Interruptor de derivación de toma de red Mylinking™ ML-BYPASS-M100
Diseño modular con 2 derivaciones y 1 monitor, enlaces 10/40/100GE, velocidad máxima de 640 Gbps.
Reseñas generales
El conmutador de derivación de derivación de red Mylinking™ ha sido investigado y desarrollado para permitir el despliegue flexible de diversos tipos de equipos de seguridad en línea, a la vez que proporciona una alta fiabilidad de la red.
Al implementar Mylinking™ Smart Bypass Switch Tap:
- Los usuarios pueden instalar/desinstalar equipos/herramientas de seguridad de forma flexible sin que ello afecte ni interrumpa la red actual;
- El conmutador de derivación de red Mylinking™ cuenta con una función inteligente de detección de estado para la monitorización en tiempo real del funcionamiento normal de los dispositivos de seguridad en línea. En caso de que los dispositivos de seguridad en línea presenten una anomalía, la función de protección se desactivará automáticamente para mantener la comunicación normal de la red.
- La tecnología de protección selectiva del tráfico se puede utilizar para desplegar equipos de seguridad específicos para la limpieza del tráfico, tecnología de cifrado basada en equipos de auditoría. Lleva a cabo eficazmente la protección de acceso en línea para el tipo de tráfico específico, reduciendo la presión de manejo del flujo del dispositivo en línea;
- La tecnología de protección de tráfico con equilibrio de carga se puede utilizar para el despliegue en clúster de dispositivos de seguridad seriales en línea seguros, con el fin de cumplir con los requisitos de seguridad en línea en entornos de alto ancho de banda.
Interruptor de derivación de toma de red: funciones y tecnologías avanzadas
Modo de protección “SpecFlow” y modo de protección “FullLink” de Mylinking™
Protección de conmutación de derivación rápida Mylinking™
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Reenvío/Emisión de políticas dinámicas
Detección inteligente de paquetes de latidos cardíacos Mylinking™
Mensajes de latido definibles de Mylinking™ (paquetes de latido)
Mylinking™ Balanceo de carga multilink
Distribución inteligente de tráfico Mylinking™
Balanceo de carga dinámico Mylinking™
Tecnología de administración remota Mylinking™ (HTTP/WEB, TELNET/SSH, función “EasyConfig/AdvanceConfig”)
Guía de configuración opcional del interruptor de derivación de toma de red
Módulo de derivaciónRanura del módulo del puerto de protección:
Esta ranura se puede insertar en módulos de puerto de protección BYPASS con diferentes velocidades y número de puertos. Al reemplazar distintos tipos de módulos, se puede admitir la protección BYPASS para múltiples enlaces de 10G/40G/100G.
Módulo de monitorizaciónRanura del módulo de puerto;
En esta ranura se puede insertar el módulo MONITOR con diferentes velocidades/puertos. Admite múltiples enlaces de 10G/40G/100G para la implementación de dispositivos de monitorización en línea mediante la sustitución de diferentes módulos.
Reglas de selección de módulos
En función de los diferentes enlaces implementados y los requisitos de implementación de los equipos de monitorización, puede elegir de forma flexible diferentes configuraciones de módulos para satisfacer las necesidades de su entorno real; siga las siguientes reglas durante la selección de módulos:
1. Los componentes del chasis son obligatorios y debe seleccionarlos antes de elegir cualquier otro módulo. Asimismo, seleccione el método de alimentación (CA/CC) que mejor se adapte a sus necesidades.
2. El dispositivo completo admite hasta 2 ranuras para módulos BYPASS y 1 ranura para módulos MONITOR; no se puede seleccionar más ranuras de las que se pueden configurar. Según la combinación del número de ranuras y el modelo del módulo, el dispositivo puede admitir hasta cuatro enlaces de protección de 10GE, hasta cuatro enlaces de 40GE o hasta un enlace de 100GE.
