Prepínač obtoku sieťového odbočovača Mylinking™ ML-BYPASS-100
2*Bypass plus 1*Monitor Modulárny dizajn, 10/40/100GE linky, max. 640 Gb/s
Prehľady
Prepínač obtoku sieťového odbočovacieho bodu Mylinking™ bol vyvinutý a vyvinutý na flexibilné nasadenie rôznych typov bezpečnostných zariadení a zároveň poskytuje vysokú spoľahlivosť siete.
Nasadením inteligentného obtokového prepínača Mylinking™:
- Používatelia môžu flexibilne inštalovať/odinštalovať bezpečnostné zariadenia/nástroje a nebudú mať vplyv na a prerušovať súčasnú sieť;
- Mylinking™ sieťový prepínač odbočenia s inteligentnou funkciou detekcie stavu na monitorovanie normálneho prevádzkového stavu vložených bezpečnostných zariadení v reálnom čase. Akonáhle vložené bezpečnostné zariadenia fungujú mimoriadnym spôsobom, ochranná funkcia sa automaticky premostí, aby sa zachovala normálna sieťová komunikácia;
- Selektívna technológia ochrany premávky sa môže použiť na nasadenie špecifických bezpečnostných zariadení na čistenie premávky a šifrovacia technológia založená na audítorskom zariadení. Účinne vykonáva inline ochranu prístupu pre konkrétny typ premávky a odľahčuje tlak manipulácie s tokom inline zariadenia.
- Technológia ochrany premávky s vyváženou záťažou sa môže použiť na klastrované nasadenie zabezpečených sériových inline bezpečnostných zariadení na splnenie požiadaviek inline zabezpečenia v prostrediach s vysokou šírkou pásma.
Pokročilé funkcie a technológie premosťovacieho prepínača sieťového odbočovača
Režim ochrany Mylinking™ „SpecFlow“ a režim ochrany „FullLink“
Ochrana prepínania Mylinking™ Fast Bypass
Mylinking™ „LinkSafeSwitch“
Dynamická stratégia preposielania/vydávania Mylinking™ „WebService“
Inteligentná detekcia správ o srdcovom tepe Mylinking™
Definovateľné správy o srdcovom tepe Mylinking™ (pakety srdcového tepu)
Vyrovnávanie záťaže viacerých liniek Mylinking™
Inteligentné rozdelenie návštevnosti Mylinking™
Dynamické vyvažovanie záťaže Mylinking™
Technológia vzdialenej správy Mylinking™ (HTTP/WEB, TELNET/SSH, funkcia „EasyConfig/AdvanceConfig“)
Sprievodca konfiguráciou voliteľného prepínača obtoku sieťového odbočovača
Modul BYPASSSlot modulu ochranného portu:
Tento slot je možné vložiť do modulu ochranného portu BYPASS s rôznou rýchlosťou/číslom portu. Nahradením rôznych typov modulov môže podporovať ochranu BYPASS pre viacero požiadaviek na linky 10G/40G/100G.
Modul MONITORUSlot pre modul portu;
Do tohto slotu je možné vložiť modul MONITOR s rôznymi rýchlosťami/portmi. Dokáže podporovať viacero liniek 10G/40G/100G pre nasadenie sériového monitorovacieho zariadenia inline nahradením rôznych modulov.
Pravidlá výberu modulov
Na základe rôznych nasadených liniek a požiadaviek na nasadenie monitorovacieho zariadenia si môžete flexibilne vybrať rôzne konfigurácie modulov, ktoré spĺňajú vaše skutočné požiadavky prostredia; pri výbere modulu dodržiavajte nasledujúce pravidlá:
1. Komponenty šasi sú povinné a pred výberom akýchkoľvek iných modulov musíte vybrať komponenty šasi. Zároveň si prosím vyberte rôzne spôsoby napájania (AC/DC) podľa vašich potrieb.
