Mylinking™ hálózati kivezetés-megkerülő kapcsoló ML-BYPASS-100
2*Bypass plusz 1*Moduláris monitor kialakítás, 10/40/100GE linkek, Max. 640 Gbps
Áttekintések
A Mylinking™ hálózati érintéses bypass kapcsolót úgy fejlesztették ki és fejlesztették ki, hogy rugalmasan telepíthető legyen különféle hálózati biztonsági berendezésekhez, miközben magas hálózati megbízhatóságot biztosít.
A Mylinking™ intelligens bypass kapcsoló telepítésével:
- A felhasználók rugalmasan telepíthetnek/eltávolíthatnak biztonsági berendezéseket/eszközöket, és ez nem befolyásolja és nem szakítja meg a jelenlegi hálózatot;
- Mylinking™ hálózati érintéses bypass kapcsoló intelligens állapotészlelő funkcióval a beépített biztonsági eszközök normál működési állapotának valós idejű figyelésére. Amint a beépített biztonsági eszközök hibát jeleznek, a védelmi funkció automatikusan megkerüli az eszközt a normál hálózati kommunikáció fenntartása érdekében.
- A szelektív forgalomvédelmi technológia felhasználható specifikus forgalomtisztító biztonsági berendezések, az auditáló berendezéseken alapuló titkosítási technológia telepítésére. Hatékonyan végrehajtja az adott forgalomtípushoz tartozó inline hozzáférés-védelmet, tehermentesítve az inline eszköz áramláskezelési nyomását;
- A terheléselosztott forgalomvédelmi technológia biztonságos soros inline biztonsági eszközök fürtözött telepítéséhez használható, hogy megfeleljen a nagy sávszélességű környezetek inline biztonsági követelményeinek.
Hálózati érintéses bypass kapcsoló fejlett funkciói és technológiái
Mylinking™ „SpecFlow” és „FullLink” védelmi mód
Mylinking™ gyors bypass kapcsolási védelem
Mylinking™ „LinkSafeSwitch”
Mylinking™ „WebService” dinamikus stratégiatovábbítás/probléma
Mylinking™ intelligens szívverés-üzenetérzékelés
Mylinking™ meghatározható szívverés üzenetek (szívverés csomagok)
Mylinking™ Többkapcsolatos terheléselosztás
Mylinking™ intelligens forgalomelosztás
Mylinking™ dinamikus terheléselosztás
Mylinking™ távoli felügyeleti technológia (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig” jellemző)
Hálózati érintéses bypass kapcsoló opcionális konfigurációs útmutatója
BYPASS modulVédőport modul foglalat:
Ez a foglalat különböző sebességű/portszámú BYPASS védelmi portmodulokba helyezhető. Különböző típusú modulok cseréjével több 10G/40G/100G kapcsolat BYPASS védelmét is támogathatja.
MONITOR modulPort modul foglalat;
Ez a foglalat különböző sebességű/portú MONITOR modulba helyezhető. Több 10G/40G/100G kapcsolatot is támogathat soros monitorozó eszközök telepítéséhez különböző modulok cseréjével.
Modulkiválasztási szabályok
A különböző telepített kapcsolatok és a felügyeleti berendezések telepítési követelményei alapján rugalmasan választhat különböző modulkonfigurációkat, hogy megfeleljenek a tényleges környezeti igényeknek; kérjük, a modul kiválasztásakor kövesse az alábbi szabályokat:
1. A házalkatrészek kiválasztása kötelező, és azokat minden más modul kiválasztása előtt ki kell választania. Ugyanakkor kérjük, válasszon különböző tápellátási módokat (AC/DC) az igényeinek megfelelően.
2. A teljes eszköz legfeljebb 2 BYPASS modul és 1 MONITOR modul foglalatot támogat; nem választhat ki többet, mint a konfigurálandó foglalatok száma. A foglalatok számának és a modul modelljének kombinációjától függően az eszköz legfeljebb négy 10GE linkvédelmet támogat; vagy legfeljebb négy 40GE linket; vagy legfeljebb egy 100GE linket támogat.
