Перамыкач абыходу сеткі Mylinking™ ML-BYPASS-100
2 байпасы плюс 1 манітор, модульная канструкцыя, злучэнні 10/40/100GE, макс. 640 Гбіт/с
Агляды
Сеткавы абыходны перамыкач Mylinking™ распрацаваны для гнуткага разгортвання розных тыпаў убудаванага абсталявання бяспекі, забяспечваючы пры гэтым высокую надзейнасць сеткі.
Разгортваючы разумны байпасны перамыкач Mylinking™:
- Карыстальнікі могуць гнутка ўсталёўваць/выдаляць абсталяванне/інструменты бяспекі, і гэта не паўплывае на бягучую сетку і не перашкаджае ёй працаваць;
- Перамыкач Mylinking™ Network Tap Bypass з інтэлектуальнай функцыяй выяўлення стану для маніторынгу нармальнага стану ўбудаваных прылад бяспекі ў рэжыме рэальнага часу. Як толькі ўбудаваныя прылады бяспекі спрацоўваюць з выключэннем, функцыя абароны аўтаматычна пераходзіць у абыход, каб падтрымліваць нармальную сеткавую сувязь.
- Тэхналогія селектыўнай абароны трафіку можа быць выкарыстана для разгортвання спецыяльнага абсталявання для бяспекі ачысткі трафіку, тэхналогіі шыфравання на аснове абсталявання для аўдыту. Эфектыўна ажыццяўляе ўбудаваную абарону доступу для канкрэтнага тыпу трафіку, разгружаючы ціск апрацоўкі патоку ўбудаванай прылады;
- Тэхналогія абароны трафіку з балансаваннем нагрузкі можа выкарыстоўвацца для кластарнага разгортвання бяспечных паслядоўных прылад бяспекі ў мэтах задавальнення патрабаванняў бяспекі ў асяроддзях з высокай прапускной здольнасцю.
Пашыраныя функцыі і тэхналогіі перамыкача абыходу сеткі
Рэжым абароны Mylinking™ «SpecFlow» і рэжым абароны «FullLink»
Абарона ад пераключэння Mylinking™ Fast Bypass
Mylinking™ «Бяспечны перамыкач LinkSafe»
Дынамічная стратэгія перасылкі/праблемы Mylinking™ “WebService”
Mylinking™ Інтэлектуальнае выяўленне паведамленняў пра сардэчны рытм
Mylinking™ Вызначаныя паведамленні пра сардэчны рытм (пакеты сардэчнага рытму)
Mylinking™ Шматканальная балансіроўка нагрузкі
Інтэлектуальнае размеркаванне трафіку Mylinking™
Дынамічнае балансаванне нагрузкі Mylinking™
Тэхналогія дыстанцыйнага кіравання Mylinking™ (HTTP/WEB, TELNET/SSH, характарыстыкі «EasyConfig/AdvanceConfig»)
Кіраўніцтва па канфігурацыі перамыкача абыходу сеткі
Модуль байпасаСлот модуля абарончага порта:
Гэты слот можна ўставіць у модуль порта абароны BYPASS з рознай хуткасцю/нумарам порта. Замяняючы розныя тыпы модуляў, можна падтрымліваць абарону BYPASS для розных патрэб каналаў 10G/40G/100G.
Модуль МАНІТОРАСлот для модуля порта;
У гэты слот можна ўставіць модуль манітора з рознай хуткасцю/партамі. Ён можа падтрымліваць некалькі каналаў 10G/40G/100G для разгортвання прылад паслядоўнага маніторынгу шляхам замены розных модуляў.
Правілы выбару модуляў
У залежнасці ад розных разгорнутых каналаў сувязі і патрабаванняў да разгортвання маніторынгавага абсталявання, вы можаце гнутка выбіраць розныя канфігурацыі модуляў у адпаведнасці з вашымі рэальнымі патрабаваннямі да асяроддзя; калі ласка, прытрымлівайцеся наступных правілаў пры выбары модуля:
1. Кампаненты шасі абавязковыя, і вы павінны выбраць іх перад выбарам любых іншых модуляў. У той жа час, калі ласка, выберыце розныя спосабы сілкавання (пераменны/пастаянны ток) у адпаведнасці з вашымі патрэбамі.
