Mylinking™ Netzwerk-Tap-Bypass-Schalter ML-BYPASS-100
2*Bypass plus 1*Monitor Modulares Design, 10/40/100GE-Links, max. 640 Gbit/s
Übersichten
Der Mylinking™ Network Tap Bypass Switch wurde für den flexiblen Einsatz verschiedener Arten von Inline-Sicherheitsgeräten erforscht und entwickelt und bietet gleichzeitig eine hohe Netzwerkzuverlässigkeit.
Durch den Einsatz von Mylinking™ Smart Bypass Switch Tap:
- Benutzer können Sicherheitsausrüstung/-tools flexibel installieren/deinstallieren, ohne das aktuelle Netzwerk zu beeinträchtigen oder zu unterbrechen.
- Mylinking™ Network Tap Bypass Switch mit intelligenter Zustandserkennungsfunktion zur Echtzeitüberwachung des normalen Betriebszustands der Inline-Sicherheitsgeräte. Sobald die Inline-Sicherheitsgeräte ausnahmsweise funktionieren, wird die Schutzfunktion automatisch umgangen, um die normale Netzwerkkommunikation aufrechtzuerhalten;
- Mithilfe selektiver Verkehrsschutztechnologie können spezifische Sicherheitsgeräte zur Verkehrsreinigung und Verschlüsselungstechnologie auf Basis von Prüfgeräten eingesetzt werden. So lässt sich der Inline-Zugriffsschutz für bestimmte Verkehrstypen effektiv umsetzen und der Druck auf die Flussverarbeitung des Inline-Geräts verringern.
- Die Load Balanced Traffic Protection-Technologie kann für die Clusterbereitstellung sicherer serieller Inline-Sicherheitsgeräte verwendet werden, um die Inline-Sicherheit in Umgebungen mit hoher Bandbreite zu gewährleisten.
Erweiterte Funktionen und Technologien des Network Tap Bypass Switch
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus
Mylinking™ Fast Bypass Switching-Schutz
Mylinking™ „LinkSafeSwitch“
Mylinking™ „WebService“ Dynamische Strategie Weiterleitung/Ausgabe
Mylinking™ Intelligente Heartbeat-Nachrichtenerkennung
Mylinking™ Definierbare Heartbeat-Nachrichten (Heartbeat-Pakete)
Mylinking™ Multi-Link-Lastausgleich
Mylinking™ Intelligente Verkehrsverteilung
Mylinking™ Dynamischer Lastenausgleich
Mylinking™ Remote Management-Technologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Funktion)
Optionaler Konfigurationsleitfaden für den Network Tap Bypass Switch
BYPASS-ModulSteckplatz für Schutzportmodul:
In diesen Steckplatz können BYPASS-Schutzportmodule mit unterschiedlicher Geschwindigkeit/Portnummer eingesetzt werden. Durch den Austausch verschiedener Modultypen kann der BYPASS-Schutz für mehrere 10G/40G/100G-Verbindungsanforderungen unterstützt werden.
MONITOR-ModulPortmodulsteckplatz;
In diesen Steckplatz kann das MONITOR-Modul mit unterschiedlichen Geschwindigkeiten/Ports eingesetzt werden. Durch den Austausch verschiedener Module unterstützt es mehrere Verbindungen von 10G/40G/100G für die Bereitstellung serieller Inline-Überwachungsgeräte.
Modulauswahlregeln
Basierend auf den unterschiedlichen Anforderungen an die Bereitstellung von Links und Überwachungsgeräten können Sie flexibel verschiedene Modulkonfigurationen auswählen, um Ihre tatsächlichen Umgebungsanforderungen zu erfüllen. Bitte beachten Sie bei der Modulauswahl die folgenden Regeln:
1. Die Chassis-Komponenten sind obligatorisch. Sie müssen die Chassis-Komponenten auswählen, bevor Sie andere Module auswählen. Wählen Sie gleichzeitig je nach Bedarf unterschiedliche Stromversorgungsmethoden (AC/DC).