2. Celé zariadenie podporuje až 2 sloty pre moduly BYPASS a 1 slot pre modul MONITOR; nemôžete vybrať viac ako počet slotov na konfiguráciu. Na základe kombinácie počtu slotov a modelu modulu môže zariadenie podporovať až štyri ochrany linky 10GE; alebo môže podporovať až štyri linky 40GE; alebo môže podporovať až jednu linku 100GE.
3. Modul modelu „BYP-MOD-L1CG“ je možné vložiť iba do slotu SLOT1, aby fungoval správne.
4. Modul typu „BYP-MOD-XXX“ je možné vložiť iba do slotu modulu BYPASS; modul typu „MON-MOD-XXX“ je možné vložiť iba do slotu modulu MONITOR pre normálnu prevádzku.
| Model produktu | Funkčné parametre |
| Podvozok (hostiteľ) | |
| ML-BYPASS-M100 | 1U štandardný 19-palcový rack; maximálna spotreba energie 250 W; modulárny hostiteľský modul BYPASS; 2 sloty pre modul BYPASS; 1 slot pre modul MONITOR; voliteľné striedavé a jednosmerné napätie; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Podporuje obojsmernú sériovú ochranu 10GE linky, rozhranie 4*10GE, konektor LC; vstavaný optický transceiver; voliteľné optické spojenie single/multimode, podporuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podporuje obojsmernú sériovú ochranu 40GE linky, rozhranie 4*40GE, konektor LC; vstavaný optický transceiver; voliteľné optické spojenie single/multimode, podporuje 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podporuje 1-kanálovú sériovú ochranu linky 100GE, rozhranie 2*100GE, konektor LC; vstavaný optický transceiver; voliteľný jeden multimódový optický link, podporuje 100GBASE-SR4/LR4; |
| MONITOROVÝ MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8XG | Modul monitorovacieho portu 8*10GE SFP+; bez modulu optického vysielača/prijímača; |
| MON-MOD-L2CG | 2x100GE QSFP28 monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitorovací portový modul; bez optického transceiverového modulu; |
Špecifikácie prepínača bypassu siete TAP
| Spôsob produktu | ML-BYPASS-M100 Prepínač obtoku sieťového odbočovača | |
| Typ rozhrania | Rozhranie MGT | 1*10/100/1000BASE-T Adaptívne rozhranie pre správu; Podpora vzdialenej správy HTTP/IP |
| Slot modulu | 2*slot pre modul BYPASS; 1*slot pre modul MONITOR; | |
| Odkazy podporujúce maximum | Zariadenie podporuje maximálne 4*10GE linky alebo 4*40GE linky alebo 1*100GE linky | |
| Monitorovanie | Zariadenie podporuje maximálne 16 monitorovacích portov 10GE alebo 8 monitorovacích portov 40GE alebo 2 monitorovacie porty 100GE. | |
| Funkcia | Schopnosť plne duplexného spracovania | 640 Gb/s |
| Na základe ochrany kaskády prevádzky špecifickej pre päť n-tíc IP/protokol/port | Podporované | |
| Kaskádová ochrana založená na plnej premávke | Podporované | |
| Viacnásobné vyvažovanie záťaže | Podporované | |
| Funkcia vlastnej detekcie srdcového tepu | Podporované | |
| Podpora nezávislosti ethernetových balíkov | Podporované | |
| BYPASS SPÍNAČ | Podporované | |
| Prepínač BYPASS bez blesku | Podporované | |
| SPRÁVA KONZOL | Podporované | |
| Správa IP/WEBu | Podporované | |
| SNMP V1/V2C MGT | Podporované | |
| Správa TELNET/SSH | Podporované | |
| Protokol SYSLOG | Podporované | |
| Autorizácia používateľa | Na základe autorizácie heslom/AAA/TACACS+ | |
