Mylinking™ мрежни прекидач за премотавање ML-BYPASS-100
2*Бајпас плус 1*Монитор Модуларни дизајн, 10/40/100GE везе, Макс. 640Gbps
Прегледи
Mylinking™ мрежни прекидач за премотавање тапка је истражен и развијен да би се користио за флексибилно распоређивање различитих врста уграђене безбедносне опреме, уз истовремено обезбеђивање високе поузданости мреже.
Применом Mylinking™ паметног бајпас прекидача са славином:
- Корисници могу флексибилно инсталирати/деинсталирати безбедносну опрему/алате и неће утицати на и прекидати тренутну мрежу;
- Mylinking™ мрежни прекидач за заобилажење тапка са интелигентном функцијом детекције исправности за праћење нормалног радног стања уграђених безбедносних уређаја у реалном времену. Када се уграђени безбедносни уређаји појаве као изузетак, заштитна функција ће их аутоматски заобићи како би се одржала нормална мрежна комуникација;
- Технологија селективне заштите саобраћаја може се користити за распоређивање специфичне опреме за безбедност чишћења саобраћаја, технологије шифровања засноване на опреми за ревизију. Ефикасно спроводи заштиту приступа уграђеном систему за одређени тип саобраћаја, растерећујући притисак руковања протоком уграђеног уређаја;
- Технологија заштите саобраћаја са балансираним оптерећењем може се користити за кластерско распоређивање безбедних серијских уграђених безбедносних уређаја како би се испунили захтеви уграђене безбедности у окружењима са великим пропусним опсегом.
Напредне карактеристике и технологије прекидача за премотавање мрежног славине
Mylinking™ „SpecFlow“ режим заштите и „FullLink“ режим заштите
Mylinking™ заштита од пребацивања брзим бајпасом
Мајлинкинг™ „ЛинкСејфСвич“
Mylinking™ „WebService“ динамичка стратегија прослеђивања/издавања
Mylinking™ интелигентно детектовање порука откуцаја срца
Mylinking™ Дефинисане поруке откуцаја срца (пакети откуцаја срца)
Mylinking™ балансирање оптерећења вишеструких веза
Mylinking™ интелигентна дистрибуција саобраћаја
Mylinking™ динамичко балансирање оптерећења
Mylinking™ технологија даљинског управљања (HTTP/WEB, TELNET/SSH, карактеристике „EasyConfig/AdvanceConfig“)
Водич за опциону конфигурацију прекидача за премотавање мрежног тапка
Модул за бајпасСлот за модул заштитног порта:
Овај слот се може уметнути у модул порта за заштиту BYPASS-а са различитом брзином/бројем порта. Заменом различитих типова модула, може се подржати BYPASS заштита за вишеструке захтеве 10G/40G/100G везе.
Модул МОНИТОРСлот за порт модул;
У овај слот се може уметнути модул МОНИТОР са различитим брзинама/портовима. Може да подржи вишеструке везе од 10G/40G/100G за имплементацију серијских уређаја за праћење путем замене различитих модула.
Правила за избор модула
На основу различитих распоређених веза и захтева за распоређивање опреме за праћење, можете флексибилно бирати различите конфигурације модула како бисте задовољили своје стварне захтеве окружења; молимо вас да се придржавате следећих правила приликом избора модула:
1. Компоненте шасије су обавезне и морате их изабрати пре него што изаберете било које друге модуле. Истовремено, изаберите различите начине напајања (AC/DC) у складу са вашим потребама.
2. Читав уређај подржава до 2 слота за BYPASS модуле и 1 слот за MONITOR модул; не можете одабрати више од броја слотова за конфигурисање. На основу комбинације броја слотова и модела модула, уређај може да подржи до четири заштите 10GE линка; или може да подржи до четири 40GE линка; или може да подржи до један 100GE линк.
3. Модул модела „BYP-MOD-L1CG“ може се уметнути само у SLOT1 да би исправно радио.
