Přepínač bypassu síťového odbočovače Mylinking™ ML-BYPASS-200
2*Bypass plus 1*Monitor Modulární konstrukce, 10/40/100GE linky, max. 640 Gb/s
1-Přehledy
Nasazením inteligentního bypassového přepínače Mylinking™:
- Uživatelé mohou flexibilně instalovat/odinstalovávat bezpečnostní zařízení a neovlivní to stávající síť a nepřeruší to její provoz.
- Mylinking™ síťový přepínač Tap Bypass s inteligentní funkcí detekce stavu pro monitorování normálního provozního stavu sériového bezpečnostního zařízení v reálném čase. Jakmile sériové bezpečnostní zařízení dojde k výjimce, ochrana se automaticky obejde, aby se zachovala normální síťová komunikace.
- Technologie selektivní ochrany provozu může být použita k nasazení specifického bezpečnostního zařízení pro čištění provozu a šifrovací technologie založené na auditním zařízení. Efektivně provádí ochranu sériového přístupu pro specifický typ provozu a odlehčuje tlak manipulace se sériovým zařízením.
- Technologie ochrany provozu s vyváženou zátěží (Load Balanced Traffic Protection) může být použita pro clusterové nasazení zabezpečených sériových zařízení, aby se splnila potřeba sériového zabezpečení ve vysokorychlostních prostředích.
S rychlým rozvojem internetu se hrozba pro bezpečnost síťových informací stává stále závažnější, a proto se stále častěji používá řada aplikací na ochranu informační bezpečnosti. Ať už se jedná o tradiční zařízení pro řízení přístupu (firewall) nebo o nové typy pokročilejších ochranných prostředků, jako jsou systémy prevence narušení (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-Span Gateway, Unified DPI Traffic Identification and Control System a mnoho dalších bezpečnostních zařízení je nasazováno sériově v klíčových uzlech sítě a implementuje odpovídající politiku zabezpečení dat pro identifikaci a řešení legálního/nelegálního provozu. Zároveň však počítačová síť v případě selhání, údržby, modernizace, výměny zařízení atd. ve vysoce spolehlivém prostředí produkčních síťových aplikací generuje velké zpoždění sítě nebo dokonce narušení sítě, což uživatelé nemohou snést.
2-síťový přepínač s odbočkou, pokročilé funkce a technologie
Technologie ochranného režimu Mylinking™ „SpecFlow“ a ochranného režimu „FullLink“
Technologie ochrany proti přepínání Mylinking™ Fast Bypass
Technologie Mylinking™ „LinkSafeSwitch“
Technologie dynamického přeposílání/vydávání Mylinking™ „WebService“
Technologie inteligentní detekce zpráv o srdečním tepu Mylinking™
Technologie definovatelných zpráv o srdečním tepu Mylinking™
Technologie vyvažování zátěže Multi-link Mylinking™
Technologie inteligentní distribuce provozu Mylinking™
Technologie dynamického vyvažování zátěže Mylinking™
Technologie vzdálené správy Mylinking™ (HTTP/WEB, TELNET/SSH, funkce „EasyConfig/AdvanceConfig“)
Konfigurační průvodce přemosťovacího přepínače 3 odboček sítě
BYPASSSlot modulu ochranného portu:
Tento slot lze vložit do modulu ochranného portu BYPASS s různou rychlostí/číslem portu. Výměnou různých typů modulů lze podpořit ochranu BYPASS pro více linek 10G/40G/100G.
MONITORSlot pro modul portu;
Tento slot lze vložit do modulu portu MONITOR s různými rychlostmi/porty. Může podporovat nasazení více online sériových monitorovacích zařízení 10G/40G/100G link nahrazením různých modelů.
Pravidla pro výběr modulů
Na základě různých nasazených propojení a požadavků na nasazení monitorovacího zařízení si můžete flexibilně vybrat různé konfigurace modulů, které splňují skutečné potřeby vašeho prostředí; při výběru dodržujte následující pravidla:
1. Součásti šasi jsou povinné a musíte je vybrat před výběrem jakýchkoli dalších modulů. Zároveň si prosím vyberte různé způsoby napájení (AC/DC) podle vašich potřeb.
2. Celý stroj podporuje až 2 sloty pro moduly BYPASS a 1 slot pro modul MONITOR; nelze vybrat více než počet slotů ke konfiguraci. Na základě kombinace počtu slotů a modelu modulu může zařízení podporovat až čtyři ochrany linky 10GE; nebo může podporovat až čtyři linky 40GE; nebo může podporovat až jednu linku 100GE.
