Interruptor de derivación de red Mylinking™ ML-BYPASS-100
Diseño modular de 2 derivaciones más 1 monitor, enlaces 10/40/100GE, máx. 640 Gbps
Reseñas generales
El interruptor de derivación de red Mylinking™ está investigado y desarrollado para usarse en la implementación flexible de varios tipos de equipos de seguridad en línea y, al mismo tiempo, proporciona una alta confiabilidad de la red.
Al implementar el interruptor de derivación inteligente Mylinking™:
- Los usuarios pueden instalar/desinstalar equipos/herramientas de seguridad de forma flexible y no afectarán ni interrumpirán la red actual;
- Interruptor de derivación de red Mylinking™ con función de detección inteligente del estado para supervisar en tiempo real el funcionamiento normal de los dispositivos de seguridad en línea. Si los dispositivos de seguridad en línea presentan una anomalía, la función de protección los desviará automáticamente para mantener la comunicación de red normal.
- La tecnología de protección selectiva del tráfico permite implementar equipos de seguridad específicos para la limpieza del tráfico y tecnología de cifrado basada en equipos de auditoría. Protege eficazmente el acceso en línea para cada tipo de tráfico, aliviando la presión de manejo del flujo del dispositivo en línea.
- La tecnología de protección de tráfico con equilibrio de carga se puede utilizar para la implementación en clúster de dispositivos de seguridad en línea seriales seguros para cumplir con la seguridad en línea en entornos de gran ancho de banda.
Funciones y tecnologías avanzadas del conmutador de derivación de tomas de red
Modo de protección “SpecFlow” y modo de protección “FullLink” de Mylinking™
Protección de conmutación de derivación rápida Mylinking™
Mylinking™ “LinkSafeSwitch”
Reenvío/emisión de estrategia dinámica de “servicio web” de Mylinking™
Detección inteligente de mensajes de latidos del corazón Mylinking™
Mensajes de latido definibles de Mylinking™ (paquetes de latido)
Balanceo de carga multienlace Mylinking™
Distribución inteligente del tráfico Mylinking™
Balanceo de carga dinámico Mylinking™
Tecnología de gestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Guía de configuración opcional del conmutador de derivación de toma de red
Módulo BYPASSRanura del módulo del puerto de protección:
Esta ranura permite insertar un módulo de puerto con protección BYPASS con diferentes velocidades y números de puerto. Al reemplazar diferentes tipos de módulos, admite la protección BYPASS para múltiples enlaces 10G/40G/100G.
Módulo MONITORRanura del módulo de puerto;
Esta ranura permite insertar el módulo MONITOR con diferentes velocidades y puertos. Admite múltiples enlaces de 10G/40G/100G para la implementación de dispositivos de monitoreo en serie en línea mediante la sustitución de diferentes módulos.
Reglas de selección de módulos
En función de los diferentes enlaces implementados y los requisitos de implementación de equipos de monitoreo, puede elegir de manera flexible diferentes configuraciones de módulos para satisfacer su solicitud de entorno real; siga las siguientes reglas durante la selección de su módulo:
1. Los componentes del chasis son obligatorios y debe seleccionarlos antes de seleccionar cualquier otro módulo. Asimismo, elija diferentes métodos de alimentación (CA/CC) según sus necesidades.
2. El dispositivo admite hasta dos ranuras para módulos BYPASS y una para MONITOR; no se puede seleccionar más de la cantidad de ranuras configurables. Según la combinación de la cantidad de ranuras y el modelo del módulo, el dispositivo admite hasta cuatro protecciones de enlace 10GE, hasta cuatro enlaces 40GE o hasta un enlace 100GE.
