Mylinking™ hálózati kivezetés-megkerülő kapcsoló ML-BYPASS-200
2*Bypass plusz 1*Moduláris monitor kialakítás, 10/40/100GE linkek, Max. 640 Gbps
1. Áttekintések
A Mylinking™ intelligens bypass kapcsoló telepítésével:
- A felhasználók rugalmasan telepíthetnek/eltávolíthatnak biztonsági berendezéseket, és ez nem befolyásolja a jelenlegi hálózatot és nem szakítja meg a kapcsolatot;
- Mylinking™ hálózati érintéses bypass kapcsoló intelligens állapotészlelő funkcióval a soros biztonsági eszköz normál működési állapotának valós idejű figyelésére. A soros biztonsági eszköz működési hibája esetén a védelem automatikusan megkerüli az eszközt a normál hálózati kommunikáció fenntartása érdekében.
- A szelektív forgalomvédelmi technológia felhasználható specifikus forgalomtisztító biztonsági berendezések, az auditáló berendezéseken alapuló titkosítási technológia telepítésére. Hatékonyan végrehajtja a soros hozzáférés védelmét az adott forgalomtípushoz, tehermentesítve a soros eszköz áramláskezelési nyomását;
- A terheléselosztott forgalomvédelmi technológia biztonságos soros eszközök fürtözött telepítéséhez használható, hogy kielégítse a nagy sávszélességű környezetek soros biztonsági igényeit.
Az internet gyors fejlődésével a hálózati információbiztonság egyre komolyabbá válik, ezért egyre szélesebb körben alkalmazzák a különféle információbiztonsági védelmi alkalmazásokat. Legyen szó hagyományos hozzáférés-vezérlő berendezésekről (tűzfal), vagy új típusú, fejlettebb védelmi eszközökről, mint például a behatolásmegelőző rendszer (IPS), az egységes fenyegetéskezelő platform (UTM), a szolgáltatásmegtagadás elleni támadások elleni rendszer (Anti-DDoS), az anti-span átjáró, az egységes DPI forgalomazonosító és -vezérlő rendszer, és számos biztonsági eszköz sorosan telepítve van a hálózati kulcscsomópontokban, a megfelelő adatbiztonsági szabályzat végrehajtásával azonosítva és kezelve a legális/illegális forgalmat. Ugyanakkor a számítógépes hálózat jelentős hálózati késleltetést vagy akár hálózati zavart is generálhat meghibásodás, karbantartás, frissítés, berendezéscsere stb. esetén egy rendkívül megbízható éles hálózati alkalmazáskörnyezetben, amit a felhasználók nem bírnak elviselni.
2-hálózatos érintéses bypass kapcsoló fejlett funkciói és technológiái
Mylinking™ „SpecFlow” védelmi mód és „FullLink” védelmi mód technológia
Mylinking™ gyors bypass kapcsolási védelmi technológia
Mylinking™ „LinkSafeSwitch” technológia
Mylinking™ „WebService” dinamikus stratégiatovábbítási/problémamegoldó technológia
Mylinking™ intelligens szívverés-üzenetfelismerő technológia
Mylinking™ Meghatározható Szívverés Üzenetek Technológia
Mylinking™ többkapcsolatos terheléselosztási technológia
Mylinking™ intelligens forgalomelosztási technológia
Mylinking™ dinamikus terheléselosztási technológia
Mylinking™ távoli felügyeleti technológia (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig” jellemző)
3-hálózatos érintéses bypass kapcsoló konfigurációs útmutatója
KITÉRŐVédőport modul foglalat:
Ez a foglalat különböző sebességű/portszámú BYPASS védelmi portmodulokba helyezhető. Különböző típusú modulok cseréjével több 10G/40G/100G kapcsolat BYPASS védelmét is támogathatja.
MONITORPort modul foglalat;
Ez a foglalat különböző sebességekkel/portokkal rendelkező MONITOR port modulba helyezhető. Több 10G/40G/100G link online soros monitorozó eszköz telepítését is támogathatja a különböző modellek helyettesítésével.
