibile supportare la protezione BYPASS di più collegamenti 10G/40G/100G.
MONITORSlot per modulo porta;
Questo slot può essere inserito nel modulo porta MONITOR con diverse velocità/porte. Può supportare l'implementazione di più dispositivi di monitoraggio seriale online con collegamento 10G/40G/100G sostituendo i modelli.
Regole di selezione del modulo
In base ai diversi collegamenti implementati e ai requisiti di installazione delle apparecchiature di monitoraggio, è possibile scegliere in modo flessibile diverse configurazioni di moduli per soddisfare le esigenze specifiche del proprio ambiente; si prega di seguire le seguenti regole durante la selezione:
1. I componenti dello chassis sono obbligatori e devi selezionarli prima di selezionare qualsiasi altro modulo. Allo stesso tempo, scegli il metodo di alimentazione (CA/CC) più adatto alle tue esigenze.
2. L'intera macchina supporta fino a 2 slot per moduli BYPASS e 1 slot per moduli MONITOR; non è possibile selezionare un numero di slot superiore a quello configurabile. In base alla combinazione del numero di slot e del modello del modulo, il dispositivo può supportare fino a quattro protezioni di collegamento 10GE; oppure fino a quattro collegamenti 40GE; oppure fino a un collegamento 100GE.
3. Il modulo modello "BYP-MOD-L1CG" può essere inserito solo nello SLOT1 per funzionare correttamente.
4. Il modulo di tipo "BYP-MOD-XXX" può essere inserito solo nello slot del modulo BYPASS; il modulo di tipo "MON-MOD-XXX" può essere inserito solo nello slot del modulo MONITOR per il normale funzionamento.
| Modello di prodotto | Parametri di funzione |
| Chassis (Host) | |
| ML-BYPASS-M200 | Montaggio rack standard 1U da 19 pollici; consumo energetico massimo 250 W; host di protezione BYPASS modulare; 2 slot per moduli BYPASS; 1 slot per moduli MONITOR; alimentazione CA e CC opzionali; |
| MODULO BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Supporta la protezione seriale del collegamento 10GE bidirezionale, interfaccia 4*10GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico monomodale/multimodale opzionale, supporta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Supporta la protezione seriale del collegamento 40GE bidirezionale, interfaccia 4*40GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico monomodale/multimodale opzionale, supporta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Supporta la protezione seriale del collegamento 100GE a 1 canale, interfaccia 2*100GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico multimodale singolo opzionale, supporta 100GBASE-SR4/LR4; |
| MODULO MONITOR | |
| MON-MOD-L16XG | Modulo con 16 porte di monitoraggio SFP+ 10GE; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8XG | Modulo con 8 porte di monitoraggio SFP+ 10GE; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L2CG | Modulo con 2 porte di monitoraggio 100GE QSFP28; nessun modulo ricetrasmettitore ottico; |
| MON-MOD-L8QXG | Modulo con 8 porte di monitoraggio 40GE QSFP+; nessun modulo ricetrasmettitore ottico; |
Specifiche dell'interruttore di bypass TAP di rete a 4 porte
| Modalità del prodotto | Interruttore di bypass seriale ML-BYPASS-M200 | |
| Tipo di interfaccia | Interfaccia MGT | 1*10/100/1000BASE-T Interfaccia di gestione adattiva; Supporto per la gestione remota HTTP/IP |
| Slot per modulo | 2 slot per modulo BYPASS; 1 slot per modulo MONITOR; | |
| Collegamenti che supportano il massimo | Il dispositivo supporta un massimo di 4 collegamenti 10GE, 4 collegamenti 40GE o 1 collegamento 100GE. | |
| Monitor | Il dispositivo supporta un massimo di 16 porte di monitoraggio 10GE, 8 porte di monitoraggio 40GE o 2 porte di monitoraggio 100GE; | |
| Funzione | Capacità di elaborazione full duplex | 640 Gbps |
| Protezione della cascata di traffico specifica basata su tuple IP/protocollo/porta | Supporto | |
| Protezione a cascata basata sul traffico completo | Supporto | |
| Bilanciamento di carichi multipli | Supporto | |
| Funzione personalizzata di rilevamento del battito cardiaco | Supporto | |
| Supporto indipendente dal pacchetto Ethernet | Supporto | |
| INTERRUTTORE DI BYPASS | Supporto | |
| Interruttore BYPASS senza flash | Supporto | |
| CONSOLE MGT | Supporto | |
| GESTIONE IP/WEB | Supporto | |
| Gestione SNMP V1/V2C | Supporto | |
| GESTIONE TELNET/SSH | Supporto | |
| Protocollo SYSLOG | Supporto | |
| Autorizzazione utente | Basato su autorizzazione tramite password/AAA/TACACS+ | |
| Elettrico | tensione di alimentazione nominale | AC-220V/DC-48V【Opzionale】 |
| frequenza di potenza nascosta | 50 Hz | |
| Corrente di ingresso nominale | CA 3A / CC 10A | |
