Mylinking™ Netzwerk Tap Bypass Switch ML-BYPASS-100
2*Bypass plus 1*Monitor Modulares Design, 10/40/100GE-Links, max. 640 Gbit/s
Übersichten
Der Mylinking™ Network Tap Bypass Switch wurde erforscht und entwickelt, um für den flexiblen Einsatz verschiedener Arten von Inline-Sicherheitsgeräten verwendet zu werden und gleichzeitig eine hohe Netzwerkzuverlässigkeit zu bieten.
Durch den Einsatz von Mylinking™ Smart Bypass Switch Tap:
- Benutzer können Sicherheitsausrüstung/-tools flexibel installieren/deinstallieren und werden das aktuelle Netzwerk nicht beeinträchtigen oder unterbrechen;
- Mylinking™ Network Tap Bypass Switch mit intelligenter Zustandserkennungsfunktion zur Echtzeitüberwachung des normalen Betriebszustands der Inline-Sicherheitsgeräte.Sobald die Inline-Sicherheitsgeräte funktionieren, wird die Schutzfunktion automatisch umgangen, um die normale Netzwerkkommunikation aufrechtzuerhalten.
- Selektive Verkehrsschutztechnologie kann verwendet werden, um spezielle Verkehrsreinigungssicherheitsausrüstung und Verschlüsselungstechnologie basierend auf der Prüfausrüstung bereitzustellen.Führen Sie effektiv den Inline-Zugriffsschutz für den spezifischen Datenverkehrstyp durch, indem Sie den Durchflusshandhabungsdruck des Inline-Geräts entlasten;
- Die Load Balanced Traffic Protection-Technologie kann für die geclusterte Bereitstellung von sicheren seriellen Inline-Sicherheitsgeräten verwendet werden, um die Inline-Sicherheit in Umgebungen mit hoher Bandbreite zu erfüllen.
Erweiterte Funktionen und Technologien des Netzwerk-Tap-Bypass-Schalters
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus
Mylinking™ Fast-Bypass-Umschaltschutz
Mylinking™ „LinkSafeSwitch“
Mylinking™ „WebService“ Dynamische Strategie Weiterleitung/Ausgabe
Mylinking™ Intelligent Heartbeat-Nachrichtenerkennung
Mylinking™ definierbare Heartbeat-Nachrichten (Heartbeat-Pakete)
Mylinking™ Multi-Link-Load-Balancing
Mylinking™ Intelligente Verkehrsverteilung
Mylinking™ dynamischer Lastenausgleich
Mylinking™-Fernverwaltungstechnologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Eigenschaft)
Optionaler Konfigurationsleitfaden für den Network Tap Bypass Switch
BYPASS-ModulSchutz-Port-Modul-Steckplatz:
Dieser Steckplatz kann in ein BYPASS-Schutzportmodul mit unterschiedlicher Geschwindigkeit/Portnummer eingefügt werden.Durch den Austausch verschiedener Modultypen kann es den BYPASS-Schutz mehrerer 10G/40G/100G-Verbindungsanforderungen unterstützen.
MONITOR-ModulAnschlussmodulsteckplatz;
In diesen Steckplatz kann das MONITOR-Modul mit unterschiedlichen Geschwindigkeiten/Ports eingesetzt werden.Es kann mehrere Verbindungen von 10G/40G/100G für die Bereitstellung von seriellen Inline-Überwachungsgeräten unterstützen, indem verschiedene Module ausgetauscht werden.
Modulauswahlregeln
Basierend auf unterschiedlichen bereitgestellten Verbindungen und Anforderungen an die Bereitstellung von Überwachungsgeräten können Sie flexibel verschiedene Modulkonfigurationen auswählen, um Ihre tatsächliche Umgebungsanforderung zu erfüllen.Bitte beachten Sie bei Ihrer Modulauswahl folgende Regeln:
1. Die Chassis-Komponenten sind obligatorisch und Sie müssen die Chassis-Komponenten auswählen, bevor Sie andere Module auswählen.Gleichzeitig wählen Sie bitte je nach Bedarf verschiedene Stromversorgungsmethoden (AC/DC).