Modulkiválasztási szabályok
A különböző telepített kapcsolatok és a megfigyelőberendezések telepítési követelményei alapján rugalmasan választhat különböző modulkonfigurációkat, hogy megfeleljenek a tényleges környezeti igényeknek; a kiválasztás során kérjük, kövesse az alábbi szabályokat:
1. A házalkatrészek kiválasztása kötelező, és azokat minden más modul kiválasztása előtt ki kell választania. Ugyanakkor kérjük, válasszon különböző tápellátási módokat (AC/DC) az igényeinek megfelelően.
2. A teljes gép legfeljebb 2 BYPASS modul és 1 MONITOR modul bővítőhelyet támogat; nem választhat ki többet, mint a konfigurálandó bővítőhelyek száma. A bővítőhelyek számának és a modul modelljének kombinációjától függően az eszköz legfeljebb négy 10GE linkvédelmet támogat; vagy legfeljebb négy 40GE linket támogat; vagy legfeljebb egy 100GE linket támogat.
3. A "BYP-MOD-L1CG" típusú modul csak a SLOT1 foglalatba helyezhető a megfelelő működéshez.
4. A "BYP-MOD-XXX" típusú modul csak a BYPASS modul foglalatba helyezhető; a "MON-MOD-XXX" típusú modul normál működéshez csak a MONITOR modul foglalatba helyezhető.
| Termékmodell | Függvényparaméterek |
| Váz (Host) | |
| ML-BYPASS-M200 | 1U szabványos 19 hüvelykes rackbe szerelhető; maximális energiafogyasztás 250 W; moduláris BYPASS védő hoszt; 2 BYPASS modulhely; 1 MONITOR modulhely; AC és DC opcionális; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Támogatja a 2-utas 10GE soros kapcsolat védelmét, 4*10GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai kapcsolat egy-/többmódusú opcionális, támogatja a 10GBASE-SR/LR-t; |
| BYP-MOD-L2QXG(LM/SM) | Támogatja a 2-utas 40GE soros kapcsolat védelmét, 4*40GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai kapcsolat egy-/többmódusú opcionális, támogatja a 40GBASE-SR4/LR4-et; |
| BYP-MOD-L1CG (LM/SM) | 1 csatornás 100GE link soros védelmet támogat, 2*100GE interfészt, LC csatlakozót; beépített optikai adó-vevő; optikai link egymódusú, opcionális, támogatja a 100GBASE-SR4/LR4-et; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
| MON-MOD-L8XG | 8*10GE SFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
| MON-MOD-L2CG | 2*100GE QSFP28 monitorozó port modul; nincs optikai adó-vevő modul; |
| HON-MOD-L8QXG | 8 db 40GE QSFP+ monitorozó port modul; nincs optikai adó-vevő modul; |
4-hálózatos TAP bypass kapcsoló specifikációi
| Termékmódszer | ML-BYPASS-M200 soros bypass kapcsoló | |
| Interfész típusa | MGT interfész | 1*10/100/1000BASE-T adaptív felügyeleti interfész; Támogatja a távoli HTTP/IP felügyeletet |
| Modul foglalat | 2*BYPASS modul foglalat;1*MONITOR modul foglalat; | |
| Maximális támogatású linkek | Az eszköz maximum 4*10GE vagy 4*40GE vagy 1*100GE kapcsolatot támogat | |
| Monitor | Az eszköz maximum 16*10GE vagy 8*40GE vagy 2*100GE monitorozó portot támogat; | |
| Funkció | Teljes duplex feldolgozási képesség | 640 Gbps |
| IP/protokoll/port öt tuple-specifikus forgalomkaszkád védelem alapján | Támogatás | |
| Teljes forgalomra épülő kaszkádvédelem | Támogatás | |
| Többszörös terheléselosztás | Támogatás | |
| Egyéni szívverés-észlelő funkció | Támogatás | |
