Commutateur de dérivation de prise réseau Mylinking™ ML-BYPASS-100
Conception modulaire avec 2 sorties de contournement et 1 moniteur, liaisons 10/40/100GE, débit maximal de 640 Gbit/s
Aperçus
Le commutateur de dérivation de prise réseau Mylinking™ est conçu et développé pour permettre un déploiement flexible de différents types d'équipements de sécurité en ligne tout en assurant une fiabilité réseau élevée.
En déployant le commutateur de dérivation intelligent Mylinking™ :
- Les utilisateurs peuvent installer/désinstaller des équipements/outils de sécurité de manière flexible, sans que cela n'affecte ni n'interrompe le réseau actuel ;
- Le commutateur de dérivation de prise réseau Mylinking™ est doté d'une fonction intelligente de détection de l'état de fonctionnement pour une surveillance en temps réel du fonctionnement normal des dispositifs de sécurité en ligne. En cas d'anomalie de fonctionnement des dispositifs de sécurité en ligne, la fonction de protection est automatiquement désactivée afin de maintenir une communication réseau normale.
- La technologie de protection sélective du trafic peut être utilisée pour déployer des équipements de sécurité de nettoyage du trafic spécifiques, une technologie de cryptage basée sur l'équipement d'audit. Elle permet de réaliser efficacement la protection d'accès en ligne pour un type de trafic spécifique, en réduisant la pression de traitement du flux sur le dispositif en ligne ;
- La technologie de protection du trafic à charge équilibrée peut être utilisée pour le déploiement en cluster de dispositifs de sécurité en ligne série sécurisés afin de répondre aux exigences de sécurité en ligne dans les environnements à large bande passante.
Fonctionnalités et technologies avancées du commutateur de contournement de prise réseau
Mode de protection Mylinking™ « SpecFlow » et mode de protection « FullLink »
Protection de commutation rapide Mylinking™
Mylinking™ « LinkSafeSwitch »
Stratégie dynamique de transfert/d'émission « Service Web » Mylinking™
Détection intelligente des messages de battements cardiaques Mylinking™
Messages de battement de cœur définissables Mylinking™ (paquets de battement de cœur)
Équilibrage de charge multi-liens Mylinking™
Distribution intelligente du trafic Mylinking™
Équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, fonctionnalité « EasyConfig/AdvanceConfig »)
Guide de configuration optionnel du commutateur de dérivation de prise réseau
Module de contournementEmplacement du module de port de protection :
Ce logement peut être inséré dans un module de port de protection BYPASS compatible avec différentes vitesses et numéros de port. En remplaçant certains modules, il permet de répondre aux exigences de protection BYPASS pour plusieurs liaisons 10G/40G/100G.
Module de surveillanceEmplacement du module de port ;
Ce logement permet d'insérer le module MONITOR avec différentes vitesses/ports. Il peut prendre en charge plusieurs liaisons 10G/40G/100G pour le déploiement d'un dispositif de surveillance série en ligne, grâce à l'utilisation de différents modules interchangeables.
Règles de sélection des modules
En fonction des différentes liaisons déployées et des exigences de déploiement des équipements de surveillance, vous pouvez choisir différentes configurations de modules pour répondre aux besoins de votre environnement réel ; veuillez suivre les règles suivantes lors de la sélection de vos modules :
1. Les composants du châssis sont obligatoires et vous devez les sélectionner avant tout autre module. Par ailleurs, veuillez choisir le type d'alimentation (CA/CC) en fonction de vos besoins.
2. L'appareil prend en charge jusqu'à 2 emplacements pour modules BYPASS et 1 emplacement pour module MONITOR ; le nombre d'emplacements configurables est limité. Selon le nombre d'emplacements et le modèle de module, l'appareil peut prendre en charge jusqu'à quatre protections de liaison 10GE, quatre liaisons 40GE ou une liaison 100GE.
