Interruptor de derivación de red Mylinking™ ML-BYPASS-M200
Diseño modular con 2 derivaciones y 1 monitor, enlaces 10/40/100GE, velocidad máxima de 640 Gbps.
1-Información general
Al implementar el interruptor de derivación inteligente Mylinking™:
- Los usuarios pueden instalar/desinstalar equipos de seguridad de forma flexible sin que ello afecte a la red actual ni la interrumpa;
- El interruptor de derivación de red Mylinking™ cuenta con una función inteligente de detección de estado para monitorear en tiempo real el estado de funcionamiento normal del dispositivo de seguridad serial. Si el dispositivo de seguridad serial presenta alguna anomalía en su funcionamiento, la protección se desactivará automáticamente para mantener la comunicación normal de la red.
- La tecnología de protección de tráfico selectiva se puede utilizar para desplegar equipos de seguridad de limpieza de tráfico específicos, tecnología de cifrado basada en equipos de auditoría. Realizar eficazmente la protección de acceso en serie para el tipo de tráfico específico, aliviando la presión de manejo de flujo del dispositivo en serie;
- La tecnología de protección de tráfico con equilibrio de carga se puede utilizar para el despliegue en clúster de dispositivos serie seguros, con el fin de satisfacer la necesidad de seguridad serie en entornos de alto ancho de banda.
Con el rápido desarrollo de Internet, la amenaza a la seguridad de la información en la red se agrava, por lo que se utilizan cada vez más aplicaciones de protección de la seguridad de la información. Ya sea mediante equipos de control de acceso tradicionales (cortafuegos) o nuevos tipos de medios de protección más avanzados como sistemas de prevención de intrusiones (IPS), plataformas unificadas de gestión de amenazas (UTM), sistemas anti-ataques de denegación de servicio (Anti-DDoS), puertas de enlace anti-span, sistemas unificados de identificación y control de tráfico DPI, y muchos otros dispositivos de seguridad se implementan en serie en los nodos clave de la red, aplicando la política de seguridad de datos correspondiente para identificar y gestionar el tráfico legal e ilegal. Sin embargo, al mismo tiempo, en un entorno de aplicación de red de alta fiabilidad, la red informática puede generar grandes retrasos o incluso interrupciones en la red en caso de conmutación por error, mantenimiento, actualización, sustitución de equipos, etc., lo que resulta inaceptable para los usuarios.
2. Interruptor de derivación de red con funciones y tecnologías avanzadas.
Tecnología de modo de protección “SpecFlow” y “FullLink” de Mylinking™
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Tecnología de reenvío/emisión de políticas dinámicas Mylinking™ “WebService”
Tecnología de detección inteligente de paquetes de latidos cardíacos Mylinking™
Tecnología de paquetes de latidos definibles Mylinking™
Tecnología de equilibrio de carga multilink Mylinking™
Tecnología de distribución de tráfico inteligente Mylinking™
Tecnología de equilibrio de carga dinámico Mylinking™
Tecnología de administración remota Mylinking™ (HTTP/WEB, TELNET/SSH, función “EasyConfig/AdvanceConfig”)
Guía de configuración del interruptor de derivación de toma de red 3
DERIVACIÓNRanura del módulo del puerto de protección:
Esta ranura se puede insertar en módulos de puerto de protección BYPASS con diferentes velocidades y número de puertos. Al reemplazar distintos tipos de módulos, se puede admitir la protección BYPASS de múltiples enlaces de 10G/40G/100G.
MONITORRanura del módulo de puerto;
Esta ranura se puede insertar en el módulo del puerto MONITOR con diferentes velocidades/puertos. Permite la implementación de múltiples dispositivos de monitoreo serial en línea con enlaces de 10G/40G/100G mediante la sustitución de diferentes modelos.
Reglas de selección de módulos
En función de los diferentes enlaces implementados y los requisitos de implementación de los equipos de monitorización, puede elegir de forma flexible diferentes configuraciones de módulos para satisfacer las necesidades reales de su entorno; siga las siguientes reglas al seleccionar:
1. Los componentes del chasis son obligatorios y debe seleccionarlos antes de elegir cualquier otro módulo. Asimismo, seleccione el método de alimentación (CA/CC) que mejor se adapte a sus necesidades.