| Ethernet csomagfüggetlenség támogatása | Támogatás | |
| BYPASS KAPCSOLÓ | Támogatás | |
| BYPASS kapcsoló vaku nélkül | Támogatás | |
| KONZOLVEZETŐ | Támogatás | |
| IP/WEB KEZELÉS | Támogatás | |
| SNMP V1/V2C MGT | Támogatás | |
| TELNET/SSH MGT | Támogatás | |
| SYSLOG protokoll | Támogatás | |
| Felhasználói engedélyezés | Jelszó-hitelesítés/AAA/TACACS+ alapján | |
| Elektromos | Névleges tápfeszültség | AC-220V/DC-48V【Opcionális】 |
| Névleges teljesítményfrekvencia | 50 Hz | |
| Névleges bemeneti áram | AC-3A / DC-10A | |
| Névleges teljesítmény | 100 W | |
| Környezet | Üzemi hőmérséklet | 0–50 ℃ |
| Tárolási hőmérséklet | -20-70 ℃ | |
| Üzemi páratartalom | 10%-95%, Nincs páralecsapódás | |
| Felhasználói konfiguráció | Konzol konfiguráció | RS232 interfész, 115200,8,N,1 |
| Sávon kívüli MGT interfész | 1 * 10/100/1000M Ethernet interfész | |
| Jelszó engedélyezés | Támogatás | |
| Alváz magassága | Alvázméret (U) | 1U 19 hüvelyk, 485 mm * 44,5 mm * 350 mm |
5-hálózati TAP bypass kapcsoló alkalmazás (az alábbiak szerint)
A következő egy tipikus IPS (behatolásmegelőző rendszer) és FW (tűzfal) telepítési mód, amelyben az IPS/FW sorosan telepítve van a hálózati berendezések (útválasztók, switchek stb.) közötti forgalomra biztonsági ellenőrzések végrehajtásán keresztül, a megfelelő biztonsági szabályzat szerint, hogy meghatározza a megfelelő forgalom felszabadítását vagy blokkolását, a biztonsági védelem hatásának elérése érdekében.
Ugyanakkor megfigyelhetjük az IPS/FW-t, mint a berendezések soros telepítését, amelyet általában a vállalati hálózat kulcsfontosságú helyére telepítenek a soros biztonság megvalósítása érdekében, és amely közvetlenül befolyásolja a csatlakoztatott eszközök megbízhatóságát a vállalati hálózat teljes rendelkezésre állását. A soros eszközök túlterhelése, összeomlása, szoftverfrissítések, szabályzatfrissítések stb. esetén a teljes vállalati hálózat rendelkezésre állása jelentősen csökken. Ezen a ponton csak a hálózat megszakításával, fizikai bypass jumperrel lehet helyreállítani a hálózatot, ami komolyan befolyásolja a hálózat megbízhatóságát. Az IPS/FW és más soros eszközök egyrészt javítják a vállalati hálózati biztonságot, másrészt csökkentik a vállalati hálózatok megbízhatóságát, növelve a hálózat elérhetetlenségének kockázatát.
5.2 Inline Link sorozatú berendezések védelme
A Mylinking™ „Bypass Switch” sorba van kötve hálózati eszközök (útválasztók, switchek stb.) között, és a hálózati eszközök közötti adatfolyam már nem közvetlenül az IPS/FW-hez vezet. A „Bypass Switch” az IPS/FW-hez kerül, amikor az IPS/FW túlterhelés, összeomlás, szoftverfrissítések, szabályzatfrissítések és egyéb meghibásodások miatt meghibásodik. A „Bypass Switch” intelligens szívverés-üzenet-észlelési funkciója időben felderíti a hibás eszközt, így a hálózat működésének megszakítása nélkül átugorja a hibás eszközt, és gyorsan megvédi a normál kommunikációs hálózatot. IPS/FW hiba esetén az intelligens szívverés-csomagok észlelése révén az eredeti kapcsolat időben történő helyreállításával visszaállítja a vállalati hálózat biztonságát.