3. Le module modèle « BYP-MOD-L1CG » ne peut être inséré que dans l'emplacement SLOT1 pour fonctionner correctement.
4. Le module de type « BYP-MOD-XXX » ne peut être inséré que dans l’emplacement du module BYPASS ; le module de type « MON-MOD-XXX » ne peut être inséré que dans l’emplacement du module MONITOR pour un fonctionnement normal.
| Modèle de produit | Paramètres de fonction |
| Châssis (hôte) | |
| ML-BYPASS-M100 | Format rack 1U standard 19 pouces ; consommation électrique maximale 250 W ; hôte de protection BYPASS modulaire ; 2 emplacements pour modules BYPASS ; 1 emplacement pour module MONITOR ; alimentation CA et CC en option ; |
| MODULE DE CONTOURNEMENT | |
| BYP-MOD-L2XG(LM/SM) | Prend en charge la protection série de liaison 10GE bidirectionnelle, interface 4*10GE, connecteur LC ; émetteur-récepteur optique intégré ; liaison optique monomode/multimode en option, prend en charge 10GBASE-SR/LR ; |
| BYP-MOD-L2QXG(LM/SM) | Prend en charge la protection série de liaison 40GE bidirectionnelle, interface 4*40GE, connecteur LC ; émetteur-récepteur optique intégré ; liaison optique mono/multimode en option, prend en charge 40GBASE-SR4/LR4 ; |
| BYP-MOD-L1CG (LM/SM) | Prend en charge la protection série de liaison 1 canal 100GE, interface 2*100GE, connecteur LC ; émetteur-récepteur optique intégré ; liaison optique multimode unique en option, prend en charge 100GBASE-SR4/LR4 ; |
| MODULE DE MONITEUR | |
| MON-MOD-L16XG | Module de port de surveillance 16*10GE SFP+ ; sans module émetteur-récepteur optique ; |
| MON-MOD-L8XG | Module de port de surveillance SFP+ 8*10GE ; pas de module émetteur-récepteur optique ; |
| MON-MOD-L2CG | Module de port de surveillance 2*100GE QSFP28 ; pas de module émetteur-récepteur optique ; |
| MON-MOD-L8QXG | Module de port de surveillance 8* 40GE QSFP+ ; pas de module émetteur-récepteur optique ; |
Spécifications du commutateur de dérivation Network TAP
| Modalité du produit | Commutateur de dérivation de réseau en ligne ML-BYPASS-M100 | |
| Type d'interface | Interface de gestion | Interface de gestion adaptative 1*10/100/1000BASE-T ; prise en charge de la gestion à distance HTTP/IP |
| Emplacement du module | 2 emplacements pour module de dérivation ; 1 emplacement pour module de surveillance ; | |
| Liens prenant en charge le maximum | L'appareil prend en charge un maximum de 4 liaisons 10GE, 4 liaisons 40GE ou 1 liaison 100GE. | |
| Surveillance | L'appareil prend en charge un maximum de 16 ports de surveillance 10GE, 8 ports de surveillance 40GE ou 2 ports de surveillance 100GE ; | |
| Fonction | Capacité de traitement en duplex intégral | 640 Gbit/s |
| Protection en cascade du trafic basée sur un tuple IP/protocole/port spécifique à cinq tuples | Soutenu | |
| Protection en cascade basée sur le trafic complet | Soutenu | |
| Équilibrage de charge multiple | Soutenu | |
| Fonction de détection des battements cardiaques personnalisée | Soutenu | |
| Prise en charge de l'indépendance des paquets Ethernet | Soutenu | |
| INTERRUPTEUR DE DÉVIATION | Soutenu | |
| BYPASS Switch sans flash | Soutenu | |
| GESTION DE LA CONSOLE | Soutenu | |
| GESTION IP/WEB | Soutenu | |
| Gestion SNMP V1/V2C | Soutenu | |
| GESTION TELNET/SSH | Soutenu | |
| Protocole SYSLOG | Soutenu | |
| Autorisation de l'utilisateur | Basé sur l'autorisation par mot de passe/AAA/TACACS+ | |
| Électrique | Tension d'alimentation nominale | AC-220V/DC-48V【Optionnel】 |
| Fréquence de puissance nominale | 50 Hz | |
| Courant d'entrée nominal | 3 A CA / 10 A CC | |
| Puissance nominale | 100 W | |
| Environnement | Température de fonctionnement | 0-50℃ |
| température de stockage | -20 à 70 °C | |
| Humidité de fonctionnement | 10 % à 95 %, sans condensation | |
| Configuration utilisateur | Configuration de la console | Interface RS232,115200,8,N,1 |
| Interface MGT hors bande | 1 interface Ethernet 10/100/1000M | |
| Autorisation par mot de passe | Soutenu | |
| Hauteur du châssis | Espace du châssis (U) | 1U 19 pouces, 485 mm × 44,5 mm × 350 mm |
Application de commutation de contournement TAP réseau (comme ci-dessous)
5.1 Risque lié aux équipements de sécurité en ligne (IPS / FW)
Voici un mode de déploiement typique d'un système IPS (Intrusion Prevention System) et d'un pare-feu (FW) : l'IPS/FW est déployé en tant qu'équipement réseau en ligne (routeurs, commutateurs, etc.) entre le trafic et effectue des contrôles de sécurité. Conformément à la politique de sécurité correspondante, le trafic correspondant est autorisé ou bloqué, afin d'assurer la protection de la sécurité.