2. La máquina completa admite hasta 2 ranuras para módulos BYPASS y 1 ranura para módulos MONITOR; no se puede seleccionar más ranuras de las que se pueden configurar. Según la combinación del número de ranuras y el modelo del módulo, el dispositivo puede admitir hasta cuatro enlaces de protección de 10GE, hasta cuatro enlaces de 40GE o hasta un enlace de 100GE.
3. El módulo modelo "BYP-MOD-L1CG" solo se puede insertar en la ranura SLOT1 para que funcione correctamente.
4. El módulo tipo "BYP-MOD-XXX" solo se puede insertar en la ranura del módulo BYPASS; el módulo tipo "MON-MOD-XXX" solo se puede insertar en la ranura del módulo MONITOR para un funcionamiento normal.
| Modelo de producto | Parámetros de la función |
| Chasis (Host) | |
| ML-BYPASS-M200 | Montaje en rack estándar de 1U y 19 pulgadas; consumo máximo de energía 250 W; host de protección BYPASS modular; 2 ranuras para módulos BYPASS; 1 ranura para módulo MONITOR; CA y CC opcionales; |
| MÓDULO DE DERIVACIÓN | |
| BYP-MOD-L2XG(LM/SM) | Admite protección serial de enlace 10GE de 2 vías, interfaz 4*10GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Admite protección serial de enlace 40GE de 2 vías, interfaz 4*40GE, conector LC; transceptor óptico incorporado; enlace óptico monomodo/multimodo opcional, admite 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Admite protección serial de enlace 100GE de 1 canal, interfaz 2*100GE, conector LC; transceptor óptico incorporado; enlace óptico multimodo único opcional, admite 100GBASE-SR4/LR4; |
| MÓDULO DE MONITORIZACIÓN | |
| MON-MOD-L16XG | Módulo con puerto de monitorización SFP+ de 16*10GE; sin módulo transceptor óptico; |
| MON-MOD-L8XG | Módulo con puerto de monitorización SFP+ de 8*10GE; sin módulo transceptor óptico; |
| MON-MOD-L2CG | Módulo con puerto de monitorización 2*100GE QSFP28; sin módulo transceptor óptico; |
| MON-MOD-L8QXG | Módulo con 8 puertos de monitorización QSFP+ de 40 GE; sin módulo transceptor óptico; |
Especificaciones del interruptor de derivación TAP de 4 redes
| Modalidad del producto | Interruptor de derivación serie ML-BYPASS-M200 | |
| Tipo de interfaz | Interfaz MGT | Interfaz de gestión adaptativa 1*10/100/1000BASE-T; admite gestión remota HTTP/IP. |
| Ranura del módulo | 2 ranuras para módulo BYPASS; 1 ranura para módulo MONITOR; | |
| Enlaces que admiten el máximo | El dispositivo admite un máximo de 4 enlaces 10GE, 4 enlaces 40GE o 1 enlace 100GE. | |
| Monitor | El dispositivo admite un máximo de 16 puertos de monitorización 10GE, 8 puertos de monitorización 40GE o 2 puertos de monitorización 100GE; | |
| Función | Capacidad de procesamiento dúplex completo | 640 Gbps |
| Protección en cascada de tráfico específica basada en la tupla de cinco IP/protocolo/puerto | Apoyo | |
| Protección en cascada basada en tráfico completo | Apoyo | |
| Balanceo de carga múltiple | Apoyo | |
| Función de detección de latidos cardíacos personalizada | Apoyo | |
| Compatibilidad con la independencia del paquete Ethernet | Apoyo | |
| INTERRUPTOR DE DERIVACIÓN | Apoyo | |
| Interruptor de derivación sin flash | Apoyo | |
| GESTIÓN DE CONSOLA | Apoyo | |
| Gestión de IP/WEB | Apoyo | |
| Gestión SNMP V1/V2C | Apoyo | |
| GESTIÓN DE TELNET/SSH | Apoyo | |
| Protocolo SYSLOG | Apoyo | |
| Autorización de usuario | Basado en autorización por contraseña/AAA/TACACS+ | |
| Eléctrico | Tensión de alimentación nominal | AC-220V/DC-48V【Opcional】 |
| Frecuencia de potencia nominal | 50 Hz | |
| Corriente de entrada nominal | CA-3A / CC-10A | |
| Potencia nominal | 100W | |
| Ambiente | Temperatura de funcionamiento | 0–50℃ |
| Temperatura de almacenamiento | -20-70℃ | |
| Humedad de trabajo | 10%-95%, Sin condensación | |
| Configuración de usuario | Configuración de la consola | Interfaz RS232,115200,8,N,1 |
| Interfaz MGT fuera de banda | 1 interfaz Ethernet de 10/100/1000M | |
| Autorización de contraseña | Apoyo | |
| Altura del chasis | Espacio del chasis (U) | 1U 19 pulgadas, 485 mm*44,5 mm*350 mm |
5-Aplicación de interruptor de derivación TAP de red (como se indica a continuación)
A continuación se muestra un modo de implementación típico de IPS (Sistema de Prevención de Intrusiones) y FW (Cortafuegos). El IPS/FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) para realizar comprobaciones de seguridad entre el tráfico, de acuerdo con la política de seguridad correspondiente, para determinar si se libera o bloquea dicho tráfico y así lograr el efecto de defensa de seguridad.
