Công tắc chuyển mạch bỏ qua điểm kết nối mạng Mylinking™ ML-BYPASS-100
Thiết kế dạng mô-đun với 2 đường truyền bypass và 1 đường truyền giám sát, hỗ trợ kết nối 10/40/100GE, tốc độ tối đa 640Gbps.
Tổng quan
Bộ chuyển mạch bỏ qua điểm kết nối mạng Mylinking™ được nghiên cứu và phát triển để sử dụng cho việc triển khai linh hoạt nhiều loại thiết bị an ninh nội tuyến khác nhau, đồng thời cung cấp độ tin cậy cao cho mạng.
Bằng cách triển khai thiết bị chuyển mạch thông minh Mylinking™ Smart Bypass Switch Tap:
- Người dùng có thể linh hoạt cài đặt/gỡ bỏ thiết bị/công cụ bảo mật mà không ảnh hưởng và không làm gián đoạn mạng hiện tại;
- Bộ chuyển mạch bỏ qua điểm kết nối mạng Mylinking™ với chức năng phát hiện trạng thái hoạt động thông minh giúp giám sát thời gian thực trạng thái hoạt động bình thường của các thiết bị an ninh nội tuyến. Khi các thiết bị an ninh nội tuyến hoạt động bất thường, chức năng bảo vệ sẽ tự động bỏ qua để duy trì liên lạc mạng bình thường;
- Công nghệ bảo vệ giao thông chọn lọc có thể được sử dụng để triển khai thiết bị an ninh làm sạch giao thông cụ thể, công nghệ mã hóa dựa trên thiết bị kiểm toán. Thực hiện hiệu quả việc bảo vệ truy cập nội tuyến cho loại giao thông cụ thể, giảm áp lực xử lý lưu lượng của thiết bị nội tuyến;
- Công nghệ Bảo vệ Lưu lượng Cân bằng Tải có thể được sử dụng để triển khai theo cụm các thiết bị bảo mật nối tiếp nội tuyến an toàn nhằm đáp ứng yêu cầu bảo mật nội tuyến trong môi trường băng thông cao.
Các tính năng và công nghệ nâng cao của bộ chuyển mạch bỏ qua điểm kết nối mạng
Chế độ bảo vệ “SpecFlow” và chế độ bảo vệ “FullLink” của Mylinking™
Bảo vệ chuyển mạch bỏ qua nhanh Mylinking™
Mylinking™ “LinkSafeSwitch”
Chiến lược động "Dịch vụ Web" Mylinking™ Chuyển tiếp/Phát hành
Phát hiện tin nhắn nhịp tim thông minh Mylinking™
Thông điệp nhịp tim có thể định nghĩa (Gói nhịp tim) của Mylinking™
Cân bằng tải đa liên kết Mylinking™
Phân phối lưu lượng truy cập thông minh Mylinking™
Cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™ (HTTP/WEB, TELNET/SSH, tính năng “EasyConfig/AdvanceConfig”)
Hướng dẫn cấu hình tùy chọn cho công tắc bỏ qua điểm kết nối mạng
Mô-đun bỏ quaKhe cắm mô-đun cổng bảo vệ:
Khe cắm này có thể được lắp vào mô-đun cổng bảo vệ BYPASS với tốc độ/số cổng khác nhau. Bằng cách thay thế các loại mô-đun khác nhau, nó có thể hỗ trợ bảo vệ BYPASS cho nhiều liên kết 10G/40G/100G theo yêu cầu.
Mô-đun GIÁM SÁTKhe cắm mô-đun cổng;
Khe cắm này có thể được lắp mô-đun GIÁM SÁT với các tốc độ/cổng khác nhau. Nó có thể hỗ trợ nhiều liên kết 10G/40G/100G để triển khai thiết bị giám sát nối tiếp nội tuyến bằng cách thay thế các mô-đun khác nhau.
Quy tắc lựa chọn mô-đun
Dựa trên các liên kết đã triển khai khác nhau và yêu cầu triển khai thiết bị giám sát, bạn có thể linh hoạt lựa chọn các cấu hình mô-đun khác nhau để đáp ứng yêu cầu môi trường thực tế của mình; vui lòng tuân theo các quy tắc sau trong quá trình lựa chọn mô-đun:
1. Các linh kiện khung máy là bắt buộc và bạn phải chọn các linh kiện khung máy trước khi chọn bất kỳ mô-đun nào khác. Đồng thời, vui lòng chọn các phương pháp cấp nguồn khác nhau (AC/DC) theo nhu cầu của bạn.
