Trokitje e lehtë e rrjetit Mylinking™ Ndërprerësi anashkalues ML-BYPASS-100
2*Bypass plus 1*Dizajn modular i monitorit, lidhje 10/40/100GE, maksimumi 640 Gbps
Vështrime të përgjithshme
Ndërprerësi i anashkalimit të trokitjes së rrjetit Mylinking™ është hulumtuar dhe zhvilluar për t'u përdorur për vendosje fleksibël të llojeve të ndryshme të pajisjeve të sigurisë në linjë duke ofruar besueshmëri të lartë të rrjetit.
Duke vendosur Trokit me ndërprerës Smart Bypass Mylinking™:
- Përdoruesit mund të instalojnë/çinstalojnë në mënyrë fleksibël pajisjet/mjetet e sigurisë dhe nuk do të ndikojnë dhe ndërpresin rrjetin aktual;
- Ndërprerësi i anashkalimit të prekjes së rrjetit Mylinking™ me funksion inteligjent të zbulimit të shëndetit për monitorimin në kohë reale të gjendjes normale të punës të pajisjeve të sigurisë në linjë. Pasi pajisjet e sigurisë inline të punojnë me përjashtim, funksioni i mbrojtjes do të anashkalojë automatikisht për të ruajtur komunikimin normal të rrjetit;
- Teknologjia selektive e mbrojtjes së trafikut mund të përdoret për të vendosur pajisje specifike sigurie për pastrimin e trafikut, teknologjinë e kriptimit të bazuar në pajisjet e auditimit. Kryeni në mënyrë efektive mbrojtjen e hyrjes në linjë për llojin specifik të trafikut, duke shkarkuar presionin e trajtimit të rrjedhës së pajisjes inline;
- Teknologjia e mbrojtjes së trafikut të balancuar nga ngarkesa mund të përdoret për vendosjen e grupuar të pajisjeve të sigurta të sigurisë serike në linjë për të përmbushur sigurinë në linjë në mjedise me gjerësi të lartë bande.
Funksionet dhe teknologjitë e avancuara të ndërprerësit të anashkalimit të prekjes së rrjetit
Modaliteti i mbrojtjes "SpecFlow" Mylinking™ dhe modaliteti i mbrojtjes "FullLink".
Mbrojtja e ndërrimit të shpejtë të anashkalimit Mylinking™
Mylinking™ "LinkSafeSwitch"
Përcjellja/Çështja e strategjisë dinamike të Mylinking™ “WebService”.
Zbulimi inteligjent i mesazheve të rrahjeve të zemrës Mylinking™
Mesazhe të përcaktueshme të rrahjeve të zemrës Mylinking™ (Paketa të rrahjeve të zemrës)
Balancimi i ngarkesës me shumë lidhje Mylinking™
Shpërndarja Inteligjente e Trafikut Mylinking™
Balancimi dinamik i ngarkesës Mylinking™
Teknologjia e menaxhimit në distancë Mylinking™ (Karakteristikë HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig")
Udhëzuesi opsional i konfigurimit të ndërprerësit të prekjes së rrjetit
Moduli BYPASSVendi i modulit të portës së mbrojtjes:
Kjo slot mund të futet në modulin e portës së mbrojtjes BYPASS me numër të ndryshëm shpejtësie/porte. Duke zëvendësuar lloje të ndryshme modulesh, ai mund të mbështesë mbrojtjen BYPASS të kërkesave të shumta të lidhjeve 10G/40G/100G.
Moduli i MONITORITSlot i modulit port;
Kjo slot mund të futet në modulin MONITOR me shpejtësi/porte të ndryshme. Mund të mbështesë lidhje të shumta të 10G/40G/100G për vendosjen e pajisjes së monitorimit serial në linjë duke zëvendësuar module të ndryshme.
