Mylinking™-verkon ohituskytkin ML-BYPASS-100
2*ohitusliitäntää ja 1*näyttö, modulaarinen rakenne, 10/40/100GE-linkit, maks. 640 Gbps
Yleiskatsaukset
Mylinking™-verkon ohituskytkin on tutkittu ja kehitetty käytettäväksi erilaisten linjassa olevien turvalaitteiden joustavaan käyttöönottoon ja samalla korkean verkon luotettavuuden takaamiseksi.
Ottamalla käyttöön Mylinking™ Smart Bypass Switch Tapin:
- Käyttäjät voivat joustavasti asentaa/poistaa turvalaitteita/-työkaluja ilman, että ne vaikuttavat tai keskeyttävät nykyistä verkkoa;
- Mylinking™-verkon ohituskytkin älykkäällä tilanvalvontatoiminnolla valvoo reaaliajassa linjassa olevien turvalaitteiden normaalia toimintatilaa. Kun linjassa olevat turvalaitteet toimivat poikkeuksellisesti, suojaustoiminto ohittaa laitteet automaattisesti ylläpitääkseen normaalia verkkoyhteyttä.
- Valikoivaa liikenteensuojaustekniikkaa voidaan käyttää tiettyjen liikenteenpuhdistuslaitteiden ja tarkastuslaitteisiin perustuvan salaustekniikan käyttöönottoon. Se suorittaa tehokkaasti tietyn liikennetyypin sisäisen pääsyn suojauksen ja vähentää sisäisen laitteen virtauksenkäsittelypainetta.
- Kuormantasapainotettua liikenteen suojaustekniikkaa voidaan käyttää klusteroituun sarjaportaisten sisäisten tietoturvalaitteiden käyttöönottoon, jotta voidaan täyttää sisäisten tietoturvavaatimusten vaatimukset suuren kaistanleveyden ympäristöissä.
Verkkotapin ohituskytkimen edistyneet ominaisuudet ja teknologiat
Mylinking™ “SpecFlow”-suojaustila ja “FullLink”-suojaustila
Mylinking™-nopea ohituskytkentäsuoja
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dynaaminen strategian edelleenlähetys/ongelma
Mylinking™ Älykäs sykeviestien tunnistus
Mylinking™-määriteltävät sykeviestit (sykepaketit)
Mylinking™-monilinkkinen kuormituksen tasapainotus
Mylinking™ Älykäs liikenteenjako
Mylinking™ Dynaaminen kuormituksen tasaus
Mylinking™-etähallintatekniikka (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” -ominaisuus)
Verkkoliitäntöjen ohituskytkimen valinnainen konfigurointiopas
BYPASS-moduuliSuojausporttimoduulin paikka:
Tämä paikka voidaan asettaa BYPASS-suojausporttimoduuliin, jolla on eri nopeus/porttinumero. Korvaamalla erityyppisiä moduuleja se voi tukea useiden 10G/40G/100G-linkkien BYPASS-suojausvaatimuksia.
MONITOR-moduuliPorttimoduulin paikka;
Tähän korttipaikkaan voidaan asentaa MONITOR-moduuli eri nopeuksilla/porteilla. Se tukee useita 10G/40G/100G-linkkejä sarjaporttisten valvontalaitteiden käyttöönottoon korvaamalla eri moduuleja.
Moduulin valintasäännöt
Erilaisten käyttöönotettujen linkkien ja valvontalaitteiden käyttöönottovaatimusten perusteella voit joustavasti valita erilaisia moduulikokoonpanoja vastaamaan todellista ympäristöpyyntöäsi. Noudata seuraavia sääntöjä moduulia valitessasi:
1. Runkokomponentit ovat pakollisia, ja sinun on valittava ne ennen muiden moduulien valitsemista. Valitse samalla eri virtalähdemenetelmät (AC/DC) tarpeidesi mukaan.
2. Koko laite tukee jopa kahta BYPASS-moduulipaikkaa ja yhtä MONITOR-moduulipaikkaa; et voi valita enempää kuin konfiguroitavien paikkojen määrä. Paikkojen lukumäärän ja moduulimallin yhdistelmästä riippuen laite voi tukea jopa neljää 10GE:n linkkisuojausta; tai se voi tukea jopa neljää 40GE:n linkkiä; tai se voi tukea jopa yhtä 100GE:n linkkiä.