3. Modul modelu „BYP-MOD-L1CG“ lze pro správnou funkci vložit pouze do slotu SLOT1.
4. Modul typu „BYP-MOD-XXX“ lze vložit pouze do slotu modulu BYPASS; modul typu „MON-MOD-XXX“ lze pro normální provoz vložit pouze do slotu modulu MONITOR.
| Model produktu | Funkční parametry |
| Podvozek (hostitel) | |
| ML-BYPASS-M200 | 1U standardní 19palcový rack; maximální spotřeba energie 250 W; modulární hostitelský chránič BYPASS; 2 sloty pro moduly BYPASS; 1 slot pro modul MONITOR; volitelné napájení AC a DC; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Podporuje obousměrnou sériovou ochranu linky 10GE, rozhraní 4*10GE, konektor LC; vestavěný optický transceiver; volitelný optický link s jedním/vícemódovým režimem, podporuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podporuje obousměrnou sériovou ochranu linky 40GE, rozhraní 4*40GE, konektor LC; vestavěný optický transceiver; volitelný optický link s jedním/vícemódovým režimem, podporuje 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podporuje 1 kanálovou sériovou ochranu linky 100GE, rozhraní 2*100GE, konektor LC; vestavěný optický transceiver; volitelný jeden multimódový optický link, podporuje 100GBASE-SR4/LR4; |
| MONITOROVÝ MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8XG | Modul monitorovacích portů 8*10GE SFP+; bez modulu optického transceiveru; |
| MON-MOD-L2CG | 2x100GE QSFP28 monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitorovací portový modul; bez modulu optického transceiveru; |
Specifikace přepínače bypassu 4-Network TAP
| Produktová modalita | Sériový přepínač ML-BYPASS-M200 | |
| Typ rozhraní | Rozhraní MGT | 1*10/100/1000BASE-T adaptivní rozhraní pro správu; Podpora vzdálené správy HTTP/IP |
| Slot modulu | 2*Slot pro modul BYPASS; 1*Slot pro modul MONITOR; | |
| Odkazy podporující maximum | Zařízení podporuje maximálně 4*10GE linky nebo 4*40GE linky nebo 1*100GE linku | |
| Monitor | Zařízení podporuje maximálně 16 monitorovacích portů 10GE nebo 8 monitorovacích portů 40GE nebo 2 monitorovací porty 100GE. | |
| Funkce | Schopnost plně duplexního zpracování | 640 Gb/s |
| Na základě kaskádové ochrany provozu specifické pro pětičlenný protokol IP/port | Podpora | |
| Kaskádová ochrana založená na plném provozu | Podpora | |
| Vícenásobné vyvažování zátěže | Podpora | |
| Funkce vlastní detekce srdečního tepu | Podpora | |
| Podpora nezávislosti ethernetových balíčků | Podpora | |
| PŘEPÁJECÍ SPÍNAČ | Podpora | |
| Přepínač BYPASS bez blesku | Podpora | |
| SPRÁVA KONZOL | Podpora | |
| Správa IP/webu | Podpora | |
| Správa SNMP V1/V2C | Podpora | |
| Správa Telnetu/SSH | Podpora | |
| Protokol SYSLOG | Podpora | |
| Autorizace uživatele | Na základě autorizace heslem/AAA/TACACS+ | |
| Elektrický | Jmenovité napájecí napětí | AC-220V/DC-48V 【Volitelné】 |
| Jmenovitý výkonový kmitočet | 50 Hz | |
| Jmenovitý vstupní proud | AC-3A / DC-10A | |
| Jmenovitý výkon | 100 W | |
| Prostředí | Provozní teplota | 0–50 ℃ |
| Skladovací teplota | -20-70 ℃ | |
| Provozní vlhkost | 10 %–95 %, bez kondenzace | |
| Konfigurace uživatele | Konfigurace konzole | Rozhraní RS232, 115200, 8, N, 1 |
| Rozhraní MGT mimo pásmo | 1*10/100/1000M Ethernetové rozhraní | |
| Autorizace heslem | Podpora | |
| Výška podvozku | Prostor podvozku (U) | 1U 19 palců, 485 mm * 44,5 mm * 350 mm |
Aplikace 5-síťového přepínače TAP Bypass (viz následující)
Následuje typický režim nasazení FW (firewallu) systému IPS (Intrusion Prevention System). IPS/FW je nasazen sériově do síťového zařízení (routery, přepínače atd.) mezi jednotlivými provozy pomocí bezpečnostních kontrol v souladu s odpovídající bezpečnostní politikou, aby se určilo uvolnění nebo blokování odpovídajícího provozu a dosáhlo se tak účinku bezpečnostní obrany.