A Mylinking™ „Bypass Switch” egy hatékony, intelligens szívverésüzenet-észlelő funkcióval rendelkezik, a felhasználó testreszabhatja a szívverés intervallumát és az újrapróbálkozások maximális számát egy egyéni szívverésüzenet segítségével az IPS/FW állapotának teszteléséhez, például elküldheti a szívverés-ellenőrző üzenetet az IPS/FW upstream/downstream portjára, majd fogadhatja az üzenetet az IPS/FW upstream/downstream portjáról, és a szívverésüzenet küldésével és fogadásával megítélheti, hogy az IPS/FW normálisan működik-e.
5.3 „SpecFlow” szabályzat Flow Inline Traction Series Protection
Amikor a biztonsági hálózati eszköznek csak egy adott forgalmat kell kezelnie soros biztonsági védelemben, a Mylinking™ „Bypass Switch” forgalomfeldolgozásonkénti funkcióján keresztül a forgalomszűrési stratégián keresztül a biztonsági eszközhöz csatlakoztatott „érintett” forgalom közvetlenül a hálózati kapcsolatra kerül vissza, és az „érintett forgalmi szakasz” a beépített biztonsági eszközhöz kerül biztonsági ellenőrzések végrehajtása céljából. Ez nemcsak a biztonsági eszköz biztonsági észlelési funkciójának normál alkalmazását tartja fenn, hanem csökkenti a biztonsági berendezések nem hatékony áramlását is a terhelés kezelésére; ugyanakkor a „Bypass Switch” valós időben képes érzékelni a biztonsági eszköz működési állapotát. A biztonsági eszköz rendellenes működése esetén közvetlenül megkerüli az adatforgalmat, hogy elkerülje a hálózati szolgáltatás zavarát.
A Mylinking™ Traffic Bypass Protector az L2-L4 réteg fejlécazonosítói, például a VLAN-címke, a forrás/cél MAC-cím, a forrás IP-cím, az IP-csomag típusa, a szállítási réteg protokollportja, a protokollfejléc kulcscímkéje stb. alapján képes azonosítani a forgalmat. Számos egyezési feltétel rugalmas kombinációja definiálható, hogy meghatározzák az adott biztonsági eszköz számára érdekes forgalomtípusokat, és széles körben alkalmazhatók speciális biztonsági auditeszközök (RDP, SSH, adatbázis-auditálás stb.) telepítéséhez.
5.4 Terheléskiegyenlített soros védelem
A Mylinking™ „Bypass Switch” sorosan telepíthető hálózati eszközök (útválasztók, kapcsolók stb.) között. Amikor egyetlen IPS/FW feldolgozási teljesítménye nem elegendő a hálózati kapcsolatok csúcsforgalmának kezelésére, a védelem terheléselosztási funkciója, a hálózati kapcsolatok forgalmát feldolgozó több IPS/FW klaszter „összevonása” hatékonyan csökkentheti az egyetlen IPS/FW feldolgozási terhelését, javítva az általános feldolgozási teljesítményt, hogy megfeleljen a telepítési környezet nagy sávszélesség-igényének.
A Mylinking™ „Bypass Switch” hatékony terheléselosztási funkcióval rendelkezik, amely a keret VLAN-címkéje, MAC-információi, IP-információi, portszáma, protokollja és egyéb információi alapján Hash terheléselosztással elosztja a forgalmat, biztosítva az egyes IPS/FW-k által fogadott adatfolyam munkamenet-integritását.
5.5 Többsoros soros berendezések áramlásvédelme (soros csatlakozásról párhuzamos csatlakozásra váltás)
Néhány kulcsfontosságú összeköttetésben (például internetcsatlakozók, szerverterület-cserekapcsolatok) a helyszín gyakran a biztonsági funkciók iránti igényeknek és több beágyazott biztonsági tesztelőberendezés (például tűzfal, DDOS támadás elleni berendezés, webes alkalmazás-tűzfal, behatolásmegelőző berendezés stb.) telepítésének köszönhető, amelyek során több biztonsági érzékelő berendezést kell egyszerre sorba kötni a kapcsolaton, hogy növeljék az egyetlen meghibásodási pontot, és csökkentsék a hálózat általános megbízhatóságát. A fent említett biztonsági berendezések online telepítése, a berendezések frissítése, cseréje és egyéb műveletek a hálózat hosszú távú szolgáltatáskiesését és nagyobb projektek leállítását okozhatják az ilyen projektek sikeres megvalósítása érdekében.