3. El modelo de módulo "BYP-MOD-L1CG" solo se puede insertar en la RANURA 1 para funcionar correctamente.
4. El módulo "BYP-MOD-XXX" solo se puede insertar en la ranura del módulo BYPASS; el módulo "MON-MOD-XXX" solo se puede insertar en la ranura del módulo MONITOR para un funcionamiento normal.
| Modelo de producto | Parámetros de función |
| Chasis (host) | |
| ML-BYPASS-M100 | Montaje en rack estándar de 19 pulgadas 1U; consumo máximo de energía 250 W; host protector BYPASS modular; 2 ranuras para módulo BYPASS; 1 ranura para módulo MONITOR; CA y CC opcionales; |
| MÓDULO DE BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serial de enlace 10GE de 2 vías, interfaz 4*10GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serial de enlace 40GE de 2 vías, interfaz 4*40GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección en serie de enlace de 1 canal 100GE, interfaz 2*100GE, conector LC; transceptor óptico incorporado; enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITOREO | |
| MON-MOD-L16XG | Módulo de puerto de monitoreo SFP+ de 16*10GE; sin módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo de puerto de monitoreo SFP+ de 8*10GE; sin módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo de puerto de monitoreo 2*100GE QSFP28; sin módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo de puerto de monitoreo 8* 40GE QSFP+; sin módulo transceptor óptico; |
Especificaciones del conmutador de derivación TAP de red
| Modalidad de producto | ML-BYPASS-M100 Interruptor de derivación de toma de red en línea | |
| Tipo de interfaz | Interfaz MGT | 1*10/100/1000BASE-T Interfaz de gestión adaptativa; Admite gestión remota HTTP/IP |
| Ranura del módulo | 2*ranura para módulo BYPASS; 1*ranura para módulo MONITOR; | |
| Enlaces que apoyan el máximo | El dispositivo admite un máximo de 4 enlaces de 10 GE, 4 enlaces de 40 GE o 1 enlace de 100 GE. | |
| Escucha | El dispositivo admite un máximo de 16 puertos de monitoreo de 10 GE, 8 puertos de monitoreo de 40 GE o 2 puertos de monitoreo de 100 GE. | |
| Función | Capacidad de procesamiento dúplex completo | 640 Gbps |
| Basado en IP/protocolo/puerto cinco tuplas específicas de protección de tráfico en cascada | Apoyado | |
| Protección en cascada basada en tráfico completo | Apoyado | |
| Equilibrio de carga múltiple | Apoyado | |
| Función de detección de latidos personalizada | Apoyado | |
| Admite independencia de paquetes Ethernet | Apoyado | |
| INTERRUPTOR DE BYPASS | Apoyado | |
| Interruptor BYPASS sin flash | Apoyado | |
| ADMINISTRACIÓN DE CONSOLA | Apoyado | |
| GESTIÓN DE IP/WEB | Apoyado | |
| Administración de SNMP V1/V2C | Apoyado | |
| Administración de Telnet/SSH | Apoyado | |
| Protocolo SYSLOG | Apoyado | |
| Autorización del usuario | Basado en autorización de contraseña/AAA/TACACS+ | |
| Eléctrico | Tensión de alimentación nominal | CA-220 V/CC-48 V 【Opcional】 |
| Frecuencia de potencia nominal | 50 Hz | |
| Corriente de entrada nominal | CA-3A / CC-10A | |
| Potencia nominal | 100 W | |
| Ambiente | Temperatura de trabajo | 0-50 ℃ |
| Temperatura de almacenamiento | -20-70℃ | |
| Humedad de trabajo | 10%-95%, sin condensación | |
| Configuración de usuario | Configuración de la consola | Interfaz RS232,115200,8,N,1 |
| Interfaz MGT fuera de banda | 1 interfaz Ethernet de 10/100/1000 M | |
| Autorización de contraseña | Apoyado | |
| Altura del chasis | Espacio del chasis (U) | 1U 19 pulgadas, 485 mm x 44,5 mm x 350 mm |
Aplicación del conmutador de derivación TAP de red (como se indica a continuación)
5.1 El riesgo de los equipos de seguridad en línea (IPS/FW)
El siguiente es un modo de implementación típico de IPS (sistema de prevención de intrusiones), FW (cortafuegos), IPS/FW se implementa como equipo de red en línea (como enrutadores, conmutadores, etc.) entre el tráfico a través de la implementación de controles de seguridad, de acuerdo con la política de seguridad correspondiente para determinar la liberación o el bloqueo del tráfico correspondiente, para lograr el efecto de defensa de la seguridad.
