Mylinking™ netwerktap bypass-schakelaar ML-BYPASS-100
2*Bypass plus 1*Monitor Modulair Ontwerp, 10/40/100GE Links, Max 640Gbps
Overzichten
Mylinking™ Network Tap Bypass Switch is onderzocht en ontwikkeld om te worden gebruikt voor flexibele inzet van verschillende soorten inline beveiligingsapparatuur en tegelijkertijd een hoge netwerkbetrouwbaarheid te bieden.
Door Mylinking™ Smart Bypass Switch Tap in te zetten:
- Gebruikers kunnen beveiligingsapparatuur/tools flexibel installeren/verwijderen en zullen het huidige netwerk niet beïnvloeden of onderbreken;
- Mylinking™ Network Tap Bypass Switch met intelligente gezondheidsdetectiefunctie voor real-time monitoring van de normale werkstatus van de inline beveiligingsapparaten.Zodra de inline beveiligingsapparaten uitzondering werken, zal de beveiligingsfunctie automatisch omzeilen om de normale netwerkcommunicatie te behouden;
- Selectieve verkeersbeveiligingstechnologie kan worden gebruikt om specifieke verkeersreinigingsbeveiligingsapparatuur in te zetten, encryptietechnologie op basis van de auditapparatuur.Voer effectief de inline toegangsbeveiliging uit voor het specifieke verkeerstype, waarbij de stroombehandelingsdruk van het inline apparaat wordt ontlast;
- Load Balanced Traffic Protection-technologie kan worden gebruikt voor geclusterde implementatie van veilige seriële inline beveiligingsapparaten om te voldoen aan de inline beveiliging in omgevingen met hoge bandbreedte.
Netwerk Tap Bypass Switch Geavanceerde functies en technologieën
Mylinking™ "SpecFlow"-beveiligingsmodus en "FullLink"-beveiligingsmodus
Mylinking™ snelle bypass-schakelbeveiliging
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dynamische strategie doorsturen/probleem
Mylinking™ intelligente detectie van hartslagberichten
Mylinking™ Definieerbare Heartbeat-berichten (Heartbeat-pakketten)
Mylinking™ Multi-link Load Balancing
Mylinking™ Intelligente verkeersdistributie
Mylinking™ dynamische belastingverdeling
Mylinking™-technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, kenmerk "EasyConfig/AdvanceConfig")
Network Tap Bypass Switch Optionele configuratiehandleiding
BYPASS-moduleSleuf voor beschermingspoortmodule:
Deze sleuf kan in de BYPASS-beveiligingspoortmodule met een ander snelheids-/poortnummer worden geplaatst.Door verschillende soorten modules te vervangen, kan het BYPASS-beveiliging van meerdere 10G/40G/100G-linksvereisten ondersteunen.
MONITOR-moduleSleuf voor poortmodule;
In dit slot kan de MONITOR-module met verschillende snelheden/poorten worden geplaatst.Het kan meerdere koppelingen van 10G/40G/100G ondersteunen voor de implementatie van inline seriële bewakingsapparatuur door verschillende modules te vervangen.
Regels voor moduleselectie
Op basis van verschillende geïmplementeerde koppelingen en implementatievereisten voor bewakingsapparatuur, kunt u flexibel verschillende moduleconfiguraties kiezen om aan uw werkelijke omgevingsverzoek te voldoen;volg de volgende regels tijdens het selecteren van uw module:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert.Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) op basis van uw behoeften.
2. Het hele apparaat ondersteunt maximaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot;u kunt niet meer selecteren dan het aantal te configureren slots.Op basis van de combinatie van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE-verbindingsbeveiligingen ondersteunen;of het kan maximaal vier 40GE-links ondersteunen;of het kan maximaal één 100GE-link ondersteunen.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen in SLOT1 worden geplaatst om correct te werken.
