Mylinking™ netwerkkraan-bypassschakelaar ML-BYPASS-100
2*Bypass plus 1*Monitor Modulair Ontwerp, 10/40/100GE Links, Max 640Gbps
Overzichten
De Mylinking™ Network Tap Bypass Switch is onderzocht en ontwikkeld voor flexibele inzet van diverse typen inline-beveiligingsapparatuur en biedt tegelijkertijd een hoge netwerkbetrouwbaarheid.
Door Mylinking™ Smart Bypass Switch Tap te implementeren:
- Gebruikers kunnen beveiligingsapparatuur en -hulpmiddelen flexibel installeren en verwijderen, zonder dat dit het huidige netwerk beïnvloedt of onderbreekt;
- Mylinking™ Network Tap Bypass Switch met intelligente functie voor gezondheidsdetectie voor realtime monitoring van de normale werking van de inline-beveiligingsapparaten. Zodra de inline-beveiligingsapparaten een uitzondering vormen, wordt de beveiligingsfunctie automatisch omzeild om de normale netwerkcommunicatie te behouden.
- Selectieve verkeersbeveiligingstechnologie kan worden gebruikt om specifieke beveiligingsapparatuur voor verkeersreiniging en encryptietechnologie in te zetten op basis van de auditapparatuur. Effectieve inline-toegangsbeveiliging voor het specifieke verkeerstype kan worden uitgevoerd, waarbij de druk op de verwerkingscapaciteit van het inline-apparaat wordt verlaagd.
- Load Balanced Traffic Protection-technologie kan worden gebruikt voor geclusterde implementatie van beveiligde seriële inline-beveiligingsapparaten om te voldoen aan de inline-beveiliging in omgevingen met een hoge bandbreedte.
Geavanceerde functies en technologieën voor netwerktap-bypassschakelaar
Mylinking™ “SpecFlow”-beschermingsmodus en “FullLink”-beschermingsmodus
Mylinking™ Snelle Bypass-schakelbeveiliging
Mylinking™ “LinkSafeSwitch”
Mylinking™ "WebService" Dynamische Strategie Doorsturen/Probleem
Mylinking™ Intelligent Heartbeat-berichtdetectie
Mylinking™ Definieerbare Heartbeat-berichten (Heartbeat-pakketten)
Mylinking™ Multi-link Load Balancing
Mylinking™ Intelligente Verkeersdistributie
Mylinking™ Dynamische Load Balancing
Mylinking™-technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, kenmerk “EasyConfig/AdvanceConfig”)
Optionele configuratiehandleiding voor de Network Tap Bypass Switch
BYPASS-moduleBeschermingspoortmodulesleuf:
Deze sleuf kan worden geplaatst in een BYPASS-beveiligingspoortmodule met verschillende snelheden/poortnummers. Door verschillende typen modules te vervangen, kan de BYPASS-beveiliging van meerdere 10G/40G/100G-verbindingen worden ondersteund.
MONITOR-modulePoortmodule-sleuf;
In deze sleuf kan een MONITOR-module met verschillende snelheden/poorten worden geplaatst. De sleuf ondersteunt meerdere 10G/40G/100G-verbindingen voor de implementatie van inline seriële monitoringapparaten door verschillende modules te vervangen.
Regels voor moduleselectie
Op basis van de verschillende geïmplementeerde koppelingen en implementatievereisten voor bewakingsapparatuur kunt u flexibel verschillende moduleconfiguraties kiezen om aan uw werkelijke omgevingsvereisten te voldoen. Volg de volgende regels bij het selecteren van modules:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert. Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) op basis van uw behoeften.
2. Het apparaat ondersteunt maximaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot; u kunt niet meer slots selecteren dan het aantal te configureren slots. Afhankelijk van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE-linkbeveiligingen ondersteunen, of maximaal vier 40GE-links, of maximaal één 100GE-link.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen in SLOT1 worden geplaatst om correct te functioneren.