2. Toàn bộ thiết bị hỗ trợ tối đa 2 khe cắm mô-đun BYPASS và 1 khe cắm mô-đun MONITOR; bạn không thể chọn nhiều hơn số lượng khe cắm để cấu hình. Dựa trên sự kết hợp giữa số lượng khe cắm và kiểu mô-đun, thiết bị có thể hỗ trợ tối đa bốn liên kết bảo vệ 10GE; hoặc có thể hỗ trợ tối đa bốn liên kết 40GE; hoặc có thể hỗ trợ tối đa một liên kết 100GE.
3. Mô-đun model "BYP-MOD-L1CG" chỉ có thể được lắp vào khe SLOT1 để hoạt động bình thường.
4. Mô-đun loại "BYP-MOD-XXX" chỉ có thể được lắp vào khe cắm mô-đun BYPASS; mô-đun loại "MON-MOD-XXX" chỉ có thể được lắp vào khe cắm mô-đun MONITOR để hoạt động bình thường.
| Mô hình sản phẩm | Tham số hàm |
| Khung máy (Máy chủ) | |
| ML-BYPASS-M100 | Khung gắn tủ rack tiêu chuẩn 1U 19 inch; công suất tiêu thụ tối đa 250W; bộ điều khiển bảo vệ BYPASS dạng mô-đun; 2 khe cắm mô-đun BYPASS; 1 khe cắm mô-đun MONITOR; nguồn AC và DC tùy chọn; |
| Mô-đun bỏ qua | |
| BYP-MOD-L2XG(LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 10GE hai chiều, giao diện 4*10GE, đầu nối LC; tích hợp bộ thu phát quang; tùy chọn chế độ đơn/đa mode liên kết quang, hỗ trợ 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 40GE hai chiều, giao diện 4*40GE, đầu nối LC; tích hợp bộ thu phát quang; tùy chọn chế độ đơn/đa mode liên kết quang, hỗ trợ 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 100GE kênh, giao diện 2*100GE, đầu nối LC; bộ thu phát quang tích hợp; tùy chọn đa chế độ liên kết quang đơn, hỗ trợ 100GBASE-SR4/LR4; |
| MÔ-ĐUN GIÁM SÁT | |
| MON-MOD-L16XG | Mô-đun cổng giám sát 16*10GE SFP+; không có mô-đun thu phát quang; |
| MON-MOD-L8XG | Mô-đun cổng giám sát 8*10GE SFP+; không có mô-đun thu phát quang; |
| MON-MOD-L2CG | Mô-đun cổng giám sát 2*100GE QSFP28; không có mô-đun thu phát quang; |
| MON-MOD-L8QXG | Mô-đun cổng giám sát 8* 40GE QSFP+; không có mô-đun thu phát quang; |
Thông số kỹ thuật của công tắc bỏ qua TAP mạng
| Phương thức sản phẩm | Công tắc chuyển mạch bỏ qua điểm lấy tín hiệu mạng ML-BYPASS-M100 | |
| Loại giao diện | Giao diện MGT | Giao diện quản lý thích ứng 1*10/100/1000BASE-T; Hỗ trợ quản lý từ xa HTTP/IP. |
| Khe cắm mô-đun | 2 khe cắm mô-đun BYPASS; 1 khe cắm mô-đun MONITOR; | |
| Các liên kết hỗ trợ tối đa | Thiết bị hỗ trợ tối đa 4 liên kết 10GE hoặc 4 liên kết 40GE hoặc 1 liên kết 100GE. | |
| Giám sát | Thiết bị hỗ trợ tối đa 16 cổng giám sát 10GE hoặc 8 cổng giám sát 40GE hoặc 2 cổng giám sát 100GE; | |
| Chức năng | Khả năng xử lý song công toàn phần | 640Gbps |
| Dựa trên cơ chế bảo vệ lưu lượng truy cập theo tầng gồm năm cặp giá trị IP/giao thức/cổng. | Được hỗ trợ | |
| Bảo vệ theo tầng dựa trên lưu lượng truy cập đầy đủ | Được hỗ trợ | |
| Cân bằng tải đa cấp | Được hỗ trợ | |
| Chức năng phát hiện nhịp tim tùy chỉnh | Được hỗ trợ | |
| Hỗ trợ tính độc lập của gói Ethernet | Được hỗ trợ | |
| CÔNG TẮC BỎ QUA | Được hỗ trợ | |
| Công tắc BYPASS không cần flash | Được hỗ trợ | |
| QUẢN LÝ BẢNG ĐIỀU KHIỂN | Được hỗ trợ | |