2. Das gesamte Gerät unterstützt bis zu zwei BYPASS-Modulsteckplätze und einen MONITOR-Modulsteckplatz. Sie können nicht mehr Steckplätze konfigurieren. Abhängig von der Anzahl der Steckplätze und dem Modulmodell kann das Gerät bis zu vier 10GE-Link-Schutzfunktionen unterstützen; oder es kann bis zu vier 40GE-Links unterstützen; oder es kann bis zu einen 100GE-Link unterstützen.
3. Das Modulmodell „BYP-MOD-L1CG“ kann nur in SLOT1 eingesetzt werden, um ordnungsgemäß zu funktionieren.
4. Der Modultyp „BYP-MOD-XXX“ kann für den Normalbetrieb nur in den BYPASS-Modulsteckplatz gesteckt werden, der Modultyp „MON-MOD-XXX“ kann für den Normalbetrieb nur in den MONITOR-Modulsteckplatz gesteckt werden.
| Produktmodell | Funktionsparameter |
| Gehäuse (Host) | |
| ML-BYPASS-M100 | 1HE-Standard-19-Zoll-Rackmontage; maximaler Stromverbrauch 250 W; modularer BYPASS-Schutzhost; 2 BYPASS-Modulsteckplätze; 1 MONITOR-Modulsteckplatz; AC und DC optional; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Unterstützt seriellen 2-Wege-10GE-Link-Schutz, 4*10GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optische Verbindung Single/Multimode optional, unterstützt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Unterstützt seriellen 2-Wege-40GE-Link-Schutz, 4*40GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optische Verbindung Single/Multimode optional, unterstützt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Unterstützt 1-Kanal 100GE-Link-Seriellenschutz, 2*100GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optischer Link Single Multimode optional, unterstützt 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MON-MOD-L16XG | 16*10GE SFP+-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ Überwachungsportmodul; kein optisches Transceivermodul; |
Spezifikationen des Netzwerk-TAP-Bypass-Switch
| Produktmodalität | ML-BYPASS-M100 Inline-Netzwerk-Abzweig-Bypass-Schalter | |
| Art der Schnittstelle | MGT-Schnittstelle | 1*10/100/1000BASE-T Adaptive Verwaltungsschnittstelle; Unterstützt Remote-HTTP/IP-Verwaltung |
| Modulsteckplatz | 2*BYPASS-Modulsteckplatz; 1*MONITOR-Modulsteckplatz; | |
| Links, die das Maximum unterstützen | Das Gerät unterstützt maximal 4*10GE-Links oder 4*40GE-Links oder 1*100GE-Links | |
| Überwachung | Das Gerät unterstützt maximal 16*10GE-Überwachungsports oder 8*40GE-Überwachungsports oder 2*100GE-Überwachungsports; | |
| Funktion | Vollduplex-Verarbeitungsfähigkeit | 640 Gbit/s |
| Basierend auf IP/Protokoll/Port fünf Tupel spezifische Verkehrskaskade Schutz | Unterstützt | |
| Kaskadenschutz basierend auf vollem Datenverkehr | Unterstützt | |
| Mehrfacher Lastenausgleich | Unterstützt | |
| Benutzerdefinierte Herzschlagerkennungsfunktion | Unterstützt | |
| Unterstützt Ethernet-Paketunabhängigkeit | Unterstützt | |
| BYPASS-SCHALTER | Unterstützt | |
| BYPASS-Schalter ohne Blitz | Unterstützt | |
| KONSOLENVERWALTUNG | Unterstützt | |
| IP/WEB-Management | Unterstützt | |
| SNMP V1/V2C MGT | Unterstützt | |
| TELNET/SSH-Verwaltung | Unterstützt | |
| SYSLOG-Protokoll | Unterstützt | |
| Benutzerberechtigung | Basierend auf Passwortautorisierung/AAA/TACACS+ | |
| Elektrisch | Nennversorgungsspannung | AC-220 V/DC-48 V 【Optional】 |
| Nennleistungsfrequenz | 50 Hz | |
| Nenneingangsstrom | AC-3A / DC-10A | |
| Nennleistung | 100 W | |
| Umfeld | Arbeitstemperatur | 0-50℃ |
