Commutateur de contournement de prise réseau Mylinking™ ML-BYPASS-200
2 * Bypass plus 1 * Conception modulaire de moniteur, liaisons 10/40/100GE, max 640 Gbit/s
1- Aperçus
En déployant le commutateur de contournement intelligent Mylinking™ :
- Les utilisateurs peuvent installer/désinstaller de manière flexible des équipements de sécurité et n'affecteront pas le réseau actuel ni l'interruption ;
- Mylinking™ Network Tap Bypass Switch avec fonction de détection intelligente de l'état de santé pour surveiller en temps réel l'état de fonctionnement normal du dispositif de sécurité série. Une fois que le dispositif de sécurité série fonctionne à l'exception, la protection sera automatiquement contournée pour maintenir la communication réseau normale ;
- La technologie de protection sélective du trafic peut être utilisée pour déployer un équipement de sécurité spécifique pour le nettoyage du trafic, une technologie de cryptage basée sur l'équipement d'audit.Effectuer efficacement la protection d'accès série pour le type de trafic spécifique, en déchargeant la pression de gestion du flux du dispositif en série ;
- La technologie Load Balanced Traffic Protection peut être utilisée pour le déploiement en cluster de périphériques série sécurisés afin de répondre aux besoins de sécurité série dans les environnements à bande passante élevée.
Avec le développement rapide d'Internet, la menace pour la sécurité des informations sur les réseaux devient de plus en plus grave, c'est pourquoi diverses applications de protection de la sécurité des informations sont de plus en plus largement utilisées.Qu'il s'agisse d'équipements de contrôle d'accès traditionnels (pare-feu) ou d'un nouveau type de moyens de protection plus avancés tels que le système de prévention des intrusions (IPS), la plateforme de gestion unifiée des menaces (UTM), le système d'attaque anti-déni de service (Anti-DDoS), l'anti- span Gateway, un système d'identification et de contrôle du trafic DPI unifié et de nombreux dispositifs de sécurité sont déployés en série dans les nœuds clés du réseau, la mise en œuvre de la politique de sécurité des données correspondante pour identifier et traiter le trafic légal/illégal.Dans le même temps, cependant, le réseau informatique générera un retard de réseau important, voire une interruption du réseau, en cas de basculement, de maintenance, de mise à niveau, de remplacement d'équipement, etc. dans un environnement d'application de réseau de production hautement fiable, les utilisateurs ne peuvent pas le supporter.
2- Fonctionnalités et technologies avancées du commutateur de contournement du réseau
Mode de protection Mylinking™ « SpecFlow » et technologie de mode de protection « FullLink »
Technologie de protection de commutation de contournement rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transfert/problème de stratégie dynamique Mylinking™ « WebService »
Technologie intelligente de détection des messages de battement de cœur Mylinking™
Technologie de messages de battement de coeur définissable Mylinking™
Technologie d'équilibrage de charge multi-liens Mylinking™
Technologie de distribution intelligente du trafic Mylinking™
Technologie d'équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, caractéristique « EasyConfig/AdvanceConfig »)
3- Guide de configuration du commutateur de dérivation de prise réseau
CONTOURNEEmplacement du module de port de protection :
Cet emplacement peut être inséré dans le module de port de protection BYPASS avec une vitesse/un numéro de port différent.En remplaçant différents types de modules, il peut prendre en charge la protection BYPASS de plusieurs liaisons 10G/40G/100G.
MONITEUREmplacement pour module de port ;
Cet emplacement peut être inséré dans le module de port MONITOR avec différentes vitesses/ports.Il peut prendre en charge le déploiement de plusieurs dispositifs de surveillance série en ligne à liaison 10G/40G/100G en remplaçant différents modèles.
Règles de sélection des modules
En fonction des différents liens déployés et des exigences de déploiement des équipements de surveillance, vous pouvez choisir de manière flexible différentes configurations de modules pour répondre aux besoins réels de votre environnement ;veuillez suivre les règles suivantes lors de la sélection :
1. Les composants du châssis sont obligatoires et vous devez sélectionner les composants du châssis avant de sélectionner d'autres modules.Dans le même temps, veuillez choisir différentes méthodes d'alimentation (AC/DC) en fonction de vos besoins.
2. L'ensemble de la machine prend en charge jusqu'à 2 emplacements de module BYPASS et 1 emplacement de module MONITOR ;vous ne pouvez pas sélectionner plus que le nombre d'emplacements à configurer.En fonction de la combinaison du nombre d'emplacements et du modèle de module, l'appareil peut prendre en charge jusqu'à quatre protections de liaison 10GE ;ou il peut prendre en charge jusqu'à quatre liaisons 40GE ;ou il peut prendre en charge jusqu'à un lien 100GE.