3. Moduulimalli "BYP-MOD-L1CG" voidaan asettaa vain korttipaikkaan SLOT1, jotta se toimii oikein.
4. Moduulityyppiä "BYP-MOD-XXX" voidaan asettaa vain BYPASS-moduulipaikkaan; moduulityyppiä "MON-MOD-XXX" voidaan asettaa normaalikäytössä vain MONITOR-moduulipaikkaan.
| Tuotemalli | Funktioparametrit |
| Alusta (isäntä) | |
| ML-OHITUS-M100 | 1U-vakiokokoinen 19-tuumainen räkkiasennus; enimmäisvirrankulutus 250 W; modulaarinen BYPASS-suojausyksikkö; 2 BYPASS-moduulipaikkaa; 1 MONITOR-moduulipaikka; AC ja DC valinnaisesti; |
| OHITUSMODUULI | |
| BYP-MOD-L2XG(LM/SM) | Tukee 2-suuntaista 10GE-linkin sarjasuojausta, 4*10GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksi-/monitilavaihtoehtona, tukee 10GBASE-SR/LR:ää; |
| BYP-MOD-L2QXG(LM/SM) | Tukee 2-suuntaista 40GE-linkin sarjasuojausta, 4*40GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksi-/monitilavaihtoehtona, tukee 40GBASE-SR4/LR4:ää; |
| BYP-MOD-L1CG (LM/SM) | Tukee 1-kanavaista 100GE-linkin sarjasuojausta, 2 * 100GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksimuotoinen valinnainen, tukee 100GBASE-SR4/LR4:ää; |
| MONITORI MODUULI | |
| MON-MOD-L16XG | 16*10GE SFP+ valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L8XG | 8 * 10GE SFP+ valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 -valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L8QXG | 8 x 40GE QSFP+ -valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
Verkon TAP-ohituskytkimen tekniset tiedot
| Tuotemodaalisuus | ML-BYPASS-M100 Sisäänrakennettu verkon ohituskytkin | |
| Liitännän tyyppi | MGT-liitäntä | 1 * 10/100/1000BASE-T Adaptiivinen hallintaliitäntä; Tukee HTTP/IP-etähallintaa |
| Moduulipaikka | 2 * BYPASS-moduulipaikkaa;1 * MONITOR-moduulipaikka; | |
| Linkit, jotka tukevat maksimia | Laite tukee enintään 4 * 10GE linkkiä tai 4 * 40GE linkkiä tai 1 * 100GE linkkiä | |
| Seuranta | Laite tukee enintään 16 * 10GE:n valvontaporttia tai 8 * 40GE:n valvontaporttia tai 2 * 100GE:n valvontaporttia; | |
| Toiminto | Täysi kaksipuolinen käsittelykyky | 640 Gbps |
| IP/protokolla/portti viiden tuplen erityiseen liikenteen kaskadisuojaukseen perustuen | Tuettu | |
| Kaskadisuojaus täyteen liikenteeseen perustuen | Tuettu | |
| Useita kuormituksen tasapainotuksia | Tuettu | |
| Mukautettava sydämenlyönnin tunnistustoiminto | Tuettu | |
| Tukee Ethernet-pakettiriippumattomuutta | Tuettu | |
| OHITUSKYTKIN | Tuettu | |
| BYPASS-kytkin ilman salamaa | Tuettu | |
| KONSOLIN OHJAUS | Tuettu | |
| IP/WEB-hallinta | Tuettu | |
| SNMP V1/V2C MGT | Tuettu | |
| TELNET/SSH-hallinta | Tuettu | |
| SYSLOG-protokolla | Tuettu | |
| Käyttäjän valtuutus | Salasanavaltuutuksen/AAA/TACACS+:n perusteella | |
| Sähkö | Nimellisjännite | AC-220V/DC-48V【Valinnainen】 |
| Nimellistehotaajuus | 50 Hz | |
| Nimellinen tulovirta | AC-3A / DC-10A | |
| Nimellisteho | 100 W | |
| Ympäristö | Käyttölämpötila | 0–50 ℃ |
| Säilytyslämpötila | -20–70 ℃ | |