4. Модул типа „BYP-MOD-XXX“ може се уметнути само у слот за BYPASS модул; модул типа „MON-MOD-XXX“ може се уметнути само у слот за MONITOR модул за нормалан рад.
| Модел производа | Параметри функције |
| Шасија (домаћин) | |
| МЛ-БАЈПАС-М100 | 1U стандардни 19-инчни рек; максимална потрошња енергије 250W; модуларни BYPASS заштитни хост; 2 слота за BYPASS модул; 1 слот за MONITOR модул; AC и DC опционо; |
| МОДУЛ ЗА БАЈПАС | |
| BYP-MOD-L2XG(LM/SM) | Подржава двосмерну 10GE серијску заштиту везе, 4*10GE интерфејс, LC конектор; уграђени оптички примопредајник; оптичка веза једно/вишемодна опционо, подржава 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Подржава двосмерну 40GE серијску заштиту везе, 4*40GE интерфејс, LC конектор; уграђени оптички примопредајник; оптичка веза једно/вишемодна опционо, подржава 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Подржава једноканалну серијску заштиту 100GE везе, 2*100GE интерфејс, LC конектор; уграђени оптички примопредајник; оптичка веза са једним вишемодним режимом опционо, подржава 100GBASE-SR4/LR4; |
| МОДУЛ МОНИТОР | |
| МОН-МОД-Л16КСГ | 16*10GE SFP+ модул порта за праћење; нема модула оптичког примопредајника; |
| МОН-МОД-Л8КСГ | 8*10GE SFP+ модул порта за праћење; нема модула оптичког примопредајника; |
| МОН-МОД-Л2ЦГ | 2*100GE QSFP28 модул порта за праћење; нема модула оптичког примопредајника; |
| МОН-МОД-Л8ККСГ | 8* 40GE QSFP+ модул портова за праћење; без модула оптичког примопредајника; |
Спецификације прекидача за премотавање мрежног TAP-а
| Модалност производа | ML-BYPASS-M100 Уграђени мрежни прекидач за премотавање | |
| Тип интерфејса | MGT интерфејс | 1*10/100/1000BASE-T адаптивни интерфејс за управљање; Подржава даљинско HTTP/IP управљање |
| Слот за модул | 2*Слот за BYPASS модул; 1*Слот за MONITOR модул; | |
| Линкови који подржавају максимум | Уређај подржава максимално 4*10GE везе или 4*40GE везе или 1*100GE везе | |
| Праћење | Уређај подржава максимално 16*10GE портова за праћење или 8*40GE портова за праћење или 2*100GE портова за праћење; | |
| Функција | Могућност потпуног дуплексног обрађивања | 640 Гб/с |
| На основу каскадне заштите саобраћаја специфичне за пет корки IP/протокол/порт | Подржано | |
| Каскадна заштита заснована на пуном саобраћају | Подржано | |
| Вишеструко балансирање оптерећења | Подржано | |
| Прилагођена функција детекције откуцаја срца | Подржано | |
| Подржава независност Ethernet пакета | Подржано | |
| БАЈПАС ПРЕКИДАЧ | Подржано | |
| BYPASS прекидач без блица | Подржано | |
| УПРАВЉАЊЕ КОНЗОЛАМА | Подржано | |
| Управљање IP/WEB-ом | Подржано | |
| SNMP V1/V2C MGT | Подржано | |
| Управљање TELNET-ом/SSH-ом | Подржано | |
| SYSLOG протокол | Подржано | |
| Ауторизација корисника | На основу ауторизације лозинком/AAA/TACACS+ | |
| Електрични | Називни напон напајања | AC-220V/DC-48V 【Опционо】 |
| Називна фреквенција снаге | 50Hz | |
| Називна улазна струја | AC-3A / DC-10A | |
| Називна снага | 100W | |
| Окружење | Радна температура | 0-50℃ |
| Температура складиштења | -20-70℃ | |
| Радна влажност | 10%-95%, Без кондензације | |
| Конфигурација корисника | Конфигурација конзоле | RS232 интерфејс, 115200, 8, Н, 1 |
| Ванпојасни МГТ интерфејс | 1*10/100/1000M Ethernet interfejs | |
| Ауторизација лозинком | Подржано | |
| Висина шасије | Простор шасије (U) | 1U 19 инча, 485 мм * 44,5 мм * 350 мм |
Примена прекидача за премотавање мрежног TAP-а (као што следи)
5.1 Ризик опреме за безбедност у линијама (IPS / FW)
Следи типичан режим распоређивања IPS (система за спречавање упада), FW (заштитни зид), IPS/FW се распоређује као инлајн мрежна опрема (као што су рутери, прекидачи итд.) између саобраћаја кроз имплементацију безбедносних провера, у складу са одговарајућом безбедносном политиком како би се утврдило пуштање или блокирање одговарајућег саобраћаја, како би се постигао ефекат безбедносне одбране.
