Commutateur de contournement de prise réseau Mylinking™ ML-BYPASS-100
2 * Bypass plus 1 * Conception modulaire de moniteur, liaisons 10/40/100GE, max 640 Gbit/s
Aperçus
Le commutateur de contournement réseau Mylinking™ est recherché et développé pour être utilisé pour le déploiement flexible de divers types d'équipements de sécurité en ligne tout en offrant une fiabilité de réseau élevée.
En déployant Mylinking™ Smart Bypass Switch Tap :
- Les utilisateurs peuvent installer/désinstaller de manière flexible des équipements/outils de sécurité et n'affecteront ni n'interrompront le réseau actuel ;
- Commutateur de contournement de robinet réseau Mylinking™ avec fonction de détection de santé intelligente pour une surveillance en temps réel de l'état de fonctionnement normal des dispositifs de sécurité en ligne.Une fois que les dispositifs de sécurité en ligne fonctionnent exceptionnellement, la fonction de protection sera automatiquement contournée pour maintenir la communication réseau normale ;
- La technologie de protection sélective du trafic peut être utilisée pour déployer un équipement de sécurité spécifique pour le nettoyage du trafic, une technologie de cryptage basée sur l'équipement d'audit.Réaliser efficacement la protection d'accès en ligne pour le type de trafic spécifique, en déchargeant la pression de gestion du flux du dispositif en ligne ;
- La technologie Load Balanced Traffic Protection peut être utilisée pour le déploiement en cluster de dispositifs de sécurité en ligne série sécurisés afin de répondre à la sécurité en ligne dans les environnements à bande passante élevée.
Fonctionnalités et technologies avancées du commutateur de contournement du réseau
Mode de protection Mylinking™ « SpecFlow » et mode de protection « FullLink »
Protection de commutation de contournement rapide Mylinking™
Mylinking™ « LinkSafeSwitch »
Mylinking™ « WebService » Stratégie dynamique de transfert/problème
Détection intelligente des messages de battement de cœur Mylinking™
Messages de battement de coeur définissables Mylinking™ (paquets de battement de coeur)
Équilibrage de charge multi-liens Mylinking™
Mylinking™ Distribution intelligente du trafic
Équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, caractéristique « EasyConfig/AdvanceConfig »)
Guide de configuration en option du commutateur de contournement de prise réseau
Module de contournementEmplacement du module de port de protection :
Cet emplacement peut être inséré dans le module de port de protection BYPASS avec une vitesse/un numéro de port différent.En remplaçant différents types de modules, il peut prendre en charge la protection BYPASS de plusieurs exigences de liaisons 10G/40G/100G.
Module DE SURVEILLANCEEmplacement pour module de port ;
Cet emplacement peut être inséré le module MONITOR avec différentes vitesses/ports.Il peut prendre en charge plusieurs liaisons de 10G/40G/100G pour le déploiement de dispositifs de surveillance série en ligne en remplaçant différents modules.
Règles de sélection des modules
En fonction des différents liens déployés et des exigences de déploiement des équipements de surveillance, vous pouvez choisir de manière flexible différentes configurations de modules pour répondre à votre demande d'environnement réelle ;veuillez suivre les règles suivantes lors de la sélection de votre module :
1. Les composants du châssis sont obligatoires et vous devez sélectionner les composants du châssis avant de sélectionner d'autres modules.Dans le même temps, veuillez choisir différentes méthodes d'alimentation (AC/DC) en fonction de vos besoins.
2. L'ensemble de l'appareil prend en charge jusqu'à 2 emplacements de module BYPASS et 1 emplacement de module MONITOR ;vous ne pouvez pas sélectionner plus que le nombre d'emplacements à configurer.En fonction de la combinaison du nombre d'emplacements et du modèle de module, l'appareil peut prendre en charge jusqu'à quatre protections de liaison 10GE ;ou il peut prendre en charge jusqu'à quatre liaisons 40GE ;ou il peut prendre en charge jusqu'à un lien 100GE.
