Mylinking™ nettverksbryter for bypass ML-BYPASS-200
2*Bypass pluss 1*Modular skjermdesign, 10/40/100GE-koblinger, maks. 640 Gbps
1-Oversikter
Ved å bruke Mylinking™ Smart Bypass Switch:
- Brukere kan fleksibelt installere/avinstallere sikkerhetsutstyr uten å påvirke det nåværende nettverket eller avbryte det;
- Mylinking™ Network Tap Bypass Switch med intelligent helsedeteksjonsfunksjon for sanntidsovervåking av den normale driftstilstanden til den serielle sikkerhetsenheten. Når det oppstår et unntak i den serielle sikkerhetsenheten, vil beskyttelsen automatisk omgås for å opprettholde normal nettverkskommunikasjon.
- Selektiv trafikkbeskyttelsesteknologi kan brukes til å distribuere spesifikt trafikkrensingssikkerhetsutstyr, krypteringsteknologi basert på revisjonsutstyr. Effektiv seriell tilgangsbeskyttelse for den spesifikke trafikktypen, og avlaste strømningshåndteringstrykket til serieenheten;
- Load Balanced Traffic Protection-teknologi kan brukes til klynget distribusjon av sikre serielle enheter for å møte behovet for seriell sikkerhet i miljøer med høy båndbredde.
Med den raske utviklingen av internett blir trusselen mot nettverksinformasjonssikkerhet stadig mer alvorlig, så en rekke informasjonssikkerhetsapplikasjoner brukes stadig mer. Enten det er tradisjonelt tilgangskontrollutstyr (brannmur) eller en ny type mer avanserte beskyttelsesmidler som inntrengingsforebyggingssystem (IPS), Unified Threat Management Platform (UTM), Anti-DDoS (Anti-Denial Service Attack System), Anti-Span Gateway, Unified DPI Traffic Identification and Control System, og mange sikkerhetsenheter er distribuert i serie i nettverkets nøkkelnoder, og implementeringen av den tilhørende datasikkerhetspolicyen identifiserer og håndterer lovlig/ulovlig trafikk. Samtidig vil imidlertid datanettverket generere en stor nettverksforsinkelse eller til og med nettverksforstyrrelser i tilfelle failover, vedlikehold, oppgradering, utskifting av utstyr og så videre, i et svært pålitelig produksjonsnettverksapplikasjonsmiljø, det kan ikke brukerne tåle.
Avanserte funksjoner og teknologier for 2-nettverks tap-bypassbryter
Mylinking™ «SpecFlow»-beskyttelsesmodus og «FullLink»-beskyttelsesmodusteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ «LinkSafeSwitch»-teknologi
Mylinking™ «WebService» Dynamisk strategi for videresending/utstedelse av meldinger
Mylinking™ intelligent teknologi for gjenkjenning av hjerteslagmeldinger
Mylinking™ Definerbare hjerteslagmeldingsteknologi
Mylinking™ Multi-link lastbalanseringsteknologi
Mylinking™ intelligent trafikkdistribusjonsteknologi
Mylinking™ dynamisk lastbalanseringsteknologi
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig»-karakteristikk)
Konfigurasjonsveiledning for 3-nettverksbryter for omkobling
OMKJØRINGSpor for beskyttelsesportmodul:
Dette sporet kan settes inn i BYPASS-beskyttelsesportmodulen med ulik hastighet/portnummer. Ved å erstatte forskjellige typer moduler kan den støtte BYPASS-beskyttelse av flere 10G/40G/100G-lenker.
FØLGEPortmodulspor;
Dette sporet kan settes inn i MONITOR-portmodulen med forskjellige hastigheter/porter. Den kan støtte distribusjon av flere serielle overvåkingsenheter med 10G/40G/100G-lenke ved å erstatte forskjellige modeller.
Regler for modulvalg
Basert på ulike distribuerte koblinger og krav til distribusjon av overvåkingsutstyr, kan du fleksibelt velge ulike modulkonfigurasjoner for å møte dine faktiske miljøbehov. Følg følgende regler når du velger:
1. Chassiskomponentene er obligatoriske, og du må velge chassiskomponentene før du velger andre moduler. Samtidig bør du velge forskjellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele maskinen støtter opptil 2 BYPASS-modulspor og 1 MONITOR-modulspor. Du kan ikke velge mer enn det angitte antallet spor å konfigurere. Basert på kombinasjonen av antall spor og modulmodellen, kan enheten støtte opptil fire 10GE-lenkebeskyttelser, eller den kan støtte opptil fire 40GE-lenker, eller den kan støtte opptil én 100GE-lenke.