Al mismo tiempo, podemos observar IPS (Sistema de Prevención de Intrusiones) / FW (Cortafuegos) como una implementación en línea del equipo, generalmente desplegada en la ubicación clave de la red empresarial para implementar la seguridad en línea. La confiabilidad de sus dispositivos conectados afecta directamente la disponibilidad general de la red empresarial. Una sobrecarga, falla, actualización de software o actualización de políticas de los dispositivos de seguridad en línea, etc., afectará considerablemente la disponibilidad de toda la red empresarial. En este punto, solo mediante el corte de red y el puente de derivación física se puede restaurar la red, pero esto afecta seriamente la confiabilidad de la misma. IPS (Sistema de Prevención de Intrusiones) / FW (Cortafuegos) y otros dispositivos en línea, por un lado, mejoran la implementación de la seguridad de la red empresarial, por otro lado, también reducen la confiabilidad de las redes empresariales, aumentando el riesgo de que la red no esté disponible.
5.2 Protección de equipos de la serie Inline Link
Mylinking™ "Bypass Switch" se implementa en línea entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre dispositivos de red ya no conduce directamente a IPS (Sistema de prevención de intrusiones) / FW (Firewall), "Bypass Switch" a IPS / FW, cuando el IPS / FW debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas y otras condiciones de falla, el "Bypass Switch" a través de la función de detección de mensajes de latido inteligente del descubrimiento oportuno y, por lo tanto, omite el dispositivo defectuoso, sin interrumpir las instalaciones de la red, el equipo de red rápido conectado directamente para proteger la red de comunicación normal; cuando la recuperación de fallas de IPS / FW, pero también a través de la detección inteligente de paquetes de latido de la detección oportuna de la función, el enlace original para restaurar la seguridad de los controles de seguridad de la red empresarial.
Mylinking™ "Bypass Switch" tiene una potente función de detección de mensajes de latidos inteligente, el usuario puede personalizar el intervalo de latidos y el número máximo de reintentos, a través de un mensaje de latidos personalizado en el IPS/FW para pruebas de salud, como enviar el mensaje de verificación de latidos al puerto ascendente/descendente de IPS/FW, y luego recibir desde el puerto ascendente/descendente de IPS/FW, y juzgar si el IPS/FW está funcionando normalmente enviando y recibiendo el mensaje de latidos.
5.3 Protección de series de tracción en línea del flujo de políticas “SpecFlow”
Cuando el dispositivo de red de seguridad solo necesita gestionar el tráfico específico en la protección de seguridad en serie, mediante la función de procesamiento de tráfico "Network Tap Bypass Switch" de Mylinking™, el tráfico "en cuestión" se devuelve directamente al enlace de red mediante la estrategia de filtrado de tráfico para conectar el dispositivo de seguridad. Esta sección de tráfico se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantiene la aplicación normal de la función de detección de seguridad del dispositivo, sino que también reduce el flujo ineficiente del equipo de seguridad para gestionar la presión. Al mismo tiempo, el "Network Tap Bypass Switch" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real. El dispositivo de seguridad, si funciona de forma anormal, desvía directamente el tráfico de datos para evitar la interrupción del servicio de red.
El Tap de Derivación de Tráfico en Línea Mylinking™ puede identificar el tráfico basándose en el identificador del encabezado de capa L2-L4, como la etiqueta VLAN, la dirección MAC de origen/destino, la dirección IP de origen, el tipo de paquete IP, el puerto del protocolo de la capa de transporte, la etiqueta clave del encabezado del protocolo, etc. Permite definir una variedad de condiciones de coincidencia flexibles para definir los tipos de tráfico específicos que interesan a un dispositivo de seguridad específico y se utiliza ampliamente para la implementación de dispositivos especiales de auditoría de seguridad (RDP, SSH, auditoría de bases de datos, etc.).
5.4 Protección de serie con equilibrio de carga
El conmutador de derivación de red Mylinking™ se implementa en línea entre dispositivos de red (routers, switches, etc.). Cuando el rendimiento de procesamiento de un único IPS/FW no es suficiente para gestionar el tráfico pico del enlace de red, la función de equilibrio de carga de tráfico del protector, que agrupa el procesamiento de múltiples clústeres IPS/FW en el tráfico del enlace de red, puede reducir eficazmente la presión de procesamiento de un único IPS/FW y mejorar el rendimiento general del procesamiento para satisfacer las necesidades de alto ancho de banda del entorno de implementación.