| Quản lý IP/Web | Được hỗ trợ | |
| Quản lý SNMP V1/V2C | Được hỗ trợ | |
| Quản lý TELNET/SSH | Được hỗ trợ | |
| Giao thức SYSLOG | Được hỗ trợ | |
| Ủy quyền người dùng | Dựa trên xác thực mật khẩu/AAA/TACACS+ | |
| Điện | Điện áp nguồn định mức | AC-220V/DC-48V【Tùy chọn】 |
| Tần số công suất định mức | 50Hz | |
| Dòng điện đầu vào định mức | AC-3A / DC-10A | |
| Công suất định mức | 100W | |
| Môi trường | Nhiệt độ làm việc | 0-50℃ |
| Nhiệt độ bảo quản | -20-70℃ | |
| Độ ẩm làm việc | 10%-95%, Không ngưng tụ | |
| Cấu hình người dùng | Cấu hình bảng điều khiển | Giao diện RS232, 115200, 8, N, 1 |
| Giao diện MGT ngoài băng tần | 1 giao diện Ethernet 10/100/1000M | |
| Xác thực mật khẩu | Được hỗ trợ | |
| Chiều cao khung gầm | Không gian khung gầm (U) | Màn hình 1U 19 inch, kích thước 485mm*44.5mm*350mm |
Ứng dụng chuyển mạch bỏ qua TAP mạng (như sau)
5.1 Rủi ro của thiết bị bảo mật nội tuyến (IPS / FW)
Sau đây là một ví dụ điển hình về chế độ triển khai IPS (Hệ thống ngăn chặn xâm nhập) và FW (Tường lửa): IPS/FW được triển khai như một thiết bị mạng nội tuyến (chẳng hạn như bộ định tuyến, bộ chuyển mạch, v.v.) để thực hiện kiểm tra an ninh giữa các luồng dữ liệu, dựa trên chính sách an ninh tương ứng để xác định việc cho phép hoặc chặn các luồng dữ liệu đó, nhằm đạt được hiệu quả bảo vệ an ninh.
Đồng thời, chúng ta có thể thấy IPS (Hệ thống ngăn chặn xâm nhập) / FW (Tường lửa) được triển khai như một thiết bị nội tuyến, thường được đặt tại các vị trí trọng yếu của mạng doanh nghiệp để thực hiện bảo mật nội tuyến, độ tin cậy của các thiết bị được kết nối ảnh hưởng trực tiếp đến tính khả dụng tổng thể của mạng doanh nghiệp. Khi các thiết bị bảo mật nội tuyến bị quá tải, gặp sự cố, cập nhật phần mềm, cập nhật chính sách, v.v., tính khả dụng của toàn bộ mạng doanh nghiệp sẽ bị ảnh hưởng nghiêm trọng. Tại thời điểm này, chúng ta chỉ có thể khôi phục mạng bằng cách cắt mạng hoặc sử dụng dây nối vật lý, nhưng điều này ảnh hưởng nghiêm trọng đến độ tin cậy của mạng. IPS (Hệ thống ngăn chặn xâm nhập) / FW (Tường lửa) và các thiết bị nội tuyến khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
5.2 Bảo vệ thiết bị dòng Inline Link
Bộ chuyển mạch bỏ qua Mylinking™ được triển khai giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.), và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS (Hệ thống ngăn chặn xâm nhập) / FW (Tường lửa). Khi IPS/FW gặp sự cố do quá tải, treo máy, cập nhật phần mềm, cập nhật chính sách hoặc các điều kiện khác, "Bộ chuyển mạch bỏ qua" sẽ thông qua chức năng phát hiện tín hiệu nhịp tim thông minh để kịp thời phát hiện và bỏ qua thiết bị bị lỗi, mà không làm gián đoạn mạng, nhanh chóng kết nối trực tiếp với các thiết bị mạng để bảo vệ mạng truyền thông bình thường; khi IPS/FW bị lỗi và phục hồi, nó cũng thông qua chức năng phát hiện gói tín hiệu nhịp tim thông minh để kịp thời phát hiện, khôi phục lại kết nối ban đầu và đảm bảo an ninh mạng doanh nghiệp.