Rregullat e përzgjedhjes së moduleve
Bazuar në lidhje të ndryshme të vendosura dhe kërkesat e vendosjes së pajisjeve monitoruese, ju mund të zgjidhni në mënyrë fleksibël konfigurime të ndryshme të moduleve për të përmbushur kërkesën tuaj aktuale të mjedisit; ju lutemi ndiqni rregullat e mëposhtme gjatë zgjedhjes së modulit tuaj:
1. Komponentët e shasisë janë të detyrueshëm dhe ju duhet të zgjidhni komponentët e shasisë përpara se të zgjidhni ndonjë modul tjetër. Në të njëjtën kohë, ju lutemi zgjidhni metoda të ndryshme të furnizimit me energji elektrike (AC/DC) sipas nevojave tuaja.
2. E gjithë pajisja mbështet deri në 2 fole moduli BYPASS dhe 1 fole moduli MONITOR; nuk mund të zgjidhni më shumë se numri i lojërave elektronike për të konfiguruar. Bazuar në kombinimin e numrit të sloteve dhe modelit të modulit, pajisja mund të mbështesë deri në katër mbrojtje të lidhjeve 10GE; ose mund të mbështesë deri në katër lidhje 40GE; ose mund të mbështesë deri në një lidhje 100 GE.
3. Modeli i modulit "BYP-MOD-L1CG" mund të futet vetëm në SLOT1 për të punuar siç duhet.
4. Lloji i modulit "BYP-MOD-XXX" mund të futet vetëm në folenë e modulit BYPASS; lloji i modulit "MON-MOD-XXX" mund të futet vetëm në folenë e modulit MONITOR për funksionim normal.
Modeli i produktit | Parametrat e funksionit |
Shasi (Pritësi) | |
ML-BYPASS-M100 | 1U standarde 19-inç raft; konsumi maksimal i energjisë 250 W; pritës mbrojtës modular BYPASS; 2 slota të modulit BYPASS; 1 fole e modulit MONITOR; AC dhe DC opsionale; |
MODULI I BASHKIMIT | |
BYP-MOD-L2XG (LM/SM) | Mbështet mbrojtjen serike të lidhjes 2-kahëshe 10GE, ndërfaqen 4*10GE, lidhësin LC; transmetues optik i integruar; lidhje optike e vetme/multimode opsionale, mbështet 10GBASE-SR/LR; |
BYP-MOD-L2QXG (LM/SM) | Mbështet mbrojtjen serike të lidhjes 2-kahëshe 40GE, ndërfaqen 4*40GE, lidhësin LC; transmetues optik i integruar; lidhje optike e vetme/multimode opsionale, mbështet 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Mbështet mbrojtjen serike të lidhjes 1 kanal 100GE, ndërfaqen 2*100GE, lidhësin LC; transmetues optik i integruar; lidhje optike e vetme multimode opsionale, mbështet 100GBASE-SR4/LR4; |
MODULI MONITOR | |
HËN-MOD-L16XG | Moduli i portit të monitorimit 16*10GE SFP+; nuk ka modul transmetues optik; |
MON-MOD-L8XG | Moduli i portit të monitorimit 8*10GE SFP+; nuk ka modul transmetues optik; |
HËN-MOD-L2CG | Moduli i portit të monitorimit 2*100GE QSFP28; nuk ka modul transmetues optik; |
MON-MOD-L8QXG | Moduli i portit të monitorimit 8* 40GE QSFP+; nuk ka modul transmetues optik; |
Specifikimet e çelësit të anashkalimit të rrjetit TAP
Modaliteti i produktit | ML-BYPASS-M100 Ndërprerësi i anashkalimit të rrjetit në linjë Prekni | |
Lloji i ndërfaqes | Ndërfaqja MGT | 1*10/100/1000BASE-T Ndërfaqja adaptive e menaxhimit; Mbështet menaxhimin në distancë të HTTP/IP |
Vendi i modulit | 2*Sloti i modulit BYPASS;1*Sloti i modulit MONITOR; | |
Lidhje që mbështesin maksimalisht | Mbështetja e pajisjes maksimumi lidhje 4*10GE ose lidhje 4*40GE ose lidhje 1*100GE | |