| Työilmankosteus | 10–95 %, ei kondensaatiota | |
| Käyttäjän määritykset | Konsolin kokoonpano | RS232-liitäntä, 115200,8,N,1 |
| Kaistan ulkopuolinen MGT-liitäntä | 1 * 10/100/1000M Ethernet-liitäntä | |
| Salasanan valtuutus | Tuettu | |
| Alustan korkeus | Alustan tila (U) | 1U 19 tuumaa, 485 mm * 44,5 mm * 350 mm |
Verkon TAP-ohituskytkimen sovellus (kuten seuraavassa)
5.1 Sisäänrakennettujen turvalaitteiden (IPS / FW) riski
Seuraavassa on tyypillinen IPS:n (Intrusion Prevention System) ja FW:n (Firewall) käyttöönottotila. IPS/FW otetaan käyttöön verkkolaitteiden (kuten reitittimien, kytkimien jne.) välillä suorittamalla tietoturvatarkastuksia liikenteen vapauttamiseksi tai estämiseksi vastaavan tietoturvapolitiikan mukaisesti, jotta saavutetaan tietoturvavaikutus.
Samalla voimme tarkastella IPS:ää (Intrusion Prevention System) / FW:tä (Firewall) laitteiden sisäisenä käyttöönottona, joka yleensä sijoitetaan yritysverkon avainpaikkaan sisäisen suojauksen toteuttamiseksi. Siihen kytkettyjen laitteiden luotettavuus vaikuttaa suoraan yritysverkon koko saatavuuteen. Sisäisten suojauslaitteiden ylikuormitus, kaatuminen, ohjelmistopäivitykset, käytäntöpäivitykset jne. vaikuttavat merkittävästi koko yritysverkon saatavuuteen. Tässä vaiheessa vain verkon katkaisun ja fyysisen ohituslinkin kautta voimme palauttaa verkon toiminnan, mutta se vaikuttaa vakavasti verkon luotettavuuteen. IPS (Intrusion Prevention System) / FW (Firewall) ja muut sisäänrakennetut laitteet parantavat yritysverkon suojausta, mutta toisaalta ne myös heikentävät yritysverkkojen luotettavuutta ja lisäävät verkon katkaisun riskiä.
5.2 Inline Link -sarjan laitteiden suojaus
Mylinking™ "ohituskytkin" otetaan käyttöön verkkolaitteiden (reitittimien, kytkimien jne.) välissä, eikä verkkolaitteiden välinen tiedonsiirto enää johda suoraan IPS:ään (Intrusion Prevention System) / FW:hen (Firewall). "Ohituskytkin" toimii IPS:ssä/FW:ssä, kun IPS/FW ylikuormituksen, kaatumisen, ohjelmistopäivitysten, käytäntöpäivitysten tai muiden vikojen vuoksi epäonnistuu. "Ohituskytkin" havaitsee vialliset laitteet nopeasti älykkään sykeviestien tunnistustoiminnon avulla, ohittaen ne keskeyttämättä verkon toimintaa. Näin verkkoon kytketyt laitteet voidaan kytkeä nopeasti ja suojata normaalia tietoliikennettä. IPS/FW-vian sattuessa älykäs sykepakettien tunnistustoiminto palauttaa alkuperäisen yhteyden yritysverkon tietoturvan.
Mylinking™ "Ohituskytkimessä" on tehokas ja älykäs sykeviestien tunnistustoiminto. Käyttäjä voi mukauttaa sykeväliä ja uudelleenyritysten enimmäismäärää IPS:n/laiteohjelmiston mukautetulla sykeviestillä terveydentilan testaamiseksi. Voit esimerkiksi lähettää syketarkistusviestin IPS:n/laiteohjelmiston ylä-/alavirran porttiin ja vastaanottaa viestin IPS:n/laiteohjelmiston ylä-/alavirran portista sekä arvioida sykeviestin lähettämisen ja vastaanottamisen perusteella, toimiiko IPS/laiteohjelmisto normaalisti.