4. Het moduletype "BYP-MOD-XXX" kan alleen in het BYPASS-moduleslot worden geplaatst;het moduletype "MON-MOD-XXX" kan alleen voor normaal gebruik in het MONITOR-moduleslot worden geplaatst.
| product Model | Functie parameters |
| Chassis (gastheer) | |
| ML-BYPASS-M100 | 1U standaard 19-inch rackmontage;maximaal stroomverbruik 250W;modulaire BYPASS-beveiligingshost;2 BYPASS-modulesleuven;1 MONITOR-moduleslot;AC en DC optioneel; |
| BYPASS-MODULE | |
| BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE-link seriële bescherming, 4*10GE-interface, LC-connector;ingebouwde optische zendontvanger;optische link single/multimode optioneel, ondersteunt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Ondersteunt 2-weg 40GE-link seriële bescherming, 4*40GE-interface, LC-connector;ingebouwde optische zendontvanger;optische link single/multimode optioneel, ondersteunt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Ondersteunt 1 kanaal 100GE link seriële bescherming, 2*100GE interface, LC connector;ingebouwde optische zendontvanger;optische link single multimode optioneel, ondersteunt 100GBASE-SR4/LR4; |
| MONITORMODULE | |
| MON-MOD-L16XG | 16*10GE SFP+ bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L8XG | 8*10GE SFP+ bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L2CG | 2*100GE QSFP28 bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ bewakingspoortmodule;geen optische transceivermodule; |
Specificaties netwerk TAP bypass-schakelaar
| Productmodaliteit | ML-BYPASS-M100 Inline Netwerk Tap Bypass-schakelaar | |
| Type interface | MGT-interface | 1*10/100/1000BASE-T Adaptieve beheerinterface;Ondersteuning van extern HTTP/IP-beheer |
| Modulesleuf | 2*BYPASS-modulesleuf;1*MONITOR-modulesleuf; | |
| Links ondersteunen maximaal | Apparaat ondersteunt maximaal 4*10GE links of 4*40GE links of 1*100GE links | |
| Toezicht houden | Apparaat ondersteunt maximaal 16 * 10GE-bewakingspoorten of 8 * 40GE-bewakingspoorten of 2 * 100GE-bewakingspoorten; | |
| Functie | Full-duplex verwerkingscapaciteit | 640Gbps |
| Gebaseerd op IP/protocol/poort vijf tuple-specifieke verkeerscascadebeveiliging | Ondersteund | |
| Cascadebeveiliging op basis van vol verkeer | Ondersteund | |
| Meerdere loadbalancing | Ondersteund | |
| Aangepaste hartslagdetectiefunctie | Ondersteund | |
| Ondersteuning van de onafhankelijkheid van het Ethernet-pakket | Ondersteund | |
| BYPASS-SCHAKELAAR | Ondersteund | |
| BYPASS Schakelaar zonder flitser | Ondersteund | |
| CONSOLE MGT | Ondersteund | |
| IP/WEB MGT | Ondersteund | |
| SNMP V1/V2C MGT | Ondersteund | |
| TELNET/SSH MGT | Ondersteund | |
| SYSLOG-protocol | Ondersteund | |
| Autorisatie van de gebruiker | Gebaseerd op wachtwoord autorisatie/AAA/TACACS+ | |
| Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V【Optioneel】 |
| Nominale vermogensfrequentie | 50HZ | |
| Nominale ingangsstroom | AC-3A / DC-10A | |
| Nominaal vermogen | 100W | |
| Omgeving | Werktemperatuur | 0-50℃ |
| Bewaar temperatuur | -20-70℃ | |
| Werkvochtigheid | 10%-95%, Geen condensatie | |
| Gebruikersconfiguratie | Consoleconfiguratie | RS232-interface, 115200,8,N,1 |
| Out-of-band MGT-interface | 1*10/100/1000M Ethernet-interface | |
| Wachtwoord autorisatie | Ondersteund | |
| Chassishoogte | Chassisruimte (U) | 1U 19 duim, 485mm*44.5mm*350mm |
Network TAP Bypass Switch-toepassing (zoals hieronder)
5.1 Het risico van inline beveiligingsapparatuur (IPS/FW)
Het volgende is een typische IPS (Intrusion Prevention System), FW (Firewall) implementatiemodus, IPS / FW wordt ingezet als inline netwerkapparatuur (zoals routers, switches, etc.) tussen het verkeer door de implementatie van beveiligingscontroles, volgens het overeenkomstige beveiligingsbeleid om de vrijgave te bepalen of het overeenkomstige verkeer te blokkeren, om het effect van veiligheidsverdediging te bereiken.
