Mylinking™ nettverksbryter for bypass ML-BYPASS-100
2*Bypass pluss 1*Modular skjermdesign, 10/40/100GE-koblinger, maks. 640 Gbps
Oversikter
Mylinking™ Network Tap Bypass Switch er forsket på og utviklet for å brukes til fleksibel distribusjon av ulike typer innebygd sikkerhetsutstyr, samtidig som den gir høy nettverkspålitelighet.
Ved å implementere Mylinking™ Smart Bypass Switch Tap:
- Brukere kan fleksibelt installere/avinstallere sikkerhetsutstyr/-verktøy uten å påvirke eller avbryte det nåværende nettverket;
- Mylinking™ Network Tap Bypass Switch med intelligent helsedeteksjonsfunksjon for sanntidsovervåking av den normale driftstilstanden til innebygde sikkerhetsenheter. Når innebygde sikkerhetsenheter fungerer som unntak, vil beskyttelsesfunksjonen automatisk bypasse for å opprettholde normal nettverkskommunikasjon;
- Selektiv trafikkbeskyttelsesteknologi kan brukes til å distribuere spesifikt trafikkrensingssikkerhetsutstyr, krypteringsteknologi basert på revisjonsutstyr. Effektiv utførelse av innebygd tilgangsbeskyttelse for den spesifikke trafikktypen, avlasting av strømningshåndteringstrykket til innebygde enheten;
- Load Balanced Traffic Protection-teknologi kan brukes til klynget distribusjon av sikre serielle innebygde sikkerhetsenheter for å oppfylle innebygde sikkerhetskrav i miljøer med høy båndbredde.
Avanserte funksjoner og teknologier for nettverkstrykkbypassbryter
Mylinking™ «SpecFlow»-beskyttelsesmodus og «FullLink»-beskyttelsesmodus
Mylinking™ Fast Bypass Switching Protection
Mylinking™ «LinkSafeSwitch»
Mylinking™ «WebService» Dynamisk strategi for videresending/utstedelse
Mylinking™ intelligent hjerteslagmeldingsdeteksjon
Mylinking™ Definerbare hjerteslagmeldinger (hjerteslagpakker)
Mylinking™ lastbalansering for flere lenker
Mylinking™ intelligent trafikkdistribusjon
Mylinking™ dynamisk lastbalansering
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig»-karakteristikk)
Nettverkstrykkbypassbryter Valgfri konfigurasjonsveiledning
BYPASS-modulSpor for beskyttelsesportmodul:
Dette sporet kan settes inn i BYPASS-beskyttelsesportmodulen med ulik hastighet/portnummer. Ved å erstatte forskjellige typer moduler kan den støtte BYPASS-beskyttelse av flere 10G/40G/100G-lenkekrav.
MONITOR-modulPortmodulspor;
Dette sporet kan settes inn i MONITOR-modulen med forskjellige hastigheter/porter. Den kan støtte flere koblinger på 10G/40G/100G for distribusjon av innebygde serielle overvåkingsenheter ved å bytte ut forskjellige moduler.
Regler for modulvalg
Basert på ulike distribuerte koblinger og krav til distribusjon av overvåkingsutstyr, kan du fleksibelt velge ulike modulkonfigurasjoner for å møte dine faktiske miljøforespørsler. Følg følgende regler når du velger modul:
1. Chassiskomponentene er obligatoriske, og du må velge chassiskomponentene før du velger andre moduler. Samtidig bør du velge forskjellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele enheten støtter opptil 2 BYPASS-modulspor og 1 MONITOR-modulspor. Du kan ikke velge mer enn det angitte antallet spor å konfigurere. Basert på kombinasjonen av antall spor og modulmodellen, kan enheten støtte opptil fire 10GE-lenkebeskyttelser, eller den kan støtte opptil fire 40GE-lenker, eller den kan støtte opptil én 100GE-lenke.