5.3 ”SpecFlow”-käytäntö Flow Inline Traction -sarjan suojaus
Kun turvaverkon laitteen tarvitsee käsitellä vain tiettyä liikennettä sarjassa, Mylinking™-verkon ohituskytkimen liikenteenkäsittelytoiminto ja liikenteen seulontastrategia yhdistävät turvalaitteen "kyseenalaiseen" liikenteeseen suoraan verkkoyhteyteen. Kyseinen liikenneosa ohjataan linjassa olevalle turvalaitteelle turvatarkastuksia varten. Tämä ei ainoastaan ylläpidä turvalaitteen turvallisuuden havaitsemistoiminnon normaalia toimintaa, vaan myös vähentää turvalaitteiden tehotonta tiedonsiirtoa paineen käsittelyssä. Samalla "verkon ohituskytkin" voi havaita turvalaitteen toimintatilan reaaliajassa. Jos turvalaite toimii normaalisti, se ohittaa dataliikenteen suoraan verkkopalvelun keskeytysten välttämiseksi.
Mylinking™ Inline Traffic Bypass Tap pystyy tunnistamaan liikenteen L2-L4-kerroksen otsikkotunnisteen, kuten VLAN-tunnisteen, lähde-/kohde-MAC-osoitteen, lähteen IP-osoitteen, IP-paketin tyypin, siirtokerroksen protokollaportin, protokollaotsikon avaintunnisteen ja niin edelleen, perusteella. Tietylle tietoturvalaitteelle kiinnostavien liikennetyyppien määrittämiseksi voidaan määrittää joustavasti erilaisia yhdistämisehtoja, joita voidaan käyttää laajasti erityisten tietoturvatarkastuslaitteiden (RDP, SSH, tietokannan tarkastus jne.) käyttöönottoon.
5.4 Kuormituksen tasapainotettu sarjasuojaus
Mylinking™ "Network Tap Bypass Switch" otetaan käyttöön verkkolaitteiden (reitittimien, kytkimien jne.) välissä. Kun yhden IPS/FW-prosessointiteho ei riitä verkkolinkkien ruuhkaliikenteen hallintaan, suojaimen kuormituksen tasapainotustoiminto, joka "niputtaa" useiden IPS/FW-klusterin verkkolinkkiliikenteen prosessointia, voi tehokkaasti vähentää yksittäisen IPS/FW-prosessointipaineen ja parantaa yleistä prosessointitehoa käyttöönottoympäristön suuren kaistanleveyden vaatimusten täyttämiseksi.
Mylinking™ "Network Tap Bypass Switch" -kytkimessä on tehokas kuormituksen tasapainotustoiminto, joka tasapainottaa liikenteen kuormitusta kehyksen VLAN-tunnisteen, MAC-tietojen, IP-tietojen, porttinumeron, protokollan ja muiden tietojen perusteella varmistaakseen, että jokainen IPS/FW vastaanottaa datavirtaa istunnon eheyden.
5.5 Monisarjaisten linjalaitteiden virtauslukon suojaus (Vaihda sarjaliitäntä rinnakkaiskytkennäksi)
Joissakin keskeisissä linkeissä (kuten internet-pistorasioissa ja palvelinalueiden vaihtoyhteyksissä) sijainti johtuu usein tietoturvaominaisuuksien tarpeista ja useiden linjassa olevien tietoturvatestauslaitteiden (kuten palomuurin (FW), palvelunestohyökkäysten estolaitteiden, verkkosovelluspalomuurin (WAF), tunkeutumisen estojärjestelmän (IPS) jne.) käyttöönotosta. Useiden tietoturvalaitteiden samanaikainen sarjaan kytkeminen linkkiin lisää linkin vikaantumisriskiä ja vähentää verkon yleistä luotettavuutta. Edellä mainituissa turvalaitteiden online-käyttöönotoissa laitteiden päivitykset, laitteiden vaihdot ja muut toimenpiteet aiheuttavat pitkäaikaisia verkon käyttökatkoksia ja vaativat suurempia projektin katkoksia tällaisten projektien onnistuneen toteutuksen loppuun saattamiseksi.