3. A "BYP-MOD-L1CG" típusú modul csak a SLOT1 foglalatba helyezhető a megfelelő működéshez.
4. A "BYP-MOD-XXX" típusú modul csak a BYPASS modul foglalatba helyezhető; a "MON-MOD-XXX" típusú modul normál működéshez csak a MONITOR modul foglalatba helyezhető.
| Termékmodell | Függvényparaméterek |
| Váz (Host) | |
| ML-BYPASS-M100 | 1U szabványos 19 hüvelykes rackbe szerelhető; maximális energiafogyasztás 250 W; moduláris BYPASS védő hoszt; 2 BYPASS modulhely; 1 MONITOR modulhely; AC és DC opcionális; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Támogatja a 2-utas 10GE soros kapcsolat védelmét, 4*10GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai kapcsolat egy-/többmódusú opcionális, támogatja a 10GBASE-SR/LR-t; |
| BYP-MOD-L2QXG(LM/SM) | Támogatja a 2-utas 40GE soros kapcsolat védelmét, 4*40GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai kapcsolat egy-/többmódusú opcionális, támogatja a 40GBASE-SR4/LR4-et; |
| BYP-MOD-L1CG (LM/SM) | 1 csatornás 100GE link soros védelmet támogat, 2*100GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai link egymódusú, opcionális, támogatja a 100GBASE-SR4/LR4-et; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
| MON-MOD-L8XG | 8*10GE SFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
| MON-MOD-L2CG | 2*100GE QSFP28 monitorozó port modul; nincs optikai adó-vevő modul; |
| HON-MOD-L8QXG | 8 db 40GE QSFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
Hálózati TAP bypass kapcsoló specifikációi
| Termékmódszer | ML-BYPASS-M100 Beépített hálózati kivezetés-megkerülő kapcsoló | |
| Interfész típusa | MGT interfész | 1*10/100/1000BASE-T adaptív felügyeleti interfész; Támogatja a távoli HTTP/IP felügyeletet |
| Modul foglalat | 2*BYPASS modul foglalat;1*MONITOR modul foglalat; | |
| Maximális támogatású linkek | Az eszköz maximum 4*10GE vagy 4*40GE vagy 1*100GE kapcsolatot támogat | |
| Monitoring | Az eszköz maximum 16*10GE vagy 8*40GE vagy 2*100GE monitorozó portot támogat; | |
| Funkció | Teljes duplex feldolgozási képesség | 640 Gbps |
| IP/protokoll/port öt tuple-specifikus forgalomkaszkád védelem alapján | Támogatott | |
| Teljes forgalomra épülő kaszkádvédelem | Támogatott | |
| Többszörös terheléselosztás | Támogatott | |
| Egyéni szívverés-észlelő funkció | Támogatott | |
| Ethernet csomagfüggetlenség támogatása | Támogatott | |
| BYPASS KAPCSOLÓ | Támogatott | |
| BYPASS kapcsoló vaku nélkül | Támogatott | |
| KONZOLVEZETŐ | Támogatott | |
| IP/WEB KEZELÉS | Támogatott | |
| SNMP V1/V2C MGT | Támogatott | |
| TELNET/SSH MGT | Támogatott | |
| SYSLOG protokoll | Támogatott | |
| Felhasználói engedélyezés | Jelszó-hitelesítés/AAA/TACACS+ alapján | |
| Elektromos | Névleges tápfeszültség | AC-220V/DC-48V【Opcionális】 |
| Névleges teljesítményfrekvencia | 50 Hz | |
| Névleges bemeneti áram | AC-3A / DC-10A | |
| Névleges teljesítmény | 100 W | |
| Környezet | Üzemi hőmérséklet | 0–50 ℃ |
| Tárolási hőmérséklet | -20-70 ℃ | |
| Üzemi páratartalom | 10%-95%, Nincs páralecsapódás | |
| Felhasználói konfiguráció | Konzol konfiguráció | RS232 interfész, 115200,8,N,1 |
