Мережевий обхідний перемикач Mylinking™ ML-BYPASS-200
2*Bypass плюс 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
1-Огляди
Розгорнувши Mylinking™ Smart Bypass Switch:
- Користувачі можуть гнучко встановлювати/видаляти обладнання безпеки та не впливатимуть на поточну мережу та не перериватимуться;
- Мережевий обхідний перемикач Mylinking™ з інтелектуальною функцією виявлення працездатності для моніторингу в режимі реального часу нормального робочого стану пристрою безпеки з послідовним портом. Як тільки пристрій безпеки з послідовним портом спрацює, захист автоматично обійдеться, щоб підтримувати нормальний мережевий зв’язок;
- Технологію вибіркового захисту трафіку можна використовувати для розгортання спеціального обладнання безпеки очищення трафіку, технології шифрування на основі обладнання аудиту. Ефективно здійснювати захист послідовного доступу для певного типу трафіку, розвантажуючи тиск обробки потоку пристрою серії;
- Технологію Load Balanced Traffic Protection можна використовувати для кластерного розгортання захищених послідовних пристроїв, щоб задовольнити потребу в послідовній безпеці в середовищах з високою пропускною здатністю.
Зі стрімким розвитком Інтернету загроза інформаційній безпеці мережі стає все більш серйозною, тому різноманітні додатки для захисту інформації використовуються все ширше. Незалежно від того, чи це традиційне обладнання для контролю доступу (брандмауер) або новий тип більш вдосконалених засобів захисту, таких як система запобігання вторгненням (IPS), уніфікована платформа управління загрозами (UTM), система атак проти відмови в обслуговуванні (Anti-DDoS), анти- span Gateway, уніфікована система ідентифікації та контролю трафіку DPI, а також багато пристроїв безпеки, розгорнуті послідовно в ключових вузлах мережі, реалізація відповідної політики безпеки даних для ідентифікації та обробки легальний/нелегальний рух. У той же час, однак, комп’ютерна мережа створюватиме велику затримку мережі або навіть її збій у разі відмови, технічного обслуговування, оновлення, заміни обладнання тощо у високонадійному середовищі виробничих мережевих додатків, що користувачі не витримають.
2-мережевий обхідний перемикач розширених функцій і технологій
Режим захисту Mylinking™ «SpecFlow» і технологія режиму захисту «FullLink».
Технологія захисту швидкого обходу Mylinking™
Технологія Mylinking™ «LinkSafeSwitch».
Технологія динамічної стратегії пересилання/видачі Mylinking™ “WebService”.
Технологія інтелектуального визначення серцевих повідомлень Mylinking™
Технологія Mylinking™ Definable Heartbeat Messages
Багатоканальна технологія балансування навантаження Mylinking™
Інтелектуальна технологія розподілу трафіку Mylinking™
Технологія динамічного балансування навантаження Mylinking™
Технологія віддаленого керування Mylinking™ (характеристики HTTP/WEB, TELNET/SSH, EasyConfig/AdvanceConfig)
Посібник із конфігурації обхідного перемикача з 3 мережами
ОБХІДСлот модуля порту захисту:
Цей слот можна вставити в модуль порту захисту BYPASS з іншою швидкістю/номером порту. Замінюючи різні типи модулів, він може підтримувати захист BYPASS кількох каналів 10G/40G/100G.
МОНІТОРГніздо для модуля порту;
Цей слот можна вставити в модуль порту MONITOR з різними швидкостями/портами. Він може підтримувати розгортання кількох пристроїв онлайн-серійного моніторингу 10G/40G/100G шляхом заміни різних моделей.
Правила відбору модулів
Виходячи з різних розгорнутих зв’язків і вимог до розгортання обладнання для моніторингу, ви можете гнучко вибирати різні конфігурації модулів відповідно до фактичних потреб середовища; при виборі дотримуйтесь наступних правил:
1. Компоненти шасі є обов’язковими, і ви повинні вибрати компоненти шасі перед тим, як вибрати будь-які інші модулі. У той же час, будь ласка, виберіть різні методи живлення (AC/DC) відповідно до ваших потреб.
2. Вся машина підтримує до 2 слотів модуля BYPASS і 1 слота модуля MONITOR; ви не можете вибрати більше, ніж кількість слотів для налаштування. Залежно від кількості слотів і моделі модуля пристрій може підтримувати до чотирьох засобів захисту зв’язку 10GE; або він може підтримувати до чотирьох каналів 40GE; або він може підтримувати до одного посилання 100GE.