Mylinking™ "Network Tap Bypass Switch" tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN del marco, la información MAC, la información IP, el número de puerto, el protocolo y otra información sobre la distribución del equilibrio de carga Hash del tráfico para garantizar que cada IPS/FW reciba el flujo de datos Integridad de la sesión.
5.5 Protección de tracción de flujo de equipos en línea multiseries (cambio de conexión en serie a conexión en paralelo)
En algunos enlaces clave (como puntos de acceso a internet y enlaces de intercambio de área de servidor), la ubicación suele deberse a la necesidad de funciones de seguridad y al despliegue de múltiples equipos de prueba de seguridad en línea (como firewalls [FW], equipos antiataques DDOS, firewalls de aplicaciones web [WAF], sistemas de prevención de intrusiones [IPS], etc.). La instalación simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta la probabilidad de un único punto de fallo, lo que reduce la fiabilidad general de la red. Además, en el despliegue en línea de equipos de seguridad, las actualizaciones, los reemplazos y otras operaciones mencionadas anteriormente pueden provocar interrupciones prolongadas del servicio de la red y la necesidad de un recorte de proyecto de mayor envergadura para completar la implementación exitosa de dichos proyectos.
Al implementar el "Network Tap Bypass Switch" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace se puede cambiar de "modo de concatenación física" a "modo de concatenación física, modo de concatenación lógica". El enlace en el enlace de un solo punto de falla para mejorar la confiabilidad del enlace, mientras que el "interruptor de derivación" en el enlace fluye bajo demanda de tracción, para lograr el mismo flujo con el modo original de efecto de procesamiento seguro.
Más de un dispositivo de seguridad al mismo tiempo como diagrama de implementación en línea:
Diagrama de implementación del conmutador de derivación TAP de red Mylinking™:
5.6 Basado en la estrategia dinámica de protección de detección de seguridad de tracción de tráfico
"Interruptor de derivación de red": Otro escenario de aplicación avanzado se basa en la estrategia dinámica de las aplicaciones de protección y detección de seguridad de tracción de tráfico, cuyo despliegue se muestra a continuación:
Por ejemplo, el equipo de pruebas de seguridad para la protección y detección de ataques DDoS. Mediante la implementación en el front-end de un conmutador de derivación de red (Network Tap Bypass Switch) y su posterior conexión con el dispositivo de protección anti-DDoS, el "protector de tracción" habitual reenvía todo el tráfico a velocidad de cable y, al mismo tiempo, refleja la salida del flujo al dispositivo de protección anti-DDoS. Una vez detectado un ataque en una dirección IP de servidor (o segmento de red IP), el dispositivo genera las reglas de coincidencia del flujo de tráfico objetivo y las envía al conmutador de derivación de red (Network Tap Bypass Switch) a través de la interfaz de entrega de políticas dinámicas. El conmutador de derivación de red actualiza la "dinámica de tracción de tráfico" tras recibir las reglas de política dinámicas (el "grupo de reglas") e inmediatamente envía la tracción del tráfico del servidor atacado al dispositivo de protección y detección anti-DDoS para su procesamiento, para que sea efectiva tras el ataque y se reinyecte en la red.
El esquema de aplicación basado en "Network Tap Bypass Switch" es más fácil de implementar que la inyección de ruta BGP tradicional u otro esquema de tracción de tráfico, y el entorno es menos dependiente de la red y la confiabilidad es mayor.
El "Interruptor de derivación de tomas de red" tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1. "Interruptor de derivación de red" para proporcionar fuera de las reglas basadas en la interfaz WEBSERIVCE, fácil integración con dispositivos de seguridad de terceros.
2, "BNetwork Tap Bypass Switch" basado en el chip ASIC puro de hardware que reenvía paquetes de velocidad de cable de hasta 10 Gbps sin bloquear el reenvío del conmutador y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3. La función BYPASS profesional incorporada del "Interruptor de derivación de toma de red" permite, incluso si el protector falla, omitir el enlace serial original inmediatamente, sin afectar el enlace original de comunicación normal.