4. De module van het type "BYP-MOD-XXX" kan uitsluitend in de BYPASS-modulesleuf worden geplaatst; de module van het type "MON-MOD-XXX" kan uitsluitend in de MONITOR-modulesleuf worden geplaatst voor normale werking.
| Productmodel | Functieparameters |
| Chassis (gastheer) | |
| ML-BYPASS-M100 | 1U standaard 19-inch rackmount; maximaal stroomverbruik 250 W; modulaire BYPASS-protectorhost; 2 BYPASS-moduleslots; 1 MONITOR-moduleslot; AC en DC optioneel; |
| BYPASS-MODULE | |
| BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE link seriële bescherming, 4*10GE interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Ondersteunt 2-weg 40GE link seriële bescherming, 4*40GE interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Ondersteunt 1 kanaal 100GE link seriële bescherming, 2*100GE interface, LC-connector; ingebouwde optische transceiver; optische link enkele multimode optioneel, ondersteunt 100GBASE-SR4/LR4; |
| MONITORMODULE | |
| MON-MOD-L16XG | 16*10GE SFP+ bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L8XG | 8*10GE SFP+ bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L2CG | 2*100GE QSFP28 bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ bewakingspoortmodule; geen optische transceivermodule; |
Specificaties voor netwerk-TAP-bypassswitch
| Productmodaliteit | ML-BYPASS-M100 Inline netwerkkraan bypass-schakelaar | |
| Type interface | MGT-interface | 1*10/100/1000BASE-T adaptieve beheerinterface; ondersteuning voor extern HTTP/IP-beheer |
| Modulesleuf | 2*BYPASS-moduleslot; 1*MONITOR-moduleslot; | |
| Links die maximaal ondersteunen | Apparaat ondersteunt maximaal 4*10GE-links of 4*40GE-links of 1*100GE-links | |
| Monitoring | Het apparaat ondersteunt maximaal 16*10GE bewakingspoorten of 8*40GE bewakingspoorten of 2*100GE bewakingspoorten. | |
| Functie | Volledige duplex verwerkingscapaciteit | 640 Gbps |
| Gebaseerd op IP/protocol/poort vijf tuple-specifieke verkeerscascadebeveiliging | Ondersteund | |
| Cascadebeveiliging op basis van volledig verkeer | Ondersteund | |
| Meervoudige load balancing | Ondersteund | |
| Aangepaste hartslagdetectiefunctie | Ondersteund | |
| Ondersteunt Ethernet-pakketonafhankelijkheid | Ondersteund | |
| BYPASS-SCHAKELAAR | Ondersteund | |
| BYPASS-schakelaar zonder flits | Ondersteund | |
| CONSOLE MGT | Ondersteund | |
| IP/WEB MGT | Ondersteund | |
| SNMP V1/V2C MGT | Ondersteund | |
| TELNET/SSH-BEHEER | Ondersteund | |
| SYSLOG-protocol | Ondersteund | |
| Gebruikersautorisatie | Gebaseerd op wachtwoordautorisatie/AAA/TACACS+ | |
| Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V【Optioneel】 |
| Nominale netfrequentie | 50 Hz | |
| Nominale ingangsstroom | AC-3A / DC-10A | |
| Nominaal vermogen | 100W | |
| Omgeving | Werktemperatuur | 0-50℃ |
| Opslagtemperatuur | -20-70℃ | |
| Werkvochtigheid | 10%-95%, geen condensatie | |
| Gebruikersconfiguratie | Consoleconfiguratie | RS232-interface,115200,8,N,1 |
| Out-of-band MGT-interface | 1*10/100/1000M Ethernet-interface | |
| Wachtwoordautorisatie | Ondersteund | |
| Chassishoogte | Chassisruimte (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
Toepassing van netwerk-TAP-bypass-switch (zoals hieronder)
5.1 Het risico van inline-beveiligingsapparatuur (IPS/FW)
Hieronder staat een typische IPS (Intrusion Prevention System) en FW (Firewall) implementatiemodus. IPS/FW wordt geïmplementeerd als inline netwerkapparatuur (zoals routers, switches, etc.) tussen het verkeer door de implementatie van beveiligingscontroles, in overeenstemming met het bijbehorende beveiligingsbeleid om de vrijgave of blokkering van het bijbehorende verkeer te bepalen om het effect van de beveiligingsverdediging te bereiken.