Истовремено, можемо посматрати IPS (систем за спречавање упада) / FW (заштитни зид) као инлајн распоређивање опреме, обично постављене на кључним локацијама у пословној мрежи ради имплементације инлајн безбедности. Поузданост повезаних уређаја директно утиче на укупну доступност пословне мреже. Када се инлајн безбедносни уређаји преоптерете, падну, ажурирају софтвер, ажурирају политике итд., доступност целе пословне мреже ће бити значајно погођена. У овом тренутку, само прекидом мреже и физичким бајпасом можемо обновити мрежу, али то озбиљно утиче на поузданост мреже. IPS (систем за спречавање упада) / FW (заштитни зид) и други инлајн уређаји, с једне стране, побољшавају имплементацију безбедности пословне мреже, а с друге стране смањују и поузданост пословних мрежа, повећавајући ризик да мрежа није доступна.
5.2 Заштита опреме серије Inline Link
Mylinking™ „Bypass Switch“ се поставља као линијски између мрежних уређаја (рутера, прекидача итд.), а проток података између мрежних уређаја више не води директно до IPS-а (система за спречавање упада) / FW-а (заштитног зида). „Bypass Switch“ се повезује са IPS-ом/FW-ом. Када IPS/FW дође до квара због преоптерећења, пада, ажурирања софтвера, ажурирања политика и других стања, „Bypass Switch“ се активира благовременим откривањем неисправних уређаја путем интелигентне функције детекције откуцаја срца, чиме се мрежна опрема брзо повезује директно ради заштите нормалне комуникационе мреже. Када дође до квара IPS-а/FW-а, али и путем интелигентне функције детекције откуцаја срца, правовременим откривањем, оригинална веза се враћа у првобитну везу ради обнављања безбедности безбедносних провера пословне мреже.
Mylinking™ „Bypass Switch“ има моћну интелигентну функцију детекције порука откуцаја срца, корисник може да прилагоди интервал откуцаја срца и максималан број поновних покушаја, путем прилагођене поруке откуцаја срца на IPS/FW ради тестирања исправности, као што је слање поруке о провери откуцаја срца на узводни/низводни порт IPS/FW, а затим примање са узводног/низводног порта IPS/FW и процена да ли IPS/FW ради нормално слањем и примањем поруке откуцаја срца.
5.3 Заштита серије вучне политике „SpecFlow“
Када безбедносни мрежни уређај треба да се бави само специфичним саобраћајем у серијској безбедносној заштити, путем функције обраде саобраћаја Mylinking™ „Network Tap Bypass Switch“, путем стратегије провере саобраћаја за повезивање безбедносног уређаја, „дотични“ саобраћај се шаље директно назад на мрежну везу, а „дотични део саобраћаја“ се шаље на уграђени безбедносни уређај ради обављања безбедносних провера. Ово не само да ће одржати нормалну примену функције безбедносне детекције безбедносног уређаја, већ ће и смањити неефикасан проток безбедносне опреме за решавање притиска; истовремено, „Network Tap Bypass Switch“ може да детектује радно стање безбедносног уређаја у реалном времену. Безбедносни уређај ради абнормално, директно заобилазећи саобраћај података како би се избегао прекид мрежне услуге.
Mylinking™ Inline Traffic Bypass Tap може да идентификује саобраћај на основу идентификатора заглавља L2-L4 слоја, као што су VLAN ознака, MAC адреса извора/одредишта, IP адреса извора, тип IP пакета, порт протокола транспортног слоја, ознака кључа заглавља протокола итд. Различите флексибилне комбинације услова подударања могу се флексибилно дефинисати како би се дефинисали специфични типови саобраћаја који су од интереса за одређени безбедносни уређај и могу се широко користити за распоређивање посебних уређаја за безбедносну ревизију (RDP, SSH, ревизија база података итд.).
5.4 Заштита серије са балансираним оптерећењем
Mylinking™ „Network Tap Bypass Switch“ се поставља као линијски између мрежних уређаја (рутера, прекидача итд.). Када перформансе обраде једног IPS/FW уређаја нису довољне да се носе са вршним протоком мрежне везе, функција балансирања оптерећења саобраћаја заштитника, „груписање“ вишеструких IPS/FW кластера за обраду саобраћаја мрежне везе, може ефикасно смањити притисак обраде једног IPS/FW уређаја и побољшати укупне перформансе обраде како би се задовољио велики пропусни опсег окружења за имплементацију.