3. Le modèle de module « BYP-MOD-L1CG » ne peut être inséré que dans SLOT1 pour fonctionner correctement.
4. Le type de module « BYP-MOD-XXX » ne peut être inséré que dans l'emplacement du module BYPASS ;le module de type « MON-MOD-XXX » ne peut être inséré que dans l'emplacement du module MONITOR pour un fonctionnement normal.
| modèle du produit | Paramètres de fonction |
| Châssis (hôte) | |
| ML-BYPASS-M200 | Montage en rack standard 1U de 19 pouces ;consommation électrique maximale 250 W ;hôte protecteur de BYPASS modulaire ;2 emplacements pour modules BYPASS ;1 emplacement pour module MONITEUR ;AC et DC en option ; |
| MODULE DE DÉRIVATION | |
| BYP-MOD-L2XG(LM/SM) | Prend en charge la protection série bidirectionnelle 10GE Link, l'interface 4*10GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique simple/multimode en option, prend en charge 10GBASE-SR/LR ; |
| BYP-MOD-L2QXG(LM/SM) | Prend en charge la protection série bidirectionnelle 40GE Link, l'interface 4*40GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique simple/multimode en option, prend en charge 40GBASE-SR4/LR4 ; |
| BYP-MOD-L1CG (LM/SM) | Prend en charge la protection série 1 canal 100GE Link, l'interface 2*100GE, le connecteur LC ;émetteur-récepteur optique intégré ;liaison optique multimode unique en option, prend en charge 100GBASE-SR4/LR4 ; |
| MODULE DE SURVEILLANCE | |
| MON-MOD-L16XG | Module de port de surveillance SFP+ 16*10GE ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L8XG | Module de port de surveillance SFP+ 8*10GE ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L2CG | Module de port de surveillance 2*100GE QSFP28 ;pas de module émetteur-récepteur optique ; |
| MON-MOD-L8QXG | Module de port de surveillance 8*40GE QSFP+ ;pas de module émetteur-récepteur optique ; |
4- Spécifications du commutateur de dérivation réseau TAP
| Modalité du produit | Commutateur de dérivation série ML-BYPASS-M200 | |
| Type d'interface | Interface MGT | 1*10/100/1000BASE-T Interface de gestion adaptative ;Prise en charge de la gestion HTTP/IP à distance |
| Emplacement du module | 2 * emplacement pour module BYPASS ; 1 * emplacement pour module MONITEUR ; | |
| Liens prenant en charge un maximum | L'appareil prend en charge un maximum de liens 4*10GE ou 4*40GE ou 1*100GE. | |
| Moniteur | L'appareil prend en charge un maximum de 16 ports de surveillance 10 GE ou 8 ports de surveillance 40 GE ou 2 ports de surveillance 100 GE ; | |
| Fonction | Capacité de traitement full duplex | 640 Gbit/s |
| Basé sur la protection en cascade de trafic spécifique à cinq tuples IP/protocole/port | Soutien | |
| Protection en cascade basée sur le trafic complet | Soutien | |
| Équilibrage de charge multiple | Soutien | |
| Fonction de détection de rythme cardiaque personnalisée | Soutien | |
| Prise en charge de l'indépendance du package Ethernet | Soutien | |
| INTERRUPTEUR DE DÉRIVATION | Soutien | |
| Interrupteur BYPASS sans flash | Soutien | |
| GESTION DE CONSOLE | Soutien | |
| Gestion IP/WEB | Soutien | |
| Gestion SNMP V1/V2C | Soutien | |
| Gestion TELNET/SSH | Soutien | |
| Protocole SYSLOG | Soutien | |
| Autorisation de l'utilisateur | Basé sur l'autorisation par mot de passe/AAA/TACACS+ | |
| Électrique | Tension d'alimentation nominale | AC-220V/DC-48V【En option】 |
| Fréquence d'alimentation nominale | 50HZ | |
| Courant d'entrée nominal | AC-3A/DC-10A | |
| Puissance nominale | 100W | |
| Environnement | Température de fonctionnement | 0-50℃ |
| Température de stockage | -20-70 ℃ | |
| Humidité de travail | 10 % à 95 %, sans condensation | |
| Configuration utilisateur | Configuration des consoles | Interface RS232, 115200,8,N,1 |
| Interface MGT hors bande | Interface Ethernet 1*10/100/1000M | |
| Autorisation par mot de passe | Soutien | |
| Hauteur du châssis | Espace châssis (U) | 1U 19 pouces, 485 mm * 44,5 mm * 350 mm |
5- Application de commutateur de contournement réseau TAP (comme suit)
Ce qui suit est un mode de déploiement IPS (Intrusion Prevention System), FW (Firewall) typique, IPS / FW est déployé en série sur les équipements réseau (routeurs, commutateurs, etc.) entre le trafic grâce à la mise en œuvre de contrôles de sécurité, selon la politique de sécurité correspondante pour déterminer la libération ou le blocage du trafic correspondant, pour obtenir l'effet de défense de sécurité.