Tegelijkertijd kunnen we IPS (Intrusion Prevention System) / FW (Firewall) waarnemen als een inline-implementatie van de apparatuur, meestal ingezet op de belangrijkste locatie van het bedrijfsnetwerk om inline-beveiliging te implementeren, de betrouwbaarheid van de aangesloten apparaten is rechtstreeks van invloed de algehele beschikbaarheid van het bedrijfsnetwerk.Zodra de inline beveiligingsapparaten overbelast raken, crashen, software-updates, beleidsupdates, enz., zal de beschikbaarheid van het gehele bedrijfsnetwerk sterk worden beïnvloed.Op dit moment kunnen we alleen via de netwerkonderbreking een fysieke bypass-jumper maken om het netwerk te herstellen, maar dit tast de betrouwbaarheid van het netwerk ernstig aan.IPS (Intrusion Prevention System) / FW (Firewall) en andere inline-apparaten verbeteren enerzijds de inzet van bedrijfsnetwerkbeveiliging, anderzijds verminderen ze ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico van het netwerk niet beschikbaar is.
5.2 Inline Link-serie apparatuurbescherming
Mylinking™ "Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, enz.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS (Intrusion Prevention System) / FW (Firewall), "Bypass Switch" naar IPS / FW, wanneer de IPS / FW als gevolg van overbelasting, crash, software-updates, beleidsupdates en andere storingscondities, de "Bypass Switch" door intelligente hartslagberichtdetectie Functie van de tijdige ontdekking, en dus het defecte apparaat overslaan, zonder het uitgangspunt van het netwerk te onderbreken, de snelle netwerkapparatuur die rechtstreeks is aangesloten om het normale communicatienetwerk te beschermen;wanneer de IPS / FW-foutherstel, maar ook door middel van intelligente Heartbeat-pakketten Detectie van tijdige detectie van de functie, de originele link om de beveiliging van bedrijfsnetwerkbeveiligingscontroles te herstellen.
Mylinking™ "Bypass Switch" heeft een krachtige intelligente Heartbeat Message Detection-functie, de gebruiker kan het hartslaginterval en het maximale aantal nieuwe pogingen aanpassen via een aangepast hartslagbericht op de IPS / FW voor gezondheidstesten, zoals het verzenden van het hartslagcontrolebericht naar de upstream / downstream-poort van IPS / FW, en ontvang vervolgens van de upstream / downstream-poort van IPS / FW, en beoordeel of de IPS / FW normaal werkt door het hartslagbericht te verzenden en te ontvangen.
5.3 "SpecFlow"-beleid Flow Inline Traction Series-bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in seriebeveiliging hoeft af te handelen, wordt via de Mylinking ™ "Network Tap Bypass Switch" -verkeer per verwerkingsfunctie, via de verkeersscreeningstrategie om het beveiligingsapparaat "Bezorgd" verkeer te verbinden verzonden direct terug naar de netwerkverbinding, en de "betreffende verkeerssectie" is tractie naar het in-line veiligheidsapparaat om veiligheidscontroles uit te voeren.Dit zal niet alleen de normale toepassing van de veiligheidsdetectiefunctie van het veiligheidsapparaat behouden, maar ook de inefficiënte stroom van de veiligheidsapparatuur verminderen om met de druk om te gaan;tegelijkertijd kan de "Network Tap Bypass Switch" de werkende staat van het veiligheidsapparaat in realtime detecteren.Het beveiligingsapparaat werkt abnormaal en omzeilt het dataverkeer direct om verstoring van de netwerkdienst te voorkomen.
De Mylinking™ Inline Traffic Bypass Tap kan verkeer identificeren op basis van de L2-L4 layer header identifier, zoals VLAN-tag, bron-/bestemmings-MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocolheader-keytag en spoedig.Een verscheidenheid aan flexibele combinaties van overeenkomende voorwaarden kan flexibel worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat en kan op grote schaal worden gebruikt voor de inzet van speciale beveiligingscontroleapparatuur (RDP, SSH, database-auditing, enz.) .
5.4 Load balanced seriebeveiliging
De Mylinking™ "Network Tap Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, etc.).Wanneer een enkele IPS / FW-verwerkingsprestatie niet voldoende is om het piekverkeer van netwerklinks aan te kunnen, kan de load balancing-functie van de beschermer, de "bundeling" van meerdere IPS / FW-clusterverwerkingnetwerklinkverkeer, effectief het enkele IPS / FW verminderen verwerkingsdruk, verbeter de algehele verwerkingsprestaties om te voldoen aan de hoge bandbreedte van de implementatieomgeving Claim.