Parallèlement, on observe que les systèmes IPS (Intrusion Prevention System) et les pare-feu sont des équipements déployés en ligne, généralement situés à des emplacements clés du réseau d'entreprise pour assurer une sécurité intégrée. La fiabilité des dispositifs connectés influe directement sur la disponibilité globale du réseau. En cas de surcharge, de panne, de mise à jour logicielle ou de modification des politiques de sécurité, la disponibilité de l'ensemble du réseau est fortement compromise. Dans ce cas, la seule solution pour rétablir le réseau est de couper le réseau ou de le contourner physiquement, ce qui nuit gravement à sa fiabilité. Ainsi, si les systèmes IPS, les pare-feu et autres dispositifs en ligne améliorent la sécurité du réseau d'entreprise, ils peuvent aussi en réduire la fiabilité et accroître le risque d'indisponibilité.
5.2 Protection des équipements de la série Inline Link
Le « Bypass Switch » de Mylinking™ est déployé en ligne entre les équipements réseau (routeurs, commutateurs, etc.). Le flux de données entre ces équipements n'est plus acheminé directement vers le système de prévention des intrusions (IPS) ou le pare-feu (FW). Le « Bypass Switch » se connecte à l'IPS ou au FW en cas de surcharge, de panne, de mise à jour logicielle ou de mise à jour des politiques de sécurité, ou d'autre dysfonctionnement. Grâce à sa fonction intelligente de détection des messages de pulsation, le « Bypass Switch » détecte rapidement le problème et contourne ainsi l'équipement défaillant, sans interruption de service. Les équipements réseau sont alors directement connectés pour assurer la continuité du réseau de communication. En cas de panne de l'IPS ou du FW, la fonction de détection intelligente des paquets de pulsation permet également de rétablir la liaison d'origine et de garantir la sécurité du réseau d'entreprise.
Le commutateur de contournement Mylinking™ dispose d'une fonction puissante de détection intelligente des messages de pulsation. L'utilisateur peut personnaliser l'intervalle de pulsation et le nombre maximal de tentatives, grâce à un message de pulsation personnalisé envoyé à l'IPS/FW pour effectuer des tests de santé. Par exemple, le message de contrôle de pulsation est envoyé au port amont/aval de l'IPS/FW, puis reçu du même port, permettant ainsi de déterminer si l'IPS/FW fonctionne normalement.
5.3 Protection de la série de traction en ligne « SpecFlow »
Lorsque le dispositif de sécurité réseau doit gérer un trafic spécifique dans le cadre d'une protection en série, la fonction de prétraitement du trafic « Network Tap Bypass Switch » de Mylinking™ effectue un filtrage du trafic vers le dispositif de sécurité. Le trafic concerné est renvoyé directement vers la liaison réseau, et la section de trafic concernée est acheminée vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité. Ceci permet non seulement de maintenir le fonctionnement normal de la fonction de détection de sécurité du dispositif de sécurité, mais aussi de réduire la surcharge de ce dernier. Parallèlement, le « Network Tap Bypass Switch » détecte en temps réel l'état de fonctionnement du dispositif de sécurité. En cas de dysfonctionnement, le dispositif de sécurité contourne directement le trafic de données afin d'éviter toute interruption de service réseau.
Le dispositif Mylinking™ Inline Traffic Bypass Tap identifie le trafic en fonction des identifiants d'en-tête des couches L2 à L4, tels que les balises VLAN, les adresses MAC source et destination, l'adresse IP source, le type de paquet IP, le port du protocole de la couche transport, les clés d'en-tête de protocole, etc. Grâce à une grande flexibilité de combinaison de critères, il est possible de définir les types de trafic spécifiques qui intéressent un dispositif de sécurité particulier. Ce dispositif est largement utilisé pour le déploiement d'outils d'audit de sécurité dédiés (RDP, SSH, audit de bases de données, etc.).
