Mylinking™ Netwurk Tap Bypass Switch ML-BYPASS-100
2 * Bypass plus 1 * Monitor Modulêr ûntwerp, 10/40/100GE keppelings, maks. 640 Gbps
Oersjochten
De Mylinking™ Network Tap Bypass Switch is ûndersocht en ûntwikkele om te brûken foar fleksibele ynset fan ferskate soarten inline befeiligingsapparatuer, wylst hege netwurkbetrouberens wurdt levere.
Troch it ynsetten fan Mylinking™ Smart Bypass Switch Tap:
- Brûkers kinne fleksibel befeiligingsapparatuer/ark ynstallearje/deynstallearje en sille it hjoeddeistige netwurk net beynfloedzje en ûnderbrekke;
- Mylinking™ Network Tap Bypass Switch mei yntelliginte sûnensdeteksjefunksje foar realtime monitoring fan 'e normale wurkstatus fan' e inline befeiligingsapparaten. Sadree't de inline befeiligingsapparaten wurkje, sil de beskermingsfunksje automatysk bypasse om de normale netwurkkommunikaasje te behâlden;
- Selektive ferkearsbeskermingstechnology kin brûkt wurde om spesifike ferkearsreinigingsfeiligensapparatuer yn te setten, fersiferingstechnology basearre op 'e auditapparatuer. Fier effektyf de inline tagongsbeskerming út foar it spesifike ferkearstype, wêrtroch't de streambehannelingsdruk fan it inline-apparaat ûntlast wurdt;
- Load Balanced Traffic Protection-technology kin brûkt wurde foar klustere ynset fan feilige seriële inline-feiligensapparaten om te foldwaan oan de inline-feiligens yn omjouwings mei hege bânbreedte.
Netwurk Tap Bypass Switch Avansearre funksjes en technologyen
Mylinking™ “SpecFlow” beskermingsmodus en “FullLink” beskermingsmodus
Mylinking™ Fast Bypass Switching Protection
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dynamyske strategy Trochstjoere/Útjaan
Mylinking™ Intelligente hertslachberjochtdeteksje
Mylinking™ Definiearbere hertslachberjochten (hertslachpakketten)
Mylinking™ Multi-link Load Balancing
Mylinking™ Intelligente Ferkearsdistribúsje
Mylinking™ Dynamyske ladingbalâns
Mylinking™ Technology foar ôfstânsbehear (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig" skaaimerk)
Netwurk Tap Bypass Switch Opsjonele konfiguraasjegids
BYPASS-moduleBeskermingspoartemodule-slot:
Dizze slot kin ynfoege wurde yn in BYPASS-beskermingsportmodule mei ferskillende snelheden/poartenûmers. Troch ferskate soarten modules te ferfangen, kin it BYPASS-beskerming fan meardere 10G/40G/100G-keppelingseasken stypje.
MONITOR-modulePoartmodule-slot;
Yn dizze slot kin de MONITOR-module mei ferskate snelheden/poarten ynfoege wurde. It kin meardere keppelings fan 10G/40G/100G stypje foar ynset fan inline seriële monitoringapparaten troch it ferfangen fan ferskate modules.
Regels foar moduleseleksje
Op basis fan ferskate ynset keppelings en easken foar ynset fan monitoringapparatuer, kinne jo fleksibel ferskate modulekonfiguraasjes kieze om te foldwaan oan jo werklike omjouwingsfersyk; folgje asjebleaft de folgjende regels by it selektearjen fan jo module:
1. De chassiskomponinten binne ferplicht en jo moatte de chassiskomponinten selektearje foardat jo oare modules selektearje. Kies tagelyk ferskate stroomfoarsjenningsmetoaden (AC/DC) neffens jo behoeften.
2. It hiele apparaat stipet maksimaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot; jo kinne net mear as it oantal slots selektearje om te konfigurearjen. Op basis fan 'e kombinaasje fan it oantal slots en it modulemodel kin it apparaat maksimaal fjouwer 10GE-keppelingsbeskermingen stypje; of it kin maksimaal fjouwer 40GE-keppelings stypje; of it kin maksimaal ien 100GE-keppeling stypje.