2. Уся прылада падтрымлівае да 2 слотаў для модуляў BYPASS і 1 слот для модуля MONITOR; вы не можаце выбраць большую колькасць слотаў для канфігурацыі. У залежнасці ад камбінацыі колькасці слотаў і мадэлі модуля, прылада можа падтрымліваць да чатырох абарон каналаў 10GE; або яна можа падтрымліваць да чатырох каналаў 40GE; або яна можа падтрымліваць да аднаго канала 100GE.
3. Модуль мадэлі "BYP-MOD-L1CG" для належнай працы можна ўставіць толькі ў SLOT1.
4. Модуль тыпу "BYP-MOD-XXX" можна ўставіць толькі ў слот модуля BYPASS; модуль тыпу "MON-MOD-XXX" можна ўставіць толькі ў слот модуля MONITOR для нармальнай працы.
| Мадэль прадукту | Параметры функцыі |
| Шасі (гаспадар) | |
| ML-BYPASS-M100 | 1U стандартная 19-цалевая стойка; максімальная спажываная магутнасць 250 Вт; модульны хост-абаронца BYPASS; 2 слоты для модуляў BYPASS; 1 слот для модуля МАНІТОРА; пераменны і пастаянны ток (дадаткова); |
| МОДУЛЬ БАЙПАСА | |
| BYP-MOD-L2XG(LM/SM) | Падтрымлівае 2-баковую паслядоўную абарону канала 10GE, інтэрфейс 4*10GE, раз'ём LC; убудаваны аптычны прыёмаперадатчык; аптычная сувязь адна-/шматмодавая (дадаткова), падтрымлівае 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Падтрымлівае 2-баковую паслядоўную абарону канала 40GE, інтэрфейс 4*40GE, раз'ём LC; убудаваны аптычны прыёмаперадатчык; аптычная сувязь адна-/шматмодавая (дадаткова), падтрымлівае 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Падтрымлівае 1 канал паслядоўнай абароны канала 100GE, інтэрфейс 2*100GE, раз'ём LC; убудаваны аптычны прыёмаперадатчык; аптычны адзінарны шматмодавы канал (дадаткова), падтрымлівае 100GBASE-SR4/LR4; |
| МОДУЛЬ МАНІТОРА | |
| MON-MOD-L16XG | Модуль партоў маніторынгу 16*10GE SFP+; без модуля аптычнага прыёмаперадатчыка; |
| MON-MOD-L8XG | Модуль партоў маніторынгу 8*10GE SFP+; без модуля аптычнага прыёмаперадатчыка; |
| MON-MOD-L2CG | Модуль порта маніторынгу 2*100GE QSFP28; без модуля аптычнага прыёмаперадатчыка; |
| MON-MOD-L8QXG | 8* модуль партоў маніторынгу 40GE QSFP+; без модуля аптычнага прыёмаперадатчыка; |
Тэхнічныя характарыстыкі перамыкача байпаса сеткі TAP
| Мадальнасць прадукту | Убудаваны сеткавы байпасны перамыкач ML-BYPASS-M100 | |
| Тып інтэрфейсу | Інтэрфейс MGT | 1*10/100/1000BASE-T адаптыўны інтэрфейс кіравання; падтрымка дыстанцыйнага кіравання HTTP/IP |
| Слот модуля | 2 слоты для модуля BYPASS; 1 слот для модуля МАНІТОРА; | |
| Спасылкі, якія падтрымліваюць максімум | Прылада падтрымлівае максімум 4*10GE каналы, 4*40GE каналы або 1*100GE каналы | |
| Маніторынг | Прылада падтрымлівае максімум 16 партоў маніторынгу * 10GE або 8 партоў маніторынгу * 40GE або 2 парты маніторынгу * 100GE; | |
| Функцыя | Магчымасць поўнадуплекснай апрацоўкі | 640 Гбіт/с |
| На аснове каскаднай абароны трафіку, спецыфічнага для IP/пратакола/порта, з выкарыстаннем пяці картэжаў. | Падтрымліваецца | |
| Каскадная абарона на аснове поўнага трафіку | Падтрымліваецца | |
| Балансаванне некалькіх нагрузак | Падтрымліваецца | |
| Карыстальніцкая функцыя выяўлення сэрцабіцця | Падтрымліваецца | |
| Падтрымка незалежнасці ад пакетаў Ethernet | Падтрымліваецца | |
| БАЙПАСНЫ ПЕРАКЛЮЧАЛЬНІК | Падтрымліваецца | |
| Перамыкач BYPASS без успышкі | Падтрымліваецца | |
| КІРАВАННЕ КАНСОЛЯМІ | Падтрымліваецца | |