Dans le même temps, nous pouvons observer IPS/FW comme un déploiement en série de l'équipement, généralement déployé à l'emplacement clé du réseau d'entreprise pour mettre en œuvre la sécurité en série, la fiabilité de ses appareils connectés affectant directement la disponibilité globale du réseau d'entreprise.En cas de surcharge, de panne, de mises à jour logicielles, de mises à jour de politiques, etc., la disponibilité du réseau d'entreprise dans son ensemble sera grandement affectée.À ce stade, nous ne pouvons que grâce au réseau coupé, le cavalier de dérivation physique peut restaurer le réseau, ce qui affecte sérieusement la fiabilité du réseau.IPS / FW et autres périphériques série améliorent d'une part le déploiement de la sécurité des réseaux d'entreprise, d'autre part réduisent également la fiabilité des réseaux d'entreprise, augmentant ainsi le risque que le réseau ne soit pas disponible.
5.2 Protection des équipements de la série Inline Link
Mylinking™ « Bypass Switch » est déployé en série entre les appareils réseau (routeurs, commutateurs, etc.), et le flux de données entre appareils réseau ne mène plus directement à IPS/FW, « Bypass Switch » à IPS/FW, lorsque l'IPS / FW en raison d'une surcharge, d'un crash, de mises à jour logicielles, de mises à jour de politique et d'autres conditions d'échec, le « commutateur de contournement » grâce à la fonction de détection intelligente des messages de battement de cœur, de découverte en temps opportun, et ainsi d'ignorer l'appareil défectueux, sans interrompre les prémisses du réseau, l'équipement de réseau rapide directement connecté pour protéger le réseau de communication normal ;lorsque la récupération d'échec IPS / FW, mais aussi grâce à des paquets de battement de coeur intelligents Détection de détection en temps opportun de la fonction, le lien d'origine pour restaurer la sécurité des contrôles de sécurité du réseau d'entreprise.
Mylinking™ « Bypass Switch » dispose d'une puissante fonction intelligente de détection des messages de battement de coeur, l'utilisateur peut personnaliser l'intervalle de battement de coeur et le nombre maximum de tentatives, via un message de battement de coeur personnalisé sur l'IPS/FW pour les tests de santé, comme l'envoi du message de vérification du battement de coeur. au port amont/aval d'IPS/FW, puis recevez du port amont/aval d'IPS/FW, et jugez si l'IPS/FW fonctionne normalement en envoyant et en recevant le message de battement de cœur.
5.3 Protection des séries de traction en ligne de flux de politique « SpecFlow »
Lorsque le dispositif de réseau de sécurité n'a besoin que de gérer le trafic spécifique dans la protection de sécurité en série, via la fonction de traitement du trafic Mylinking™ « Bypass Switch », via la stratégie de filtrage du trafic pour connecter le dispositif de sécurité « concerné », le trafic est renvoyé directement au lien réseau, et la « section de trafic concernée » est la traction vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité.Cela maintiendra non seulement l'application normale de la fonction de détection de sécurité du dispositif de sécurité, mais réduira également le débit inefficace de l'équipement de sécurité pour faire face à la pression ;en même temps, le « commutateur de dérivation » peut détecter l'état de fonctionnement du dispositif de sécurité en temps réel.Le dispositif de sécurité fonctionne anormalement et contourne directement le trafic de données pour éviter toute interruption du service réseau.
Le Mylinking™ Traffic Bypass Protector peut identifier le trafic en fonction de l'identifiant d'en-tête de couche L2-L4, tel que la balise VLAN, l'adresse MAC source/destination, l'adresse IP source, le type de paquet IP, le port de protocole de couche de transport, la balise clé d'en-tête de protocole, etc. sur.Une variété de conditions de correspondance flexibles peuvent être définies de manière flexible pour définir les types de trafic spécifiques qui intéressent un dispositif de sécurité particulier et peuvent être largement utilisées pour le déploiement de dispositifs d'audit de sécurité spéciaux (RDP, SSH, audit de base de données, etc.) .
