Mylinking™ Network Tryck på Bypass Switch ML-BYPASS-200
2*Bypass plus 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
1- Översikter
Genom att implementera Mylinking™ Smart Bypass Switch:
- Användare kan flexibelt installera/avinstallera säkerhetsutrustning och kommer inte att påverka det aktuella nätverket och avbryta;
- Mylinking™ Network Tap Bypass Switch med intelligent hälsodetekteringsfunktion till realtidsövervakning av det normala arbetstillståndet för den seriella säkerhetsenheten, när den seriella säkerhetsenheten fungerar undantag, kommer skyddet automatiskt att kringgås för att upprätthålla normal nätverkskommunikation;
- Selektiv trafikskyddsteknik kan användas för att distribuera specifik säkerhetsutrustning för trafikrening, krypteringsteknik baserad på revisionsutrustningen.Utför effektivt det seriella åtkomstskyddet för den specifika trafiktypen, avlasta serieanordningens flödeshanteringstryck;
- Load Balanced Traffic Protection-teknik kan användas för klustrad distribution av säkra seriella enheter för att möta behovet av seriell säkerhet i miljöer med hög bandbredd.
Med den snabba utvecklingen av Internet blir hotet om nätverksinformationssäkerhet mer och mer allvarligt, så en mängd olika skyddsapplikationer för informationssäkerhet används mer och mer allmänt.Oavsett om det är traditionell utrustning för åtkomstkontroll (brandvägg) eller en ny typ av mer avancerade skyddsmedel såsom intrångsskyddssystem (IPS), Unified Hot Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti- span Gateway, Unified DPI Traffic Identification and Control System, och många säkerhetsenheter är utplacerade i serie i nätverkets nyckelnoder, genomförandet av motsvarande datasäkerhetspolicy för att identifiera och hantera laglig / olaglig trafik.Men samtidigt kommer datornätverket att generera en stor nätverksfördröjning eller till och med nätverksavbrott i händelse av fail over, underhåll, uppgradering, utbyte av utrustning och så vidare i en mycket tillförlitlig produktionsnätverksapplikationsmiljö, användarna tål det inte.
2- Network Tap Bypass Switch Avancerade funktioner och tekniker
Mylinking™ "SpecFlow" skyddsläge och "FullLink" skyddslägesteknik
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ "LinkSafeSwitch"-teknik
Mylinking™ “WebService” Dynamisk strategividarebefordran/problemteknik
Mylinking™ Intelligent Heartbeat Message Detection Technology
Mylinking™ Definable Heartbeat Messages Technology
Mylinking™ Multi-link Load Balancing Technology
Mylinking™ Intelligent Traffic Distribution Technology
Mylinking™ Dynamic Load Balancing Technology
Mylinking™ Remote Management Technology (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig" Karakteristik)
3- Network Tap Bypass Switch Configuration Guide
GÅ FÖRBISkyddsportmodulplats:
Denna kortplats kan sättas in i BYPASS-skyddsportmodulen med olika hastighet/portnummer.Genom att ersätta olika typer av moduler kan den stödja BYPASS-skydd av flera 10G/40G/100G-länkar.
ÖVERVAKAPort Modul Slot;
Denna kortplats kan sättas in i MONITOR-portmodulen med olika hastigheter/portar.Den kan stödja flera 10G/40G/100G länkar online seriell övervakningsenhet distribution genom att ersätta olika modeller.
Regler för modulval
Baserat på olika utplacerade länkar och krav på utbyggnad av övervakningsutrustning kan du flexibelt välja olika modulkonfigurationer för att möta dina faktiska miljöbehov;följ följande regler när du väljer:
1. Chassikomponenterna är obligatoriska och du måste välja chassikomponenterna innan du väljer några andra moduler.Välj samtidigt olika strömförsörjningsmetoder (AC/DC) enligt dina behov.
2. Hela maskinen stöder upp till 2 BYPASS-modulplatser och 1 MONITOR-modulplats;du kan inte välja fler än antalet platser att konfigurera.Baserat på kombinationen av antalet platser och modulmodellen kan enheten stödja upp till fyra 10GE-länkskydd;eller så kan den stödja upp till fyra 40GE-länkar;eller så kan den stödja upp till en 100GE-länk.