Mylinking™ "Network Tap Bypass Switch" heeft een krachtige loadbalancing-functie, die volgens de frame-VLAN-tag, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de hash-loadbalancing-distributie van het verkeer ervoor zorgt dat elke IPS/FW ontvangen gegevensstroom Sessie-integriteit.
5.5 Multi-serie inline-apparatuur stroomtractiebeveiliging (verander seriële verbinding in parallelle verbinding)
In sommige belangrijke links (zoals internetwinkels, uitwisselingslink in servergebied) is de locatie vaak te wijten aan de behoeften van beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals firewall (FW), anti-DDOS-aanvalsapparatuur, WEB Application Firewall (WAF), Intrusion Prevention System (IPS), enz.), meerdere beveiligingsdetectieapparatuur tegelijkertijd in serie op de link om de link van een single point of failure te vergroten, waardoor de algehele betrouwbaarheid van het netwerk afneemt.En bij de bovengenoemde online implementatie van beveiligingsapparatuur zullen upgrades van apparatuur, vervanging van apparatuur en andere operaties ervoor zorgen dat het netwerk voor een lange tijd wordt onderbroken en een grotere projectverlagingsactie wordt uitgevoerd om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Network Tap Bypass Switch" op een uniforme manier in te zetten, kan de implementatiemodus van meerdere beveiligingsapparaten die in serie op dezelfde link zijn aangesloten, worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakeling, logische aaneenschakelingsmodus". link van een single point of failure om de betrouwbaarheid van de link te verbeteren, terwijl de "bypass switch" op de link flow on demand tractie, om dezelfde flow te bereiken met de originele modus van veilig verwerkingseffect.
Meer dan één beveiligingsapparaat tegelijk als inline implementatiediagram:
Mylinking™ Network TAP Bypass Switch Implementatieschema:
5.6 Gebaseerd op de dynamische strategie van verkeerstractiebeveiliging Detectiebescherming
"Network Tap Bypass Switch" Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van verkeerstractiebeveiligingsdetectiebeschermingstoepassingen, de implementatie van de manier zoals hieronder weergegeven:
Neem bijvoorbeeld de "Anti-DDoS-aanvalsbescherming en -detectie" beveiligingstestapparatuur, door de front-end inzet van "Network Tap Bypass Switch" en vervolgens anti-DDOS-beveiligingsapparatuur en vervolgens aangesloten op de "Network Tap Bypass Switch", in de gebruikelijke "Traction Protector" om de volledige hoeveelheid verkeer wire-speed door te sturen op hetzelfde moment de stroomspiegeluitvoer naar het "anti-DDOS-aanvalsbeveiligingsapparaat", zodra gedetecteerd voor een server-IP (of IP-netwerksegment) na de aanval," anti-DDOS-apparaat voor aanvalsbeveiliging " zal de regels voor het matchen van de doelverkeersstroom genereren en deze naar de "Network Tap Bypass Switch" sturen via de interface voor dynamische beleidslevering.De "Network Tap Bypass Switch" kan de "verkeerstractie dynamisch" bijwerken na ontvangst van de dynamische beleidsregels Rule pool "en onmiddellijk" regel raakt de aanvalsserver verkeer "tractie naar de" anti-DDoS aanvalsbescherming en detectie "apparatuur voor verwerking, om effectief te zijn na de aanvalsstroom en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het applicatieschema op basis van de "Network Tap Bypass Switch" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of ander verkeerstractieschema, en de omgeving is minder afhankelijk van het netwerk en de betrouwbaarheid is hoger.
"Network Tap Bypass Switch" heeft de volgende kenmerken om dynamische beleidsbeveiligingsdetectie te ondersteunen:
1, "Network Tap Bypass Switch" om buiten de regels te voorzien op basis van de WEBSERIVCE-interface, eenvoudige integratie met beveiligingsapparaten van derden.
2, "BNetwork Tap Bypass Switch" gebaseerd op de hardware pure ASIC-chip die tot 10 Gbps draadsnelheidspakketten doorstuurt zonder het doorsturen van schakelaars te blokkeren, en "verkeerstractie dynamische regelbibliotheek", ongeacht het aantal.
3, "Network Tap Bypass Switch" ingebouwde professionele BYPASS-functie, zelfs als de beschermer zelf faalt, kan ook de originele seriële link onmiddellijk omzeilen, heeft geen invloed op de originele link van normale communicatie.