| Кіраванне IP/WEB | Падтрымліваецца | |
| Кіраванне SNMP V1/V2C | Падтрымліваецца | |
| Кіраванне TELNET/SSH | Падтрымліваецца | |
| Пратакол SYSLOG | Падтрымліваецца | |
| Аўтарызацыя карыстальніка | Аўтарызацыя на аснове пароля/AAA/TACACS+ | |
| Электрыка | Намінальнае напружанне харчавання | AC-220V/DC-48V【Дадаткова】 |
| Намінальная частата магутнасці | 50 Гц | |
| Намінальны ўваходны ток | AC-3A / DC-10A | |
| Намінальная магутнасць | 100 Вт | |
| Навакольнае асяроддзе | Працоўная тэмпература | 0-50℃ |
| Тэмпература захоўвання | -20-70℃ | |
| Працоўная вільготнасць | 10%-95%, без кандэнсацыі | |
| Канфігурацыя карыстальніка | Канфігурацыя кансолі | Інтэрфейс RS232, 115200, 8, N, 1 |
| Пазапалосны інтэрфейс MGT | 1*10/100/1000M Ethernet-інтэрфейс | |
| Аўтарызацыя па паролі | Падтрымліваецца | |
| Вышыня шасі | Прастора шасі (U) | 1U 19 цаляў, 485 мм * 44,5 мм * 350 мм |
Прымяненне перамыкача абыходу сеткі TAP (гл. ніжэй)
5.1 Рызыка абсталявання бяспекі ўбудаваных ліній (IPS / FW)
Ніжэй прыведзены тыповы рэжым разгортвання IPS (сістэмы прадухілення ўварванняў) і FW (брандмаўэра). IPS/FW разгортваюцца ў якасці ўбудаванага сеткавага абсталявання (напрыклад, маршрутызатараў, камутатараў і г.д.) паміж трафікам шляхам рэалізацыі праверак бяспекі. У адпаведнасці з адпаведнай палітыкай бяспекі вызначаецца вызваленне або блакіроўка адпаведнага трафіку для дасягнення эфекту абароны.
Адначасова можна назіраць IPS (сістэму прадухілення ўварванняў) / FW (брандмаўэр) як убудаванае абсталяванне, якое звычайна разгортваецца ў ключавых месцах карпаратыўнай сеткі для рэалізацыі ўбудаванай бяспекі. Надзейнасць падлучаных да яго прылад непасрэдна ўплывае на агульную даступнасць карпаратыўнай сеткі. Перагрузка, збой убудаваных прылад бяспекі, абнаўленні праграмнага забеспячэння, абнаўленні палітык і г.д. значна пагаршаюць даступнасць усёй карпаратыўнай сеткі. У гэтым выпадку можна аднавіць сетку толькі праз разрыў сеткі і фізічную перамычку байпаса, але гэта сур'ёзна ўплывае на яе надзейнасць. IPS (сістэма прадухілення ўварванняў) / FW (брандмаўэр) і іншыя ўбудаваныя прылады, з аднаго боку, паляпшаюць разгортванне бяспекі карпаратыўнай сеткі, а з другога боку, таксама зніжаюць надзейнасць карпаратыўных сетак, павялічваючы рызыку недаступнасці сеткі.
5.2 Абарона абсталявання серыі Inline Link
«Байпасны камутатар» Mylinking™ разгортваецца ў якасці ўбудаванага паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.), і паток дадзеных паміж сеткавымі прыладамі больш не вядзе непасрэдна да IPS (сістэмы прадухілення ўварванняў) / FW (брандмаўэра). «Байпасны камутатар» пераключаецца на IPS/FW. Калі IPS/FW перагружаецца, збіваецца, абнаўляецца праграмнае забеспячэнне, палітыку і іншыя збоі, «Байпасны камутатар» своечасова выяўляе няспраўныя прылады з дапамогай інтэлектуальнай функцыі выяўлення сігналаў пульса, што дазваляе ім своечасова абараніць нармальную сетку сувязі, не перарываючы працу сеткі. Гэта дазваляе хутка падключыць непасрэднае сеткавае абсталяванне да сеткі і абараніць нармальную сетку сувязі. Пры аднаўленні пасля збою IPS/FW, а таксама дзякуючы інтэлектуальнаму выяўленню пакетаў пульса, своечасова правяраецца бяспека карпаратыўнай сеткі, што дазваляе аднавіць зыходную сувязь.