3. Modulmodellen "BYP-MOD-L1CG" kan endast sättas in i SLOT1 för att fungera korrekt.
4. Modultypen "BYP-MOD-XXX" kan endast sättas in i BYPASS-modulplatsen;modultypen "MON-MOD-XXX" kan endast sättas in i MONITOR-modulplatsen för normal drift.
| Produktmodell | Funktionsparametrar |
| Chassi (värd) | |
| ML-BYPASS-M200 | 1U standard 19-tums rackmontering;maximal strömförbrukning 250W;modulär BYPASS-skyddsvärd;2 BYPASS-modulplatser;1 MONITOR-modulplats;AC och DC valfritt; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Stöder 2-vägs 10GE länk seriellt skydd, 4*10GE gränssnitt, LC kontakt;inbyggd optisk transceiver;optisk länk enkel/multimod tillval, stöder 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Stöder 2-vägs 40GE länk seriellt skydd, 4*40GE gränssnitt, LC kontakt;inbyggd optisk transceiver;optisk länk enkel/multimod tillval, stöder 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Stöder 1 kanal 100GE länk seriellt skydd, 2*100GE gränssnitt, LC kontakt;inbyggd optisk transceiver;optisk länk enkel multimode tillval, stöder 100GBASE-SR4/LR4; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ övervakningsportmodul;ingen optisk transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ övervakningsportmodul;ingen optisk transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 övervakningsportmodul;ingen optisk transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ övervakningsportmodul;ingen optisk transceivermodul; |
4- Network TAP Bypass Switch Specifikationer
| Produktmodalitet | ML-BYPASS-M200 seriell bypass-omkopplare | |
| Typ av gränssnitt | MGT-gränssnitt | 1*10/100/1000BASE-T Adaptivt hanteringsgränssnitt;Stöd för fjärrstyrning av HTTP/IP |
| Modulplats | 2*BYPASS-modulplats;1*MONITOR-modulplats; | |
| Länkar som stöder maximalt | Enhetsstöd maximalt 4*10GE länkar eller 4*40GE länkar eller 1*100GE länkar | |
| Övervaka | Enhetsstöd maximalt 16*10GE övervakningsportar eller 8*40GE övervakningsportar eller 2*100GE övervakningsportar; | |
| Fungera | Full duplex bearbetningsförmåga | 640 Gbps |
| Baserat på IP/protokoll/port fem tupelspecifikt trafikkaskadskydd | Stöd | |
| Kaskadskydd baserat på full trafik | Stöd | |
| Flera lastbalansering | Stöd | |
| Anpassad hjärtslagsdetekteringsfunktion | Stöd | |
| Stöd för Ethernet-paketoberoende | Stöd | |
| BYPASS-BRYTARE | Stöd | |
| BYPASS Switch utan blixt | Stöd | |
| KONSOL MGT | Stöd | |
| IP/WEB MGT | Stöd | |
| SNMP V1/V2C MGT | Stöd | |
| TELNET/SSH MGT | Stöd | |
| SYSLOG-protokoll | Stöd | |
| Användarbehörighet | Baserat på lösenordsauktorisering/AAA/TACACS+ | |
| Elektrisk | Märkmatningsspänning | AC-220V/DC-48V【Tillval】 |
| Nominell effektfrekvens | 50HZ | |
| Märk ingångsström | AC-3A / DC-10A | |
| Nominell effekt | 100W | |
| Miljö | Arbetstemperatur | 0–50 ℃ |
| Förvaringstemperatur | -20-70 ℃ | |
| Arbetsfuktighet | 10%-95%, ingen kondens | |
| Användarkonfiguration | Konsolkonfiguration | RS232-gränssnitt,115200,8,N,1 |
| MGT-gränssnitt utanför bandet | 1*10/100/1000M Ethernet-gränssnitt | |
| Lösenordsbehörighet | Stöd | |
| Chassihöjd | Chassiutrymme(U) | 1U 19 tum, 485mm*44,5mm*350mm |
5- Network TAP Bypass Switch Application (enligt följande)
Följande är ett typiskt IPS (Intrusion Prevention System), FW (Brandvägg) utbyggnadsläge, IPS / FW distribueras i serie till nätverksutrustningen (routrar, switchar, etc.) mellan trafiken genom implementering av säkerhetskontroller, enl. motsvarande säkerhetspolicy för att fastställa frisläppandet eller blockera motsvarande trafik, för att uppnå effekten av säkerhetsförsvar.