3. Le modèle de module « BYP-MOD-L1CG » ne peut être inséré que dans SLOT1 pour fonctionner correctement.
4. Le type de module « BYP-MOD-XXX » ne peut être inséré que dans l'emplacement du module BYPASS ;le module de type « MON-MOD-XXX » ne peut être inséré dans l'emplacement du module MONITOR que pour un fonctionnement normal.
| modèle du produit | Paramètres de fonction |
| Châssis (hôte) | |
| ML-BYPASS-M100 | Montage en rack standard 1U de 19 pouces ;consommation électrique maximale 250 W ;hôte protecteur de BYPASS modulaire ;2 emplacements pour modules BYPASS ;1 emplacement pour module MONITEUR ;AC et DC en option ; |
| MODULE DE DÉRIVATION | |
| BYP-MOD-L2XG(LM/SM) | Prend en charge la protection série bidirectionnelle 10GE Link, l'interface 4*10GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique simple/multimode en option, prend en charge 10GBASE-SR/LR ; |
| BYP-MOD-L2QXG(LM/SM) | Prend en charge la protection série bidirectionnelle 40GE Link, l'interface 4*40GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique simple/multimode en option, prend en charge 40GBASE-SR4/LR4 ; |
| BYP-MOD-L1CG (LM/SM) | Prend en charge la protection série 1 canal 100GE Link, l'interface 2*100GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique multimode unique en option, prend en charge 100GBASE-SR4/LR4 ; |
| MODULE DE SURVEILLANCE | |
| MON-MOD-L16XG | Module de port de surveillance SFP+ 16*10GE ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L8XG | Module de port de surveillance SFP+ 8*10GE ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L2CG | Module de port de surveillance 2*100GE QSFP28 ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L8QXG | Module de port de surveillance 8*40GE QSFP+ ;pas de module émetteur-récepteur optique ; |
Spécifications du commutateur de dérivation réseau TAP
| Modalité du produit | Commutateur de dérivation de prise réseau en ligne ML-BYPASS-M100 | |
| Type d'interface | Interface MGT | 1*10/100/1000BASE-T Interface de gestion adaptative ;Prise en charge de la gestion HTTP/IP à distance |
| Emplacement du module | 2 * emplacement pour module BYPASS ; 1 * emplacement pour module MONITEUR ; | |
| Liens prenant en charge un maximum | L'appareil prend en charge un maximum de liens 4*10GE ou 4*40GE ou 1*100GE. | |
| Surveillance | L'appareil prend en charge un maximum de 16 ports de surveillance 10 GE ou 8 ports de surveillance 40 GE ou 2 ports de surveillance 100 GE ; | |
| Fonction | Capacité de traitement full duplex | 640 Gbit/s |
| Basé sur la protection en cascade de trafic spécifique à cinq tuples IP/protocole/port | Prise en charge | |
| Protection en cascade basée sur le trafic complet | Prise en charge | |
| Équilibrage de charge multiple | Prise en charge | |
| Fonction de détection de rythme cardiaque personnalisée | Prise en charge | |
| Prise en charge de l'indépendance du package Ethernet | Prise en charge | |
| INTERRUPTEUR DE DÉRIVATION | Prise en charge | |
| Interrupteur BYPASS sans flash | Prise en charge | |
| GESTION DE CONSOLE | Prise en charge | |
| Gestion IP/WEB | Prise en charge | |
| Gestion SNMP V1/V2C | Prise en charge | |
| Gestion TELNET/SSH | Prise en charge | |
| Protocole SYSLOG | Prise en charge | |
| Autorisation de l'utilisateur | Basé sur l'autorisation par mot de passe/AAA/TACACS+ | |
| Électrique | Tension d'alimentation nominale | AC-220V/DC-48V【En option】 |
| Fréquence d'alimentation nominale | 50HZ | |
| Courant d'entrée nominal | AC-3A/DC-10A | |
| Puissance nominale | 100W | |
| Environnement | Température de fonctionnement | 0-50℃ |
| Température de stockage | -20-70 ℃ | |
| Humidité de travail | 10 % à 95 %, sans condensation | |
| Configuration utilisateur | Configuration des consoles | Interface RS232, 115200,8,N,1 |
| Interface MGT hors bande | Interface Ethernet 1*10/100/1000M | |
| Autorisation par mot de passe | Prise en charge | |
| Hauteur du châssis | Espace châssis (U) | 1U 19 pouces, 485 mm * 44,5 mm * 350 mm |
Application de commutateur de contournement réseau TAP (comme suit)
5.1 Le risque des équipements de sécurité en ligne (IPS/FW)
Ce qui suit est un mode de déploiement typique IPS (Intrusion Prevention System), FW (Firewall), IPS / FW est déployé en tant qu'équipement réseau en ligne (tel que des routeurs, des commutateurs, etc.) entre le trafic grâce à la mise en œuvre de contrôles de sécurité, selon la politique de sécurité correspondante pour déterminer la libération ou le blocage du trafic correspondant, pour obtenir l'effet de défense de sécurité.