3. Модуль моделі "BYP-MOD-L1CG" можна вставити лише в SLOT1 для належної роботи.
4. Модуль типу "BYP-MOD-XXX" можна вставляти лише в слот модуля BYPASS; модуль типу "MON-MOD-XXX" можна вставити лише в слот модуля MONITOR для нормальної роботи.
Модель продукту | Параметри функції |
Шасі (хост) | |
ML-BYPASS-M200 | 1U стандартна 19-дюймова стійка; максимальна споживана потужність 250Вт; модульний хост-протектор BYPASS; 2 слота для модуля BYPASS; 1 слот для модуля MONITOR; Змінний і постійний струм необов'язкові; |
МОДУЛЬ БАЙПАСУ | |
BYP-MOD-L2XG(LM/SM) | Підтримує двосторонній послідовний захист зв’язку 10GE, інтерфейс 4*10GE, роз’єм LC; вбудований оптичний трансивер; одно/багатомодовий оптичний зв’язок, підтримує 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Підтримує двосторонній послідовний захист зв’язку 40GE, інтерфейс 4*40GE, роз’єм LC; вбудований оптичний трансивер; одно/багатомодовий оптичний зв’язок, підтримується 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Підтримує 1-канальний послідовний захист зв’язку 100GE, інтерфейс 2*100GE, роз’єм LC; вбудований оптичний трансивер; оптичний канал, одиночний багатомодовий опціональний, підтримує 100GBASE-SR4/LR4; |
МОДУЛЬ МОНІТОРА | |
MON-MOD-L16XG | Модуль порту моніторингу 16*10GE SFP+; відсутність оптичного приймально-передавального модуля; |
MON-MOD-L8XG | 8*10GE SFP+ модуль порту моніторингу; відсутність оптичного приймально-передавального модуля; |
MON-MOD-L2CG | 2*100GE QSFP28 модуль порту моніторингу; відсутність оптичного приймально-передавального модуля; |
MON-MOD-L8QXG | 8* модуль порту моніторингу 40GE QSFP+; відсутність оптичного приймально-передавального модуля; |
Технічні характеристики обхідного перемикача 4 мереж
Модальність продукту | Послідовний байпасний перемикач ML-BYPASS-M200 | |
Тип інтерфейсу | Інтерфейс MGT | 1*10/100/1000BASE-T Адаптивний інтерфейс управління; Підтримка дистанційного керування HTTP/IP |
Гніздо для модуля | 2*Слот для модуля BYPASS;1*Слот для модуля MONITOR; | |
Максимальна підтримка посилань | Пристрій підтримує максимум 4*10GE посилань або 4*40GE посилань або 1*100GE посилань | |
Монітор | Пристрій підтримує максимум 16*10GE портів моніторингу або 8*40GE портів моніторингу або 2*100GE портів моніторингу; | |
функція | Повнодуплексна обробка | 640 Гбіт/с |
На основі каскадного захисту трафіку з п’ятьма кортежами IP/протокол/порт | Підтримка | |
Каскадний захист на основі повного трафіку | Підтримка | |
Багаторазове балансування навантаження | Підтримка | |
Спеціальна функція виявлення серцебиття | Підтримка | |
Підтримка незалежності пакетів Ethernet | Підтримка | |
ОБХІДНИЙ ПЕРЕМИКАЧ | Підтримка | |
BYPASS Перемикач без спалаху | Підтримка | |
КОНСОЛЬ MGT | Підтримка | |
IP/WEB MGT | Підтримка | |
SNMP V1/V2C MGT | Підтримка | |
TELNET/SSH MGT | Підтримка | |
Протокол SYSLOG | Підтримка | |
Авторизація користувача | На основі авторизації паролем/AAA/TACACS+ | |
Електричний | Номінальна напруга живлення | AC-220V/DC-48V【Додатково】 |
Номінальна частота живлення | 50 Гц | |
Номінальний вхідний струм | AC-3A / DC-10A | |
Номінальна потужність | 100 Вт | |
Навколишнє середовище | Робоча температура | 0-50 ℃ |
Температура зберігання | -20-70 ℃ | |
Робоча вологість | 10%-95%, без конденсації | |
Конфігурація користувача | Конфігурація консолі | Інтерфейс RS232,115200,8,N,1 |
Зовнішній інтерфейс MGT | 1*10/100/1000M Ethernet інтерфейс | |
Авторизація паролем | Підтримка | |
Висота шасі | Розмір шасі(U) | 1U 19 дюймів, 485 мм * 44,5 мм * 350 мм |
5-мережевий TAP Bypass Switch Application (як показано нижче)
Нижче наведено типовий режим розгортання IPS (система запобігання вторгненням), FW (брандмауер), IPS / FW розгортається послідовно до мережевого обладнання (маршрутизаторів, комутаторів тощо) між трафіком через виконання перевірок безпеки, відповідно до відповідну політику безпеки для визначення звільнення або блокування відповідного трафіку для досягнення ефекту захисту безпеки.