Samtidigt kan vi observera IPS / FW som en seriell distribution av utrustningen, vanligtvis utplacerad i nyckelplatsen för företagets nätverk för att implementera seriell säkerhet, tillförlitligheten hos dess anslutna enheter direkt påverkar den övergripande företagets nätverkstillgänglighet.När de seriella enheterna överbelastas, kraschar, programuppdateringar, policyuppdateringar etc. kommer hela företagets nätverkstillgänglighet att påverkas kraftigt.Vid denna tidpunkt, vi bara genom nätverket skära, kan fysisk bypass jumper göra nätverket som ska återställas, allvarligt påverkar tillförlitligheten av nätverket.IPS / FW och andra seriella enheter å ena sidan förbättra utbyggnaden av företagets nätverkssäkerhet, å andra sidan minskar också tillförlitligheten hos företagets nätverk, vilket ökar risken för att nätverket inte är tillgängligt.
5.2 Inline Link-seriens utrustningsskydd
Mylinking™ ” Bypass Switch ” distribueras i serie mellan nätverksenheter (routrar, switchar, etc.), och dataflödet mellan nätverksenheter leder inte längre direkt till IPS / FW, ” Bypass Switch ” till IPS / FW, när IPS:en / FW på grund av överbelastning, krasch, programuppdateringar, policyuppdateringar och andra feltillstånd, "Bypass Switch" genom intelligent hjärtslagsmeddelandedetektering Funktion för snabb upptäckt, och därmed hoppa över den felaktiga enheten, utan att avbryta premissen för nätverket, den snabba nätverksutrustningen direkt ansluten för att skydda det normala kommunikationsnätverket;När IPS / FW fel återhämtning, men också genom intelligenta hjärtslag paket Upptäckt av snabb upptäckt av funktionen, den ursprungliga länken för att återställa säkerheten i företagets nätverk säkerhetskontroller.
Mylinking™ "Bypass Switch" har en kraftfull intelligent funktion för detektering av hjärtslagsmeddelanden, användaren kan anpassa hjärtslagsintervallet och det maximala antalet återförsök genom ett anpassat hjärtslagsmeddelande på IPS/FW för hälsotestning, som att skicka meddelandet om hjärtslagskontroll till uppströms/nedströmsporten för IPS/FW, och ta sedan emot från uppströms/nedströmsporten för IPS/FW, och bedöm om IPS/FW fungerar normalt genom att skicka och ta emot hjärtslagsmeddelandet.
5.3 "SpecFlow" Policy Flow Inline Traction Series-skydd
När säkerhetsnätverket bara behöver hantera den specifika trafiken i serie säkerhetsskydd, genom Mylinking™ ” Bypass Switch ” trafik per-bearbetningsfunktion, genom trafikscreeningsstrategin för att ansluta säkerhetsenheten ” Orolig ”trafik skickas tillbaka direkt till nätverkslänken, och den "berörda trafiksektionen" är dragkraft till den inbyggda säkerhetsanordningen för att utföra säkerhetskontroller.Detta kommer inte bara att upprätthålla den normala tillämpningen av säkerhetsdetekteringsfunktionen för säkerhetsanordningen, utan också minska det ineffektiva flödet av säkerhetsutrustningen för att hantera trycket;samtidigt kan " Bypass Switch " detektera säkerhetsanordningens arbetstillstånd i realtid.Säkerhetsanordningen fungerar onormalt förbikopplar datatrafiken direkt för att undvika störningar av nätverkstjänsten.
Mylinking™ Traffic Bypass Protector kan identifiera trafik baserat på L2-L4 lagerhuvudidentifierare, såsom VLAN-tagg, källa/destination MAC-adress, källans IP-adress, IP-pakettyp, transportlagerprotokollport, protokollhuvudnyckeltagg, och så på.En mängd olika matchningsvillkor flexibel kombination kan definieras flexibelt för att definiera de specifika trafiktyper som är av intresse för en viss säkerhetsenhet och kan användas i stor utsträckning för utplacering av speciella säkerhetsrevisionsenheter (RDP, SSH, databasrevision, etc.) .
5.4 Lastbalanserat serieskydd
Mylinking™ "Bypass Switch" distribueras i serie mellan nätverksenheter (routrar, switchar, etc.).När en enda IPS/FW-bearbetningsprestanda inte är tillräcklig för att klara topptrafiken i nätverkslänken, kan skyddets trafikbelastningsbalanseringsfunktion, "buntningen" av flera IPS/FW-klusterbearbetande nätverkslänktrafik, effektivt minska den enstaka IPS / FW bearbetningstryck, förbättra den övergripande bearbetningsprestandan för att möta den höga bandbredden i distributionsmiljön Claim.
