Commutateur de dérivation de prise réseau Mylinking™ ML-BYPASS-200
Conception modulaire 2*Bypass plus 1*Moniteur, liaisons 10/40/100GE, max. 640 Gbit/s
1-Aperçus
En déployant le commutateur de dérivation intelligent Mylinking™ :
- Les utilisateurs peuvent installer/désinstaller de manière flexible des équipements de sécurité sans affecter le réseau actuel ni l'interrompre ;
- Commutateur de dérivation de prise réseau Mylinking™ avec fonction de détection de santé intelligente pour la surveillance en temps réel de l'état de fonctionnement normal du périphérique de sécurité série, une fois que l'exception de fonctionnement du périphérique de sécurité série, la protection sera automatiquement contournée pour maintenir la communication réseau normale ;
- La technologie de protection sélective du trafic permet de déployer des équipements de sécurité spécifiques pour le nettoyage du trafic et des technologies de chiffrement basées sur l'équipement d'audit. Elle assure efficacement la protection des accès série pour un type de trafic spécifique, allégeant ainsi la charge de traitement du flux des équipements série.
- La technologie de protection du trafic à charge équilibrée peut être utilisée pour le déploiement en cluster de périphériques série sécurisés afin de répondre au besoin de sécurité série dans les environnements à large bande passante.
Avec le développement rapide d'Internet, la menace pesant sur la sécurité des informations réseau devient de plus en plus sérieuse. C'est pourquoi diverses applications de protection informatique sont de plus en plus utilisées. Qu'il s'agisse d'équipements de contrôle d'accès traditionnels (pare-feu) ou de nouveaux moyens de protection plus avancés tels que les systèmes de prévention des intrusions (IPS), les plateformes de gestion unifiée des menaces (UTM), les systèmes anti-attaques par déni de service (Anti-DDoS), les passerelles anti-span, les systèmes unifiés d'identification et de contrôle du trafic DPI, de nombreux dispositifs de sécurité sont déployés en série dans les nœuds clés du réseau. La mise en œuvre d'une politique de sécurité des données adaptée permet d'identifier et de gérer le trafic légal et illégal. Cependant, les réseaux informatiques peuvent générer d'importants retards, voire des interruptions, en cas de basculement, de maintenance, de mise à niveau ou de remplacement d'équipements, ce qui est insupportable pour les utilisateurs d'un environnement d'application réseau de production hautement fiable.
Commutateur de dérivation de prise à 2 réseaux, fonctionnalités et technologies avancées
Mode de protection Mylinking™ « SpecFlow » et technologie de mode de protection « FullLink »
Technologie de protection de commutation à dérivation rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transmission/d'émission de stratégie dynamique Mylinking™ « WebService »
Technologie intelligente de détection des messages de battements de cœur Mylinking™
Technologie de messages de battement de cœur définissables Mylinking™
Technologie d'équilibrage de charge multi-liens Mylinking™
Technologie de distribution intelligente du trafic Mylinking™
Technologie d'équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, caractéristique « EasyConfig/AdvanceConfig »)
Guide de configuration du commutateur de dérivation de prise réseau à 3 réseaux
BY-PASSEmplacement du module de port de protection :
Cet emplacement peut être inséré dans un module de port de protection BYPASS de débit/numéro de port différent. En remplaçant différents types de modules, il peut prendre en charge la protection BYPASS de plusieurs liaisons 10G/40G/100G.
MONITEUREmplacement du module de port ;
Cet emplacement peut être inséré dans le module de port MONITOR avec différents débits/ports. Il permet le déploiement de plusieurs dispositifs de surveillance série en ligne 10G/40G/100G en remplaçant différents modèles.
Règles de sélection des modules
En fonction des différents liens déployés et des exigences de déploiement des équipements de surveillance, vous pouvez choisir de manière flexible différentes configurations de modules pour répondre aux besoins réels de votre environnement ; veuillez suivre les règles suivantes lors de la sélection :
1. Les composants du châssis sont obligatoires et doivent être sélectionnés avant tout autre module. Veuillez également choisir les différents modes d'alimentation (CA/CC) selon vos besoins.
2. L'ensemble de la machine prend en charge jusqu'à deux emplacements pour modules BYPASS et un emplacement pour module MONITOR ; le nombre d'emplacements à configurer est limité. Selon le nombre d'emplacements et le modèle de module, l'appareil peut prendre en charge jusqu'à quatre protections de liaison 10GE, jusqu'à quatre liaisons 40GE ou jusqu'à une liaison 100GE.