Zároveň můžeme IPS/FW vnímat jako sériové nasazení zařízení, obvykle rozmístěného v klíčových místech podnikové sítě za účelem implementace sériového zabezpečení. Spolehlivost připojených zařízení přímo ovlivňuje celkovou dostupnost podnikové sítě. Pokud dojde k přetížení sériových zařízení, jejich havárii, aktualizacím softwaru, aktualizacím politik atd., bude dostupnost celé podnikové sítě výrazně ovlivněna. V tomto okamžiku můžeme síť obnovit pouze přerušením sítě nebo fyzickým bypassem, což vážně ovlivňuje spolehlivost sítě. IPS/FW a další sériová zařízení na jedné straně zlepšují zabezpečení podnikové sítě, na druhé straně však také snižují spolehlivost podnikových sítí a zvyšují riziko, že síť nebude k dispozici.
5.2 Ochrana zařízení řady Inline Link
Mylinking™ „Bypass Switch“ je nasazen sériově mezi síťová zařízení (routery, přepínače atd.), takže tok dat mezi síťovými zařízeními již nevede přímo k IPS/FW. „Bypass Switch“ přechází k IPS/FW. Pokud dojde k přetížení IPS/FW, havárii, aktualizaci softwaru, aktualizaci zásad a dalším selháním, „Bypass Switch“ včas odhalí vadné zařízení pomocí inteligentní funkce detekce heartbeat paketů, a tím je přeskočí bez přerušení provozu sítě. Rychle se síťové zařízení přímo připojí k ochraně normální komunikace v síti. V případě selhání IPS/FW a také díky inteligentní funkci detekce heartbeat paketů včas obnovuje původní spojení a kontroluje bezpečnost podnikové sítě.
Mylinking™ „Bypass Switch“ má výkonnou inteligentní funkci detekce zpráv o prezenčním signálu. Uživatel si může přizpůsobit interval prezenčního signálu a maximální počet opakování pomocí vlastní zprávy o prezenčním signálu na IPS/FW pro testování stavu, například odesláním zprávy o kontrole prezenčního signálu na upstream/downstream port IPS/FW a následným přijetím zprávy z upstream/downstream portu IPS/FW a posouzením, zda IPS/FW funguje normálně, odesláním a přijetím zprávy o prezenčním signálu.
5.3 Ochrana řady inline trakce podle zásad „SpecFlow“
Pokud bezpečnostní síťové zařízení potřebuje zpracovávat pouze specifický provoz v rámci sériové bezpečnostní ochrany, pak se pomocí funkce Mylinking™ „Bypass Switch“ pro zpracování provozu a pomocí strategie screeningu provozu připojí k bezpečnostnímu zařízení „Dotčený“ provoz, který je odeslán zpět přímo do síťového spojení a „dotčená sekce provozu“ je přivedena k bezpečnostnímu zařízení v síti, kde provádí bezpečnostní kontroly. Tím se nejen zachová normální aplikace funkce bezpečnostní detekce bezpečnostního zařízení, ale také se sníží neefektivní tok bezpečnostního zařízení při zvládání tlaku. Zároveň „Bypass Switch“ dokáže v reálném čase detekovat provozní stav bezpečnostního zařízení. Bezpečnostní zařízení pracuje abnormálně a přímo obchází datový provoz, aby se zabránilo narušení síťových služeb.
Ochrana proti obcházení provozu Mylinking™ dokáže identifikovat provoz na základě identifikátoru záhlaví vrstev L2-L4, jako je například tag VLAN, zdrojová/cílová MAC adresa, zdrojová IP adresa, typ IP paketu, port protokolu transportní vrstvy, tag klíče záhlaví protokolu atd. Lze flexibilně definovat různé kombinace podmínek shody pro definování specifických typů provozu, které jsou pro konkrétní bezpečnostní zařízení zajímavé, a lze je široce používat pro nasazení speciálních zařízení pro bezpečnostní audit (RDP, SSH, audit databází atd.).
5.4 Sériová ochrana s vyváženou zátěží
Přepínač Mylinking™ „Bypass Switch“ se nasazují sériově mezi síťová zařízení (routery, přepínače atd.). Pokud výkon jednoho IPS/FW nestačí k zvládnutí špičkového provozu síťového spojení, funkce vyvažování zátěže provozu chrániče, „sdružování“ více clusterů IPS/FW zpracovávajících provoz síťového spojení, může efektivně snížit zátěž jednoho IPS/FW a zlepšit celkový výkon zpracování tak, aby splňoval požadavky na vysokou šířku pásma daného nasazeného prostředí.