| Sávon kívüli MGT interfész | 1 * 10/100/1000M Ethernet interfész | |
| Jelszó engedélyezés | Támogatott | |
| Alváz magassága | Alvázméret (U) | 1U 19 hüvelyk, 485 mm * 44,5 mm * 350 mm |
Hálózati TAP bypass kapcsoló alkalmazás (az alábbiak szerint)
5.1 A beépített biztonsági berendezések (IPS / FW) kockázata
A következő egy tipikus IPS (behatolásmegelőző rendszer) és FW (tűzfal) telepítési mód, amelyben az IPS/FW beágyazott hálózati berendezések (például routerek, switchek stb.) között biztonsági ellenőrzések végrehajtásával kerül telepítésre a forgalom között, a megfelelő biztonsági szabályzatnak megfelelően, hogy meghatározza a megfelelő forgalom felszabadítását vagy blokkolását, a biztonsági védelem hatásának elérése érdekében.
Ugyanakkor megfigyelhetjük az IPS (Behatolásmegelőző Rendszer) / FW (Tűzfal) rendszereket a berendezések soron belüli telepítéseként, amelyeket általában a vállalati hálózat kulcsfontosságú helyén telepítenek a soron belüli biztonság megvalósítása érdekében. A csatlakoztatott eszközök megbízhatósága közvetlenül befolyásolja a vállalati hálózat teljes rendelkezésre állását. Ha a soron belüli biztonsági eszközök túlterhelődnek, összeomlanak, szoftverfrissítések, szabályzatfrissítések stb. érik, az a teljes vállalati hálózat rendelkezésre állását jelentősen befolyásolja. Ezen a ponton csak a hálózat megszakításával, fizikai bypass jumperrel lehet helyreállítani a hálózatot, de ez komolyan befolyásolja a hálózat megbízhatóságát. Az IPS (Behatolásmegelőző Rendszer) / FW (Tűzfal) és más soron belüli eszközök egyrészt javítják a vállalati hálózati biztonságot, másrészt csökkentik a vállalati hálózatok megbízhatóságát, növelve a hálózat elérhetetlenségének kockázatát.
5.2 Inline Link sorozatú berendezések védelme
A Mylinking™ „Bypass Switch” hálózati eszközök (útválasztók, switchek stb.) közé sorosan telepített eszköz, így a hálózati eszközök közötti adatfolyam már nem közvetlenül az IPS-hez (behatolásmegelőző rendszer) / FW-hez (tűzfal) vezet. A „Bypass Switch” az IPS/FW-hez fordul, amikor az IPS/FW túlterhelés, összeomlás, szoftverfrissítések, szabályzatfrissítések vagy egyéb meghibásodás miatt meghibásodik. Az intelligens szívverés-üzenet-észlelő funkció időben felderíti a hibás eszközt, így a hálózat működésének megszakítása nélkül átugorja a hibás eszközöket, és gyorsan, közvetlenül a hálózathoz csatlakoztatott eszközökhöz csatlakoztatva védi a normál kommunikációt. IPS/FW hiba esetén az intelligens szívverés-csomag-észlelő funkció időben felderíti az eredeti kapcsolatot, és visszaállítja a vállalati hálózat biztonságát.
A Mylinking™ „Bypass Switch” hatékony, intelligens szívverés-üzenetészlelő funkcióval rendelkezik, a felhasználó testreszabhatja a szívverés intervallumát és az újrapróbálkozások maximális számát egy egyéni szívverés-üzenet segítségével az IPS/FW állapotának teszteléséhez, például elküldheti a szívverés-ellenőrző üzenetet az IPS/FW upstream/downstream portjára, majd fogadhatja az üzenetet az IPS/FW upstream/downstream portjáról, és a szívverés-üzenet küldésével és fogadásával megítélheti, hogy az IPS/FW normálisan működik-e.