У той же час ми можемо розглядати IPS / FW як послідовне розгортання обладнання, яке зазвичай розгортається в ключовому місці корпоративної мережі для впровадження послідовної безпеки, надійність підключених пристроїв безпосередньо впливає на загальну доступність корпоративної мережі. Після перевантаження послідовних пристроїв, збою, оновлення програмного забезпечення, оновлень політики тощо це значно вплине на доступність усієї корпоративної мережі. На даний момент ми можемо відновити роботу мережі лише за допомогою перемикання фізичного обходу, що серйозно впливає на надійність мережі. IPS / FW та інші послідовні пристрої, з одного боку, покращують розгортання безпеки корпоративної мережі, з іншого боку також знижують надійність корпоративних мереж, збільшуючи ризик недоступності мережі.
5.2 Захист обладнання серії Inline Link
«Обхідний перемикач» Mylinking™ розгортається послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо), і потік даних між мережевими пристроями більше не веде безпосередньо до IPS/FW, «Обхідний перемикач» до IPS/FW, коли IPS / FW через перевантаження, збій, оновлення програмного забезпечення, оновлення політики та інші умови збою, «Перемикач обходу» через інтелектуальне виявлення серцевих повідомлень Функція своєчасного виявлення, і таким чином пропустити несправний пристрій, не перериваючи приміщення мережі, швидке мережеве обладнання, безпосередньо підключене для захисту нормальної мережі зв'язку; коли відновлення збою IPS / FW, а також через інтелектуальні пакети пульсу Виявлення своєчасного виявлення функції, оригінальне посилання для відновлення безпеки перевірок безпеки корпоративної мережі.
Mylinking™ "Bypass Switch" має потужну інтелектуальну функцію виявлення повідомлень серцебиття, користувач може налаштувати інтервал серцебиття та максимальну кількість повторів за допомогою спеціального повідомлення серцебиття на IPS / FW для тестування працездатності, наприклад надсилання повідомлення перевірки серцебиття до висхідного/низхідного порту IPS/FW, а потім отримати від висхідного/низхідного порту IPS/FW і визначити, чи працює IPS/FW звичайно, надсилаючи та отримуючи повідомлення серцебиття.
5.3 Потік політики “SpecFlow” Inline Traction Series Protection
Коли мережевому пристрою безпеки потрібно мати справу лише з певним трафіком у послідовному захисті безпеки, через функцію обробки трафіку Mylinking™ «Bypass Switch» через стратегію скринінгу трафіку для підключення пристрою безпеки «Зацікавлений» трафік надсилається назад напряму до мережі, а «відповідна ділянка трафіку» — це тяга до внутрішнього запобіжного пристрою для виконання перевірок безпеки. Це не тільки підтримуватиме нормальне застосування функції виявлення безпеки запобіжного пристрою, але також зменшить неефективний потік обладнання безпеки для роботи з тиском; в той же час «байпасний перемикач» може визначити робочий стан пристрою безпеки в режимі реального часу. Захисний пристрій працює неправильно, обходить трафік даних напряму, щоб уникнути перебоїв у роботі мережі.
Mylinking™ Traffic Bypass Protector може ідентифікувати трафік на основі ідентифікатора заголовка рівня L2-L4, такого як тег VLAN, MAC-адреса джерела / призначення, IP-адреса джерела, тип IP-пакета, порт протоколу транспортного рівня, тег ключа заголовка протоколу тощо на. Гнучку комбінацію різноманітних умов збігу можна гнучко визначити, щоб визначити конкретні типи трафіку, які представляють інтерес для конкретного пристрою безпеки, і можуть широко використовуватися для розгортання спеціальних пристроїв аудиту безпеки (RDP, SSH, аудит бази даних тощо). .