Mylinking™ „Network Tap Bypass Switch“ има моћну функцију балансирања оптерећења, у складу са ознаком фрејма VLAN, MAC информацијама, IP информацијама, бројем порта, протоколом и другим информацијама о расподели Hash оптерећења, како би се осигурао интегритет сесије примљеног протока података сваког IPS/FW.
5.5 Заштита од протока вуче вишесеријске линијске опреме (промена серијске везе на паралелну везу)
Код неких кључних веза (као што су интернет утичнице, везе за размену података између сервера) локација је често због потреба за безбедносним функцијама и распоређивањем више опреме за тестирање безбедности у мрежи (као што су заштитни зид (FW), опрема против DDoS напада, заштитни зид веб апликација (WAF), систем за спречавање упада (IPS) итд.), више опреме за детекцију безбедности истовремено је повезано у серији на једној вези, што повећава ризик од квара на једној вези, смањујући укупну поузданост мреже. А код горе поменутих онлајн распоређивања безбедносне опреме, надоградње опреме, замена опреме и друге операције, узроковаће дуготрајне прекиде у раду мреже и веће прекиде пројеката како би се успешно завршила имплементација таквих пројеката.
Применом „Network Tap Bypass Switch-а“ на јединствен начин, режим примене више безбедносних уређаја повезаних серијски на истој вези може се променити из „режима физичког спајања“ у „режим физичког спајања, логичког спајања“. Веза на вези једне тачке квара побољшава поузданост везе, док „bypass Switch“ на вези вуче по потреби, да би се постигао исти проток са оригиналним режимом ефекта безбедне обраде.
Више од једног безбедносног уређаја истовремено са дијаграмом инлинејџ распоређивања:
Дијаграм распоређивања прекидача за премотавање Mylinking™ мреже TAP:
5.6 На основу динамичке стратегије заштите од безбедности и детекције вуче саобраћаја
„Мрежни прекидач за заобилажење славине“ Још један напредни сценарио примене заснован је на динамичкој стратегији апликација за заштиту од безбедности вуче саобраћаја, распоређивање на начин приказан у наставку:
Узмимо, на пример, опрему за тестирање безбедности „Заштита и детекција DDoS напада“, кроз фронт-енд распоређивање „Network Tap Bypass Switch-а“ и затим опрему за заштиту од DDoS напада, а затим повезивање са „Network Tap Bypass Switch-ом“, у уобичајеном „Заштитнику вуче“ за пуну количину саобраћаја брзином жице, истовремено преусмеравајући проток података на „Anti-DDOS уређај за заштиту од напада“. Када се открије за IP адресу сервера (или IP сегмент мреже) након напада, „Anti-DDOS уређај за заштиту од напада“ ће генерисати правила подударања протока циљаног саобраћаја и послати их „Network Tap Bypass Switch-у“ преко интерфејса за испоруку динамичких политика. „Network Tap Bypass Switch“ може ажурирати „динамику вуче саобраћаја“ након што прими „пул“ правила динамичких политика и одмах „правило“ погоди „вучу саобраћаја“ сервера за напад на опрему за заштиту и детекцију DDoS напада за обраду, како би била ефикасна након протока напада, а затим поново убризгана у мрежу.
Шема примене заснована на „Network Tap Bypass Switch“ је лакша за имплементацију од традиционалне BGP руте убризгавања или друге шеме за вучу саобраћаја, а окружење је мање зависно од мреже и поузданост је већа.
„Мрежни прекидач за заобилажење тапка“ има следеће карактеристике за подршку заштите од динамичке политике безбедности:
1, „Мрежни прекидач за заобилажење мрежног тапка“ за обезбеђивање ван правила заснованих на WEBSERIVCE интерфејсу, једноставна интеграција са безбедносним уређајима трећих страна.
2, „BNetwork Tap Bypass прекидач“ заснован на хардверском чистом ASIC чипу који прослеђује пакете брзином до 10 Gbps без блокирања прослеђивања прекидача и „библиотеци динамичких правила за вучу саобраћаја“ без обзира на број.
3, „Мрежни прекидач за премотавање мрежног тапка“ уграђена професионална функција заобилажења, чак и ако сам заштитник откаже, може одмах заобићи оригиналну серијску везу, не утичући на оригиналну везу нормалне комуникације.