| Potere di valutazione | 100W | |
| Ambiente | Temperatura di lavoro | 0-50℃ |
| Temperatura di conservazione | -20-70℃ | |
| Umidità di lavoro | 10%-95%, nessuna condensa | |
| Configurazione utente | Configurazione della console | Interfaccia RS232,115200,8,N,1 |
| Interfaccia MGT fuori banda | 1 interfaccia Ethernet 10/100/1000M | |
| autorizzazione tramite password | Supporto | |
| Altezza del telaio | Spazio del telaio (U) | 1U 19 pollici, 485 mm*44,5 mm*350 mm |
5- Applicazione dell'interruttore di bypass TAP di rete (come di seguito)
Di seguito viene illustrato un tipico schema di implementazione di un IPS (Intrusion Prevention System) e di un FW (Firewall). L'IPS/FW viene installato in serie tra le apparecchiature di rete (router, switch, ecc.) e il traffico viene instradato attraverso controlli di sicurezza, determinando se consentire o bloccare il traffico corrispondente in base alla policy di sicurezza applicata, al fine di garantire la protezione della rete.
Allo stesso tempo, possiamo osservare che IPS/FW sono dispositivi installati in serie, solitamente in posizioni chiave della rete aziendale per implementare la sicurezza seriale. L'affidabilità dei dispositivi ad essi collegati influisce direttamente sulla disponibilità complessiva della rete aziendale. In caso di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy, ecc., dei dispositivi seriali, la disponibilità dell'intera rete aziendale ne risentirà gravemente. A questo punto, l'unico modo per ripristinare la rete è interrompere la connessione o utilizzare ponticelli di bypass fisici, compromettendo seriamente l'affidabilità della rete. IPS/FW e altri dispositivi seriali, da un lato, migliorano la sicurezza della rete aziendale, ma dall'altro ne riducono l'affidabilità, aumentando il rischio di indisponibilità della rete.
5.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ "Bypass Switch" viene installato in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non passa più direttamente attraverso l'IPS/FW. Il "Bypass Switch" collega l'IPS/FW all'IPS/FW. Quando l'IPS/FW si guasta a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy o altre condizioni, il "Bypass Switch" rileva tempestivamente il problema tramite la funzione intelligente di rilevamento dei messaggi heartbeat, bypassando così il dispositivo difettoso e consentendo la connessione diretta e rapida delle apparecchiature di rete per proteggere la normale rete di comunicazione. Al ripristino del guasto dell'IPS/FW, il "Bypass Switch" rileva tempestivamente il problema tramite la funzione intelligente di rilevamento dei pacchetti heartbeat, ripristinando il collegamento originale e garantendo la sicurezza della rete aziendale.
Mylinking™ "Bypass Switch" dispone di una potente funzione intelligente di rilevamento del messaggio heartbeat. L'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per il test di integrità, ad esempio inviando il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW e quindi ricevendolo dalla porta upstream/downstream dell'IPS/FW, e valutando se l'IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
5.3 Politica “SpecFlow” Flusso Trazione in linea Protezione Serie
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di pre-elaborazione del traffico "Bypass Switch" di Mylinking™, attraverso la strategia di filtraggio del traffico, il traffico "interessato" del dispositivo di sicurezza viene inviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo mantiene la normale applicazione della funzione di rilevamento della sicurezza del dispositivo di sicurezza, ma riduce anche il flusso inefficiente di gestione della pressione sulle apparecchiature di sicurezza; allo stesso tempo, il "Bypass Switch" può rilevare lo stato di funzionamento del dispositivo di sicurezza in tempo reale. Il dispositivo di sicurezza funziona in modo anomalo, bypassando direttamente il traffico dati per evitare l'interruzione del servizio di rete.
Mylinking™ Traffic Bypass Protector è in grado di identificare il traffico in base agli identificatori dell'intestazione dei livelli L2-L4, come tag VLAN, indirizzo MAC di origine/destinazione, indirizzo IP di origine, tipo di pacchetto IP, porta del protocollo di trasporto, tag chiave dell'intestazione del protocollo e così via. È possibile definire in modo flessibile una varietà di combinazioni di condizioni di corrispondenza per definire i tipi di traffico specifici di interesse per un particolare dispositivo di sicurezza e può essere ampiamente utilizzato per l'implementazione di dispositivi di audit di sicurezza speciali (RDP, SSH, audit di database, ecc.).