| Lagertemperatur | -20-70℃ | |
| Arbeitsfeuchtigkeit | 10 % – 95 %, keine Kondensation | |
| Benutzerkonfiguration | Konsolenkonfiguration | RS232-Schnittstelle,115200,8,N,1 |
| Out-of-Band-MGT-Schnittstelle | 1 * 10/100/1000M Ethernet-Schnittstelle | |
| Passwortautorisierung | Unterstützt | |
| Fahrgestellhöhe | Gehäuseraum (U) | 1HE 19 Zoll, 485 mm x 44,5 mm x 350 mm |
Netzwerk-TAP-Bypass-Switch-Anwendung (wie folgt)
5.1 Das Risiko von Inline-Sicherheitsgeräten (IPS/FW)
Das Folgende ist ein typischer IPS- (Intrusion Prevention System) und FW- (Firewall) Bereitstellungsmodus. IPS/FW wird als Inline-Netzwerkgerät (wie Router, Switches usw.) bereitgestellt, das Sicherheitsprüfungen durchführt und den Datenverkehr entsprechend der entsprechenden Sicherheitsrichtlinie freigibt oder blockiert, um einen Sicherheitsschutzeffekt zu erzielen.
Gleichzeitig können wir IPS (Intrusion Prevention System) / FW (Firewall) als Inline-Bereitstellung der Ausrüstung betrachten, die normalerweise an den wichtigsten Standorten des Unternehmensnetzwerks eingesetzt wird, um Inline-Sicherheit zu implementieren. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die allgemeine Verfügbarkeit des Unternehmensnetzwerks aus. Wenn die Inline-Sicherheitsgeräte überlastet sind, abstürzen oder Software-Updates, Richtlinienaktualisierungen usw. durchgeführt werden, wird die gesamte Verfügbarkeit des Unternehmensnetzwerks erheblich beeinträchtigt. An diesem Punkt können wir das Netzwerk nur durch eine Netzwerkunterbrechung oder einen physischen Bypass-Jumper wiederherstellen, was jedoch die Zuverlässigkeit des Netzwerks erheblich beeinträchtigt. IPS (Intrusion Prevention System) / FW (Firewall) und andere Inline-Geräte verbessern einerseits die Bereitstellung der Unternehmensnetzwerksicherheit, verringern andererseits aber auch die Zuverlässigkeit des Unternehmensnetzwerks und erhöhen das Risiko eines Netzwerkausfalls.
5.2 Geräteschutz der Inline Link-Serie
Der Mylinking™ „Bypass Switch“ wird als Inline-Switch zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt, sodass der Datenfluss zwischen den Netzwerkgeräten nicht mehr direkt zum IPS (Intrusion Prevention System)/FW (Firewall) geleitet wird. Der „Bypass Switch“ wechselt zu IPS/FW. Wenn IPS/FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinien-Updates usw. ausfällt, erkennt der „Bypass Switch“ das fehlerhafte Gerät rechtzeitig über die intelligente Heartbeat-Nachrichtenerkennungsfunktion und überspringt es so, ohne das Netzwerk zu unterbrechen. So wird die normale Netzwerkkommunikation schnell und direkt zwischen den Netzwerkgeräten geschützt. Wenn IPS/FW ausfällt, wird die ursprüngliche Verbindung ebenfalls rechtzeitig über die intelligente Heartbeat-Paketerkennungsfunktion wiederhergestellt, um die Sicherheit des Unternehmensnetzwerks zu überprüfen.
Mylinking™ „Bypass Switch“ verfügt über eine leistungsstarke intelligente Heartbeat-Nachrichtenerkennungsfunktion. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungsversuchen anpassen, indem er eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW zur Integritätsprüfung sendet, z. B. die Heartbeat-Prüfnachricht an den Upstream-/Downstream-Port des IPS/FW sendet und sie dann vom Upstream-/Downstream-Port des IPS/FW empfängt und durch Senden und Empfangen der Heartbeat-Nachricht beurteilt, ob das IPS/FW normal funktioniert.