5.3 „SpecFlow” szabályzat Flow Inline Traction Series Protection
Amikor a biztonsági hálózati eszköznek csak egy adott forgalmat kell kezelnie soros biztonsági védelemben, a Mylinking™ „Network Tap Bypass Switch” forgalomfeldolgozásonkénti funkcióján keresztül a forgalomszűrési stratégián keresztül a biztonsági eszközhöz csatlakoztatott „érintett” forgalom közvetlenül a hálózati kapcsolatra kerül vissza, és az „érintett forgalmi szakasz” a beépített biztonsági eszközhöz kerül biztonsági ellenőrzések végrehajtása céljából. Ez nemcsak a biztonsági eszköz biztonsági észlelési funkciójának normál alkalmazását tartja fenn, hanem csökkenti a biztonsági berendezések nem hatékony áramlását is a terhelés kezelésére; ugyanakkor a „Network Tap Bypass Switch” valós időben képes érzékelni a biztonsági eszköz működési állapotát. A biztonsági eszköz rendellenes működése esetén közvetlenül megkerüli az adatforgalmat, hogy elkerülje a hálózati szolgáltatás zavarát.
A Mylinking™ Inline Traffic Bypass Tap az L2-L4 réteg fejlécazonosítói, például a VLAN-címke, a forrás/cél MAC-cím, a forrás IP-cím, az IP-csomag típusa, a szállítási réteg protokollportja, a protokollfejléc kulcscímkéje stb. alapján képes azonosítani a forgalmat. Számos egyezési feltétel rugalmas kombinációja definiálható, hogy meghatározzák az adott biztonsági eszköz számára érdekes forgalomtípusokat, és széles körben alkalmazhatók speciális biztonsági auditeszközök (RDP, SSH, adatbázis-auditálás stb.) telepítéséhez.
5.4 Terheléskiegyenlített soros védelem
A Mylinking™ „Network Tap Bypass Switch” hálózati eszközök (útválasztók, kapcsolók stb.) közé sorba építhető. Amikor egyetlen IPS/FW feldolgozási teljesítménye nem elegendő a hálózati kapcsolatok csúcsforgalmának kezelésére, a védelem terheléselosztási funkciója, a több IPS/FW klaszterben feldolgozó hálózati kapcsolati forgalom „összevonása”, hatékonyan csökkentheti az egyetlen IPS/FW feldolgozási terhelését, javítva az általános feldolgozási teljesítményt, hogy megfeleljen a telepítési környezet nagy sávszélesség-igényének.
A Mylinking™ „Network Tap Bypass Switch” hatékony terheléselosztási funkcióval rendelkezik, amely a keret VLAN-címkéje, MAC-információi, IP-információi, portszáma, protokollja és egyéb információi alapján Hash terheléselosztással osztja el a forgalmat, biztosítva az egyes IPS/FW fogadott adatfolyamok munkamenet-integritását.
5.5 Többsoros soros berendezések áramlásvédelme (soros csatlakozásról párhuzamos csatlakozásra váltás)
Néhány kulcsfontosságú összeköttetésben (például internetcsatlakozók, szerverterület-cserekapcsolatok) a helyszín gyakran a biztonsági funkciók iránti igényeknek és több beágyazott biztonsági tesztelőberendezés (például tűzfal (FW), DDOS támadás elleni berendezés, webes alkalmazástűzfal (WAF), behatolásmegelőző rendszer (IPS) stb.) telepítésének köszönhető, amelyek során több biztonsági érzékelő berendezést kell egyszerre sorba kötni a kapcsolaton, hogy növeljék az egyetlen meghibásodási pontot, és csökkentsék a hálózat általános megbízhatóságát. A fent említett biztonsági berendezések online telepítése, a berendezések frissítése, cseréje és egyéb műveletek a hálózat hosszú távú szolgáltatáskiesését és nagyobb projektkiesést okozhatnak az ilyen projektek sikeres megvalósításához.