5.4 Protection en série à charge équilibrée
Le commutateur de dérivation de réseau Mylinking™ s'installe en ligne entre les périphériques réseau (routeurs, commutateurs, etc.). Lorsqu'un seul système IPS/FW ne suffit pas à gérer les pics de trafic sur une liaison réseau, la fonction d'équilibrage de charge du dispositif, en regroupant le trafic de plusieurs clusters IPS/FW, permet de réduire efficacement la charge sur chaque système et d'améliorer les performances globales afin de répondre aux exigences de bande passante élevée des environnements de déploiement.
Le commutateur de contournement de prise réseau Mylinking™ dispose d'une fonction d'équilibrage de charge puissante, qui répartit le trafic en fonction de l'étiquette VLAN de la trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur l'équilibrage de charge Hash afin de garantir l'intégrité de session du flux de données reçu par chaque IPS / FW.
5.5 Protection contre la traction du flux pour les équipements en ligne multi-séries (passage d'une connexion série à une connexion parallèle)
Sur certaines liaisons critiques (comme les points d'accès Internet et les points d'échange réseau), l'emplacement est souvent déterminé par les exigences de sécurité et le déploiement de plusieurs équipements de sécurité en ligne (pare-feu, protection anti-DDoS, pare-feu applicatif web, système de prévention des intrusions, etc.). La présence simultanée de plusieurs équipements de détection de sécurité en série sur la liaison augmente le risque de défaillance unique et réduit la fiabilité globale du réseau. De plus, le déploiement, la mise à niveau et le remplacement d'équipements de sécurité en ligne entraînent des interruptions de service prolongées et nécessitent des mesures d'adaptation importantes pour la bonne réalisation des projets.
En déployant le « commutateur de dérivation de prise réseau » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur la même liaison peut être modifié du « mode de concaténation physique » au « mode de concaténation physique et logique ». La liaison sur la liaison constitue un point de défaillance unique, ce qui améliore la fiabilité de la liaison, tandis que le « commutateur de dérivation » sur la liaison permet une traction de flux à la demande, pour obtenir le même flux qu'avec le mode de traitement sécurisé d'origine.
Plusieurs dispositifs de sécurité installés simultanément selon un schéma de déploiement en ligne :
Schéma de déploiement du commutateur de contournement TAP réseau Mylinking™ :
5.6 Protection de détection de sécurité de traction du trafic basée sur la stratégie dynamique
« Commutateur de contournement de prise réseau » Un autre scénario d'application avancé repose sur la stratégie dynamique des applications de protection et de détection de sécurité de la traction du trafic, dont le déploiement est illustré ci-dessous :
Prenons l'exemple d'un équipement de test de sécurité « Protection et détection des attaques anti-DDoS ». Déployé en amont, il est relié à un dispositif de protection anti-DDoS. Ce dernier, via un protecteur de traction classique, achemine l'intégralité du trafic à vitesse filaire tout en dupliquant simultanément le flux vers le dispositif de protection anti-DDoS. Dès qu'une attaque est détectée sur une adresse IP de serveur (ou un segment de réseau IP), le dispositif de protection anti-DDoS génère des règles de correspondance avec le flux de trafic cible et les envoie au commutateur de protection via l'interface de distribution de politiques dynamiques. Le commutateur de protection met alors à jour le pool de règles de traction dynamiques et applique immédiatement la règle ciblant le trafic du serveur d'attaque au dispositif de protection et de détection anti-DDoS pour traitement. Le flux d'attaque est ainsi neutralisé puis réinjecté dans le réseau.
Le schéma d'application basé sur le « commutateur de contournement Network Tap » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou d'autres schémas de traction de trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
Le commutateur de contournement de prise réseau possède les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité dynamique des politiques :
1. « Commutateur de contournement de prise réseau » pour fournir en dehors des règles basées sur l'interface WEBSERVICE, une intégration facile avec les dispositifs de sécurité tiers.
2, « BNetwork Tap Bypass Switch » basé sur une puce ASIC pure matérielle transférant des paquets jusqu'à 10 Gbit/s à la vitesse du fil sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3. La fonction BYPASS professionnelle intégrée du « Network Tap Bypass Switch » permet, même en cas de défaillance du protecteur lui-même, de contourner immédiatement la liaison série d'origine, sans affecter la communication normale de cette dernière.