3. Modulmodellen «BYP-MOD-L1CG» kan bare settes inn i SLOT1 for å fungere ordentlig.
4. Modultypen «BYP-MOD-XXX» kan bare settes inn i BYPASS-modulsporet; modultypen «MON-MOD-XXX» kan bare settes inn i MONITOR-modulsporet for normal drift.
| Produktmodell | Funksjonsparametere |
| Chassis (vert) | |
| ML-BYPASS-M100 | 1U standard 19-tommers rackmontering; maksimalt strømforbruk 250 W; modulær BYPASS-beskyttelsesvert; 2 BYPASS-modulspor; 1 MONITOR-modulspor; AC og DC valgfritt; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG (LM/SM) | Støtter 2-veis 10GE-lenke seriell beskyttelse, 4*10GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke single-/multimodus valgfritt, støtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Støtter 2-veis 40GE-lenke seriell beskyttelse, 4*40GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke single-/multimodus valgfritt, støtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Støtter 1-kanals 100GE-lenke seriell beskyttelse, 2*100GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke enkelt multimodus valgfritt, støtter 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MAN-MOD-L16XG | 16*10GE SFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L8XG | 8*10GE SFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L2CG | 2*100GE QSFP28 overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L8QXG | 8* 40GE QSFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
Spesifikasjoner for nettverks-TAP-bypassbryter
| Produktmodalitet | ML-BYPASS-M100 Innebygd nettverksbryter for bypass | |
| Type grensesnitt | MGT-grensesnitt | 1*10/100/1000BASE-T adaptivt administrasjonsgrensesnitt; Støtter ekstern HTTP/IP-administrasjon |
| Modulspor | 2*BYPASS-modulspor; 1*MONITOR-modulspor; | |
| Lenker som støtter maksimalt | Enheten støtter maksimalt 4*10GE-lenker eller 4*40GE-lenker eller 1*100GE-lenker | |
| Overvåking | Enheten støtter maksimalt 16 * 10GE overvåkingsporter eller 8 * 40GE overvåkingsporter eller 2 * 100GE overvåkingsporter; | |
| Funksjon | Full dupleksbehandlingskapasitet | 640 Gbps |
| Basert på IP/protokoll/port fem tuplespesifikk trafikkaskadebeskyttelse | Støttet | |
| Kaskadebeskyttelse basert på full trafikk | Støttet | |
| Flere lastbalanseringer | Støttet | |
| Tilpasset hjerteslagdeteksjonsfunksjon | Støttet | |
| Støtte for uavhengighet av Ethernet-pakker | Støttet | |
| BYPASS-BRYTER | Støttet | |
| BYPASS-bryter uten blits | Støttet | |
| KONSOLLLEDELSE | Støttet | |
| IP/NETT-administrasjon | Støttet | |
| SNMP V1/V2C-administrasjon | Støttet | |
| TELNET/SSH-administrasjon | Støttet | |
| SYSLOG-protokollen | Støttet | |
| Brukerautorisasjon | Basert på passordautorisasjon/AAA/TACACS+ | |
| Elektrisk | Nominell forsyningsspenning | AC-220V/DC-48V 【Valgfritt】 |
| Nominell effektfrekvens | 50 Hz | |
| Nominell inngangsstrøm | AC-3A / DC-10A | |
| Nominell effekt | 100W | |
| Miljø | Arbeidstemperatur | 0-50℃ |
| Lagringstemperatur | -20–70 ℃ | |
| Arbeidsfuktighet | 10%–95%, ingen kondens | |
| Brukerkonfigurasjon | Konsollkonfigurasjon | RS232-grensesnitt, 115200, 8, N, 1 |
| MGT-grensesnitt utenfor båndet | 1*10/100/1000M Ethernet-grensesnitt | |
| Passordautorisasjon | Støttet | |
| Chassis høyde | Chassisplass (U) | 1U 19 tommer, 485 mm * 44,5 mm * 350 mm |
Nettverk TAP Bypass Switch-applikasjon (som følger)
5.1 Risikoen ved innebygd sikkerhetsutstyr (IPS / FW)
Følgende er en typisk IPS (Intrusion Prevention System) distribusjonsmodus for FW (Firewall). IPS/FW distribueres som innebygd nettverksutstyr (som rutere, svitsjer osv.) mellom trafikken gjennom implementering av sikkerhetskontroller, i henhold til tilsvarende sikkerhetspolicy for å bestemme utgivelse eller blokkering av tilsvarende trafikk, for å oppnå effekten av sikkerhetsforsvar.