Mylinking™ "Bypass Switch" har en kraftfull lastbalanseringsfunktion, enligt ramens VLAN-tagg, MAC-information, IP-information, portnummer, protokoll och annan information om Hash-lastbalanseringsfördelningen av trafik för att säkerställa att varje IPS / FW tar emot data flöde Sessionsintegritet.
5.5 Multi-series Inline Equipment Flow Traction Protection (Ändra seriell anslutning till parallellanslutning)
I vissa nyckellänkar (som Internet-uttag, serverområdesutbyteslänk) beror platsen ofta på behoven av säkerhetsfunktioner och användningen av flera in-line säkerhetstestutrustning (som brandvägg, anti-DDOS-attackutrustning, WEB-applikationsbrandvägg , intrångsskydd Utrustning, etc.), flera säkerhetsdetekteringsutrustning samtidigt i serie på länken för att öka länken till en enda felpunkt, vilket minskar den totala tillförlitligheten hos nätverket.Och i ovannämnda säkerhetsutrustning on-line distribution, uppgraderingar av utrustning, utbyte av utrustning och andra operationer, kommer att orsaka nätverket under en lång tid tjänsten avbrott och ett större projekt skära åtgärder för att slutföra ett framgångsrikt genomförande av sådana projekt.
Genom att distribuera "Bypass Switch" på ett enhetligt sätt, kan distributionsläget för flera säkerhetsenheter som är anslutna i serie på samma länk ändras från "fysiskt sammanlänkningsläge" till "fysiskt sammanlänkningsläge, logiskt sammanlänkningsläge" Länken på länken till en enda punkt av misslyckande för att förbättra tillförlitligheten av länken, medan "bypass switch" på länken flödet på begäran dragkraft, för att uppnå samma flöde med den ursprungliga läget för säker behandling effekt.
Mer än en säkerhetsenhet samtidigt i seriedistributionsdiagram:
Mylinking™ Network TAP Bypass Switch-distributionsdiagram:
5.6 Baserat på den dynamiska strategin för trafiksäkerhetsdetektering
"Bypass Switch" Ett annat avancerat applikationsscenario är baserat på den dynamiska strategin för applikationer för skydd av trafiksäkerhetsdetektering, implementeringen av sättet som visas nedan:
Ta säkerhetstestutrustningen "Anti-DDoS attack protection and detection", till exempel genom front-end-distributionen av " Bypass Switch " och sedan anti-DDOS-skyddsutrustning och sedan ansluten till " Bypass Switch ", som vanligt " Dragskydd "till den fulla mängden trafik tråd-hastighet vidarebefordran samtidigt flödesspegeln utgång till" anti-DDOS attack skyddsenhet ", en gång upptäckt för en server IP (eller IP nätverkssegment) efter attacken," anti -DDOS attackskyddsenhet ” kommer att generera matchningsreglerna för måltrafikflödet och skicka dem till ” Bypass Switch ” via det dynamiska policyleveransgränssnittet." Bypass Switch " kan uppdatera "trafikdragkraftsdynamiken" efter att ha mottagit de dynamiska policyreglerna Regelpoolen "och omedelbart" träffar attackserverns trafik "dragkraft till" anti-DDoS-attackskyddet och detekteringsutrustningen för bearbetning, för att vara effektiv efter attackflödet och sedan återinjiceras i nätverket.
Applikationsschemat baserat på " Bypass Switch " är lättare att implementera än den traditionella BGP-ruttinjektionen eller annat trafikdragsystem, och miljön är mindre beroende av nätverket och tillförlitligheten är högre.
"Bypass Switch" har följande egenskaper för att stödja dynamisk säkerhetsdetektering av policy:
1, " Bypass Switch " för att tillhandahålla utanför reglerna baserat på WEBSERIVCE-gränssnitt, enkel integration med tredjeparts säkerhetsenheter.
2, " Bypass Switch " baserat på det rena ASIC-chipet som vidarebefordrar upp till 10 Gbps trådhastighetspaket utan att blockera växelvidarebefordran och "trafikens dynamiska regelbibliotek" oavsett antal.
3, " Bypass Switch " inbyggd professionell BYPASS-funktion, även om själva skyddet misslyckas, kan också kringgå den ursprungliga seriella länken omedelbart, påverkar inte den ursprungliga länken för normal kommunikation.