Bộ chuyển mạch bypass Mylinking™ có chức năng phát hiện tín hiệu nhịp tim thông minh mạnh mẽ, người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua một tín hiệu nhịp tim tùy chỉnh trên IPS/FW để kiểm tra tình trạng hoạt động, chẳng hạn như gửi tín hiệu kiểm tra nhịp tim đến cổng thượng nguồn/hạ nguồn của IPS/FW, sau đó nhận từ cổng thượng nguồn/hạ nguồn của IPS/FW, và đánh giá xem IPS/FW có hoạt động bình thường hay không bằng cách gửi và nhận tín hiệu nhịp tim.
5.3 Chính sách “SpecFlow” Dòng chảy thẳng hàng Bảo vệ
Khi thiết bị mạng an ninh chỉ cần xử lý lưu lượng cụ thể trong chuỗi bảo vệ an ninh, thông qua chức năng xử lý lưu lượng "Bộ chuyển mạch bỏ qua điểm truy cập mạng" của Mylinking™, bằng chiến lược sàng lọc lưu lượng, lưu lượng "Cần quan tâm" được kết nối với thiết bị an ninh và được gửi trực tiếp trở lại liên kết mạng, đồng thời "phần lưu lượng cần quan tâm" được kéo đến thiết bị an toàn nội tuyến để thực hiện kiểm tra an toàn. Điều này không chỉ duy trì hoạt động bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn giảm áp lực xử lý lưu lượng không hiệu quả của thiết bị an toàn; đồng thời, "Bộ chuyển mạch bỏ qua điểm truy cập mạng" có thể phát hiện tình trạng hoạt động của thiết bị an toàn trong thời gian thực. Nếu thiết bị an toàn hoạt động bất thường, nó sẽ trực tiếp bỏ qua lưu lượng dữ liệu để tránh gián đoạn dịch vụ mạng.
Thiết bị Mylinking™ Inline Traffic Bypass Tap có thể nhận dạng lưu lượng truy cập dựa trên định danh tiêu đề lớp L2-L4, chẳng hạn như thẻ VLAN, địa chỉ MAC nguồn/đích, địa chỉ IP nguồn, loại gói IP, cổng giao thức lớp vận chuyển, thẻ khóa tiêu đề giao thức, v.v. Có thể định nghĩa linh hoạt nhiều tổ hợp điều kiện khớp khác nhau để xác định các loại lưu lượng truy cập cụ thể mà thiết bị bảo mật quan tâm và có thể được sử dụng rộng rãi để triển khai các thiết bị kiểm toán bảo mật đặc biệt (RDP, SSH, kiểm toán cơ sở dữ liệu, v.v.).
5.4 Bảo vệ nối tiếp cân bằng tải
Thiết bị chuyển mạch bỏ qua điểm kiểm soát mạng Mylinking™ được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.). Khi hiệu năng xử lý của một IPS/FW đơn lẻ không đủ để đáp ứng lưu lượng truy cập cao điểm của liên kết mạng, chức năng cân bằng tải của thiết bị bảo vệ, bằng cách "gộp" nhiều cụm xử lý IPS/FW, có thể giảm thiểu hiệu quả áp lực xử lý của từng IPS/FW, cải thiện hiệu năng xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Thiết bị chuyển mạch bỏ qua điểm kết nối mạng Mylinking™ có chức năng cân bằng tải mạnh mẽ, dựa trên thẻ VLAN khung, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác để phân phối lưu lượng cân bằng tải băm, đảm bảo tính toàn vẹn của luồng dữ liệu mà mỗi IPS/FW nhận được.
5.5 Bảo vệ chống mất cân bằng dòng chảy thiết bị đa series (Thay đổi kết nối nối tiếp thành kết nối song song)
Tại một số liên kết quan trọng (như các điểm truy cập Internet, liên kết trao đổi khu vực máy chủ), vị trí đặt thường do nhu cầu về các tính năng bảo mật và việc triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa (FW), thiết bị chống tấn công DDoS, tường lửa ứng dụng web (WAF), hệ thống ngăn chặn xâm nhập (IPS), v.v.), việc đặt đồng thời nhiều thiết bị phát hiện bảo mật nối tiếp trên liên kết làm tăng điểm lỗi đơn lẻ trên liên kết, làm giảm độ tin cậy tổng thể của mạng. Và trong quá trình triển khai trực tuyến các thiết bị bảo mật nêu trên, việc nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác sẽ gây ra gián đoạn dịch vụ mạng trong thời gian dài và đòi hỏi chi phí cắt giảm dự án lớn hơn để hoàn thành việc thực hiện thành công các dự án đó.