Samtidig kan vi observere IPS (Intrusion Prevention System) / FW (Firewall) som en innebygd distribusjon av utstyr, vanligvis distribuert på viktige steder i bedriftsnettverket for å implementere innebygd sikkerhet. Påliteligheten til de tilkoblede enhetene påvirker direkte den generelle tilgjengeligheten til bedriftsnettverket. Når innebygde sikkerhetsenheter overbelastes, krasjer, programvareoppdateringer, policyoppdateringer osv., vil hele tilgjengeligheten til bedriftsnettverket bli sterkt påvirket. På dette tidspunktet kan vi bare gjenopprette nettverket gjennom nettverkskutt og fysisk bypass-jumper, men det påvirker nettverkets pålitelighet alvorlig. IPS (Intrusion Prevention System) / FW (Firewall) og andre innebygde enheter forbedrer på den ene siden sikkerheten i bedriftsnettverket, men reduserer på den andre siden også påliteligheten til bedriftsnettverkene, noe som øker risikoen for at nettverket ikke er tilgjengelig.
5.2 Beskyttelse av utstyr i Inline Link-serien
Mylinking™ «Bypass Switch» brukes som en innebygd forbindelse mellom nettverksenheter (rutere, svitsjer osv.). Dataflyten mellom nettverksenheter går ikke lenger direkte til IPS (Intrusion Prevention System) / FW (Firewall), og «Bypass Switch» går ikke lenger direkte til IPS/FW. Når IPS/FW oppstår på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre feiltilstander, kan «Bypass Switch» oppdage feil i tide gjennom intelligent hjerteslagmeldingsdeteksjon, og dermed hoppe over defekte enheter uten å avbryte nettverkets premisser. Nettverksutstyr kobles raskt direkte til for å beskytte det normale kommunikasjonsnettverket. Når IPS/FW feiler, kan også intelligent hjerteslagpakkedeteksjon, som oppdager feil i tide, gjenopprette den opprinnelige koblingen for å kontrollere sikkerheten til bedriftsnettverket.
Mylinking™ «Bypass Switch» har en kraftig intelligent funksjon for deteksjon av hjerteslagmeldinger. Brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk gjennom en tilpasset hjerteslagmelding på IPS/FW for helsetesting, for eksempel å sende hjerteslagsjekkmeldingen til oppstrøms-/nedstrømsporten på IPS/FW, og deretter motta fra oppstrøms-/nedstrømsporten på IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
5.3 «SpecFlow»-policy for strømningsbeskyttelse i linje med trekkraftserie
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i seriebeskyttelse, sendes trafikk per prosessering via Mylinking™ «Network Tap Bypass Switch»-funksjonen, og trafikkscreeningsstrategien for å koble sikkerhetsenhetens «berørte» trafikk sendes direkte tilbake til nettverkskoblingen, og den «berørte trafikkdelen» trekkes til den innebygde sikkerhetsenheten for å utføre sikkerhetskontroller. Dette vil ikke bare opprettholde normal bruk av sikkerhetsdeteksjonsfunksjonen til sikkerhetsenheten, men også redusere den ineffektive flyten til sikkerhetsutstyret for å håndtere trykket. Samtidig kan «Network Tap Bypass Switch» oppdage sikkerhetsenhetens driftstilstand i sanntid. Sikkerhetsenheten fungerer unormalt og omgår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
Mylinking™ Inline Traffic Bypass Tap kan identifisere trafikk basert på L2-L4-lagsheaderidentifikatoren, for eksempel VLAN-tag, kilde-/destinasjons-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokollport, protokollheadernøkkeltagg og så videre. En rekke fleksible kombinasjoner av samsvarende betingelser kan defineres fleksibelt for å definere de spesifikke trafikktypene som er av interesse for en bestemt sikkerhetsenhet, og kan brukes mye for utplassering av spesielle sikkerhetsrevisjonsenheter (RDP, SSH, databaserevisjon osv.).
5.4 Lastbalansert seriebeskyttelse
Mylinking™ «Network Tap Bypass Switch» brukes som en innebygd bryter mellom nettverksenheter (rutere, svitsjer osv.). Når en enkelt IPS/FW-behandlingsytelse ikke er tilstrekkelig til å håndtere topptrafikk i nettverkskoblingen, kan trafikkbalanseringsfunksjonen til beskytteren, «bundling» av flere IPS/FW-klyngebehandlingstrafikk i nettverkskoblingen, effektivt redusere behandlingstrykket på enkeltstående IPS/FW og forbedre den generelle behandlingsytelsen for å møte kravene til distribusjonsmiljøet med høy båndbredde.