5.4 Послідовний захист із збалансованим навантаженням
«Обхідний комутатор» Mylinking™ розгортається послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо). Коли одинична продуктивність обробки IPS/FW недостатня для роботи з піковим трафіком мережевого каналу, функція балансування навантаження трафіку протектора, «об’єднання» кількох IPS/FW кластерної обробки мережевого трафіку, може ефективно зменшити один IPS/ Тиск обробки FW, покращує загальну продуктивність обробки, щоб відповідати високій пропускній здатності середовища розгортання.
Mylinking™ "Bypass Switch" має потужну функцію балансування навантаження відповідно до тегу VLAN кадру, інформації MAC, інформації про IP, номера порту, протоколу та іншої інформації про хеш-балансування розподілу трафіку, щоб гарантувати, що кожен IPS / FW отримує дані потік Цілісність сеансу.
5.5 Багатосерійне вбудоване обладнання, захист від тяги потоку (змінити послідовне з’єднання на паралельне)
У деяких ключових зв’язках (таких як Інтернет-розетки, канали обміну серверною зоною) розташування часто пов’язане з потребами в функціях безпеки та розгортанням кількох вбудованих засобів тестування безпеки (таких як брандмауер, обладнання для захисту від DDOS-атаки, брандмауер веб-програм). , обладнання для запобігання вторгненням тощо), декілька пристроїв виявлення безпеки одночасно в послідовному зв’язку, щоб збільшити зв’язок однієї точки збою, знижуючи загальну надійність мережі. І в згаданому вище онлайновому розгортанні обладнання безпеки, модернізації обладнання, заміні обладнання та інших операціях призведе до тривалого переривання обслуговування мережі та більшого скорочення проекту для завершення успішної реалізації таких проектів.
Уніфікованим розгортанням «обхідного перемикача» можна змінити режим розгортання кількох пристроїв безпеки, з’єднаних послідовно в одному каналі з «режиму фізичної конкатенації» на «режим фізичної конкатенації, режим логічної конкатенації». єдина точка відмови, щоб підвищити надійність зв’язку, тоді як «обхідний перемикач» на каналі передачі на вимогу тяги, щоб досягти того самого потоку з початковим режимом безпечної обробки ефект.
Більш ніж один пристрій безпеки одночасно на схемі послідовного розгортання:
Схема розгортання комутатора обходу TAP мережі Mylinking™:
5.6 На основі динамічної стратегії безпеки виявлення трафіку
«Перемикач обходу». Інший розширений сценарій додатків базується на динамічній стратегії додатків захисту виявлення трафіку безпеки, розгортання способу, як показано нижче:
Візьмемо обладнання для тестування безпеки «Захист і виявлення атак від DDoS», наприклад, за допомогою зовнішнього розгортання «Перемикача обходу», а потім обладнання захисту від DDOS, а потім підключеного до «перемикача обходу» у звичайному режимі. Тракційний захисник "до повного обсягу трафіку, пересилання швидкості проводу в той же час, вихід дзеркала потоку на" пристрій захисту від DDOS-атаки ", як тільки виявлено для IP-адреси сервера (або сегмента IP-мережі) після атаки, «пристрій захисту від атак DDOS» генеруватиме правила відповідності цільового потоку трафіку та надсилатиме їх на «Перемикач обходу» через інтерфейс динамічної доставки політики. «Перемикач обходу» може оновити «динаміку тяги трафіку» після отримання правил динамічної політики «пул правил» і «негайно» правило «вражає трафік сервера атак» тяги до «захисту та виявлення атак від DDoS» обладнання для обробки, щоб бути ефективний після потоку атаки, а потім повторно введений у мережу.
Схему застосування, засновану на «обхідному комутаторі», простіше реалізувати, ніж традиційне впровадження маршруту BGP або іншу схему залучення трафіку, а середовище менше залежить від мережі, а надійність вища.
«Перемикач обходу» має такі характеристики для підтримки захисту виявлення безпеки динамічної політики:
1, «Перемикач обходу» для надання поза правилами на основі інтерфейсу WEBSERIVCE, легкої інтеграції з пристроями безпеки сторонніх виробників.
2, «обхідний комутатор» на основі апаратного чистого чіпа ASIC, який пересилає пакети зі швидкістю до 10 Гбіт/с без блокування переадресації комутатора, і «бібліотека динамічних правил трафіку» незалежно від кількості.
3, «Перемикач обходу» вбудована професійна функція BYPASS, навіть якщо сам протектор несправний, також може негайно обійти оригінальне послідовне з’єднання, не впливаючи на вихідне з’єднання нормального зв’язку.