Dans le même temps, nous pouvons observer IPS (Intrusion Prevention System) / FW (Firewall) comme un déploiement en ligne de l'équipement, généralement déployé à l'emplacement clé du réseau d'entreprise pour mettre en œuvre la sécurité en ligne, la fiabilité de ses appareils connectés affecte directement la disponibilité globale du réseau d’entreprise.En cas de surcharge, de panne, de mises à jour logicielles, de mises à jour de politiques, etc., la disponibilité du réseau d'entreprise dans son ensemble sera grandement affectée.À ce stade, nous ne pouvons que grâce au réseau coupé, le cavalier de dérivation physique peut restaurer le réseau, mais cela affecte sérieusement la fiabilité du réseau.IPS (Intrusion Prevention System) / FW (Firewall) et d'autres dispositifs en ligne améliorent d'une part le déploiement de la sécurité des réseaux d'entreprise, d'autre part réduisent également la fiabilité des réseaux d'entreprise, augmentant ainsi le risque que le réseau ne soit pas disponible.
5.2 Protection des équipements de la série Inline Link
Mylinking™ " Bypass Switch " est déployé en ligne entre les périphériques réseau (routeurs, commutateurs, etc.), et le flux de données entre les périphériques réseau ne mène plus directement à IPS (Intrusion Prevention System) / FW (Firewall), " Bypass Switch " à IPS/FW, lorsque l'IPS/FW est dû à une surcharge, un crash, des mises à jour logicielles, des mises à jour de politique et d'autres conditions d'échec, le « commutateur de dérivation » grâce à la fonction de détection intelligente des messages de battement de cœur de la découverte en temps opportun, et ainsi ignorer le périphérique défectueux, sans interrompre les prémisses du réseau, l'équipement de réseau rapide directement connecté pour protéger le réseau de communication normal ;lorsque la récupération d'échec IPS / FW, mais aussi grâce à la détection intelligente des paquets Heartbeat de détection en temps opportun de la fonction, le lien d'origine pour restaurer la sécurité des contrôles de sécurité du réseau d'entreprise.
Mylinking™ "Bypass Switch" dispose d'une puissante fonction intelligente de détection des messages de battement de coeur, l'utilisateur peut personnaliser l'intervalle de battement de coeur et le nombre maximum de tentatives, via un message de battement de coeur personnalisé sur l'IPS/FW pour les tests de santé, comme l'envoi du message de vérification du battement de coeur. au port amont/aval d'IPS/FW, puis recevez du port amont/aval d'IPS/FW, et jugez si l'IPS/FW fonctionne normalement en envoyant et en recevant le message de battement de cœur.
5.3 Protection des séries de traction en ligne de flux de politique « SpecFlow »
Lorsque le périphérique réseau de sécurité n'a besoin que de gérer le trafic spécifique dans la protection de sécurité en série, via la fonction de traitement du trafic Mylinking™ " Network Tap Bypass Switch ", via la stratégie de filtrage du trafic pour connecter le périphérique de sécurité " concerné ", le trafic est envoyé retour directement au lien réseau, et la « section de trafic concernée » est traction vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité.Cela maintiendra non seulement l'application normale de la fonction de détection de sécurité du dispositif de sécurité, mais réduira également le débit inefficace de l'équipement de sécurité pour faire face à la pression ;en même temps, le « Network Tap Bypass Switch » peut détecter l'état de fonctionnement du dispositif de sécurité en temps réel.Le dispositif de sécurité fonctionne anormalement et contourne directement le trafic de données pour éviter toute interruption du service réseau.
Le Mylinking™ Inline Traffic Bypass Tap peut identifier le trafic en fonction de l'identifiant d'en-tête de couche L2-L4, tel que la balise VLAN, l'adresse MAC source/destination, l'adresse IP source, le type de paquet IP, le port de protocole de couche de transport, l'étiquette de clé d'en-tête de protocole et bientôt.Une variété de conditions de correspondance flexibles peuvent être définies de manière flexible pour définir les types de trafic spécifiques qui intéressent un dispositif de sécurité particulier et peuvent être largement utilisées pour le déploiement de dispositifs d'audit de sécurité spéciaux (RDP, SSH, audit de base de données, etc.) .