| Elektrické | Menovité napájacie napätie | AC-220V/DC-48V 【Voliteľné】 |
| Menovitá výkonová frekvencia | 50 Hz | |
| Menovitý vstupný prúd | AC-3A / DC-10A | |
| Menovitý výkon | 100 W | |
| Životné prostredie | Pracovná teplota | 0 – 50 ℃ |
| Skladovacia teplota | -20-70 ℃ | |
| Prevádzková vlhkosť | 10 % – 95 %, bez kondenzácie | |
| Konfigurácia používateľa | Konfigurácia konzoly | Rozhranie RS232, 115200, 8, N, 1 |
| Rozhranie MGT mimo pásma | 1*10/100/1000M ethernetové rozhranie | |
| Autorizácia heslom | Podporované | |
| Výška podvozku | Priestor podvozku (U) | 1U 19 palcov, 485 mm * 44,5 mm * 350 mm |
Aplikácia sieťového prepínača TAP Bypass (ako je uvedené nižšie)
5.1 Riziko inline bezpečnostných zariadení (IPS / FW)
Nasleduje typický režim nasadenia IPS (Intrusion Prevention System), FW (Firewall). IPS/FW sa nasadzuje ako inline sieťové zariadenie (ako sú smerovače, prepínače atď.) medzi prevádzkou prostredníctvom implementácie bezpečnostných kontrol podľa príslušnej bezpečnostnej politiky na určenie uvoľnenia alebo blokovania príslušnej prevádzky, aby sa dosiahol účinok bezpečnostnej ochrany.
Zároveň môžeme pozorovať IPS (systém prevencie narušenia) / FW (firewall) ako inline nasadenie zariadenia, ktoré sa zvyčajne umiestňuje na kľúčových miestach podnikovej siete s cieľom implementovať inline zabezpečenie. Spoľahlivosť pripojených zariadení priamo ovplyvňuje celkovú dostupnosť podnikovej siete. Preťaženie, zlyhanie, aktualizácie softvéru, aktualizácie politík inline bezpečnostných zariadení atď. výrazne ovplyvňujú dostupnosť celej podnikovej siete. V tomto bode môžeme obnoviť sieť iba prerušením siete a fyzickým bypassom, čo však vážne ovplyvňuje jej spoľahlivosť. IPS (systém prevencie narušenia) / FW (firewall) a ďalšie inline zariadenia na jednej strane zlepšujú nasadenie zabezpečenia podnikovej siete, na druhej strane však znižujú jej spoľahlivosť a zvyšujú riziko, že sieť nebude k dispozícii.
5.2 Ochrana zariadení série Inline Link
Mylinking™ „Bypass Switch“ sa nasadzuje ako inline medzi sieťovými zariadeniami (routermi, prepínačmi atď.), takže tok dát medzi sieťovými zariadeniami už nevedie priamo do IPS (systém prevencie narušenia) / FW (firewall). „Bypass Switch“ prechádza do IPS/FW. Keď IPS/FW zlyhajú v dôsledku preťaženia, havárie, aktualizácií softvéru, aktualizácií politík a iných problémov, „Bypass Switch“ vďaka inteligentnej funkcii detekcie signálu heartbeat včas odhalí chybné zariadenie a preskočí ho bez prerušenia prevádzky siete. Rýchlo sa pripája k sieťovému zariadeniu a chráni sa tak normálna komunikačná sieť. Po zlyhaní IPS/FW sa vďaka inteligentnej funkcii detekcie signálu heartbeat včas obnoví pôvodné spojenie a obnoví bezpečnosť podnikovej siete.
Mylinking™ „Bypass Switch“ má výkonnú inteligentnú funkciu detekcie správ o srdcovom tepe. Používateľ si môže prispôsobiť interval srdcového tepu a maximálny počet opakovaní prostredníctvom vlastnej správy o srdcovom tepe na IPS/FW pre testovanie stavu, napríklad odoslaním správy o kontrole srdcového tepu na port proti prúdu/smeru prúdu IPS/FW a následným prijatím z portu proti prúdu/smeru prúdu IPS/FW a posúdením, či IPS/FW funguje normálne, odoslaním a prijatím správy o srdcovom tepe.