3. Modulmodellen «BYP-MOD-L1CG» kan bare settes inn i SLOT1 for å fungere ordentlig.
4. Modultypen «BYP-MOD-XXX» kan bare settes inn i BYPASS-modulsporet; modultypen «MON-MOD-XXX» kan bare settes inn i MONITOR-modulsporet for normal drift.
| Produktmodell | Funksjonsparametere |
| Chassis (vert) | |
| ML-BYPASS-M200 | 1U standard 19-tommers rackmontering; maksimalt strømforbruk 250 W; modulær BYPASS-beskyttelsesvert; 2 BYPASS-modulspor; 1 MONITOR-modulspor; AC og DC valgfritt; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Støtter 2-veis 10GE-lenke seriell beskyttelse, 4*10GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke single-/multimodus valgfritt, støtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Støtter 2-veis 40GE-lenke seriell beskyttelse, 4*40GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke single-/multimodus valgfritt, støtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Støtter 1-kanals 100GE-lenke seriell beskyttelse, 2*100GE-grensesnitt, LC-kontakt; innebygd optisk sender/mottaker; optisk lenke enkelt multimodus valgfritt, støtter 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MAN-MOD-L16XG | 16*10GE SFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L8XG | 8*10GE SFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L2CG | 2*100GE QSFP28 overvåkingsportmodul; ingen optisk transceivermodul; |
| MAN-MOD-L8QXG | 8* 40GE QSFP+ overvåkingsportmodul; ingen optisk transceivermodul; |
Spesifikasjoner for 4-nettverks TAP-bypassbryter
| Produktmodalitet | ML-BYPASS-M200 seriell bypassbryter | |
| Type grensesnitt | MGT-grensesnitt | 1*10/100/1000BASE-T adaptivt administrasjonsgrensesnitt; Støtter ekstern HTTP/IP-administrasjon |
| Modulspor | 2*BYPASS-modulspor; 1*MONITOR-modulspor; | |
| Lenker som støtter maksimalt | Enheten støtter maksimalt 4*10GE-lenker eller 4*40GE-lenker eller 1*100GE-lenker | |
| Følge | Enheten støtter maksimalt 16 * 10GE overvåkingsporter eller 8 * 40GE overvåkingsporter eller 2 * 100GE overvåkingsporter; | |
| Funksjon | Full dupleksbehandlingskapasitet | 640 Gbps |
| Basert på IP/protokoll/port fem tuplespesifikk trafikkaskadebeskyttelse | Støtte | |
| Kaskadebeskyttelse basert på full trafikk | Støtte | |
| Flere lastbalanseringer | Støtte | |
| Tilpasset hjerteslagdeteksjonsfunksjon | Støtte | |
| Støtte for uavhengighet av Ethernet-pakker | Støtte | |
| BYPASS-BRYTER | Støtte | |
| BYPASS-bryter uten blits | Støtte | |
| KONSOLLLEDELSE | Støtte | |
| IP/NETT-administrasjon | Støtte | |
| SNMP V1/V2C-administrasjon | Støtte | |
| TELNET/SSH-administrasjon | Støtte | |
| SYSLOG-protokollen | Støtte | |
| Brukerautorisasjon | Basert på passordautorisasjon/AAA/TACACS+ | |
| Elektrisk | Nominell forsyningsspenning | AC-220V/DC-48V 【Valgfritt】 |
| Nominell effektfrekvens | 50 Hz | |
| Nominell inngangsstrøm | AC-3A / DC-10A | |
| Nominell effekt | 100W | |
| Miljø | Arbeidstemperatur | 0-50℃ |
| Lagringstemperatur | -20–70 ℃ | |
| Arbeidsfuktighet | 10%–95%, ingen kondens | |
| Brukerkonfigurasjon | Konsollkonfigurasjon | RS232-grensesnitt, 115200, 8, N, 1 |
| MGT-grensesnitt utenfor båndet | 1*10/100/1000M Ethernet-grensesnitt | |
| Passordautorisasjon | Støtte | |
| Chassis høyde | Chassisplass (U) | 1U 19 tommer, 485 mm * 44,5 mm * 350 mm |
5-nettverks TAP-bypassbryterapplikasjon (som følger)
Følgende er en typisk IPS (Intrusion Prevention System)-distribusjonsmodus for FW (Firewall). IPS/FW distribueres i serie med nettverksutstyret (rutere, svitsjer osv.) gjennom sikkerhetskontroller. I henhold til tilhørende sikkerhetspolicy bestemmes om trafikken skal frigjøres eller blokkeres for å oppnå en sikkerhetsforsvarseffekt.