3. Le modèle de module « BYP-MOD-L1CG » ne peut être inséré que dans le SLOT1 pour fonctionner correctement.
4. Le type de module « BYP-MOD-XXX » ne peut être inséré que dans l'emplacement du module BYPASS ; le type de module « MON-MOD-XXX » ne peut être inséré que dans l'emplacement du module MONITOR pour un fonctionnement normal.
| Modèle de produit | Paramètres de fonction |
| Châssis (hôte) | |
| ML-BYPASS-M200 | Montage en rack standard 1U 19 pouces ; consommation électrique maximale 250 W ; hôte de protection BYPASS modulaire ; 2 emplacements pour module BYPASS ; 1 emplacement pour module MONITOR ; CA et CC en option ; |
| MODULE DE DÉRIVATION | |
| BYP-MOD-L2XG((LM/SM) | Prend en charge la protection série de liaison 10GE bidirectionnelle, interface 4*10GE, connecteur LC ; émetteur-récepteur optique intégré ; liaison optique monomode/multimode en option, prend en charge 10GBASE-SR/LR ; |
| BYP-MOD-L2QXG(LM/SM) | Prend en charge la protection série de liaison 40GE bidirectionnelle, interface 4*40GE, connecteur LC ; émetteur-récepteur optique intégré ; liaison optique monomode/multimode en option, prend en charge 40GBASE-SR4/LR4 ; |
| BYP-MOD-L1CG (LM/SM) | Prend en charge la protection série de liaison 100GE à 1 canal, l'interface 2*100GE, le connecteur LC ; émetteur-récepteur optique intégré ; liaison optique monomode en option, prend en charge 100GBASE-SR4/LR4 ; |
| MODULE DE SURVEILLANCE | |
| MON-MOD-L16XG | Module de port de surveillance SFP+ 16*10GE ; pas de module émetteur-récepteur optique ; |
| MON-MOD-L8XG | Module de port de surveillance 8*10GE SFP+ ; pas de module émetteur-récepteur optique ; |
| MON-MOD-L2CG | Module de port de surveillance 2*100GE QSFP28 ; pas de module émetteur-récepteur optique ; |
| MON-MOD-L8QXG | Module de port de surveillance 8* 40GE QSFP+ ; pas de module émetteur-récepteur optique ; |
Spécifications du commutateur de dérivation TAP à 4 réseaux
| Modalité du produit | Commutateur de dérivation série ML-BYPASS-M200 | |
| Type d'interface | Interface MGT | 1 interface de gestion adaptative 10/100/1000BASE-T ; prise en charge de la gestion HTTP/IP à distance |
| Emplacement du module | 2*emplacement pour module BYPASS ; 1*emplacement pour module MONITOR ; | |
| Liens supportant le maximum | L'appareil prend en charge un maximum de 4 liaisons 10GE ou 4 liaisons 40GE ou 1 liaison 100GE | |
| Moniteur | L'appareil prend en charge un maximum de 16 ports de surveillance 10GE ou 8 ports de surveillance 40GE ou 2 ports de surveillance 100GE. | |
| Fonction | Capacité de traitement en duplex intégral | 640 Gbit/s |
| Basé sur une cascade de trafic spécifique à cinq tuples IP/protocole/port protégeant | Soutien | |
| Protection en cascade basée sur le trafic complet | Soutien | |
| Équilibrage de charge multiple | Soutien | |
| Fonction de détection de rythme cardiaque personnalisée | Soutien | |
| Prise en charge de l'indépendance du package Ethernet | Soutien | |
| INTERRUPTEUR DE DÉRIVATION | Soutien | |
| Commutateur BYPASS sans flash | Soutien | |
| GESTION DE LA CONSOLE | Soutien | |
| GESTION IP/WEB | Soutien | |
| Gestion SNMP V1/V2C | Soutien | |
| GESTION TELNET/SSH | Soutien | |
| Protocole SYSLOG | Soutien | |
| Autorisation de l'utilisateur | Basé sur l'autorisation par mot de passe/AAA/TACACS+ | |
| Électrique | Tension d'alimentation nominale | AC-220V/DC-48V【En option】 |
| Fréquence nominale du réseau | 50 Hz | |
| Courant d'entrée nominal | CA-3A / CC-10A | |
| Puissance nominale | 100 W | |
| Environnement | Température de fonctionnement | 0 à 50 °C |
| Température de stockage | -20-70℃ | |
| Humidité de travail | 10%-95%, sans condensation | |
| Configuration utilisateur | Configuration de la console | Interface RS232, 115200, 8, N, 1 |
| Interface MGT hors bande | 1 interface Ethernet 10/100/1000M | |
| Autorisation par mot de passe | Soutien | |
| Hauteur du châssis | Espace du châssis (U) | 1U 19 pouces, 485 mm x 44,5 mm x 350 mm |
Application de commutation de dérivation TAP à 5 réseaux (comme suit)
Ce qui suit est un mode de déploiement typique d'IPS (système de prévention d'intrusion), FW (pare-feu), IPS / FW est déployé en série sur l'équipement réseau (routeurs, commutateurs, etc.) entre le trafic via la mise en œuvre de contrôles de sécurité, selon la politique de sécurité correspondante pour déterminer la libération ou le blocage du trafic correspondant, pour obtenir l'effet de défense de sécurité.