5.3 Ochrana série inline trakčných systémov politiky „SpecFlow“
Keď bezpečnostné sieťové zariadenie potrebuje spracovať iba špecifickú prevádzku v rámci sériovej bezpečnostnej ochrany, prostredníctvom funkcie spracovania prevádzky „Network Tap Bypass Switch“ od Mylinking™ sa prostredníctvom stratégie skríningu prevádzky pripojí k bezpečnostnému zariadeniu. „Príslušná“ prevádzka sa posiela späť priamo do sieťového prepojenia a „príslušná časť prevádzky“ sa privedie k bezpečnostnému zariadeniu v rade na vykonanie bezpečnostných kontrol. Tým sa nielen zachová normálne používanie funkcie bezpečnostnej detekcie bezpečnostného zariadenia, ale aj zníži neefektívny tok bezpečnostného zariadenia pri zvládaní tlaku; zároveň „Network Tap Bypass Switch“ dokáže v reálnom čase zistiť prevádzkový stav bezpečnostného zariadenia. Bezpečnostné zariadenie pracuje abnormálne a priamo obchádza dátovú prevádzku, aby sa predišlo prerušeniu sieťovej služby.
Mylinking™ Inline Traffic Bypass Tap dokáže identifikovať prevádzku na základe identifikátora hlavičky vrstvy L2-L4, ako je napríklad značka VLAN, zdrojová/cieľová MAC adresa, zdrojová IP adresa, typ IP paketu, port protokolu transportnej vrstvy, značka kľúča hlavičky protokolu atď. Rôzne flexibilné kombinácie podmienok zhody je možné flexibilne definovať na definovanie špecifických typov prevádzky, ktoré sú zaujímavé pre konkrétne bezpečnostné zariadenie, a možno ich široko používať na nasadenie špeciálnych zariadení na bezpečnostný audit (RDP, SSH, audit databáz atď.).
5.4 Sériová ochrana s vyváženou záťažou
Mylinking™ „Network Tap Bypass Switch“ sa nasadzuje ako inline prepínač medzi sieťové zariadenia (routre, prepínače atď.). Keď výkon spracovania jedného IPS/FW nie je dostatočný na zvládnutie špičkovej prevádzky sieťového spojenia, funkcia vyrovnávania záťaže prevádzky chrániča, „zväzovanie“ viacerých klastrov IPS/FW spracovávajúcich prevádzku sieťového spojenia, môže efektívne znížiť záťaž spracovania jedného IPS/FW a zlepšiť celkový výkon spracovania, aby sa splnila požiadavka na vysokú šírku pásma prostredia nasadenia.
Mylinking™ „Network Tap Bypass Switch“ má výkonnú funkciu vyvažovania záťaže, ktorá na základe VLAN tagu rámca, informácií o MAC adrese, IP adrese, čísla portu, protokolu a ďalších informácií o hashovaní rozdeľuje záťaž, aby sa zabezpečila integrita relácie prijatého dátového toku pre každý IPS/FW.
5.5 Ochrana proti trakcii viacsériového radového zariadenia (zmena sériového pripojenia na paralelné pripojenie)
V niektorých kľúčových prepojeniach (ako sú internetové zásuvky, výmenné prepojenia v oblasti serverov) je umiestnenie často spôsobené potrebami bezpečnostných funkcií a nasadením viacerých inline bezpečnostných testovacích zariadení (ako sú firewally (FW), zariadenia proti útokom DDoS, firewally webových aplikácií (WAF), systémy prevencie narušenia bezpečnosti (IPS) atď.) súčasne zapojených viacero bezpečnostných detekčných zariadení zapojených sériovo na jednom prepojení, čím sa zvyšuje riziko vzniku jediného bodu zlyhania siete a znižuje sa celková spoľahlivosť siete. A pri vyššie uvedenom online nasadení bezpečnostných zariadení, modernizácii zariadení, výmene zariadení a iných operáciách môže dôjsť k dlhodobému prerušeniu prevádzky siete a rozsiahlejším prerušeniam projektu potrebným na úspešné dokončenie takýchto projektov.