Monitorimi | Mbështetja e pajisjes maksimale porta monitorimi 16*10 GE ose porte monitorimi 8 * 40 GE ose porte monitorimi 2 * 100 GE; | |
Funksioni | Aftësia e përpunimit të plotë të dyfishtë | 640 Gbps |
Bazuar në IP/protokollin/portin e mbrojtjes së kaskadës së trafikut me pesë tupa specifike | Mbështetur | |
Mbrojtja e kaskadës bazuar në trafikun e plotë | Mbështetur | |
Balancim i ngarkesës së shumëfishtë | Mbështetur | |
Funksioni i personalizuar i zbulimit të rrahjeve të zemrës | Mbështetur | |
Mbështet pavarësinë e paketës Ethernet | Mbështetur | |
BYPASS SWITCH | Mbështetur | |
BYPASS Ndërprerës pa blic | Mbështetur | |
KONSOLA MGT | Mbështetur | |
IP/WEB MGT | Mbështetur | |
SNMP V1/V2C MGT | Mbështetur | |
TELNET/SSH MGT | Mbështetur | |
Protokolli SYSLOG | Mbështetur | |
Autorizimi i përdoruesit | Bazuar në autorizimin e fjalëkalimit/AAA/TACACS+ | |
elektrike | Tensioni i vlerësuar i furnizimit | AC-220V/DC-48V【Opsionale】 |
Frekuenca e vlerësuar e fuqisë | 50 HZ | |
Rryma e vlerësuar e hyrjes | AC-3A / DC-10A | |
Fuqia e vlerësuar | 100 W | |
Mjedisi | Temperatura e punës | 0-50 ℃ |
Temperatura e ruajtjes | -20-70 ℃ | |
Lagështia e punës | 10%-95%, Nuk ka kondensim | |
Konfigurimi i përdoruesit | Konfigurimi i konsolës | Ndërfaqja RS232,115200,8,N,1 |
Ndërfaqja MGT jashtë brezit | Ndërfaqe Ethernet 1*10/100/1000M | |
Autorizimi me fjalëkalim | Mbështetur | |
Lartësia e shasisë | Hapësira e shasisë (U) | 1U 19 inç, 485mm*44.5mm*350mm |
Aplikimi i ndërprerësit të anashkalimit të rrjetit TAP (si më poshtë)
5.1 Rreziku i pajisjeve të sigurisë në linjë (IPS / FW)
Më poshtë është një tipik IPS (Sistemi i Parandalimit të Ndërhyrjes), modaliteti i vendosjes FW (Firewall), IPS / FW vendoset si pajisje rrjeti inline (të tilla si ruterat, çelsat, etj.) ndërmjet trafikut përmes zbatimit të kontrolleve të sigurisë, sipas politikën përkatëse të sigurisë për të përcaktuar lirimin ose bllokimin e trafikut përkatës, për të arritur efektin e mbrojtjes së sigurisë.
Në të njëjtën kohë, ne mund të vëzhgojmë IPS (Sistemi i Parandalimit të Ndërhyrjes) / FW (Firewall) si një vendosje inline e pajisjeve, zakonisht të vendosura në vendndodhjen kryesore të rrjetit të ndërmarrjes për të zbatuar sigurinë inline, besueshmëria e pajisjeve të saj të lidhura ndikon drejtpërdrejt disponueshmëria e përgjithshme e rrjetit të ndërmarrjes. Pasi pajisjet e sigurisë së brendshme të mbingarkohen, përplasen, përditësimet e softuerit, përditësimet e politikave, etj., e gjithë disponueshmëria e rrjetit të ndërmarrjes do të ndikohet shumë. Në këtë pikë, ne vetëm përmes prerjes së rrjetit, kërcyesi i anashkalimit fizik mund të bëjmë që rrjeti të rikthehet, por kjo po ndikon seriozisht në besueshmërinë e rrjetit. IPS (Sistemi i Parandalimit të Ndërhyrjes) / FW (Firewall) dhe pajisjet e tjera inline nga njëra anë përmirësojnë vendosjen e sigurisë së rrjetit të ndërmarrjeve, nga ana tjetër gjithashtu zvogëlon besueshmërinë e rrjeteve të ndërmarrjeve, duke rritur rrezikun e rrjetit nuk është i disponueshëm.