3. El módulo modelo "BYP-MOD-L1CG" solo se puede insertar en la ranura SLOT1 para que funcione correctamente.
4. El módulo tipo "BYP-MOD-XXX" solo se puede insertar en la ranura del módulo BYPASS; el módulo tipo "MON-MOD-XXX" solo se puede insertar en la ranura del módulo MONITOR para un funcionamiento normal.
| Modelo de producto | Parámetros de la función |
| Chasis (Host) | |
| ML-BYPASS-M100 | Montaje en rack estándar de 1U y 19 pulgadas; consumo máximo de energía 250 W; host de protección BYPASS modular; 2 ranuras para módulos BYPASS; 1 ranura para módulo MONITOR; CA y CC opcionales; |
| MÓDULO DE DERIVACIÓN | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serial de enlace 10GE de 2 vías, interfaz 4*10GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serial de enlace 40GE de 2 vías, interfaz 4*40GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección serial de enlace 100GE de 1 canal, interfaz 2*100GE, conector LC; transceptor óptico incorporado; enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORIZACIÓN | |
| MON-MOD-L16XG | Módulo con puerto de monitorización SFP+ de 16*10GE; sin módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo con puerto de monitorización SFP+ de 8*10GE; sin módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo con puerto de monitorización 2*100GE QSFP28; sin módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo con 8 puertos de monitorización QSFP+ de 40 GE; sin módulo transceptor óptico; |
Especificaciones del interruptor de derivación TAP de red
| Modalidad del producto | Interruptor de derivación de derivación de red en línea ML-BYPASS-M100 | |
| Tipo de interfaz | Interfaz MGT | Interfaz de gestión adaptativa 1*10/100/1000BASE-T; admite gestión remota HTTP/IP. |
| Ranura del módulo | 2 ranuras para módulo BYPASS; 1 ranura para módulo MONITOR; | |
| Enlaces que admiten el máximo | El dispositivo admite un máximo de 4 enlaces 10GE, 4 enlaces 40GE o 1 enlace 100GE. | |
| Escucha | El dispositivo admite un máximo de 16 puertos de monitorización 10GE, 8 puertos de monitorización 40GE o 2 puertos de monitorización 100GE; | |
| Función | Capacidad de procesamiento dúplex completo | 640 Gbps |
| Protección en cascada de tráfico específica basada en la tupla de cinco IP/protocolo/puerto | Compatible | |
| Protección en cascada basada en tráfico completo | Compatible | |
| Balanceo de carga múltiple | Compatible | |
| Función de detección de latidos cardíacos personalizada | Compatible | |
| Compatibilidad con la independencia del paquete Ethernet | Compatible | |
| INTERRUPTOR DE DERIVACIÓN | Compatible | |
| Interruptor de derivación sin flash | Compatible | |
| GESTIÓN DE CONSOLA | Compatible | |
| Gestión de IP/WEB | Compatible | |
| Gestión SNMP V1/V2C | Compatible | |
| GESTIÓN DE TELNET/SSH | Compatible | |
| Protocolo SYSLOG | Compatible | |
| Autorización de usuario | Basado en autorización por contraseña/AAA/TACACS+ | |
| Eléctrico | Tensión de alimentación nominal | AC-220V/DC-48V【Opcional】 |
| Frecuencia de potencia nominal | 50 Hz | |
| Corriente de entrada nominal | CA-3A / CC-10A | |
| Potencia nominal | 100W | |
| Ambiente | Temperatura de funcionamiento | 0–50℃ |
| Temperatura de almacenamiento | -20-70℃ | |
| Humedad de trabajo | 10%-95%, Sin condensación | |
| Configuración de usuario | Configuración de la consola | Interfaz RS232,115200,8,N,1 |
| Interfaz MGT fuera de banda | 1 interfaz Ethernet de 10/100/1000M | |
| Autorización de contraseña | Compatible | |
| Altura del chasis | Espacio del chasis (U) | 1U 19 pulgadas, 485 mm*44,5 mm*350 mm |
Aplicación de interruptor de derivación TAP de red (como se muestra a continuación)
5.1 El riesgo de los equipos de seguridad en línea (IPS/FW)
A continuación se muestra un modo de implementación típico de IPS (Sistema de Prevención de Intrusiones) y FW (Cortafuegos). El IPS/FW se implementa como un equipo de red en línea (como enrutadores, conmutadores, etc.) entre el tráfico mediante la implementación de comprobaciones de seguridad, de acuerdo con la política de seguridad correspondiente para determinar si se libera o bloquea el tráfico correspondiente, para lograr el efecto de defensa de seguridad.