3. It modulemodel "BYP-MOD-L1CG" kin allinich yn SLOT1 ynfoege wurde om goed te wurkjen.
4. It moduletype "BYP-MOD-XXX" kin allinnich yn it BYPASS-moduleslot ynfoege wurde; it moduletype "MON-MOD-XXX" kin allinnich yn it MONITOR-moduleslot ynfoege wurde foar normale wurking.
| Produktmodel | Funksjeparameters |
| Chassis (Host) | |
| ML-BYPASS-M100 | 1U standert 19-inch rackmount; maksimaal enerzjyferbrûk 250W; modulaire BYPASS-beskermhost; 2 BYPASS-moduleslots; 1 MONITOR-moduleslot; AC en DC opsjoneel; |
| BYPASS-MODULE | |
| BYP-MOD-L2XG (LM/SM) | Stipet 2-wei 10GE-keppeling seriële beskerming, 4 * 10GE-ynterface, LC-ferbining; ynboude optyske transceiver; optyske keppeling single / multimode opsjoneel, stipet 10GBASE-SR / LR; |
| BYP-MOD-L2QXG(LM/SM) | Stipet 2-wei 40GE-keppeling seriële beskerming, 4 * 40GE-ynterface, LC-ferbining; ynboude optyske transceiver; optyske keppeling single / multimode opsjoneel, stipet 40GBASE-SR4 / LR4; |
| BYP-MOD-L1CG (LM/SM) | Stipet 1-kanaal 100GE-keppeling seriële beskerming, 2 * 100GE-ynterface, LC-ferbining; ynboude optyske transceiver; optyske keppeling single multimode opsjoneel, stipet 100GBASE-SR4 / LR4; |
| MONITORMODULE | |
| MO-MOD-L16XG | 16*10GE SFP+ monitoringpoartemodule; gjin optyske transceivermodule; |
| MO-MOD-L8XG | 8*10GE SFP+ monitoringpoartemodule; gjin optyske transceivermodule; |
| MO-MOD-L2CG | 2*100GE QSFP28 monitoringpoartemodule; gjin optyske transceivermodule; |
| MO-MOD-L8QXG | 8 * 40GE QSFP + monitoringpoartemodule; gjin optyske transceivermodule; |
Spesifikaasjes fan netwurk TAP Bypass Switch
| Produktmodaliteit | ML-BYPASS-M100 Inline Netwurk Tap Bypass Switch | |
| Type ynterface | MGT-ynterface | 1 * 10/100/1000BASE-T Adaptive behearynterface; Stipe behear op ôfstân fan HTTP / IP |
| Module-slot | 2 * BYPASS-moduleslot; 1 * MONITOR-moduleslot; | |
| Keppelings dy't maksimaal stypje | Apparaat stipet maksimaal 4 * 10GE-keppelings of 4 * 40GE-keppelings of 1 * 100GE-keppelings | |
| Monitoaring | Apparaat stipet maksimaal 16 * 10GE monitoringpoarten of 8 * 40GE monitoringpoarten of 2 * 100GE monitoringpoarten; | |
| Funksje | Folsleine duplex ferwurkingsmooglikheid | 640Gbps |
| Basearre op IP/protokol/poarte fiif tupelspesifike ferkearskaskadebeskerming | Stipe | |
| Kaskadebeskerming basearre op folslein ferkear | Stipe | |
| Meardere load balancing | Stipe | |
| Oanpaste hertslachdeteksjefunksje | Stipe | |
| Stipe Ethernet-pakketûnôfhinklikens | Stipe | |
| BYPASS-SKAKEL | Stipe | |
| BYPASS-skeakel sûnder flits | Stipe | |
| KONSOLBEHEAR | Stipe | |
| IP/WEB Behear | Stipe | |
| SNMP V1/V2C MGT | Stipe | |
| TELNET/SSH Behear | Stipe | |
| SYSLOG-protokol | Stipe | |
| Brûkersautorisaasje | Basearre op wachtwurdautorisaasje/AAA/TACACS+ | |
| Elektrysk | Nominale spanning foar oanfier | AC-220V/DC-48V 【Opsjoneel】 |
| Nominale krêftfrekwinsje | 50HZ | |
| Nominale ynfierstroom | AC-3A / DC-10A | |
| Nominaal fermogen | 100W | |
| Miljeu | Wurktemperatuer | 0-50℃ |
| Opslachtemperatuer | -20-70 ℃ | |
| Wurkjende fochtigens | 10%-95%, Gjin kondensaasje | |
| Brûkerskonfiguraasje | Konsolekonfiguraasje | RS232-ynterface, 115200,8, N, 1 |