Al mismo tiempo, podemos observar que los sistemas IPS/FW, al ser implementadas en serie, suelen desplegarse en ubicaciones clave de la red empresarial para implementar seguridad en serie. La fiabilidad de sus dispositivos conectados afecta directamente a la disponibilidad general de la red. Si los dispositivos en serie se sobrecargan, fallan, se actualizan el software o las políticas, la disponibilidad de toda la red se verá gravemente afectada. En este punto, la única forma de restablecer la red mediante un puente físico o un corte de red es mediante la conexión de un cable, lo que repercute seriamente en su fiabilidad. Si bien los sistemas IPS/FW y otros dispositivos en serie mejoran la seguridad de la red empresarial, también reducen su fiabilidad, aumentando el riesgo de indisponibilidad.
5.2 Protección de equipos de la serie Inline Link
El conmutador de derivación Mylinking™ se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre los dispositivos de red ya no conduce directamente al IPS/FW. El conmutador de derivación, cuando el IPS/FW falla debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas u otras condiciones, el conmutador de derivación, mediante la función de detección inteligente de mensajes de latido, detecta el dispositivo defectuoso y, por lo tanto, omite el dispositivo defectuoso, sin interrumpir la red. El equipo de red se conecta directamente para proteger la red de comunicación normal. Cuando el IPS/FW se recupera de una falla, también mediante la función de detección inteligente de paquetes de latido, se restablece la seguridad de la red empresarial y se realizan comprobaciones de seguridad en el enlace original.
El conmutador de derivación Mylinking™ cuenta con una potente función inteligente de detección de mensajes de latido. El usuario puede personalizar el intervalo de latido y el número máximo de reintentos, mediante un mensaje de latido personalizado en el IPS/FW para realizar pruebas de estado. Por ejemplo, se envía el mensaje de comprobación de latido al puerto ascendente/descendente del IPS/FW y, a continuación, se recibe desde el puerto ascendente/descendente del IPS/FW, y se determina si el IPS/FW funciona correctamente mediante el envío y la recepción del mensaje de latido.
5.3 Política “SpecFlow” Flujo Tracción en línea Protección de la serie
Cuando el dispositivo de red de seguridad solo necesita gestionar el tráfico específico en la protección de seguridad en serie, mediante la función de procesamiento previo de tráfico "Bypass Switch" de Mylinking™, a través de la estrategia de filtrado de tráfico para conectar el dispositivo de seguridad, el tráfico "interesado" se envía directamente al enlace de red, y la "sección de tráfico interesada" se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para gestionar la presión; al mismo tiempo, el "Bypass Switch" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real. Si el dispositivo de seguridad funciona de forma anómala, el tráfico de datos se desvía directamente para evitar la interrupción del servicio de red.
El Mylinking™ Traffic Bypass Protector puede identificar el tráfico basándose en el identificador de encabezado de capa L2-L4, como la etiqueta VLAN, la dirección MAC de origen/destino, la dirección IP de origen, el tipo de paquete IP, el puerto del protocolo de capa de transporte, la etiqueta de clave de encabezado de protocolo, etc. Se puede definir una variedad de condiciones de coincidencia y combinaciones flexibles para definir los tipos de tráfico específicos de interés para un dispositivo de seguridad en particular, y puede utilizarse ampliamente para la implementación de dispositivos especiales de auditoría de seguridad (RDP, SSH, auditoría de bases de datos, etc.).