5.2 Mbrojtja e pajisjeve të serisë së lidhjeve inline
Mylinking™ "Bypass Switch" vendoset si inline midis pajisjeve të rrjetit (ruterat, çelësat, etj.), dhe rrjedha e të dhënave midis pajisjeve të rrjetit nuk çon më drejtpërdrejt në IPS (Sistemi i Parandalimit të Ndërhyrjes) / FW (Firewall), "Ndërprerësi i anashkalimit" në IPS / FW, kur IPS / FW për shkak të mbingarkesës, përplasjes, përditësimeve të softuerit, përditësimeve të politikave dhe kushteve të tjera të dështimit, "Bypass Kaloni" përmes zbulimit inteligjent mesazh rrahje zemre Funksioni i zbulimit në kohë, dhe kështu kaloni pajisjen e gabuar, pa ndërprerë premisat e rrjetit, pajisjet e rrjetit të shpejtë të lidhur direkt për të mbrojtur rrjetin normal të komunikimit; kur IPS / FW rimëkëmbjes dështim, por edhe nëpërmjet inteligjente Heartbeat Packets Zbulimi i funksionit zbulimin në kohë, lidhje origjinale për të rivendosur sigurinë e rrjetit të ndërmarrjes kontrolle të sigurisë.
Mylinking™ "Bypass Switch" ka një funksion të fuqishëm inteligjent të zbulimit të mesazheve të rrahjeve të zemrës, përdoruesi mund të personalizojë intervalin e rrahjeve të zemrës dhe numrin maksimal të riprovave, përmes një mesazhi të personalizuar të rrahjeve të zemrës në IPS / FW për testimin e shëndetit, si p.sh. dërgoni mesazhin e kontrollit të rrahjeve të zemrës në portin e sipërm / në rrjedhën e poshtme të IPS / FW, dhe më pas merrni nga porti i sipërm / në rrjedhën e poshtme të IPS / FW, dhe gjykoni nëse IPS/FW funksionon normalisht duke dërguar dhe marrë mesazhin e rrahjeve të zemrës.
5.3 Mbrojtja e serisë së tërheqjes në linjë të rrjedhës së politikës "SpecFlow".
Kur pajisja e rrjetit të sigurisë duhet të merret vetëm me trafikun specifik në mbrojtjen e sigurisë së serisë, përmes funksionit të përpunimit të trafikut për përpunim të Mylinking™ "Rrjeti i anashkalimit të prekjes", përmes strategjisë së kontrollit të trafikut për të lidhur pajisjen e sigurisë trafiku "Të shqetësuar" dërgohet kthehet direkt në lidhjen e rrjetit dhe "seksioni përkatës i trafikut" është tërheqja në pajisjen e sigurisë në linjë për të kryer kontrolle sigurie. Kjo jo vetëm që do të ruajë aplikimin normal të funksionit të zbulimit të sigurisë të pajisjes së sigurisë, por gjithashtu do të zvogëlojë rrjedhën joefikase të pajisjeve të sigurisë për t'u përballur me presionin; në të njëjtën kohë, "Rrjeti Tap Bypass Switch" mund të zbulojë gjendjen e punës të pajisjes së sigurisë në kohë reale. Pajisja e sigurisë funksionon në mënyrë jonormale anashkalon drejtpërdrejt trafikun e të dhënave për të shmangur ndërprerjen e shërbimit të rrjetit.