5.4 Protection série à charge équilibrée
Le « Network Tap Bypass Switch » Mylinking™ est déployé en ligne entre les périphériques réseau (routeurs, commutateurs, etc.).Lorsqu'une seule performance de traitement IPS/FW n'est pas suffisante pour faire face au trafic de pointe de la liaison réseau, la fonction d'équilibrage de la charge du trafic du protecteur, le « regroupement » de plusieurs clusters IPS/FW traitant le trafic de liaison réseau, peut réduire efficacement le trafic IPS/FW unique. pression de traitement, améliorer les performances globales de traitement pour répondre à la bande passante élevée de la revendication de l'environnement de déploiement.
Mylinking™ "Network Tap Bypass Switch" dispose d'une puissante fonction d'équilibrage de charge, en fonction de la balise VLAN de trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur la distribution d'équilibrage de charge de hachage du trafic pour garantir que chaque IPS/FW flux de données reçu Intégrité de la session.
5.5 Protection contre la traction du flux d'équipement en ligne multisérie (changer la connexion série en connexion parallèle)
Dans certains liens clés (tels que les points de vente Internet, les liens d'échange de zone de serveur), l'emplacement est souvent dû aux besoins de fonctionnalités de sécurité et au déploiement de plusieurs équipements de test de sécurité en ligne (tels qu'un pare-feu(FW), un équipement d'attaque anti-DDOS, Pare-feu d'application WEB (WAF), système de prévention des intrusions (IPS), etc.), plusieurs équipements de détection de sécurité en même temps en série sur la liaison pour augmenter la liaison d'un point de défaillance unique, réduisant ainsi la fiabilité globale du réseau.Et dans le déploiement en ligne des équipements de sécurité mentionné ci-dessus, les mises à niveau des équipements, le remplacement des équipements et d'autres opérations entraîneront une interruption de service du réseau pendant une longue période et une action de suppression de projet plus importante pour achever la mise en œuvre réussie de tels projets.
En déployant le « Network Tap Bypass Switch » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur le même lien peut être modifié du « mode de concaténation physique » à « concaténation physique, mode de concaténation logique » Le lien sur le lien d'un point de défaillance unique pour améliorer la fiabilité du lien, tandis que le « commutateur de dérivation » sur le flux de lien sur demande de traction, pour obtenir le même flux avec le mode original d'effet de traitement sûr.
Plusieurs dispositifs de sécurité en même temps que le diagramme de déploiement en ligne :
Schéma de déploiement du commutateur de contournement TAP Mylinking™ Network :
5.6 Basé sur la stratégie dynamique de protection contre la détection de la sécurité de la traction routière
« Commutateur de contournement de prise réseau » Un autre scénario d'application avancé est basé sur la stratégie dynamique des applications de protection de détection de sécurité de traction du trafic, le déploiement de la manière indiquée ci-dessous :
Prenez par exemple l'équipement de test de sécurité « Protection et détection des attaques anti-DDoS », via le déploiement frontal du « Network Tap Bypass Switch », puis de l'équipement de protection anti-DDOS, puis connecté au « Network Tap Bypass Switch », dans le " protecteur de traction " habituel, la totalité du trafic est transmise à vitesse filaire en même temps que le flux miroir est envoyé au " dispositif de protection contre les attaques DDOS ", une fois détecté pour un serveur IP (ou un segment de réseau IP) après le ", le " dispositif de protection contre les attaques DDOS " générera les règles de correspondance du flux de trafic cible et les enverra au " Network Tap Bypass Switch " via l'interface de livraison de politique dynamique.Le « Network Tap Bypass Switch » peut mettre à jour la « dynamique de traction du trafic » après avoir reçu les règles de politique dynamiques Pool de règles « et immédiatement » la règle a frappé la traction du trafic du serveur d'attaque vers l'équipement de « protection et de détection des attaques anti-DDoS » pour le traitement, pour être efficace après le flux d'attaque puis réinjecté dans le réseau.
Le schéma d'application basé sur le « Network Tap Bypass Switch » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou tout autre schéma de traction du trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
« Network Tap Bypass Switch » présente les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité par politique dynamique :
1, " Network Tap Bypass Switch " pour fournir en dehors des règles basées sur l'interface WEBSERIVCE, une intégration facile avec des dispositifs de sécurité tiers.
2, « BNetwork Tap Bypass Switch » basé sur la puce matérielle ASIC pure transmettant des paquets à vitesse filaire jusqu'à 10 Gbit/s sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3, fonction de contournement professionnelle intégrée « Network Tap Bypass Switch », même si le protecteur lui-même tombe en panne, peut également contourner immédiatement la liaison série d'origine, n'affecte pas le lien d'origine de la communication normale.