A „Network Tap Bypass Switch” egységes telepítésével az ugyanazon a kapcsolaton sorba kapcsolt több biztonsági eszköz telepítési módja „fizikai összefűzési módról” „fizikai összefűzési, logikai összefűzési módra” módosítható. Az egyetlen meghibásodási pontot jelentő kapcsolat javítja a kapcsolat megbízhatóságát, míg a „bypass kapcsoló” igény szerinti áramlást biztosít, így ugyanazt az áramlást éri el az eredeti biztonságos feldolgozási móddal.
Több biztonsági eszköz egyidejű használata a beágyazott telepítési diagramon:
Mylinking™ hálózati TAP bypass kapcsoló telepítési diagramja:
5.6 A forgalmi vonóerő-biztonsági észlelési védelem dinamikus stratégiája alapján
„Hálózati érintéses bypass kapcsoló” Egy másik fejlett alkalmazási forgatókönyv a forgalomvonzás biztonsági észlelési védelmi alkalmazások dinamikus stratégiáján alapul, az alábbiak szerint telepítve:
Vegyük például az „Anti-DDoS támadásvédelem és -észlelés” biztonsági tesztelőberendezést. A front-end rendszerben telepítünk egy „Network Tap Bypass Switch” DDOS támadásvédelmi berendezést, majd csatlakoztatjuk azt a „Network Tap Bypass Switch”-hez. A szokásos „Traction Protector” a teljes forgalommennyiséget vezetékes sebességgel továbbítja, miközben a forgalomtükör kimenetét a „DDOS támadásvédelmi eszközre” továbbítja. A támadás után a szerver IP-címére (vagy IP-hálózati szegmensre) vonatkozó észlelés után a „DDOS támadásvédelmi eszköz” létrehozza a célzott forgalomáramlási szabályokat, és a dinamikus szabályzatküldő felületen keresztül elküldi azokat a „Network Tap Bypass Switch”-nek. A „Network Tap Bypass Switch” frissítheti a „dinamikus forgalomáramlást” a dinamikus szabályzatkezelési szabályok fogadása után, és azonnal továbbítja a támadást elszenvedő szerver forgalmának „traction” szabályát a „DDoS támadásvédelmi és -észlelési” berendezésnek feldolgozásra, hogy a támadás után hatékony legyen, majd visszajuttatja a hálózatba.
A „Network Tap Bypass Switch”-en alapuló alkalmazási séma könnyebben megvalósítható, mint a hagyományos BGP útvonal-injektálás vagy más forgalomvontatási séma, a környezet kevésbé függ a hálózattól, a megbízhatóság pedig magasabb.
A „Network Tap Bypass Switch” a következő jellemzőkkel rendelkezik a dinamikus szabályzatalapú biztonsági észlelési védelem támogatásához:
1. „Hálózati érintéses megkerülő kapcsoló” a szabályokon kívüli, WEBSERIVCE felületen alapuló biztosításhoz, egyszerű integráció harmadik féltől származó biztonsági eszközökkel.
2. A „BNetwork Tap Bypass Switch” hardveres, tisztán ASIC chipen alapul, amely akár 10 Gbps sebességű vezetékes csomagokat is továbbít a kapcsoló továbbításának blokkolása nélkül, valamint a „forgalomirányítási dinamikus szabálykönyvtárat” a csomagok számától függetlenül.
3, A beépített professzionális BYPASS funkciónak köszönhetően, még a védőberendezés meghibásodása esetén is, azonnal megkerülheti az eredeti soros kapcsolatot, így az nem befolyásolja a normál kommunikáció eredeti kapcsolatát.