2. Das gesamte Gerät unterstützt bis zu 2 BYPASS-Modulsteckplätze und 1 MONITOR-Modulsteckplatz;Sie können nicht mehr als die Anzahl der zu konfigurierenden Steckplätze auswählen.Basierend auf der Kombination aus Anzahl der Steckplätze und Modulmodell kann das Gerät bis zu vier 10GE-Verbindungsschutzfunktionen unterstützen;oder es kann bis zu vier 40GE-Links unterstützen;oder es kann bis zu eine 100GE-Verbindung unterstützen.
3. Das Modulmodell „BYP-MOD-L1CG“ kann nur in SLOT1 eingesetzt werden, um ordnungsgemäß zu funktionieren.
4. Der Modultyp „BYP-MOD-XXX“ kann nur in den BYPASS-Modulsteckplatz gesteckt werden;Der Modultyp „MON-MOD-XXX“ kann nur für den normalen Betrieb in den MONITOR-Modulsteckplatz gesteckt werden.
| Produktmodell | Funktionsparameter |
| Gehäuse (Host) | |
| ML-BYPASS-M100 | 1 HE Standard-19-Zoll-Rackmount;maximale Leistungsaufnahme 250W;modularer BYPASS-Protector-Host;2 Steckplätze für BYPASS-Module;1 MONITOR-Modulsteckplatz;AC und DC optional; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Unterstützt seriellen 2-Wege-10GE-Verbindungsschutz, 4*10GE-Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optische Verbindung Single/Multimode optional, unterstützt 10GBASE-SR/ LR; |
| BYP-MOD-L2QXG(LM/SM) | Unterstützt seriellen 2-Wege-40GE-Verbindungsschutz, 4*40GE-Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optische Verbindung Single/Multimode optional, unterstützt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Unterstützt 1 Kanal 100GE Link Serial Protection, 2*100GE Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optischer Link Single Multimode optional, unterstützt 100GBASE-SR4/LR4; |
| MONITOR-MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L8XG | 8*10GE SFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L2CG | 2 * 100GE QSFP28-Überwachungsanschlussmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
Technische Daten des Netzwerk-TAP-Bypass-Schalters
| Produktmodalität | ML-BYPASS-M100 Inline-Netzwerk-Tap-Bypass-Schalter | |
| Art der Schnittstelle | MGT-Schnittstelle | 1*10/100/1000BASE-T Adaptive Verwaltungsschnittstelle;Unterstützt Remote-HTTP/IP-Verwaltung |
| Modulsteckplatz | 2*BYPASS-Modulsteckplatz;1*MONITOR-Modulsteckplatz; | |
| Links unterstützen maximal | Das Gerät unterstützt maximal 4*10GE-Links oder 4*40GE-Links oder 1*100GE-Links | |
| Überwachung | Gerät unterstützt maximal 16 * 10-GE-Überwachungsports oder 8 * 40-GE-Überwachungsports oder 2 * 100-GE-Überwachungsports; | |
| Funktion | Vollduplex-Verarbeitungsfähigkeit | 640 Gbit/s |
| Basierend auf IP/Protokoll/Port-Fünf-Tupel-spezifischem Verkehrskaskadenschutz | Unterstützt | |
| Kaskadenschutz basierend auf vollständigem Datenverkehr | Unterstützt | |
| Mehrfaches Load-Balancing | Unterstützt | |
| Benutzerdefinierte Herzschlagerkennungsfunktion | Unterstützt | |
| Unterstützung der Ethernet-Paketunabhängigkeit | Unterstützt | |
| BYPASS-SCHALTER | Unterstützt | |
| BYPASS-Schalter ohne Blitz | Unterstützt | |
| KONSOLEN-MGT | Unterstützt | |
| IP/WEB-MGT | Unterstützt | |
| SNMP V1/V2C-MGT | Unterstützt | |
| TELNET/SSH-MGT | Unterstützt | |
| SYSLOG-Protokoll | Unterstützt | |
| Benutzerberechtigung | Basierend auf Passwortautorisierung/AAA/TACACS+ | |