Samtidig kan vi observere IPS/FW som seriell utplassering av utstyr, vanligvis distribuert på viktige steder i bedriftsnettverket for å implementere seriell sikkerhet. Påliteligheten til de tilkoblede enhetene påvirker direkte den generelle tilgjengeligheten til bedriftsnettverket. Når serielle enheter overbelastes, krasjer, programvareoppdateringer, policyoppdateringer osv., vil hele tilgjengeligheten til bedriftsnettverket bli sterkt påvirket. På dette tidspunktet kan vi bare gjenopprette nettverket gjennom nettverkskutt og fysisk bypass-jumper, noe som påvirker nettverkets pålitelighet alvorlig. IPS/FW og andre serielle enheter forbedrer på den ene siden sikkerheten i utplasseringen av bedriftsnettverk, men reduserer på den annen side også påliteligheten til bedriftsnettverkene, noe som øker risikoen for at nettverket ikke er tilgjengelig.
5.2 Beskyttelse av utstyr i Inline Link-serien
Mylinking™ «Bypass Switch» distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.), og dataflyten mellom nettverksenheter går ikke lenger direkte til IPS/FW. «Bypass Switch» går til IPS/FW. Når IPS/FW oppstår på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre feiltilstander, oppdager «Bypass Switch» feilen rettidig gjennom intelligent hjerteslagmeldingsdeteksjon. Dermed hopper de defekte enheter over, uten å avbryte nettverkets premisser. Nettverksutstyr kobles raskt direkte til for å beskytte det normale kommunikasjonsnettverket. Når IPS/FW-feil oppstår, kan også intelligente hjerteslagpakkedeteksjonsfunksjoner oppdage feilen rettidig, og gjenoppretter dermed sikkerheten til bedriftsnettverket.
Mylinking™ «Bypass Switch» har en kraftig intelligent funksjon for deteksjon av hjerteslagmeldinger. Brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk gjennom en tilpasset hjerteslagmelding på IPS/FW for helsetesting, for eksempel å sende hjerteslagsjekkmeldingen til oppstrøms-/nedstrømsporten på IPS/FW, og deretter motta fra oppstrøms-/nedstrømsporten på IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
5.3 «SpecFlow»-policy for strømningsbeskyttelse i linje med trekkraftserie
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i seriebeskyttelse, sendes trafikk per prosessering via Mylinking™ «Bypass Switch»-funksjonen, og trafikkscreeningsstrategien for å koble sikkerhetsenhetens «berørte» trafikk sendes direkte tilbake til nettverkskoblingen, og den «berørte trafikkdelen» trekkes til den innebygde sikkerhetsenheten for å utføre sikkerhetskontroller. Dette vil ikke bare opprettholde normal bruk av sikkerhetsdeteksjonsfunksjonen til sikkerhetsenheten, men også redusere den ineffektive flyten til sikkerhetsutstyret for å håndtere trykket. Samtidig kan «Bypass Switch» oppdage sikkerhetsenhetens driftstilstand i sanntid. Sikkerhetsenheten fungerer unormalt og omgår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
Mylinking™ Traffic Bypass Protector kan identifisere trafikk basert på L2-L4-lagsheaderidentifikatoren, for eksempel VLAN-tag, kilde-/destinasjons-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokollport, protokollheadernøkkeltagg og så videre. En rekke fleksible kombinasjoner av samsvarende betingelser kan defineres fleksibelt for å definere de spesifikke trafikktypene som er av interesse for en bestemt sikkerhetsenhet, og kan brukes mye for utplassering av spesielle sikkerhetsrevisjonsenheter (RDP, SSH, databaserevisjon osv.).
5.4 Lastbalansert seriebeskyttelse
Mylinking™ «Bypass Switch» distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.). Når en enkelt IPS/FW-behandlingsytelse ikke er tilstrekkelig til å håndtere topptrafikk i nettverkskoblingen, kan trafikkbalanseringsfunksjonen til beskytteren, «bundling» av flere IPS/FW-klynger som behandler nettverkskoblingstrafikk, effektivt redusere behandlingstrykket på enkeltstående IPS/FW og forbedre den generelle behandlingsytelsen for å møte kravene til distribusjonsmiljøet med høy båndbredde.