Al mismo tiempo, podemos observar que el IPS (Sistema de Prevención de Intrusiones) / FW (Cortafuegos) es un equipo implementado en línea, generalmente desplegado en ubicaciones clave de la red empresarial para implementar seguridad en línea. La confiabilidad de sus dispositivos conectados afecta directamente la disponibilidad general de la red empresarial. Si los dispositivos de seguridad en línea se sobrecargan, fallan, se actualizan el software o las políticas, etc., la disponibilidad de toda la red empresarial se verá gravemente afectada. En este punto, solo podemos restaurar la red mediante un corte de red o un puente físico, pero esto afecta seriamente la confiabilidad de la red. El IPS (Sistema de Prevención de Intrusiones) / FW (Cortafuegos) y otros dispositivos en línea, por un lado, mejoran la seguridad de la red empresarial, pero por otro lado, también reducen la confiabilidad de las redes empresariales, aumentando el riesgo de que la red no esté disponible.
5.2 Protección de equipos de la serie Inline Link
El conmutador de derivación Mylinking™ se implementa en línea entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre los dispositivos de red ya no se dirige directamente al IPS (Sistema de Prevención de Intrusiones) / FW (Cortafuegos). El conmutador de derivación llega al IPS / FW cuando este falla debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas u otras condiciones. El conmutador de derivación, mediante la función de detección inteligente de mensajes de latido, detecta el problema a tiempo y, por lo tanto, omite el dispositivo defectuoso, sin interrumpir la red. El equipo de red se conecta directamente para proteger la red de comunicación normal. Cuando el IPS / FW se recupera de un fallo, también mediante la función de detección inteligente de paquetes de latido, se restablece la seguridad de la red empresarial y se realizan comprobaciones de seguridad en el enlace original.
El conmutador de derivación Mylinking™ cuenta con una potente función inteligente de detección de mensajes de latido. El usuario puede personalizar el intervalo de latido y el número máximo de reintentos mediante un mensaje de latido personalizado en el IPS/FW para realizar pruebas de estado. Por ejemplo, se envía el mensaje de comprobación de latido al puerto ascendente/descendente del IPS/FW y, a continuación, se recibe desde dicho puerto, permitiendo determinar si el IPS/FW funciona correctamente mediante el envío y la recepción del mensaje de latido.
5.3 Política “SpecFlow” Flujo Tracción en línea Protección de la serie
Cuando el dispositivo de seguridad de la red solo necesita gestionar el tráfico específico en la protección de seguridad en serie, mediante la función de procesamiento previo de tráfico del conmutador de derivación de derivación de red Mylinking™, a través de la estrategia de filtrado de tráfico para conectar el dispositivo de seguridad, el tráfico "interesado" se envía directamente al enlace de red, y la sección de tráfico "interesado" se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para gestionar la presión; al mismo tiempo, el conmutador de derivación
El Mylinking™ Inline Traffic Bypass Tap puede identificar el tráfico basándose en el identificador de encabezado de capa L2-L4, como la etiqueta VLAN, la dirección MAC de origen/destino, la dirección IP de origen, el tipo de paquete IP, el puerto del protocolo de capa de transporte, la etiqueta de clave de encabezado de protocolo, etc. Se puede definir una variedad de condiciones de coincidencia y combinaciones flexibles para definir los tipos de tráfico específicos de interés para un dispositivo de seguridad en particular, y puede utilizarse ampliamente para la implementación de dispositivos especiales de auditoría de seguridad (RDP, SSH, auditoría de bases de datos, etc.).
5.4 Protección en serie con carga equilibrada
El conmutador de derivación de derivación de red Mylinking™ se implementa en línea entre dispositivos de red (enrutadores, conmutadores, etc.). Cuando el rendimiento de procesamiento de un solo IPS/FW no es suficiente para hacer frente al tráfico máximo del enlace de red, la función de equilibrio de carga del protector, mediante la "agrupación" del tráfico del enlace de red de procesamiento de clústeres de IPS/FW, puede reducir eficazmente la presión de procesamiento de un solo IPS/FW y mejorar el rendimiento de procesamiento general para satisfacer las necesidades de alto ancho de banda del entorno de implementación.