Parallèlement, les équipements IPS/FW, généralement déployés aux emplacements stratégiques du réseau d'entreprise pour assurer la sécurité série, peuvent affecter directement la fiabilité des périphériques connectés. La disponibilité globale du réseau est fortement impactée par une surcharge, une panne, une mise à jour logicielle ou une mise à jour de politique des périphériques série. Dans ce cas, seule une coupure réseau ou un pont de dérivation physique permet de rétablir le réseau, ce qui compromet gravement sa fiabilité. Les équipements IPS/FW et autres périphériques série améliorent la sécurité du réseau d'entreprise, mais en réduisent également la fiabilité, augmentant ainsi le risque d'indisponibilité.
5.2 Protection des équipements de la série Inline Link
Mylinking™ " Bypass Switch " est déployé en série entre les périphériques réseau (routeurs, commutateurs, etc.), et le flux de données entre les périphériques réseau ne mène plus directement à IPS / FW, " Bypass Switch " à IPS / FW, lorsque l'IPS / FW en raison d'une surcharge, d'un crash, de mises à jour logicielles, de mises à jour de politique et d'autres conditions de défaillance, le " Bypass Switch " via la fonction de détection de message de pulsation intelligente de la découverte en temps opportun, et ainsi ignorer l'appareil défectueux, sans interrompre les prémisses du réseau, l'équipement réseau rapide directement connecté pour protéger le réseau de communication normal ; lorsque la récupération de panne IPS / FW, mais aussi via la détection intelligente des paquets de pulsation de la détection en temps opportun de la fonction, le lien d'origine pour restaurer la sécurité des contrôles de sécurité du réseau d'entreprise.
Mylinking™ « Bypass Switch » dispose d'une puissante fonction de détection de message de pulsation intelligente, l'utilisateur peut personnaliser l'intervalle de pulsation et le nombre maximal de tentatives, via un message de pulsation personnalisé sur l'IPS / FW pour les tests de santé, comme envoyer le message de vérification de pulsation au port amont / aval de l'IPS / FW, puis recevoir du port amont / aval de l'IPS / FW, et juger si l'IPS / FW fonctionne normalement en envoyant et en recevant le message de pulsation.
5.3 Protection de la série de tractions en ligne du flux de politique « SpecFlow »
Lorsque le dispositif de sécurité réseau doit uniquement gérer un trafic spécifique dans le cadre d'une protection de sécurité en série, la fonction de traitement du trafic « Bypass Switch » Mylinking™ permet de connecter le trafic « Concerné » du dispositif de sécurité à la liaison réseau via une stratégie de filtrage du trafic. Ce trafic est ensuite dirigé vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité. Cela permet non seulement de maintenir le fonctionnement normal de la fonction de détection de sécurité du dispositif de sécurité, mais aussi de réduire les flux inefficaces de l'équipement de sécurité face à la pression. Parallèlement, le « Bypass Switch » détecte le fonctionnement du dispositif de sécurité en temps réel. Le dispositif de sécurité contourne directement le trafic de données en cas de dysfonctionnement afin d'éviter toute interruption du service réseau.
Le dispositif de protection contre le contournement du trafic Mylinking™ identifie le trafic en fonction de l'identifiant d'en-tête des couches L2-L4, comme le tag VLAN, l'adresse MAC source/destination, l'adresse IP source, le type de paquet IP, le port du protocole de la couche transport, le tag de clé d'en-tête du protocole, etc. Différentes conditions de correspondance peuvent être définies de manière flexible pour définir les types de trafic spécifiques à un dispositif de sécurité spécifique. Ce dispositif est largement utilisé pour le déploiement de dispositifs d'audit de sécurité spécifiques (RDP, SSH, audit de bases de données, etc.).