5.4 Protección en serie con carga equilibrada
El conmutador de derivación Mylinking™ se instala en serie entre dispositivos de red (enrutadores, conmutadores, etc.). Cuando el rendimiento de procesamiento de un solo IPS/FW no es suficiente para gestionar el tráfico máximo del enlace de red, la función de equilibrio de carga del protector, mediante la agrupación de múltiples clústeres de IPS/FW que procesan el tráfico del enlace de red, puede reducir eficazmente la presión de procesamiento de un solo IPS/FW y mejorar el rendimiento general del procesamiento para satisfacer las necesidades de alto ancho de banda del entorno de implementación.
El conmutador de derivación Mylinking™ tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN de la trama, la información MAC, la información IP, el número de puerto, el protocolo y otra información en la distribución de equilibrio de carga Hash del tráfico para garantizar que cada IPS/FW reciba la integridad de la sesión del flujo de datos.
5.5 Protección de tracción de flujo para equipos en línea de múltiples series (cambio de conexión en serie a conexión en paralelo)
En algunos enlaces clave (como puntos de acceso a Internet o enlaces de intercambio de servidores), la ubicación suele depender de las necesidades de seguridad y del despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos anti-ataques DDoS, cortafuegos de aplicaciones web, equipos de prevención de intrusiones, etc.). La presencia simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta el riesgo de un único punto de fallo, reduciendo la fiabilidad general de la red. Además, el despliegue en línea de los equipos de seguridad mencionados, así como las actualizaciones y sustituciones, pueden provocar interrupciones prolongadas del servicio y una mayor necesidad de interrumpir el proyecto para su correcta implementación.
Al implementar el "Conmutador de derivación" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace puede cambiarse del "modo de concatenación física" al "modo de concatenación física y lógica". El enlace en el enlace de un único punto de falla mejora la confiabilidad del enlace, mientras que el "conmutador de derivación" en el flujo del enlace bajo demanda logra el mismo efecto de procesamiento seguro que el modo original.
Diagrama de despliegue en serie de más de un dispositivo de seguridad simultáneamente:
Diagrama de despliegue del conmutador de derivación TAP de red Mylinking™:
5.6 Basado en la estrategia dinámica de detección y protección de seguridad de la tracción del tráfico
"Interruptor de derivación" Otro escenario de aplicación avanzado se basa en la estrategia dinámica de las aplicaciones de protección y detección de seguridad de la tracción del tráfico, cuyo despliegue se muestra a continuación:
Tomemos como ejemplo el equipo de prueba de seguridad "Protección y detección de ataques DDoS", a través del despliegue de front-end de "Bypass Switch" y luego el equipo de protección anti-DDoS y luego conectado al "Bypass Switch", en el "protector de tracción" habitual para el reenvío de la cantidad total de tráfico a velocidad de cable al mismo tiempo la salida de espejo de flujo al "dispositivo de protección contra ataques DDoS", una vez detectado para una IP de servidor (o segmento de red IP) después del ataque, "dispositivo de protección contra ataques DDoS" generará reglas de coincidencia de flujo de tráfico objetivo y las enviará al "Bypass Switch" a través de la interfaz de entrega de política dinámica. El "Bypass Switch" puede actualizar la "tracción dinámica de tráfico" después de recibir el grupo de reglas de política dinámica "Reglas" e inmediatamente "la regla golpea el tráfico del servidor atacante "tracción" al equipo de "protección y detección de ataques anti-DDoS" para su procesamiento, para que sea efectivo después del flujo de ataque y luego se vuelva a inyectar en la red.
El esquema de aplicación basado en el "Bypass Switch" es más fácil de implementar que la inyección de rutas BGP tradicional u otros esquemas de gestión de tráfico, y el entorno depende menos de la red y la fiabilidad es mayor.
El "Bypass Switch" tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1. "Interruptor de derivación" para proporcionar fuera de las reglas basadas en la interfaz WEBSERVICE, fácil integración con dispositivos de seguridad de terceros.
2, "Bypass Switch" basado en el chip ASIC puro de hardware que reenvía paquetes a velocidad de cable de hasta 10 Gbps sin bloquear el reenvío del conmutador, y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3. El interruptor de derivación "Bypass Switch" incorpora una función de derivación profesional que, incluso si el protector falla, puede derivar el enlace serial original de inmediato, sin afectar la comunicación normal del enlace original.