| Elektrisch | Bemessungsversorgungsspannung | AC-220V/DC-48V【Optional】 |
| Nennleistungsfrequenz | 50 Hz | |
| Nenneingangsstrom | AC-3A / DC-10A | |
| Nennleistung | 100W | |
| Umfeld | Arbeitstemperatur | 0-50℃ |
| Lagertemperatur | -20-70℃ | |
| Arbeitsfeuchtigkeit | 10 % - 95 %, keine Kondensation | |
| Benutzer Konfiguration | Konsolenkonfiguration | RS232-Schnittstelle,115200,8,N,1 |
| Out-of-Band-MGT-Schnittstelle | 1 * 10/100/1000M Ethernet-Schnittstelle | |
| Passwort-Autorisierung | Unterstützt | |
| Fahrgestellhöhe | Fahrgestellraum (U) | 1 HE 19 Zoll, 485 mm x 44,5 mm x 350 mm |
Netzwerk-TAP-Bypass-Switch-Anwendung (wie folgt)
5.1 Das Risiko von Inline Security Equipment (IPS / FW)
Das Folgende ist ein typischer IPS (Intrusion Prevention System), FW (Firewall)-Bereitstellungsmodus, IPS / FW wird als Inline-Netzwerkausrüstung (wie Router, Switches usw.) zwischen dem Datenverkehr durch die Implementierung von Sicherheitsüberprüfungen bereitgestellt die entsprechende Sicherheitsrichtlinie, um die Freigabe oder Blockierung des entsprechenden Verkehrs zu bestimmen, um die Wirkung der Sicherheitsverteidigung zu erzielen.
Gleichzeitig können wir IPS (Intrusion Prevention System) / FW (Firewall) als Inline-Bereitstellung der Ausrüstung beobachten, die normalerweise an der Schlüsselstelle des Unternehmensnetzwerks zur Implementierung von Inline-Sicherheit eingesetzt wird und sich direkt auf die Zuverlässigkeit der angeschlossenen Geräte auswirkt die Gesamtverfügbarkeit des Unternehmensnetzwerks.Sobald die Inline-Sicherheitsgeräte überlastet sind, abstürzen, Software-Updates, Richtlinien-Updates usw. durchführen, wird die Verfügbarkeit des gesamten Unternehmensnetzwerks stark beeinträchtigt.An diesem Punkt können wir nur durch den Netzwerkschnitt, den physischen Bypass-Jumper, das Netzwerk wiederherstellen, aber es beeinträchtigt ernsthaft die Zuverlässigkeit des Netzwerks.IPS (Intrusion Prevention System) / FW (Firewall) und andere Inline-Geräte verbessern einerseits die Bereitstellung von Unternehmensnetzwerksicherheit, verringern andererseits aber auch die Zuverlässigkeit von Unternehmensnetzwerken, wodurch das Risiko des Netzwerks nicht erhöht wird.
5.2 Geräteschutz der Inline-Link-Serie
Mylinking™ „Bypass Switch“ wird als Inline zwischen Netzwerkgeräten (Router, Switches usw.) bereitgestellt, und der Datenfluss zwischen Netzwerkgeräten führt nicht mehr direkt zu IPS (Intrusion Prevention System) / FW (Firewall), „Bypass Switch“ zu IPS / FW, wenn das IPS / FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinienaktualisierungen und anderen Fehlerzuständen, den "Bypass Switch" durch intelligente Heartbeat-Message-Erkennungsfunktion zur rechtzeitigen Erkennung und damit zum Überspringen des fehlerhaften Geräts verwendet, ohne die Prämisse des Netzes zu unterbrechen, die schnelle Netzausrüstung, die direkt angeschlossen wird, um das normale Kommunikationsnetz zu schützen;wenn die IPS / FW-Fehlerwiederherstellung, sondern auch durch intelligente Erkennung von Heartbeat-Paketen rechtzeitige Erkennung der Funktion, die ursprüngliche Verbindung zur Wiederherstellung der Sicherheit von Unternehmensnetzwerk-Sicherheitsprüfungen.