5.3 „SpecFlow“-Richtlinie Flow Inline Traction Series Protection
Wenn das Sicherheitsnetzwerkgerät nur bestimmten Datenverkehr im Rahmen der Seriensicherheit verarbeiten muss, wird der Datenverkehr über die Funktion „Network Tap Bypass Switch“ von Mylinking™ pro Verarbeitungsschritt und über die Verkehrsüberprüfungsstrategie zum Verbinden des Sicherheitsgeräts „betroffener“ Datenverkehr direkt an die Netzwerkverbindung zurückgesendet und der „betroffene Datenverkehrabschnitt“ wird an das Inline-Sicherheitsgerät weitergeleitet, um Sicherheitsprüfungen durchzuführen. Dadurch wird nicht nur die normale Anwendung der Sicherheitserkennungsfunktion des Sicherheitsgeräts aufrechterhalten, sondern auch der ineffiziente Datenfluss der Sicherheitsausrüstung zur Druckbewältigung verringert. Gleichzeitig kann der „Network Tap Bypass Switch“ den Betriebszustand des Sicherheitsgeräts in Echtzeit erkennen. Das Sicherheitsgerät arbeitet abnormal und umgeht den Datenverkehr direkt, um eine Unterbrechung des Netzwerkdienstes zu vermeiden.
Der Mylinking™ Inline Traffic Bypass Tap kann Verkehr anhand der Header-Kennung der L2-L4-Schicht identifizieren, wie etwa VLAN-Tag, Quell-/Ziel-MAC-Adresse, Quell-IP-Adresse, IP-Pakettyp, Transportschicht-Protokollport, Protokoll-Header-Schlüsseltag usw. Eine Vielzahl von Übereinstimmungsbedingungen kann flexibel kombiniert werden, um die spezifischen Verkehrstypen zu bestimmen, die für ein bestimmtes Sicherheitsgerät von Interesse sind, und kann breit für die Bereitstellung spezieller Sicherheitsprüfungsgeräte (RDP, SSH, Datenbankprüfung usw.) verwendet werden.
5.4 Lastausgeglichener Serienschutz
Der Mylinking™ „Network Tap Bypass Switch“ wird inline zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt. Wenn die Verarbeitungsleistung eines einzelnen IPS/FW nicht ausreicht, um Spitzenverkehr auf der Netzwerkverbindung zu bewältigen, kann die Verkehrslastausgleichsfunktion des Protectors, die den Netzwerkverbindungsverkehr mehrerer IPS/FW-Cluster „bündelt“, den Verarbeitungsdruck einzelner IPS/FWs effektiv reduzieren und die Gesamtverarbeitungsleistung verbessern, um den hohen Bandbreitenanforderungen der Bereitstellungsumgebung gerecht zu werden.
Der „Network Tap Bypass Switch“ von Mylinking™ verfügt über eine leistungsstarke Lastausgleichsfunktion. Er verteilt den Datenverkehr durch Hash-Lastausgleich entsprechend dem Frame-VLAN-Tag, den MAC-Informationen, den IP-Informationen, der Portnummer, dem Protokoll und anderen Informationen, um die Integrität der von jedem IPS/FW empfangenen Datenflusssitzung sicherzustellen.