Jednotným nasadením „prepínača obtoku sieťového odberu“ je možné zmeniť režim nasadenia viacerých bezpečnostných zariadení zapojených sériovo na tom istom prepojení z „režimu fyzického zreťazenia“ na „režim fyzického zreťazenia, logického zreťazenia“. Prepojenie na prepojení s jedným bodom poruchy zlepšuje spoľahlivosť prepojenia, zatiaľ čo „prepínač obtoku“ na prepojení zabezpečuje trakciu toku na požiadanie, čím sa dosahuje rovnaký tok ako v pôvodnom režime bezpečného spracovania.
Diagram nasadenia viacerých bezpečnostných zariadení súčasne s inline systémom:
Schéma nasadenia prepínača bypassu TAP siete Mylinking™:
5.6 Na základe dynamickej stratégie ochrany pred detekciou trakcie v doprave
„Prepínač obtoku sieťového odbočovača“ Ďalší pokročilý aplikačný scenár je založený na dynamickej stratégii aplikácií na ochranu pred trakciou a detekciou premávky, pričom nasadenie je znázornené nižšie:
Napríklad, testovacie bezpečnostné zariadenie „ochrana a detekcia útokov proti DDoS“ sa vykonáva pomocou front-endového nasadenia „prepínača obtoku sieťového odberu“ a následného pripojenia zariadenia na ochranu proti DDoS útokom k „prepínaču obtoku sieťového odberu“. V bežnom režime „ochrana proti trakcii“ sa plná prevádzka presmeruje rýchlosťou kábla a zároveň sa zrkadlový výstup toku odošle do „zariadenia na ochranu proti DDoS útokom“. Po detekcii IP adresy servera (alebo segmentu IP siete) po útoku „zariadenie na ochranu proti DDoS útokom“ vygeneruje pravidlá zodpovedajúce cieľovému toku prevádzky a odošle ich do „prepínača obtoku sieťového odberu“ prostredníctvom rozhrania dynamického doručovania politík. „Prepínač obtoku sieťového odberu“ dokáže po prijatí dynamických pravidiel politík aktualizovať „dynamiku trakcie prevádzky“ a okamžite „pravidlo zasiahne“ prevádzku útočného servera k zariadeniu na ochranu a detekciu útokov proti DDoS útokom na spracovanie, aby bolo po útoku účinné a následne opätovne vložené do siete.
Aplikačná schéma založená na „Network Tap Bypass Switch“ sa implementuje jednoduchšie ako tradičné injektovanie trasy BGP alebo iné schémy trakcie prevádzky a prostredie je menej závislé od siete a spoľahlivosť je vyššia.
„Sieťový obtokový prepínač“ má nasledujúce charakteristiky na podporu ochrany detekciou dynamických politík zabezpečenia:
1, „Prepínač obtoku sieťového odberu“ na zabezpečenie mimo pravidiel založených na rozhraní WEBSERIVCE, jednoduchej integrácie s bezpečnostnými zariadeniami tretích strán.
2, „BNetwork Tap Bypass Switch“ založený na hardvérovom čistom ASIC čipe, ktorý preposiela pakety s rýchlosťou kábla až 10 Gb/s bez blokovania preposielania prepínača a „knižnica dynamických pravidiel pre trakciu prevádzky“ bez ohľadu na počet.
3, „Network Tap Bypass Switch“ má vstavanú profesionálnu funkciu BYPASS, ktorá dokáže okamžite obísť pôvodné sériové prepojenie aj v prípade poruchy samotného chrániča, pričom neovplyvňuje pôvodné prepojenie bežnej komunikácie.