| Out-of-band MGT-ynterface | 1 * 10/100/1000M Ethernet-ynterface | |
| Wachtwurdautorisaasje | Stipe | |
| Chassis Hichte | Chassisromte (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
Netwurk TAP Bypass Switch Applikaasje (lykas folget)
5.1 It risiko fan inline befeiligingsapparatuer (IPS / FW)
It folgjende is in typyske IPS (Intrusion Prevention System), FW (Firewall) ynsetmodus, IPS / FW wurdt ynset as inline netwurkapparatuer (lykas routers, switches, ensfh.) tusken it ferkear troch de ymplemintaasje fan feiligenskontrôles, neffens it oerienkommende feiligensbelied om de frijlitting of blokkearring fan it oerienkommende ferkear te bepalen, om it effekt fan feiligensferdigening te berikken.
Tagelyk kinne wy IPS (Intrusion Prevention System) / FW (Firewall) observearje as in inline-ynset fan 'e apparatuer, meastentiids ynset op 'e kaailokaasje fan it bedriuwsnetwurk om inline-feiligens te ymplementearjen, de betrouberens fan 'e ferbûne apparaten beynfloedet direkt de algemiene beskikberens fan it bedriuwsnetwurk. Sadree't de inline-feiligensapparaten oerladen wurde, crashes, software-updates, beliedsupdates, ensfh., sil de beskikberens fan it heule bedriuwsnetwurk sterk beynfloede wurde. Op dit punt kinne wy allinich it netwurk trochbrekke en in fysike bypass-jumper brûke om it netwurk te herstellen, mar it hat serieuze ynfloed op 'e betrouberens fan it netwurk. IPS (Intrusion Prevention System) / FW (Firewall) en oare inline-apparaten ferbetterje oan 'e iene kant de ynset fan bedriuwsnetwurkfeiligens, mar ferminderje oan 'e oare kant ek de betrouberens fan bedriuwsnetwurken, wêrtroch it risiko dat it netwurk net beskikber is tanimt.
5.2 Beskerming fan apparatuer fan Inline Link Series
Mylinking™ "Bypass Switch" wurdt ynset as inline tusken netwurkapparaten (routers, switches, ensfh.), en de gegevensstream tusken netwurkapparaten liedt net mear direkt nei IPS (Intrusion Prevention System) / FW (Firewall), "Bypass Switch" nei IPS / FW, as de IPS / FW troch oerlêst, crash, software-updates, beliedsupdates en oare omstannichheden fan falen, de "Bypass Switch" troch yntelliginte heartbeat-berjochtdeteksjefunksje fan 'e tydlike ûntdekking, en sa it defekte apparaat oerslaan, sûnder de útgongspunt fan it netwurk te ûnderbrekken, de rappe netwurkapparatuer direkt ferbûn om it normale kommunikaasjenetwurk te beskermjen; by it herstel fan 'e IPS / FW-falen, mar ek troch yntelliginte Heartbeat Packets Detection fan 'e tydlike deteksjefunksje, de orizjinele keppeling om de feiligens fan bedriuwsnetwurkfeiligenskontrôles te herstellen.
Mylinking™ "Bypass Switch" hat in krêftige yntelliginte hertslachberjochtdeteksjefunksje, de brûker kin it hertslachynterval en it maksimale oantal opnij besykjen oanpasse, fia in oanpast hertslachberjocht op 'e IPS / FW foar sûnenstests, lykas it ferstjoeren fan it hertslachkontrôleberjocht nei de upstream / downstream-poarte fan IPS / FW, en dan ûntfange fan 'e upstream / downstream-poarte fan IPS / FW, en beoardielje oft de IPS / FW normaal wurket troch it ferstjoeren en ûntfangen fan it hertslachberjocht.