5.4 Protection série à charge équilibrée
Le « Bypass Switch » Mylinking™ est déployé en série entre les appareils réseau (routeurs, commutateurs, etc.).Lorsqu'une seule performance de traitement IPS/FW n'est pas suffisante pour faire face au trafic de pointe de la liaison réseau, la fonction d'équilibrage de la charge du trafic du protecteur, le « regroupement » de plusieurs clusters IPS/FW traitant le trafic de la liaison réseau, peut réduire efficacement le trafic IPS/FW unique. Pression de traitement FW, améliore les performances globales de traitement pour répondre à la bande passante élevée de l'environnement de déploiement.
Mylinking™ « Bypass Switch » dispose d'une puissante fonction d'équilibrage de charge, en fonction de la balise VLAN de trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur la distribution d'équilibrage de charge de hachage du trafic pour garantir que chaque IPS/FW reçoit des données. flux Intégrité de la session.
5.5 Protection contre la traction du flux d'équipement en ligne multisérie (changer la connexion série en connexion parallèle)
Dans certains liens clés (tels que les points de vente Internet, le lien d'échange de zone serveur), l'emplacement est souvent dû aux besoins de fonctionnalités de sécurité et au déploiement de plusieurs équipements de test de sécurité en ligne (tels que pare-feu, équipement d'attaque anti-DDOS, pare-feu d'application WEB). , équipement de prévention des intrusions, etc.), plusieurs équipements de détection de sécurité en même temps en série sur la liaison pour augmenter la liaison d'un point de défaillance unique, réduisant ainsi la fiabilité globale du réseau.Et dans le déploiement en ligne des équipements de sécurité mentionné ci-dessus, les mises à niveau des équipements, le remplacement des équipements et d'autres opérations entraîneront une interruption de service du réseau pendant une longue période et une action de suppression de projet plus importante pour achever la mise en œuvre réussie de tels projets.
En déployant le « Bypass Switch » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur le même lien peut être modifié du « mode de concaténation physique » au « mode de concaténation physique, mode de concaténation logique ». Le lien sur le lien de un point de défaillance unique pour améliorer la fiabilité du lien, tandis que le « commutateur de dérivation » sur le flux de lien sur demande de traction, pour obtenir le même flux avec le mode original d'effet de traitement sûr.
Plusieurs dispositifs de sécurité en même temps dans un schéma de déploiement en série :
Schéma de déploiement du commutateur de contournement TAP Mylinking™ Network :
5.6 Basé sur la stratégie dynamique de protection contre la détection de la sécurité de la traction routière
« Commutateur de contournement » Un autre scénario d'application avancé est basé sur la stratégie dynamique des applications de protection et de détection de sécurité de traction du trafic, le déploiement de la manière indiquée ci-dessous :
Prenons l'exemple de l'équipement de test de sécurité « Protection et détection des attaques anti-DDoS », via le déploiement frontal du « Bypass Switch », puis de l'équipement de protection anti-DDOS puis connecté au « Bypass Switch », de la manière habituelle. Protecteur de traction "à la totalité du trafic à vitesse filaire en même temps que la sortie du miroir de flux vers le" dispositif de protection contre les attaques DDOS ", une fois détecté pour un serveur IP (ou un segment de réseau IP) après l'attaque", anti -Le dispositif de protection contre les attaques DDOS » générera les règles de correspondance du flux de trafic cible et les enverra au « commutateur de contournement » via l'interface de livraison de politique dynamique.Le « commutateur de contournement » peut mettre à jour la « dynamique de traction du trafic » après avoir reçu les règles de politique dynamique Pool de règles « et immédiatement » la règle frappe la « traction du trafic du serveur d'attaque » vers l'équipement de « protection et de détection des attaques anti-DDoS » pour le traitement, à être efficace après le flux d’attaque puis réinjecté dans le réseau.
Le schéma d'application basé sur le « Bypass Switch » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou tout autre schéma de traction du trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
Le « commutateur de contournement » présente les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité par politique dynamique :
1, « Bypass Switch » pour fournir en dehors des règles basées sur l'interface WEBSERIVCE, une intégration facile avec des dispositifs de sécurité tiers.
2, « commutateur de contournement » basé sur la puce matérielle ASIC pure transmettant des paquets à vitesse filaire jusqu'à 10 Gbit/s sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3, fonction de contournement professionnelle intégrée « commutateur de dérivation », même si le protecteur lui-même tombe en panne, peut également contourner immédiatement la liaison série d'origine, n'affecte pas la liaison d'origine de la communication normale.