Tegelijkertijd kunnen we IPS (Intrusion Prevention System) / FW (Firewall) zien als een inline-implementatie van apparatuur, meestal geïnstalleerd op de belangrijkste locatie in het bedrijfsnetwerk om inline-beveiliging te implementeren. De betrouwbaarheid van de aangesloten apparaten heeft direct invloed op de algehele beschikbaarheid van het bedrijfsnetwerk. Zodra de inline-beveiligingsapparaten overbelast raken, crashen, software-updates of beleidswijzigingen plaatsvinden, heeft dit een grote invloed op de beschikbaarheid van het gehele bedrijfsnetwerk. Op dit punt kunnen we het netwerk alleen herstellen via een netwerkonderbreking en een fysieke bypassjumper, maar dit heeft ernstige gevolgen voor de betrouwbaarheid van het netwerk. IPS (Intrusion Prevention System) / FW (Firewall) en andere inline-apparaten verbeteren enerzijds de implementatie van de beveiliging van het bedrijfsnetwerk, maar verminderen anderzijds ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico toeneemt dat het netwerk niet beschikbaar is.
5.2 Inline Link-serie apparatuurbeveiliging
Mylinking™ "Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, etc.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS (Intrusion Prevention System) / FW (Firewall). De "Bypass Switch" naar IPS / FW, wanneer de IPS / FW overbelast raakt, vastloopt, software-updates, beleidsupdates of andere omstandigheden van falen, de "Bypass Switch" door middel van intelligente heartbeat-berichtdetectiefunctie van de tijdige detectie, en slaat zo het defecte apparaat over, zonder de aanwezigheid van het netwerk te onderbreken, de snelle netwerkapparatuur die rechtstreeks is aangesloten om het normale communicatienetwerk te beschermen; bij een IPS / FW-storing herstel, maar ook door middel van intelligente heartbeat-pakketdetectie van tijdige detectie van de functie, de oorspronkelijke link om de beveiliging van het bedrijfsnetwerk te herstellen.
Mylinking™ "Bypass Switch" beschikt over een krachtige, intelligente Heartbeat Message Detection-functie. De gebruiker kan het heartbeat-interval en het maximale aantal pogingen aanpassen via een aangepast heartbeat-bericht op de IPS/FW voor gezondheidstests. Zo kan het heartbeat-controlebericht naar de upstream/downstream-poort van de IPS/FW worden verzonden en vervolgens van de upstream/downstream-poort van de IPS/FW worden ontvangen en kan worden beoordeeld of de IPS/FW normaal functioneert door het heartbeat-bericht te verzenden en te ontvangen.
5.3 "SpecFlow" Beleidsstroom Inline Traction Series Bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in seriebeveiliging hoeft te verwerken, wordt het verkeer via de Mylinking™ "Network Tap Bypass Switch" per-processing-functie en via de verkeersscreeningstrategie van het beveiligingsapparaat rechtstreeks teruggestuurd naar de netwerkverbinding. Het betreffende verkeersgedeelte wordt vervolgens naar het in-line veiligheidsapparaat geleid om veiligheidscontroles uit te voeren. Dit zorgt er niet alleen voor dat de veiligheidsdetectiefunctie van het veiligheidsapparaat normaal blijft werken, maar vermindert ook de inefficiënte stroom van de veiligheidsapparatuur om de druk te beheersen. Tegelijkertijd kan de "Network Tap Bypass Switch" de werking van het veiligheidsapparaat in realtime detecteren. Het veiligheidsapparaat werkt abnormaal en omzeilt het dataverkeer direct om verstoring van de netwerkdienst te voorkomen.
De Mylinking™ Inline Traffic Bypass Tap kan verkeer identificeren op basis van de L2-L4-laagheader-ID, zoals VLAN-tag, bron-/bestemmings-MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocolheader-sleuteltag, enzovoort. Er kan een verscheidenheid aan flexibele combinatievoorwaarden worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat. Deze combinatie kan breed worden gebruikt voor de implementatie van speciale beveiligingsauditapparaten (RDP, SSH, database-audit, enz.).
5.4 Load balanced seriebeveiliging
De Mylinking™ "Network Tap Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, enz.). Wanneer de verwerkingsprestaties van één IPS/FW niet voldoende zijn om de piek in het netwerkverkeer te verwerken, kan de load balancing-functie van de protector, het bundelen van meerdere IPS/FW-clusterverwerkingsnetwerkverkeer, de verwerkingsdruk van één IPS/FW effectief verminderen en de algehele verwerkingsprestaties verbeteren om te voldoen aan de hoge bandbreedte van de implementatieomgeving.
Mylinking™ "Network Tap Bypass Switch" beschikt over een krachtige load balancing-functie, op basis van de VLAN-tag van het frame, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de hash load balancing-verdeling van het verkeer. Zo wordt gegarandeerd dat elke IPS/FW de gegevensstroom ontvangt en de sessie-integriteit optimaal is.