5.3 "SpecFlow" Beleidsstream Inline Traksje Series Beskerming
As it befeiligingsnetwurkapparaat allinich it spesifike ferkear yn searje befeiligingsbeskerming hoecht te behanneljen, wurdt it ferkear per ferwurkingsfunksje fan 'e Mylinking™ "Network Tap Bypass Switch", fia de ferkearsscreeningstrategy om it befeiligingsapparaat te ferbinen, direkt werom nei de netwurkferbining stjoerd, en wurdt it "betrokken ferkearsdiel" nei it ynline feiligensapparaat brocht om feiligenskontrôles út te fieren. Dit sil net allinich de normale tapassing fan 'e feiligensdeteksjefunksje fan it feiligensapparaat behâlde, mar ek de ineffisjinte stream fan 'e feiligensapparatuer ferminderje om mei de druk om te gean; tagelyk kin de "Network Tap Bypass Switch" de wurkomstannichheden fan it feiligensapparaat yn realtime detektearje. It feiligensapparaat wurket abnormaal en omseilt it gegevensferkear direkt om ûnderbrekking fan 'e netwurktsjinst te foarkommen.
De Mylinking™ Inline Traffic Bypass Tap kin ferkear identifisearje op basis fan 'e L2-L4-laachheader-identifikator, lykas VLAN-tag, boarne-/bestimmings-MAC-adres, boarne-IP-adres, IP-pakkettype, transportlaachprotokolpoarte, protokolheader-kaaigetag, ensafuorthinne. In ferskaat oan oerienkommende betingsten, fleksibele kombinaasjes kinne fleksibel definieare wurde om de spesifike ferkearstypen te definiearjen dy't fan belang binne foar in bepaald befeiligingsapparaat en kinne breed brûkt wurde foar de ynset fan spesjale befeiligingsauditingapparaten (RDP, SSH, databaseauditing, ensfh.).
5.4 Loadbalansearre searjebeskerming
De Mylinking™ "Network Tap Bypass Switch" wurdt ynset as inline tusken netwurkapparaten (routers, switches, ensfh.). As de prestaasjes fan ien IPS/FW-ferwurking net genôch binne om it pykferkear fan 'e netwurkferbining oan te kinnen, kin de ferkearsloadbalânsfunksje fan 'e beskermer, it "bundeljen" fan meardere IPS/FW-klusterferwurking en netwurkferbiningsferkear, de ferwurkingsdruk fan ien IPS/FW effektyf ferminderje en de algemiene ferwurkingsprestaasjes ferbetterje om te foldwaan oan 'e hege bânbreedte fan' e ynsetomjouwingseasken.
Mylinking™ "Network Tap Bypass Switch" hat in krêftige load balancing-funksje, neffens de frame VLAN-tag, MAC-ynformaasje, IP-ynformaasje, poartenûmer, protokol en oare ynformaasje oer de Hash load balancing-ferdieling fan ferkear om te soargjen dat elke IPS / FW gegevensstream Sesje-yntegriteit ûntfangt.
5.5 Beskerming tsjin streamtraktaasje fan meardere searjes ynline-apparatuer (feroarje seriële ferbining nei parallelle ferbining)
Yn guon wichtige keppelings (lykas ynternetútgongen, servergebietútwikselingskeppelings) wurdt de lokaasje faak feroarsake troch de behoeften oan feiligensfunksjes en de ynset fan meardere ynline feiligenstestapparatuer (lykas firewall (FW), anti-DDOS-oanfalsapparatuer, WEB Application Firewall (WAF), Intrusion Prevention System (IPS), ensfh.), meardere feiligensdeteksjeapparatuer tagelyk yn searje op 'e keppeling om de keppeling fan in single point of failure te fergrutsjen, wêrtroch't de algemiene betrouberens fan it netwurk ferminderet. En yn 'e hjirboppe neamde online ynset fan feiligensapparatuer, apparatuerupgrades, apparatuerferfanging en oare operaasjes sille it netwurk foar in lange tiid ûnderbrekke en in grutter projektbesunigingsaksje feroarsaakje om de suksesfolle ymplemintaasje fan sokke projekten te foltôgjen.