Mylinking™ «Network Tap Bypass Switch» har en kraftig lastbalanseringsfunksjon som fordeler trafikken med hash-lastbalansering i henhold til rammens VLAN-tag, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon for å sikre at hver IPS/FW mottar dataflyt og sesjonsintegritet.
5.5 Beskyttelse mot strømningstrekk i flerserieutstyr (endre seriekobling til parallellkobling)
I noen viktige lenker (som internettuttak, serverområdeutvekslingslenker) skyldes plasseringen ofte behovet for sikkerhetsfunksjoner og utplassering av flere innebygde sikkerhetstestutstyr (som brannmur (FW), anti-DDOS-angrepsutstyr, WEB Application Firewall (WAF), Intrusion Prevention System (IPS), osv.), og flere sikkerhetsdeteksjonsutstyr i serie på lenken øker lenkens effektivitet fra ett enkelt feilpunkt, noe som reduserer nettverkets generelle pålitelighet. Og i den ovennevnte nettbaserte utplasseringen av sikkerhetsutstyr, utstyrsoppgraderinger, utstyrsutskiftninger og andre operasjoner, vil det føre til langvarige nettverksavbrudd og større prosjektkutt for å fullføre en vellykket implementering av slike prosjekter.
Ved å distribuere "Network Tap Bypass Switch" på en enhetlig måte, kan distribusjonsmodusen for flere sikkerhetsenheter koblet i serie på samme lenke endres fra "fysisk sammenkoblingsmodus" til "fysisk sammenkoblingsmodus, logisk sammenkoblingsmodus". Lenken på lenken til et enkelt feilpunkt for å forbedre påliteligheten til lenken, mens "bypass-bryteren" på lenken flyter på forespørsel, for å oppnå samme flyt med den opprinnelige modusen for sikker behandlingseffekt.
Mer enn én sikkerhetsenhet samtidig som innebygd distribusjonsdiagram:
Diagram for implementering av Mylinking™ Network TAP Bypass Switch:
5.6 Basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelse
"Nettverksuttak-bypassbryter" Et annet avansert applikasjonsscenario er basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelsesapplikasjoner, distribusjonen av måten som vist nedenfor:
Ta for eksempel sikkerhetstestutstyret "Anti-DDoS-angrepsbeskyttelse og -deteksjon", gjennom frontend-distribusjon av "Network Tap Bypass Switch" og deretter anti-DDoS-beskyttelsesutstyr, og deretter koblet til "Network Tap Bypass Switch". I den vanlige "Traction Protector" sendes full trafikkmengde med kabelhastighet videre, samtidig som flytspeilet sendes til "anti-DDoS-angrepsbeskyttelsesenheten". Når en server-IP (eller IP-nettverkssegment) er oppdaget etter angrepet, genererer "anti-DDoS-angrepsbeskyttelsesenheten" måltrafikkflytmatchingsregler og sender dem til "Network Tap Bypass Switch" via det dynamiske policyleveringsgrensesnittet. "Network Tap Bypass Switch" kan oppdatere "trafikktrekkingsdynamikken" etter å ha mottatt den dynamiske policyregelpoolen "og umiddelbart" treffe angrepsservertrafikken "trekking til "anti-DDoS-angrepsbeskyttelses- og -deteksjonsutstyret" for behandling, slik at den er effektiv etter angrepsflyten og deretter injiseres på nytt i nettverket.
Applikasjonsskjemaet basert på «Network Tap Bypass Switch» er enklere å implementere enn den tradisjonelle BGP-ruteinjeksjonen eller andre trafikktrekkskjemaer, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
"Network Tap Bypass Switch" har følgende egenskaper for å støtte dynamisk policysikkerhetsdeteksjonsbeskyttelse:
1. «Network Tap Bypass Switch» for å tilby tjenester utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrering med tredjeparts sikkerhetsenheter.
2, «BNetwork Tap Bypass Switch» basert på ren ASIC-brikke for maskinvare som videresender pakker med kabelhastighet på opptil 10 Gbps uten å blokkere videresending av svitsjen, og «dynamisk regelbibliotek for trafikktrekking» uavhengig av antall.
3. Den innebygde profesjonelle BYPASS-funksjonen "Network Tap Bypass Switch" kan omgå den opprinnelige serielle lenken umiddelbart, selv om selve beskytteren svikter, uten å påvirke den opprinnelige lenken til normal kommunikasjon.