5.5 Schutz vor Strömungszug bei Inline-Geräten mehrerer Serien (Ändern der seriellen Verbindung in eine parallele Verbindung)
Bei einigen wichtigen Verbindungen (z. B. Internetanschlüssen und Server-Area-Exchange-Verbindungen) ist der Standort aufgrund der Sicherheitsanforderungen häufig unterschiedlich. Daher müssen mehrere Sicherheitstestgeräte gleichzeitig in Reihe geschaltet werden (z. B. Firewalls (FW), Geräte zum Schutz vor DDOS-Angriffen, Web Application Firewalls (WAF), Intrusion Prevention Systems (IPS) usw.). Dadurch erhöht sich die Ausfallwahrscheinlichkeit der Verbindung, was die Gesamtzuverlässigkeit des Netzwerks verringert. Die Online-Bereitstellung, Upgrades und der Austausch der oben genannten Sicherheitsgeräte führen zu längeren Netzwerkunterbrechungen und erfordern größere Projektkürzungen, um die erfolgreiche Umsetzung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Network Tap Bypass Switch“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen Verkettungsmodus, logischen Verkettungsmodus“ geändert werden. Die Verbindung auf der Verbindung mit einem einzelnen Ausfallpunkt verbessert die Zuverlässigkeit der Verbindung, während der „Bypass Switch“ auf der Verbindung den Datenfluss bei Bedarf steuert, um denselben sicheren Verarbeitungseffekt wie im ursprünglichen Modus zu erzielen.
Mehr als ein Sicherheitsgerät gleichzeitig als Inline-Bereitstellungsdiagramm:
Mylinking™ Network TAP Bypass Switch-Bereitstellungsdiagramm:
5.6 Basierend auf der dynamischen Strategie des Verkehrstraktionssicherheitserkennungsschutzes
Ein weiteres erweitertes Anwendungsszenario für „Network Tap Bypass Switch“ ist die dynamische Strategie der Verkehrstraktionssicherheitserkennungsschutzanwendung. Die Bereitstellung erfolgt wie folgt:
Nehmen wir zum Beispiel das Sicherheitstestgerät „Schutz und Erkennung von DDoS-Angriffen“. Dazu wird zunächst ein „Network Tap Bypass Switch“ als Front-End bereitgestellt und anschließend das DDoS-Schutzgerät angeschlossen. Anschließend wird der gesamte Datenverkehr im „Traction Protector“ mit Leitungsgeschwindigkeit weitergeleitet und gleichzeitig der Datenfluss an das „Gerät zum Schutz vor DDoS-Angriffen“ gespiegelt. Sobald ein Angriff auf die IP-Adresse eines Servers (oder eines IP-Netzwerksegments) erkannt wurde, generiert das „Gerät zum Schutz vor DDoS-Angriffen“ passende Regeln für den Zieldatenfluss und sendet diese über die dynamische Richtlinienübermittlungsschnittstelle an den „Network Tap Bypass Switch“. Nach Erhalt der dynamischen Richtlinienregeln kann der „Network Tap Bypass Switch“ den „Traffic Traction Dynamic“-Regelpool aktualisieren und den vom angegriffenen Server empfangenen Datenverkehr sofort zur Verarbeitung an das Gerät zum Schutz und zur Erkennung von DDoS-Angriffen weiterleiten, um ihn nach dem Angriff wirksam zu machen und erneut in das Netzwerk einzuspeisen.
Das auf dem „Network Tap Bypass Switch“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeneinspeisung oder andere Verkehrstraktionsschemata. Zudem ist die Umgebung weniger vom Netzwerk abhängig und die Zuverlässigkeit höher.
„Network Tap Bypass Switch“ verfügt über die folgenden Eigenschaften, um den Schutz vor dynamischer Richtliniensicherheitserkennung zu unterstützen:
1. „Network Tap Bypass Switch“, um außerhalb der Regeln basierend auf der WEBSERVICE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern zu ermöglichen.
2. Der „BNetwork Tap Bypass Switch“ basiert auf einem reinen ASIC-Chip, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Weiterleitung durch den Switch zu blockieren, und verfügt über eine „Bibliothek dynamischer Regeln für die Verkehrstraktion“, unabhängig von der Anzahl.
3. Die professionelle BYPASS-Funktion des „Network Tap Bypass Switch“ ermöglicht es, auch bei einem Ausfall des Schutzes selbst die ursprüngliche serielle Verbindung sofort zu umgehen, ohne die normale Kommunikation der ursprünglichen Verbindung zu beeinträchtigen.