Troch de "Network Tap Bypass Switch" op in ferienige manier yn te setten, kin de ynsetmodus fan meardere befeiligingsapparaten dy't yn searje op deselde keppeling ferbûn binne, feroare wurde fan "fysike gearfoegingmodus" nei "fysike gearfoeging, logyske gearfoegingmodus". De keppeling op 'e keppeling fan in inkele punt fan falen om de betrouberens fan' e keppeling te ferbetterjen, wylst de "bypass switch" op 'e keppeling streamt op oanfraach traksje, om deselde stream te berikken mei de orizjinele modus fan feilich ferwurkingseffekt.
Mear as ien befeiligingsapparaat tagelyk as inline-ynsetdiagram:
Diagram foar ynset fan Mylinking™ Network TAP Bypass Switch:
5.6 Basearre op 'e Dynamyske Strategy fan Ferkearstraksjefeiligensdeteksjebeskerming
"Netwurk Tap Bypass Switch" In oar avansearre tapassingsscenario is basearre op 'e dynamyske strategy fan ferkearstraksjefeiligensdeteksjebeskermingsapplikaasjes, de ynset fan 'e manier lykas hjirûnder werjûn:
Nim bygelyks de feiligenstestapparatuer "Anti-DDoS-oanfalbeskerming en -deteksje", troch de front-end ynset fan "Network Tap Bypass Switch" en dan anti-DDOS-beskermingsapparatuer en dan ferbûn mei de "Network Tap Bypass Switch", yn 'e gewoane "Traction protector" om de folsleine hoemannichte ferkear triedsnelheid troch te stjoeren tagelyk de streamspegelútfier nei it "anty-DDOS-oanfalbeskermingsapparaat". Sadree't in server-IP (of IP-netwurksegment) nei de oanfal ûntdutsen is, sil "anty-DDOS-oanfalbeskermingsapparaat" de doelferkearstream-oerienkomstregels generearje en se nei de "Network Tap Bypass Switch" stjoere fia de dynamyske beliedsleveringsynterface. De "Network Tap Bypass Switch" kin de "ferkearstraksjedynamika" bywurkje nei it ûntfangen fan de dynamyske beliedsregelsregelpool "en direkt" regel rekket de oanfalsserverferkear "traksje nei de "anty-DDoS-oanfalbeskerming en -deteksje" apparatuer foar ferwurking, om effektyf te wêzen nei de oanfalstream en dan opnij yn it netwurk ynjektearre te wurden.
It applikaasjeskema basearre op de "Network Tap Bypass Switch" is makliker te ymplementearjen as de tradisjonele BGP-rûte-ynjeksje of oare ferkearstraksjeskema's, en de omjouwing is minder ôfhinklik fan it netwurk en de betrouberens is heger.
"Network Tap Bypass Switch" hat de folgjende skaaimerken om dynamyske beliedsfeiligensdeteksjebeskerming te stypjen:
1, "Network Tap Bypass Switch" om bûten de regels te leverjen basearre op WEBSERIVCE-ynterface, maklike yntegraasje mei befeiligingsapparaten fan tredden.
2, "BNetwork Tap Bypass Switch" basearre op 'e hardware suvere ASIC-chip dy't pakketten mei triedsnelheid oant 10 Gbps trochstjoert sûnder it trochstjoeren fan 'e skeakel te blokkearjen, en "dynamyske regelbibleteek foar ferkearslûking" nettsjinsteande it oantal.
3, "Network Tap Bypass Switch" ynboude profesjonele BYPASS-funksje, sels as de beskermer sels mislearret, kin de orizjinele seriële keppeling ek direkt bypasse, hat gjin ynfloed op de orizjinele keppeling fan normale kommunikaasje.