Bằng cách triển khai "Bộ chuyển mạch bỏ qua điểm kiểm soát mạng" một cách thống nhất, chế độ triển khai của nhiều thiết bị an ninh được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ "chế độ nối tiếp vật lý" sang "chế độ nối tiếp vật lý, nối tiếp logic". Điều này giúp cải thiện độ tin cậy của liên kết, đồng thời "bộ chuyển mạch bỏ qua" trên liên kết cho phép truyền dữ liệu theo yêu cầu, nhằm đạt được hiệu quả xử lý an toàn tương tự như chế độ ban đầu.
Sơ đồ triển khai nhiều thiết bị an ninh cùng lúc:
Sơ đồ triển khai bộ chuyển mạch bỏ qua TAP mạng Mylinking™:
5.6 Dựa trên Chiến lược Động về Bảo vệ Phát hiện An ninh Lực kéo Giao thông
"Bộ chuyển mạch bỏ qua điểm thu tín hiệu mạng" Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lưu lượng truy cập, cách triển khai như hình dưới đây:
Ví dụ, hãy xem xét thiết bị kiểm tra an ninh "Chống và phát hiện tấn công DDoS". Thông qua việc triển khai "Bộ chuyển mạch bỏ qua điểm thu mạng" ở phía trước, thiết bị chống DDoS được kết nối với "Bộ chuyển mạch bỏ qua điểm thu mạng". "Bộ bảo vệ kéo" thông thường sẽ chuyển tiếp toàn bộ lưu lượng truy cập với tốc độ đường truyền tối đa, đồng thời sao chép luồng dữ liệu xuất ra "thiết bị bảo vệ chống tấn công DDoS". Khi phát hiện thấy một địa chỉ IP máy chủ (hoặc phân đoạn mạng IP) bị tấn công, "thiết bị bảo vệ chống tấn công DDoS" sẽ tạo ra các quy tắc khớp luồng lưu lượng mục tiêu và gửi chúng đến "Bộ chuyển mạch bỏ qua điểm thu mạng" thông qua giao diện phân phối chính sách động. "Bộ chuyển mạch bỏ qua điểm thu mạng" có thể cập nhật "lưu lượng kéo động" sau khi nhận được "kho quy tắc" các quy tắc chính sách động và ngay lập tức "kéo lưu lượng truy cập máy chủ bị tấn công theo quy tắc" đến thiết bị "chống và phát hiện tấn công DDoS" để xử lý, nhằm ngăn chặn hiệu quả luồng tấn công và sau đó đưa trở lại mạng.
Phương án ứng dụng dựa trên "Bộ chuyển mạch bỏ qua điểm lấy dữ liệu mạng" dễ thực hiện hơn so với phương án chèn tuyến BGP truyền thống hoặc các phương án truyền tải lưu lượng khác, đồng thời môi trường ít phụ thuộc vào mạng và độ tin cậy cao hơn.
"Bộ chuyển mạch bỏ qua điểm thu tín hiệu mạng" có các đặc điểm sau để hỗ trợ bảo vệ phát hiện an ninh chính sách động:
1. "Công tắc bỏ qua điểm kiểm soát mạng" cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERVICE, dễ dàng tích hợp với các thiết bị an ninh của bên thứ ba.
2. "Bộ chuyển mạch bỏ qua điểm chạm BNetwork" dựa trên chip ASIC thuần túy phần cứng, chuyển tiếp các gói dữ liệu tốc độ cao lên đến 10Gbps mà không chặn quá trình chuyển tiếp của bộ chuyển mạch, và "thư viện quy tắc động theo lưu lượng" bất kể số lượng.
3. "Công tắc bỏ qua điểm kết nối mạng" tích hợp chức năng BYPASS chuyên nghiệp, ngay cả khi bản thân thiết bị bảo vệ bị lỗi, vẫn có thể bỏ qua liên kết nối tiếp ban đầu ngay lập tức, không ảnh hưởng đến hoạt động giao tiếp bình thường của liên kết ban đầu.