5.5 Multi-serie inline apparatuurstroom tractiebeveiliging (verander seriële verbinding naar parallelle verbinding)
In sommige belangrijke schakels (zoals internetaansluitingen en serverruimte-uitwisselingsverbindingen) wordt de locatie vaak bepaald door de behoeften aan beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals firewalls (FW's), anti-DDOS-apparatuur, WEB Application Firewalls (WAF's), Intrusion Prevention Systemen (IPS's), enz.) en meerdere beveiligingsdetectieapparatuur tegelijkertijd in serie op de schakel geplaatst om de verbinding met een enkelvoudig storingspunt te vergroten, wat de algehele betrouwbaarheid van het netwerk vermindert. Bij de bovengenoemde online implementatie van beveiligingsapparatuur zullen upgrades, vervangingen en andere handelingen leiden tot langdurige netwerkonderbrekingen en een grotere projectbezuiniging om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Network Tap Bypass Switch" op uniforme wijze in te zetten, kan de inzetmodus van meerdere beveiligingsapparaten die in serie op dezelfde verbinding zijn aangesloten, worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakelings-, logische aaneenschakelingsmodus". De verbinding op de verbinding van een enkelvoudig storingspunt verbetert de betrouwbaarheid van de verbinding, terwijl de "bypass-switch" op de verbinding de stroom op aanvraag tractie regelt, om dezelfde stroom te bereiken met de oorspronkelijke modus van veilige verwerkingseffect.
Meerdere beveiligingsapparaten tegelijk als inline-implementatiediagram:
Implementatiediagram voor Mylinking™ Network TAP Bypass Switch:
5.6 Gebaseerd op de dynamische strategie van Traffic Traction Security Detection Protection
"Network Tap Bypass Switch" Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van toepassingen voor detectie van verkeersbeveiliging, waarbij de inzet op de hieronder weergegeven manier plaatsvindt:
Neem bijvoorbeeld de beveiligingstestapparatuur voor "Anti-DDoS-aanvalsbeveiliging en -detectie", via de front-end implementatie van de "Network Tap Bypass Switch" en vervolgens de anti-DDOS-beveiligingsapparatuur, die vervolgens is aangesloten op de "Network Tap Bypass Switch". In de gebruikelijke "Traction Protector" wordt de volledige hoeveelheid dataverkeer doorgestuurd met draadsnelheid, terwijl de stroomspiegel tegelijkertijd naar de "Anti-DDOS-aanvalsbeveiliging" wordt gestuurd. Zodra een server-IP (of IP-netwerksegment) na de aanval is gedetecteerd, genereert de "Anti-DDOS-aanvalsbeveiliging" de regels voor de doelstroom en stuurt deze naar de "Network Tap Bypass Switch" via de interface voor dynamische beleidslevering. De "Network Tap Bypass Switch" kan de dynamische regel voor "tractie" van dataverkeer bijwerken na ontvangst van de regelpool van dynamische beleidsregels en onmiddellijk de regel "tractie" van het aanvalsserververkeer naar de "Anti-DDoS-aanvalsbeveiliging en -detectie"-apparatuur sturen, om effectief te zijn na de aanval en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het toepassingsschema op basis van de "Network Tap Bypass Switch" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of andere verkeerstractieschema's. Bovendien is de omgeving minder afhankelijk van het netwerk en is de betrouwbaarheid hoger.
"Network Tap Bypass Switch" heeft de volgende kenmerken ter ondersteuning van dynamische beleidsbeveiligingsdetectie:
1. "Network Tap Bypass Switch" om buiten de regels op basis van de WEBSERIVCE-interface eenvoudige integratie met beveiligingsapparaten van derden te bieden.
2, "BNetwork Tap Bypass Switch" gebaseerd op de hardware pure ASIC-chip die pakketten met een draadsnelheid tot 10Gbps doorstuurt zonder de switch-doorsturing te blokkeren, en "traffic traction dynamic rule library" ongeacht het aantal.
3. "Network Tap Bypass Switch" heeft een ingebouwde professionele BYPASS-functie. Zelfs als de protector zelf uitvalt, kan hij de originele seriële verbinding onmiddellijk omzeilen. Dit heeft geen invloed op de originele verbinding van de normale communicatie.