5.4 Protezione in serie con carico bilanciato
Il "Bypass Switch" Mylinking™ viene installato in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a gestire i picchi di traffico del collegamento di rete, la funzione di bilanciamento del carico del dispositivo di protezione, che raggruppa il traffico di rete elaborato da più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione sul singolo IPS/FW e migliorare le prestazioni di elaborazione complessive per soddisfare le elevate esigenze di larghezza di banda dell'ambiente di implementazione.
Mylinking™ "Bypass Switch" dispone di una potente funzione di bilanciamento del carico che, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni, distribuisce il traffico tramite un hash per garantire l'integrità della sessione del flusso di dati ricevuto da ciascun IPS/FW.
5.5 Apparecchiature in linea multiserie con protezione contro la trazione del flusso (Modifica della connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come punti di accesso Internet, collegamenti di interscambio nell'area server) la posizione è spesso determinata dalle esigenze di sicurezza e dall'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDoS, firewall per applicazioni web, apparecchiature di prevenzione delle intrusioni, ecc.). La presenza simultanea di più apparecchiature di rilevamento della sicurezza in serie sul collegamento aumenta il numero di punti di guasto singoli, riducendo l'affidabilità complessiva della rete. Inoltre, l'implementazione in linea delle suddette apparecchiature di sicurezza, gli aggiornamenti, la sostituzione delle apparecchiature e altre operazioni possono causare lunghe interruzioni del servizio di rete e interventi di interruzione di progetti più ampi per il completamento con successo di tali progetti.
Grazie all'implementazione unificata del "Bypass Switch", la modalità di implementazione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata dalla "modalità di concatenazione fisica" alla "modalità di concatenazione fisica e logica". Il collegamento, in presenza di un singolo punto di guasto, migliora l'affidabilità del collegamento, mentre il "Bypass Switch" gestisce il flusso di dati su richiesta, garantendo lo stesso flusso di dati della modalità originale di elaborazione sicura.
Schema di installazione in serie di più dispositivi di sicurezza contemporaneamente:
Schema di installazione dell'interruttore di bypass TAP di rete Mylinking™:
5.6 Basato sulla strategia dinamica di rilevamento e protezione della sicurezza della trazione del traffico
"Interruttore di bypass" Un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione e rilevamento della sicurezza del traffico, la cui implementazione è illustrata di seguito:
Prendiamo ad esempio l'apparecchiatura di test di sicurezza "Anti-DDoS attack protection and detection", tramite l'implementazione front-end di uno "Switch di bypass" e quindi l'apparecchiatura di protezione anti-DDoS, quindi collegata allo "Switch di bypass", nel normale "Protezione di trazione" a tutto il traffico inoltrando contemporaneamente l'output mirror del flusso al "Dispositivo di protezione anti-DDoS attack protection". Una volta rilevato un attacco per un IP del server (o segmento di rete IP), il "Dispositivo di protezione anti-DDoS attack protection" genererà le regole di corrispondenza del flusso di traffico target e le invierà allo "Switch di bypass" tramite l'interfaccia di consegna delle policy dinamiche. Lo "Switch di bypass" può aggiornare il "Tracking dinamico del traffico" dopo aver ricevuto il pool di regole delle policy dinamiche e immediatamente la regola colpisce il traffico del server di attacco "trapping" verso l'apparecchiatura "Anti-DDoS attack protection and detection" per l'elaborazione, in modo che sia efficace dopo l'attacco e quindi reiniettato nella rete.
Lo schema applicativo basato su "Bypass Switch" è più facile da implementare rispetto alla tradizionale iniezione di route BGP o ad altri schemi di trazione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Bypass Switch" presenta le seguenti caratteristiche per supportare la protezione dinamica dal rilevamento della sicurezza delle policy:
1. "Bypass Switch" per fornire un accesso esterno alle regole basato sull'interfaccia WEBSERVICE, facile integrazione con dispositivi di sicurezza di terze parti.
2, "Bypass Switch" basato su un chip ASIC puro hardware che inoltra pacchetti a velocità di linea fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3. La funzione BYPASS professionale integrata "Bypass Switch" consente, anche in caso di guasto del dispositivo di protezione stesso, di bypassare immediatamente il collegamento seriale originale, senza compromettere la normale comunicazione.