5.4 Protection série à charge équilibrée
Le commutateur de dérivation Mylinking™ est déployé en série entre les périphériques réseau (routeurs, commutateurs, etc.). Lorsque les performances de traitement d'un seul IPS/FW ne suffisent pas à gérer les pics de trafic sur les liaisons réseau, la fonction d'équilibrage de la charge du protecteur, qui regroupe plusieurs clusters IPS/FW traitant le trafic des liaisons réseau, permet de réduire efficacement la pression de traitement d'un seul IPS/FW et d'améliorer les performances globales pour répondre aux exigences de bande passante élevée de l'environnement de déploiement.
Mylinking™ « Bypass Switch » dispose d'une puissante fonction d'équilibrage de charge, en fonction de la balise VLAN de trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur la distribution d'équilibrage de charge de hachage du trafic pour garantir que chaque flux de données reçu IPS / FW intégrité de la session.
5.5 Protection contre la traction du flux des équipements en ligne multi-séries (changement de la connexion série en connexion parallèle)
Sur certaines liaisons clés (comme les points d'accès Internet et les liaisons d'échange de serveurs), la localisation est souvent liée aux exigences de sécurité et au déploiement de multiples équipements de test de sécurité en ligne (pare-feu, équipements anti-attaques DDoS, pare-feu d'applications Web, équipements de prévention des intrusions, etc.). Plusieurs équipements de détection de sécurité sont installés simultanément sur la liaison, augmentant ainsi le risque de défaillance d'un point unique, réduisant ainsi la fiabilité globale du réseau. Lors du déploiement en ligne des équipements de sécurité mentionnés ci-dessus, les mises à niveau, les remplacements et autres opérations peuvent entraîner une interruption prolongée du service du réseau et nécessiter des réductions de coûts plus importantes pour mener à bien ces projets.
En déployant le « Bypass Switch » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur le même lien peut être modifié du « mode de concaténation physique » au « mode de concaténation physique, concaténation logique ». Le lien sur le lien d'un point de défaillance unique pour améliorer la fiabilité du lien, tandis que le « bypass switch » sur le lien exécute le flux à la demande de traction, pour obtenir le même flux avec le mode d'origine d'effet de traitement sécurisé.
Diagramme de déploiement en série de plusieurs dispositifs de sécurité simultanément :
Schéma de déploiement du commutateur de dérivation TAP réseau Mylinking™ :
5.6 Basé sur la stratégie dynamique de protection de détection de sécurité de traction de trafic
"Commutateur de dérivation" Un autre scénario d'application avancé est basé sur la stratégie dynamique des applications de protection de détection de sécurité de traction du trafic, le déploiement de la manière indiquée ci-dessous :
Prenons l'exemple de l'équipement de test de sécurité « Protection et détection des attaques DDoS ». Par exemple, grâce au déploiement frontal d'un commutateur de dérivation, puis à la connexion d'un équipement de protection DDoS à ce commutateur, le trafic est transmis à vitesse filaire par le dispositif de protection anti-traction habituel, tandis que le flux est mis en miroir vers le dispositif de protection anti-attaque DDoS. Une fois l'adresse IP du serveur (ou un segment de réseau IP) détectée après l'attaque, le dispositif de protection anti-attaque DDoS génère les règles de correspondance du flux de trafic cible et les envoie au commutateur de dérivation via l'interface de distribution de politiques dynamiques. Le commutateur de dérivation peut mettre à jour la dynamique de traction du trafic après réception du pool de règles de politiques dynamiques et transmettre immédiatement la règle de traction du trafic du serveur attaqué au dispositif de protection anti-attaque DDoS pour traitement, afin qu'elle soit effective après l'attaque et réinjectée dans le réseau.
Le schéma d'application basé sur le « Bypass Switch » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou d'autres schémas de traction de trafic, et l'environnement dépend moins du réseau et la fiabilité est plus élevée.
« Bypass Switch » présente les caractéristiques suivantes pour prendre en charge la protection de détection de sécurité des politiques dynamiques :
1, « Bypass Switch » pour fournir en dehors des règles basées sur l'interface WEBSERIVCE, une intégration facile avec des dispositifs de sécurité tiers.
2, « Bypass Switch » basé sur la puce ASIC pure matérielle transférant jusqu'à 10 Gbit/s de paquets à vitesse filaire sans bloquer le transfert du commutateur et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3, « Bypass Switch » fonction BYPASS professionnelle intégrée, même si le protecteur lui-même tombe en panne, peut également contourner immédiatement la liaison série d'origine, n'affecte pas la liaison d'origine de la communication normale.