Trokja e anashkalimit të trafikut në linjë Mylinking™ mund të identifikojë trafikun bazuar në identifikuesin e kokës së shtresës L2-L4, të tilla si etiketa VLAN, adresa MAC e burimit / destinacionit, adresa IP e burimit, lloji i paketës IP, porta e protokollit të shtresës së transportit, etiketa kryesore e kokës së protokollit dhe kështu me radhë. Një shumëllojshmëri e kombinimeve fleksibël të kushteve që përputhen mund të përcaktohen në mënyrë fleksibël për të përcaktuar llojet specifike të trafikut që janë me interes për një pajisje të caktuar sigurie dhe mund të përdoren gjerësisht për vendosjen e pajisjeve speciale të auditimit të sigurisë (RDP, SSH, auditimi i bazës së të dhënave, etj.) .
5.4 Mbrojtja e serive e balancuar nga ngarkesa
Mylinking™ "Ndërprerësi i anashkalimit të prekjes së rrjetit" vendoset si inline midis pajisjeve të rrjetit (ruterat, çelësat, etj.). Kur një performancë e vetme e përpunimit IPS / FW nuk është e mjaftueshme për të përballuar trafikun e pikut të lidhjes së rrjetit, funksioni i balancimit të ngarkesës së trafikut të mbrojtësit, "bashkimi" i trafikut të lidhjeve të rrjetit të përpunimit të grupeve IPS / FW të shumëfishta, mund të zvogëlojë në mënyrë efektive IPS / FW të vetme. Presioni i përpunimit, përmirësoni performancën e përgjithshme të përpunimit për të përmbushur bandwidth-in e lartë të pretendimit të mjedisit të vendosjes.
Mylinking™ "Network Tap Bypass Switch" ka një funksion të fuqishëm të balancimit të ngarkesës, sipas etiketës VLAN të kornizës, informacionit MAC, informacionit IP, numrit të portit, protokollit dhe informacioneve të tjera mbi shpërndarjen e trafikut të balancimit të ngarkesës Hash për të siguruar që çdo IPS/FW Rrjedha e të dhënave të marra Integriteti i sesionit.
5.5 Mbrojtja e tërheqjes së rrjedhës së pajisjeve me shumë seri në linjë (Ndrysho lidhjen serike në lidhje paralele)
Në disa lidhje kyçe (siç janë pikat e Internetit, lidhja e shkëmbimit të zonës së serverit) vendndodhja është shpesh për shkak të nevojave të veçorive të sigurisë dhe vendosjes së pajisjeve të shumta të testimit të sigurisë në linjë (të tilla si muri i zjarrit (FW), pajisjet kundër sulmit DDOS, Firewall i aplikacionit WEB (WAF), Sistemi i Parandalimit të Ndërhyrjeve (IPS), etj.), pajisje të shumta të zbulimit të sigurisë në të njëjtën kohë në seri në lidhjen për të rritur lidhjen e një pike të vetme dështimi, duke reduktuar besueshmërinë e përgjithshme të rrjetit. Dhe në vendosjen on-line të pajisjeve të sigurisë së lartpërmendur, përmirësimet e pajisjeve, zëvendësimi i pajisjeve dhe operacione të tjera, do të shkaktojnë ndërprerje të shërbimit të rrjetit për një kohë të gjatë dhe një veprim më të madh të prerjes së projektit për të përfunduar zbatimin me sukses të projekteve të tilla.
Duke vendosur "Çelësin e anashkalimit të trokitjes së rrjetit" në një mënyrë të unifikuar, mënyra e vendosjes së pajisjeve të shumta të sigurisë të lidhura në seri në të njëjtën lidhje mund të ndryshohet nga "modaliteti i lidhjes fizike" në "lidhja fizike, modaliteti i lidhjes logjike" Lidhja në Lidhja e një pike të vetme dështimi për të përmirësuar besueshmërinë e lidhjes, ndërsa "bypass switch" në lidhjen rrjedh sipas kërkesës tërheqje, për të arritur të njëjtën rrjedhë me mënyra origjinale e efektit të përpunimit të sigurt.