El conmutador de derivación de derivación de red Mylinking™ tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN de la trama, la información MAC, la información IP, el número de puerto, el protocolo y otra información en la distribución de equilibrio de carga hash del tráfico para garantizar que cada IPS/FW reciba la integridad de la sesión del flujo de datos.
5.5 Protección de tracción de flujo para equipos en línea de múltiples series (cambio de conexión en serie a conexión en paralelo)
En algunos enlaces clave (como puntos de acceso a Internet, enlaces de intercambio de área de servidores), la ubicación suele depender de las necesidades de seguridad y del despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos (FW), equipos anti-ataques DDoS, cortafuegos de aplicaciones web (WAF), sistemas de prevención de intrusiones (IPS), etc.). La presencia simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta el riesgo de un único punto de fallo, reduciendo la fiabilidad general de la red. Además, el despliegue en línea de los equipos de seguridad mencionados anteriormente, así como las actualizaciones, los reemplazos y otras operaciones, pueden provocar interrupciones prolongadas del servicio de la red y una mayor necesidad de interrumpir el proyecto para completar su correcta implementación.
Al implementar el "Interruptor de derivación de derivación de red" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace puede cambiarse del "modo de concatenación física" al "modo de concatenación física y lógica". El enlace en el enlace de un único punto de falla mejora la confiabilidad del enlace, mientras que el "interruptor de derivación" en el flujo del enlace bajo demanda logra el mismo efecto de procesamiento seguro que el modo original.
Más de un dispositivo de seguridad al mismo tiempo como diagrama de despliegue en línea:
Diagrama de despliegue del conmutador de derivación TAP de red Mylinking™:
5.6 Basado en la estrategia dinámica de detección y protección de seguridad de la tracción del tráfico
"Interruptor de derivación de toma de red" Otro escenario de aplicación avanzado se basa en la estrategia dinámica de las aplicaciones de protección de detección de seguridad de tracción de tráfico, cuyo despliegue se muestra a continuación:
Tomemos como ejemplo el equipo de prueba de seguridad "Protección y detección de ataques DDoS", a través del despliegue de front-end de "Network Tap Bypass Switch" y luego el equipo de protección anti-DDOS y luego conectado al "Network Tap Bypass Switch", en el "protector de tracción" habitual para el reenvío de la cantidad total de tráfico a velocidad de cable al mismo tiempo la salida de espejo de flujo al "dispositivo de protección contra ataques DDoS", una vez detectado para una IP de servidor (o segmento de red IP) después del ataque, el "dispositivo de protección contra ataques DDoS" generará reglas de coincidencia de flujo de tráfico objetivo y las enviará al "Network Tap Bypass Switch" a través de la interfaz de entrega de política dinámica. El "Network Tap Bypass Switch" puede actualizar la "tracción dinámica de tráfico" después de recibir el grupo de reglas de política dinámica "Reglas" e inmediatamente "la regla golpea el tráfico del servidor atacante "tracción" al equipo de "protección y detección de ataques anti-DDoS" para su procesamiento, para que sea efectivo después del flujo de ataque y luego se vuelva a inyectar en la red.
El esquema de aplicación basado en el "Network Tap Bypass Switch" es más fácil de implementar que la inyección de rutas BGP tradicional u otros esquemas de gestión de tráfico, y el entorno depende menos de la red y la fiabilidad es mayor.
El "Interruptor de derivación de toma de red" tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1. "Interruptor de derivación de red" para proporcionar fuera de las reglas basadas en la interfaz WEBSERVICE, fácil integración con dispositivos de seguridad de terceros.
2, "BNetwork Tap Bypass Switch" basado en el chip ASIC puro de hardware que reenvía paquetes a velocidad de cable de hasta 10 Gbps sin bloquear el reenvío del conmutador, y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3. El interruptor de derivación de red "Network Tap Bypass Switch" incorpora una función BYPASS profesional, que permite incluso si el protector falla, derivar el enlace serial original de inmediato sin afectar la comunicación normal del enlace original.