A „Bypass kapcsoló” egységes telepítésével az ugyanazon a kapcsolaton sorba kapcsolt több biztonsági eszköz telepítési módja „fizikai összefűzési módról” „fizikai összefűzési, logikai összefűzési módra” módosítható. Az egyetlen meghibásodási pontot jelentő kapcsolat javítja a kapcsolat megbízhatóságát, míg a „bypass kapcsoló” igény szerinti áramlást biztosít, így ugyanazt az áramlást éri el az eredeti biztonságos feldolgozási móddal.
Több biztonsági eszköz egyidejű használata soros telepítési diagramon:
Mylinking™ hálózati TAP bypass kapcsoló telepítési diagramja:
5.6 A forgalmi vonóerő-biztonsági észlelési védelem dinamikus stratégiája alapján
„Bypass kapcsoló” Egy másik fejlett alkalmazási forgatókönyv a forgalmi vonóerő biztonsági észlelési védelmi alkalmazások dinamikus stratégiáján alapul, az alábbi módon történő telepítéssel:
Vegyük például az „Anti-DDoS támadásvédelem és -észlelés” biztonsági tesztelőberendezést. A front-end rendszerben telepítünk egy „Bypass Switch”-et, majd egy DDOS támadásvédelmi berendezést, és csatlakoztatjuk azt a „Bypass Switch”-hez. A szokásos „Traction Protector”-ként a teljes forgalommennyiséget vezetékes sebességgel továbbítja, miközben a forgalomtükör kimenete a „DDOS támadásvédelmi eszközre” kerül. A támadás után a szerver IP-címére (vagy IP-hálózati szegmensre) vonatkozó észlelés után a „DDOS támadásvédelmi eszköz” generálja a célzott forgalomáramlási szabályokat, és a dinamikus szabályzatküldő interfészen keresztül elküldi azokat a „Bypass Switch”-nek. A „Bypass Switch” frissítheti a „dinamikus forgalomáramlást” a dinamikus szabályzatkezelési szabályok fogadása után, és azonnal továbbítja a támadást elszenvedő szerver forgalmának „traction” szabályait a „DDoS támadásvédelmi és -észlelési” berendezésnek feldolgozásra, hogy a támadás után hatékony legyen, majd visszajuttatja a hálózatba.
A „Bypass Switch”-en alapuló alkalmazási séma könnyebben megvalósítható, mint a hagyományos BGP útvonal-injektálás vagy más forgalomvontatási séma, a környezet kevésbé függ a hálózattól, a megbízhatóság pedig magasabb.
A „Bypass Switch” a következő jellemzőkkel rendelkezik a dinamikus szabályzatbiztonsági észlelési védelem támogatásához:
1. „Bypass Switch” a szabályokon kívüli hozzáférés biztosításához a WEBSERIVCE felületen keresztül, könnyen integrálható harmadik féltől származó biztonsági eszközökkel.
2. A hardveres, tisztán ASIC chipen alapuló „Bypass Switch” akár 10 Gbps sebességű vezetékes csomagokat továbbít a kapcsoló továbbításának blokkolása nélkül, valamint a „forgalomirányítási dinamikus szabálykönyvtár” a csomagok számától függetlenül.
3, A beépített "Bypass kapcsoló" professzionális BYPASS funkcióval, még a védőberendezés meghibásodása esetén is, azonnal megkerülheti az eredeti soros kapcsolatot, anélkül, hogy befolyásolná a normál kommunikáció eredeti kapcsolatát.