Mylinking™ "Bypass Switch" мае магутную інтэлектуальную функцыю выяўлення паведамленняў пра сэрцабіцце. Карыстальнік можа наладзіць інтэрвал сэрцабіцця і максімальную колькасць паўторных спроб праз карыстальніцкае паведамленне пра сэрцабіцце на IPS/FW для праверкі спраўнасці, напрыклад, адправіць паведамленне пра праверку сэрцабіцця на порт вышэйшага/нізшага патоку IPS/FW, а затым атрымаць яго з порта вышэйшага/нізшага патоку IPS/FW і ацаніць, ці працуе IPS/FW нармальна, адпраўляючы і атрымліваючы паведамленне пра сэрцабіцце.
5.3 Палітыка «SpecFlow» Абарона серыі Inline Traction Flow
Калі прылада бяспекі сеткі павінна апрацоўваць толькі пэўны трафік у паслядоўнай абароне бяспекі, праз функцыю апрацоўкі трафіку Mylinking™ "Network Tap Bypass Switch" і стратэгію праверкі трафіку для падключэння прылады бяспекі "праблемны" трафік адпраўляецца непасрэдна ў сеткавае злучэнне, і "праблемны ўчастак трафіку" перадаецца да ўбудаванай прылады бяспекі для правядзення праверак бяспекі. Гэта не толькі падтрымлівае нармальнае прымяненне функцыі выяўлення бяспекі прылады бяспекі, але і зніжае неэфектыўны паток абсталявання бяспекі для барацьбы з ціскам; у той жа час "Network Tap Bypass Switch" можа выяўляць працоўны стан прылады бяспекі ў рэжыме рэальнага часу. Прылада бяспекі працуе ненармальна, абыходзячы трафік дадзеных непасрэдна, каб пазбегнуць перапынення сеткавага абслугоўвання.
Убудаваны раз'ём абыходу трафіку Mylinking™ можа ідэнтыфікаваць трафік на аснове ідэнтыфікатара загалоўкаў узроўняў L2-L4, напрыклад, тэга VLAN, MAC-адраса крыніцы/прызначэння, IP-адраса крыніцы, тыпу IP-пакета, порта пратакола транспартнага ўзроўню, тэга ключа загалоўка пратакола і г.д. Розныя гнуткія камбінацыі ўмоў супадзення могуць быць гнутка вызначаны для вызначэння канкрэтных тыпаў трафіку, якія цікавяць канкрэтную прыладу бяспекі, і могуць шырока выкарыстоўвацца для разгортвання спецыяльных прылад аўдыту бяспекі (RDP, SSH, аўдыт баз дадзеных і г.д.).
5.4 Паслядоўная абарона з балансаваннем нагрузкі
Камутатар Mylinking™ "Network Tap Bypass Switch" разгортваецца паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.). Калі прадукцыйнасць апрацоўкі аднаго IPS/FW недастатковая для спраўлення з пікавым трафікам сеткавага канала, функцыя балансавання нагрузкі трафіку абаронцы, "аб'яднанне" некалькіх кластараў IPS/FW у сеткавыя каналы, можа эфектыўна знізіць нагрузку на апрацоўку аднаго IPS/FW і палепшыць агульную прадукцыйнасць апрацоўкі для задавальнення патрабаванняў высокага прапускнога патэнцыялу асяроддзя разгортвання.
Mylinking™ "Network Tap Bypass Switch" мае магутную функцыю балансавання нагрузкі, якая ў адпаведнасці з тэгам VLAN кадра, інфармацыяй аб MAC, інфармацыі аб IP, нумары порта, пратаколе і іншай інфармацыяй аб размеркаванні хэш-трафіку балансуе нагрузку, каб гарантаваць цэласнасць сесіі патоку дадзеных, атрыманага кожным IPS / FW.