Mylinking™ „Bypass Switch“ verfügt über eine leistungsstarke intelligente Heartbeat-Nachrichtenerkennungsfunktion, der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungen durch eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS / der FW für Gesundheitstests anpassen, z. B. das Senden der Heartbeat-Check-Nachricht an den Upstream-/Downstream-Port von IPS/FW und empfangen Sie dann vom Upstream-/Downstream-Port von IPS/FW und beurteilen Sie, ob das IPS/FW normal funktioniert, indem Sie die Heartbeat-Nachricht senden und empfangen.
5.3 „SpecFlow“-Richtlinienfluss Inline-Traktionsserienschutz
Wenn das Sicherheitsnetzwerkgerät nur den spezifischen Datenverkehr im Seriensicherheitsschutz verarbeiten muss, wird der Datenverkehr über die Traffic-Pro-Processing-Funktion Mylinking™ „Network Tap Bypass Switch“ durch die Traffic-Screening-Strategie zum Verbinden des Sicherheitsgeräts „Betroffener“ Datenverkehr gesendet direkt auf die Netzverbindung zurück, und der „betroffene Verkehrsabschnitt“ wird zur Sicherheitsüberprüfung an die Inline-Sicherung gefahren.Dies wird nicht nur die normale Anwendung der Sicherheitserkennungsfunktion der Sicherheitsvorrichtung aufrechterhalten, sondern auch den ineffizienten Fluss der Sicherheitsausrüstung reduzieren, um mit dem Druck fertig zu werden;Gleichzeitig kann der "Network Tap Bypass Switch" den Arbeitszustand der Sicherheitsvorrichtung in Echtzeit erkennen.Die Sicherheitsvorrichtung arbeitet anormal und umgeht den Datenverkehr direkt, um eine Unterbrechung des Netzwerkdienstes zu vermeiden.
Der Mylinking™ Inline Traffic Bypass Tap kann Datenverkehr basierend auf der L2-L4-Layer-Header-Kennung identifizieren, wie z bald.Eine Vielzahl von Anpassungsbedingungen kann flexibel kombiniert werden, um die spezifischen Verkehrstypen zu definieren, die für ein bestimmtes Sicherheitsgerät von Interesse sind, und kann für den Einsatz spezieller Sicherheitsprüfgeräte (RDP, SSH, Datenbankprüfung usw.) verwendet werden. .
5.4 Reihenschutz mit Lastausgleich
Der Mylinking™ „Network Tap Bypass Switch“ wird als Inline zwischen Netzwerkgeräten (Router, Switches usw.) bereitgestellt.Wenn eine einzelne IPS / FW-Verarbeitungsleistung nicht ausreicht, um den Spitzenverkehr der Netzwerkverbindung zu bewältigen, kann die Verkehrslastausgleichsfunktion des Schutzes, die "Bündelung" mehrerer IPS / FW-Cluster, die den Netzwerkverbindungsverkehr verarbeiten, die einzelne IPS / FW effektiv reduzieren Verarbeitungsdruck, Verbesserung der Gesamtverarbeitungsleistung, um die hohe Bandbreite des Anspruchs der Bereitstellungsumgebung zu erfüllen.
Mylinking™ „Network Tap Bypass Switch“ verfügt über eine leistungsstarke Load-Balancing-Funktion, die gemäß Frame-VLAN-Tag, MAC-Informationen, IP-Informationen, Portnummer, Protokoll und anderen Informationen zur Hash-Load-Balancing-Verteilung des Traffics sicherstellt, dass jede IPS/FW Empfangener Datenfluss Sitzungsintegrität.