Ottamalla käyttöön "Network Tap Bypass Switch" -kytkimen yhtenäisellä tavalla, useiden samaan linkkiin sarjaan kytkettyjen turvalaitteiden käyttöönottotilaa voidaan muuttaa "fyysisestä ketjutustilasta" "fyysiseen ketjutukseen, loogiseen ketjutustilaan". Linkin yksittäisen vikapisteen linkki parantaa linkin luotettavuutta, kun taas "ohituskytkin" linkissä virtaa tarvittaessa, jolloin saavutetaan sama virtaus alkuperäisellä turvallisen käsittelyn tilalla.
Useampi kuin yksi turvalaite samanaikaisesti inline-käyttöönottokaavion kanssa:
Mylinking™-verkon TAP-ohituskytkimen käyttöönottokaavio:
5.6 Liikenteen luistoneston turvallisuuden havaitsemissuojauksen dynaamiseen strategiaan perustuen
"Verkkohaaran ohituskytkin" Toinen edistynyt sovellusskenaario perustuu liikenteen vetovoiman suojauksen havaitsemissuojaussovellusten dynaamiseen strategiaan, joka on otettu käyttöön alla olevan mukaisesti:
Otetaan esimerkiksi "DDoS-hyökkäysten vastainen suojaus ja havaitseminen" -tietoturvatestauslaitteisto. Etupäähän asennetaan "Network Tap Bypass Switch" ja sitten DDOS-hyökkäysten vastainen suojauslaitteisto, joka kytketään "Network Tap Bypass Switchiin". Tavallisessa "Traction Protectorissa" koko liikenteen määrä ohjataan edelleen langattoman nopeuden mukaisesti ja samalla virtauspeilin lähtö "DDOS-hyökkäysten vastaiselle suojauslaitteelle". Kun hyökkäys on havaittu palvelimen IP-osoitteessa (tai IP-verkon segmentissä), "DDOS-hyökkäysten vastainen suojauslaite" luo kohdeliikenteen yhteensovitussäännöt ja lähettää ne "Network Tap Bypass Switchille" dynaamisen käytäntöjen toimitusrajapinnan kautta. "Network Tap Bypass Switch" voi päivittää "liikenteen dynamiikan" vastaanotettuaan dynaamiset käytäntösäännöt ja välittömästi ohjata hyökkäyksen kohteeksi joutuneen palvelimen liikenteen "DDoS-hyökkäysten vastaiseen suojaus- ja havaitsemislaitteeseen" käsittelyä varten, jotta se olisi tehokas hyökkäyksen jälkeen ja syöttää sen takaisin verkkoon.
"Network Tap Bypass Switch" -periaatteeseen perustuva sovellusjärjestelmä on helpompi toteuttaa kuin perinteinen BGP-reitti-injektio tai muu liikenteenohjausjärjestelmä, ja ympäristö on vähemmän riippuvainen verkosta ja luotettavuus on korkeampi.
”Network Tap Bypass Switch” -kytkimellä on seuraavat ominaisuudet dynaamisen käytäntösuojauksen havaitsemisen tukemiseksi:
1. "Verkkonapautuksen ohituskytkin" tarjoaa sääntöjen ulkopuolisen WEBSERIVCE-rajapinnan, joka on helppo integroida kolmannen osapuolen turvalaitteisiin.
2. "BNetwork Tap Bypass Switch", joka perustuu laitteistopohjaiseen puhtaaseen ASIC-siruun, joka välittää jopa 10 Gbps:n langallisen nopeuden paketteja estämättä kytkimen edelleenlähetystä, ja "liikenteen vetodynaamiseen sääntökirjastoon" lukumäärästä riippumatta.
3, "Network Tap Bypass Switch" -sisäänrakennettu ammattimainen BYPASS-toiminto voi ohittaa alkuperäisen sarjalinkin välittömästi, vaikka suojaus itsessään vioittuisi, eikä se vaikuta normaalin tiedonsiirron alkuperäiseen linkkiin.