5.5 Абарона цягі шматсерыйнага ўбудаванага абсталявання (змена паслядоўнага падключэння на паралельнае)
У некаторых ключавых звёнах (напрыклад, інтэрнэт-крамы, каналы абмену серверамі) месцазнаходжанне часта абумоўлена патрэбамі ў функцыях бяспекі і разгортваннем некалькіх убудаваных абсталявання для тэставання бяспекі (напрыклад, брандмаўэр (FW), абсталяванне для абароны ад DDoS-атак, брандмаўэр вэб-прыкладанняў (WAF), сістэма прадухілення ўварванняў (IPS) і г.д.), некалькі абсталявання для выяўлення бяспекі, падключаных паслядоўна да канала, павялічваюць колькасць адзінай кропкі адмовы ў канале і зніжаюць агульную надзейнасць сеткі. А ў вышэйзгаданых аперацыях разгортванне абсталявання бяспекі ў рэжыме анлайн, мадэрнізацыя абсталявання, замена абсталявання і іншыя аперацыі прывядуць да працяглых перапынкаў у абслугоўванні сеткі і больш маштабных скарачэнняў праектаў для паспяховага завяршэння такіх праектаў.
Разгортваючы "перамыкач абыходу сеткавага адводу" ўніфікаваным чынам, рэжым разгортвання некалькіх прылад бяспекі, падлучаных паслядоўна на адной лініі сувязі, можна змяніць з "рэжыму фізічнага аб'яднання" на "рэжым фізічнага аб'яднання, лагічнага аб'яднання". Лінія сувязі на лініі сувязі з адной кропкай адмовы павышае надзейнасць лініі сувязі, у той час як "перамыкач абыходу" на лініі сувязі забяспечвае цягу патоку па патрабаванні, каб дасягнуць таго ж патоку з першапачатковым рэжымам бяспечнага эфекту апрацоўкі.
Больш чым адна прылада бяспекі адначасова, як і схема ўбудаванага разгортвання:
Схема разгортвання перамыкача байпаса TAP сеткі Mylinking™:
5.6 На аснове дынамічнай стратэгіі выяўлення і абароны ад цягі дарожнага руху
«Сеткавы абыходны перамыкач». Яшчэ адзін пашыраны сцэнар прымянення заснаваны на дынамічнай стратэгіі прыкладанняў для абароны ад выяўлення і абароны руху, разгортванне якога паказана ніжэй:
Возьмем, напрыклад, абсталяванне для тэсціравання бяспекі "Абарона ад DDoS-атак і выяўленне атак". Разгортванне пярэдняга канца "Сеткавага перамыкача абыходу адтулін" і абсталяванне абароны ад DDoS-атак, а затым падключэнне да "Сеткавага перамыкача абыходу адтулін" у звычайным "Абароне ад цягі" дазваляе перасылаць поўны аб'ём трафіку на хуткасці правадоў, адначасова люстэрка патоку выводзіцца на "Прыладу абароны ад DDoS-атак". Пасля выяўлення IP-адраса сервера (або сегмента IP-сеткі) пасля атакі "Прылада абароны ад DDoS-атак" генеруе правілы супастаўлення мэтавага патоку трафіку і адпраўляе іх на "Сеткавы перамыкач абыходу адтулін" праз інтэрфейс дынамічнай дастаўкі палітык. "Сеткавы перамыкач абыходу адтулін" можа абнаўляць "дынаміку цягі трафіку" пасля атрымання пула правілаў дынамічнай палітыкі і неадкладна "правіла" трапляе ў "цягу трафіку сервера атакі" да абсталявання "Абарона ад DDoS-атак і выяўленне" для апрацоўкі, каб быць эфектыўным пасля патоку атакі, а затым зноў уводзіцца ў сетку.
Схема прымянення, заснаваная на "Network Tap Bypass Switch", прасцей рэалізаваць, чым традыцыйную ўводку маршруту BGP або іншыя схемы прыцягнення трафіку, прычым асяроддзе менш залежыць ад сеткі, а надзейнасць вышэйшая.
«Network Tap Bypass Switch» мае наступныя характарыстыкі для падтрымкі дынамічнай абароны ад выяўлення палітыкі бяспекі:
1, "Сеткавы перамыкач абыходу адводу" для забеспячэння па-за правіламі на аснове інтэрфейсу WEBSERIVCE, лёгкай інтэграцыі са староннімі прыладамі бяспекі.
2. «BNetwork Tap Bypass Switch» на аснове апаратнага чыпа ASIC, які перасылае пакеты з хуткасцю да 10 Гбіт/с без блакавання перасылкі камутатара, і «бібліятэка дынамічных правілаў цягі трафіку» незалежна ад колькасці.
3. Убудаваная прафесійная функцыя абыходу сеткавага перамыкача "Network Tap Bypass Switch" дазваляе неадкладна абыйсці зыходны паслядоўны канал сувязі, нават калі сам абаронца выйдзе з ладу.