Më shumë se një pajisje sigurie në të njëjtën kohë me diagramin e vendosjes në linjë:
Diagrami i vendosjes së çelësit të anashkalimit të rrjetit Mylinking™ TAP:
5.6 Bazuar në Strategjinë Dinamike të Mbrojtjes së Zbulimit të Sigurisë së Tërheqjes së Trafikut
"Rrjeti Tap Bypass Switch" Një tjetër skenar i avancuar i aplikacionit bazohet në strategjinë dinamike të aplikacioneve të mbrojtjes së zbulimit të sigurisë së tërheqjes së trafikut, vendosja e mënyrës siç tregohet më poshtë:
Merrni pajisjen e testimit të sigurisë "Mbrojtja dhe zbulimi i sulmeve Anti-DDoS", për shembull, përmes vendosjes së përparme të "Rrjetit Tap Bypass Switch" dhe më pas pajisjeve të mbrojtjes anti-DDOS dhe më pas lidheni me "Rrjetin Tap Bypass Switch", në " Mbrojtësin e zakonshëm të tërheqjes "në sasinë e plotë të përcjelljes së shpejtësisë së telit të trafikut në të njëjtën kohë daljen e pasqyrës së rrjedhës te "pajisja mbrojtëse kundër sulmit DDOS" ", pasi të zbulohet për një IP të serverit (ose segment rrjeti IP) pas sulmit," pajisja e mbrojtjes kundër sulmit DDOS " do të gjenerojë rregullat e përputhjes së fluksit të trafikut të synuar dhe do t'i dërgojë ato te " Ndërprerësi i anashkalimit të prekjes së rrjetit " përmes dorëzimit dinamik të politikave ndërfaqe. " Ndërprerësi i anashkalimit të prekjes së rrjetit " mund të përditësojë "dinamikën e tërheqjes së trafikut" pas marrjes së rregullave dinamike të politikave, Rregulli i grupit të rregullave "dhe menjëherë" godet trafikun e serverit të sulmit "tërheqje drejt pajisjeve të mbrojtjes dhe zbulimit të sulmeve kundër DDoS për përpunim, të jetë efektiv pas rrjedhës së sulmit dhe më pas të ri-injektohet në rrjet.
Skema e aplikimit e bazuar në "Rrjeti Tap Bypass Switch" është më e lehtë për t'u zbatuar sesa injektimi tradicional i rrugës BGP ose skema të tjera të tërheqjes së trafikut, dhe mjedisi është më pak i varur nga rrjeti dhe besueshmëria është më e lartë.
"Çelësi i anashkalimit të prekjes së rrjetit" ka karakteristikat e mëposhtme për të mbështetur mbrojtjen dinamike të zbulimit të sigurisë së politikave:
1, "Rrjeti Tap Bypass Switch" për të ofruar jashtë rregullave bazuar në ndërfaqen WEBSERIVCE, integrim të lehtë me pajisje sigurie të palëve të treta.
2, "BNetwork Tap Bypass Switch" bazuar në çipin e pastër të harduerit ASIC që përcjell paketa me shpejtësi teli deri në 10 Gbps pa bllokuar përcjelljen e çelësit dhe "bibliotekën e rregullave dinamike të tërheqjes së trafikut" pavarësisht nga numri.
3, "Rrjeti Tap Bypass Switch" i integruar në funksionin BYPASS profesional, edhe nëse dështimi i vetë mbrojtësit, gjithashtu mund të anashkalojë lidhjen serike origjinale menjëherë, nuk ndikon në lidhjen origjinale të komunikimit normal.