Mylinking™ "Bypass Switch" má výkonnou funkci vyvažování zátěže. Na základě tagu VLAN rámce, informací o MAC adrese, IP adrese, čísle portu, protokolu a dalších informací o hashování vyvažuje zátěž a zajišťuje integritu relace datového toku každého IPS/FW.
5.5 Ochrana proti průtoku víceřadého řadového zařízení (změna sériového připojení na paralelní připojení)
V některých klíčových oblastech (jako jsou internetové zásuvky, ústředny pro servery) je umístění často způsobeno potřebami bezpečnostních prvků a nasazením více in-line bezpečnostních testovacích zařízení (jako je firewall, zařízení proti DDoS útokům, firewall webových aplikací, zařízení pro prevenci narušení atd.). Více bezpečnostních detekčních zařízení je zapojeno současně v sérii na jednom propojení, čímž se zvyšuje riziko vzniku jediného bodu selhání a snižuje se celková spolehlivost sítě. A při výše zmíněném online nasazení bezpečnostního zařízení, modernizaci zařízení, výměně zařízení a dalších operacích může dojít k dlouhodobému přerušení provozu sítě a k většímu zkrácení doby trvání projektu, aby se takový projekt úspěšně dokončil.
Jednotným nasazením „Bypass Switch“ lze změnit režim nasazení více bezpečnostních zařízení zapojených sériově na stejném spoji z „režimu fyzického zřetězení“ na „režim fyzického zřetězení, logického zřetězení“. Spoj na spoji s jediným bodem selhání zlepšuje spolehlivost spoje, zatímco „Bypass Switch“ na spoji zajišťuje trakci toku na vyžádání, čímž se dosahuje stejného toku jako v původním režimu bezpečného zpracování.
Schéma sériového zapojení více než jednoho bezpečnostního zařízení současně:
Schéma nasazení přepínače bypassu TAP sítě Mylinking™:
5.6 Na základě dynamické strategie ochrany proti detekci a trakci provozu
„Přepínač bypassu“ Další pokročilý aplikační scénář je založen na dynamické strategii aplikací pro detekci a ochranu trakce v dopravě, přičemž nasazení je znázorněno níže:
Vezměte si například bezpečnostní testovací zařízení „ochrana a detekce útoků proti DDoS“. Nasazením „bypass switche“ na front-endu se následně zajistí ochrana proti DDoS útokům a zařízením, které je následně připojeno k „bypass switchi“. V obvyklém „ochranném mechanismu trakce“ se plný objem provozu přesměruje na rychlost kabelu a zároveň se zrcadlí tok dat do „zařízení na ochranu proti DDoS útokům“. Jakmile je po útoku detekována IP adresa serveru (nebo segment IP sítě), „zařízení na ochranu proti DDoS útokům“ vygeneruje pravidla pro porovnávání toku dat cíle a odešle je do „bypass switche“ prostřednictvím rozhraní pro dynamické doručování politik. „Bypass switch“ může po obdržení dynamických pravidel politik aktualizovat „dynamiku trakce dat“ a okamžitě „pravidlo“ zasáhne „track“ dat z útočného serveru do zařízení „ochrana a detekce útoků proti DDoS útokům“ pro zpracování, aby bylo po útoku účinné a poté znovu vstříknuto do sítě.
Aplikační schéma založené na „Bypass Switch“ je snadněji implementovatelné než tradiční injektáž tras BGP nebo jiné schéma pro trakční přenos dat, prostředí je méně závislé na síti a spolehlivost je vyšší.
„Bypass Switch“ má následující vlastnosti pro podporu ochrany detekcí dynamických zásad zabezpečení:
1, „Bypass Switch“ pro zajištění snadné integrace s bezpečnostními zařízeními třetích stran mimo pravidla založená na rozhraní WEBSERIVCE.
2, „Bypass Switch“ založený na hardwarovém čistě ASIC čipu, který přeposílá pakety rychlostí až 10 Gb/s bez blokování přeposílání switche a „knihovnu dynamických pravidel pro sledování provozu“ bez ohledu na počet paketů.
3, "Bypass Switch" vestavěná profesionální funkce BYPASS, i když samotný chránič selže, dokáže okamžitě obejít původní sériové spojení, aniž by to ovlivnilo původní spojení normální komunikace.