Mylinking™ «Bypass Switch» har en kraftig lastbalanseringsfunksjon som fordeler trafikken med hash-lastbalansering i henhold til rammens VLAN-tag, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon for å sikre at hver IPS/FW mottar dataflyt og sesjonsintegritet.
5.5 Beskyttelse mot strømningstrekk i flerserieutstyr (endre seriekobling til parallellkobling)
I noen viktige lenker (som internettuttak, serverområdeutvekslingslenker) skyldes plasseringen ofte behovet for sikkerhetsfunksjoner og utplassering av flere innebygde sikkerhetstestutstyr (som brannmurer, anti-DDOS-angrepsutstyr, WEB-applikasjonsbrannmurer, inntrengingsforebyggende utstyr, osv.), for å øke koblingens effektivitet ved å seriekoble flere sikkerhetsdeteksjonsutstyr på lenkene, noe som reduserer nettverkets generelle pålitelighet. Og i den ovennevnte nettbaserte utplasseringen av sikkerhetsutstyr, utstyrsoppgraderinger, utstyrsutskiftninger og andre operasjoner, vil det føre til langvarige nettverksavbrudd og større prosjektkutt for å fullføre en vellykket implementering av slike prosjekter.
Ved å distribuere "Bypass-bryteren" på en enhetlig måte, kan distribusjonsmodusen for flere sikkerhetsenheter koblet i serie på samme lenke endres fra "fysisk sammenkoblingsmodus" til "fysisk sammenkoblingsmodus, logisk sammenkoblingsmodus". Lenken på lenken til et enkelt feilpunkt for å forbedre påliteligheten til lenken, mens "bypass-bryteren" på lenken flyter på forespørsel, for å oppnå samme flyt med den opprinnelige modusen for sikker behandlingseffekt.
Mer enn én sikkerhetsenhet samtidig i seriedistribusjonsdiagram:
Diagram for implementering av Mylinking™ Network TAP Bypass Switch:
5.6 Basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelse
"Bypass-bryter" Et annet avansert applikasjonsscenario er basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelsesapplikasjoner, distribusjonen av veien som vist nedenfor:
Ta for eksempel sikkerhetstestutstyret "Anti-DDoS-angrepsbeskyttelse og -deteksjon", gjennom frontend-distribusjon av "Bypass Switch" og deretter anti-DDoS-beskyttelsesutstyr, og deretter koblet til "Bypass Switch". I den vanlige "Traction Protector" sendes full trafikkmengde med kabelhastighet videre, samtidig som flytspeilet sendes til "anti-DDoS-angrepsbeskyttelsesenheten". Når en server-IP (eller IP-nettverkssegment) er oppdaget etter angrepet, genererer "anti-DDoS-angrepsbeskyttelsesenheten" måltrafikkflytmatchingsregler og sender dem til "Bypass Switch" via det dynamiske policyleveringsgrensesnittet. "Bypass Switch" kan oppdatere "trafikktrekkingsdynamikken" etter å ha mottatt den dynamiske policyregelpoolen "og umiddelbart" treffe angrepsservertrafikken "trekking til "anti-DDoS-angrepsbeskyttelses- og -deteksjonsutstyret" for behandling, slik at den er effektiv etter angrepsflyten og deretter injiseres på nytt i nettverket.
Applikasjonsskjemaet basert på «Bypass Switch» er enklere å implementere enn tradisjonell BGP-ruteinjeksjon eller annen trafikktrekkordning, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
«Bypass Switch» har følgende egenskaper for å støtte dynamisk policysikkerhetsdeteksjonsbeskyttelse:
1. «Bypass Switch» for å tilby tjenester utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrering med tredjeparts sikkerhetsenheter.
2, «Bypass Switch» basert på ren ASIC-brikke for maskinvare som videresender pakker med kabelhastighet på opptil 10 Gbps uten å blokkere videresending av svitsjen, og «dynamisk regelbibliotek for trafikktrekking» uavhengig av antall.
3. Den innebygde profesjonelle BYPASS-funksjonen "Bypass Switch", som kan omgå den opprinnelige serielle lenken umiddelbart selv om selve beskytteren skulle svikte, påvirker ikke den opprinnelige lenken til normal kommunikasjon.