5.5 Traktionsschutz für Inline-Geräte mehrerer Serien (von serieller Verbindung zu paralleler Verbindung wechseln)
Bei einigen wichtigen Links (wie Internet-Outlets, Exchange-Links im Serverbereich) ist der Standort häufig auf die Anforderungen von Sicherheitsfunktionen und den Einsatz mehrerer Inline-Sicherheitstestgeräte (wie Firewalls (FW), Anti-DDOS-Angriffsgeräte, WEB Application Firewall (WAF), Intrusion Prevention System (IPS) usw.), mehrere Sicherheitserkennungsgeräte gleichzeitig in Reihe auf der Verbindung, um die Verbindung eines einzelnen Fehlerpunkts zu erhöhen und die Gesamtzuverlässigkeit des Netzwerks zu verringern.Und bei der oben erwähnten Online-Bereitstellung von Sicherheitsausrüstung, Ausrüstungs-Upgrades, Ausrüstungsaustausch und anderen Operationen wird das Netzwerk für eine lange Zeit eine Dienstunterbrechung und eine größere Projektkürzungsaktion verursachen, um die erfolgreiche Implementierung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Network Tap Bypass Switch“ kann der Bereitstellungsmodus mehrerer Sicherheitsgeräte, die über denselben Link in Reihe geschaltet sind, von „Physical Concatenation Mode“ in „Physical Concatenation, Logical Concatenation Mode“ geändert werden Link eines Single Point of Failure, um die Zuverlässigkeit der Verbindung zu verbessern, während der "Bypass-Schalter" auf dem Link Flow on Demand Traction, um den gleichen Fluss mit dem ursprünglichen Modus der sicheren Verarbeitung zu erreichen.
Mehr als ein Sicherheitsgerät gleichzeitig als Inline-Bereitstellungsdiagramm:
Bereitstellungsdiagramm des Mylinking™ Network TAP Bypass Switch:
5.6 Basierend auf der dynamischen Strategie des Traffic Traction Security Detection Protection
"Network Tap Bypass Switch" Ein weiteres erweitertes Anwendungsszenario basiert auf der dynamischen Strategie von Traffic Traktionssicherheitserkennungsschutzanwendungen, die wie unten gezeigt bereitgestellt werden:
Nehmen Sie zum Beispiel die Sicherheitstestausrüstung „Anti-DDoS-Angriffsschutz und -erkennung“ durch die Front-End-Bereitstellung von „Network Tap Bypass Switch“ und dann Anti-DDOS-Schutzausrüstung und dann verbunden mit dem „Network Tap Bypass Switch“, im üblichen „Traction Protector“ zur Weiterleitung des gesamten Datenverkehrs in Wire-Speed-Geschwindigkeit zur gleichen Zeit die Flow Mirror-Ausgabe an das „Anti-DDOS-Angriffsschutzgerät“, sobald eine Server-IP (oder ein IP-Netzwerksegment) nach dem erkannt wurde Attack, "Anti-DDOS Attack Protection Device" generiert die passenden Regeln für den Zieldatenverkehr und sendet sie über die dynamische Policy-Delivery-Schnittstelle an den "Network Tap Bypass Switch".Der "Network Tap Bypass Switch" kann die "Traffic Traction Dynamic" aktualisieren, nachdem er die dynamischen Richtlinienregeln "Regelpool" erhalten hat, und sofort "Regel trifft den Traffic des Angriffsservers" an die "Anti-DDoS-Angriffsschutz- und Erkennungs"-Ausrüstung zur Verarbeitung weiterleiten. um nach dem Angriffsfluss wirksam zu sein und dann wieder in das Netzwerk eingespeist zu werden.
Das auf dem „Network Tap Bypass Switch“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeninjektion oder ein anderes Verkehrstraktionsschema, und die Umgebung ist weniger abhängig vom Netzwerk und die Zuverlässigkeit ist höher.
"Network Tap Bypass Switch" hat die folgenden Eigenschaften, um den Erkennungsschutz für dynamische Richtliniensicherheit zu unterstützen:
1, "Network Tap Bypass Switch", um außerhalb der Regeln basierend auf der WEBSERIVCE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern bereitzustellen.
2, „BNetwork Tap Bypass Switch“, basierend auf dem reinen Hardware-ASIC-Chip, der Pakete mit einer Leitungsgeschwindigkeit von bis zu 10 Gbit/s weiterleitet, ohne die Switch-Weiterleitung zu blockieren, und „Traffic Traction Dynamic Rule Library“ unabhängig von der Nummer.
3, "Network Tap Bypass Switch" eingebaute professionelle BYPASS-Funktion, auch wenn der Protektor selbst ausfällt, kann auch die ursprüngliche serielle Verbindung sofort umgehen, hat keinen Einfluss auf die ursprüngliche Verbindung der normalen Kommunikation.
