Mylinking™ тармактык пакет брокери жана ML-NPB-M2000 ичиндеги айланып өтүүчү которгуч
Айланып өтүүчү модуль: 8*10G SFP+ жана 4*100GE, Монитор модулу: 16*10GE SFP+ жана 4*100GE, макс. 2.4 Тбит/сек
1-Сереп салуулар
Интернеттин тез өнүгүшү менен тармактык маалыматтык коопсуздук коркунучу барган сайын олуттуу болуп баратат, ошондуктан маалыматтык коопсуздукту коргоонун ар кандай тиркемелери барган сайын кеңири колдонулууда. Салттуу кирүүнү көзөмөлдөө жабдуулары (брандмауэр) болобу же жаңы типтеги өнүккөн коргоо каражаттары, мисалы, басып кирүүнү алдын алуу системасы (IPS), Бирдиктүү коркунучтарды башкаруу платформасы (UTM), Анти-DDoS кызматынын чабуулуна каршы система (Anti-Spam), Анти-Spam Gateway, Бирдиктүү DPI трафикти идентификациялоо жана башкаруу системасы жана көптөгөн коопсуздук түзмөктөрү тармактын негизги түйүндөрүнө удаалаш жайгаштырылат, мыйзамдуу/мыйзамсыз трафикти аныктоо жана чечүү үчүн тиешелүү маалыматтардын коопсуздугу саясатын ишке ашыруу керек. Бирок, ошол эле учурда, компьютердик тармак чоң кечигүүнү же ал тургай тармактын үзгүлтүккө учурашын жаратат, эгерде бул өтө ишенимдүү өндүрүштүк тармактык тиркеме чөйрөсүндө иштебей калса, техникалык тейлөө, жаңыртуу, жабдууларды алмаштыруу ж.б.у.с., колдонуучулар муну көтөрө алышпайт.
ML-NPB-M2000 Mylinking™ тармактык пакет брокери жана Inline Bypass Switch жогорку тармактык ишенимдүүлүктү камсыз кылуу менен бирге ар кандай типтеги сериялык коопсуздук жабдууларын ийкемдүү жайгаштыруу үчүн колдонула тургандыгы изилденип жана иштелип чыккан.
Mylinking™ тармактык пакет брокерин жана Inline Bypass Switchти орнотуу менен:
●Колдонуучулар коопсуздукту коргоочу түзүлүштөрдү учурдагы тармакка таасир этпестен же үзгүлтүккө учуратпастан ийкемдүү түрдө орното/алып сала алышат;
● Туташкан коопсуздук түзмөктөрүнүн кадимки иштөө абалын реалдуу убакыт режиминде көзөмөлдөө үчүн акылдуу ден соолукту аныктоо функциясы бар. Туташкан коопсуздук түзмөгү иштебей калганда, коргоочу кадимки тармактык байланышты сактоо үчүн автоматтык түрдө айланып өтөт.
●Трафикти тандоо менен коргоо технологиясын белгилүү бир трафикти тазалоочу коопсуздук жабдууларын, шифрлөөгө негизделген аудит жабдууларын ж.б. жайгаштыруу үчүн колдонсо болот. Ал белгилүү бир трафик түрлөрү үчүн ички кирүүнү коргоону натыйжалуу ишке ашырат, ички түзмөктөрдүн трафикти иштетүү жүгүн азайтат.
● Жүктү теңдөөчү трафикти коргоо технологиясы жогорку өткөрүү жөндөмдүүлүгүнүн басымы чөйрөсүндө коопсуздукту коргоо муктаждыктарын канааттандыруу үчүн кластерлерде коопсуз линия ичиндеги түзмөктөрдү жайгаштыруу үчүн колдонулушу мүмкүн.
●Ал SSL прокси мүмкүнчүлүктөрүнө ээ, ачык тексттик маалыматтардын мазмуну үчүн коопсуздукту коргоо түзүлүштөрүнүн мониторинг жана талдоо талаптарына жооп берет.
● Ал трафикти репликациялоо, агрегациялоо, чыпкалоо жана белгилөө сыяктуу негизги трафикти иштетүү мүмкүнчүлүктөрүнө, ошондой эле кайталоолорду алып салуу, маскалоо, тиркеме катмарынын протоколун аныктоо жана трафикти калыптандыруу сыяктуу өркүндөтүлгөн трафикти иштетүү мүмкүнчүлүктөрүнө ээ.
2-Mylinking™ Тармактык Пакет Брокери жана Inline Bypass Switch Өркүндөтүлгөн Функциялары жана Технологиялары
Mylinking™ “SpecFlow” коргоо режими жана “FullLink” коргоо режими технологиясы
Mylinking™ тез айланып өтүү которуштуруудан коргоо технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалык саясатты багыттоо/чыгаруу технологиясы
Mylink™ акылдуу жүрөктүн согушу пакетин аныктоо технологиясы
Менин шилтемем™ Аныкталуучу жүрөк согушу пакеттери технологиясы
Менин шилтемем™ Көп звенолуу жүктү теңдөө технологиясы
Менин шилтемем™ Акылдуу трафикти бөлүштүрүү технологиясы
Менин шилтемем™ Динамикалык жүктү теңдөө технологиясы
Менин шилтемем™ Алыстан башкаруу технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” мүнөздөмөсү)
3-Mylinking™ Тармак Пакет Брокери жана Инлайн Айланып Өтүүчү Коммутаторду Конфигурациялоо боюнча Колдонмо
Жогорудагы диаграммада көрсөтүлгөндөй, бүтүндөй блок төрт модулдук уячадан турат:
SLOT1, SLOT2, SLOT3 жана SLOT4 модулдук уячаларынын баары ар кандай ылдамдыктары жана порт номерлери бар BYPASS коргоо порт модулдарын же MONITOR порт модулдарын жайгаштыра алат. Модулдардын ар кандай моделдерин алмаштыруу менен, бир нече 10G/40G/100G байланыштары үчүн BYPASS коргоосун колдоого, ошондой эле бир нече 10G/40G/100G байланыштары үчүн Inline Bypass мониторинг жабдууларын жайылтууга болот.
Эскертүү: BYPASS модулу да, MONITOR модулу да ысык алмаштырууну колдойт.
3.1-Модулдун мүнөздөмөлөрүнүн тизмеси
| Продукциянын модели | ФункционалдыкPараметрлер |
| Cхассис | |
| ML-NPB-M2000-CHS/AC | 2U стандарттуу 19 дюймдук стеллаж; максималдуу кубаттуулукту керектөө 300 Вт; модулдук BYPASS коргоочу негизги блок; 4 модулдук уяча; 1*RS232 консолдук интерфейси, 1*10/100/1000M тышкы тармактык башкаруусу бар RJ45 интерфейси; кош кубат булагы AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U стандарттуу 19 дюймдук стеллаж; максималдуу кубаттуулукту керектөө 300 Вт; модулдук BYPASS коргоочу негизги блок; 4 модулдук уяча; 1*RS232 консолдук интерфейси, тышкы тармактык башкаруусу бар 1*10/100/1000M RJ45 интерфейси; кош кубат булагы DC-48V; |
| Айланып өтүүMодуле | |
| INL-I8XM8X(LM/SM) | Жалпысынан 8 * 10GE интерфейстери бар 4 тараптуу 10GE (1G менен шайкеш келген) шилтеме сериялык туташуу коргоосун колдойт; 8 * 10G SFP+ мониторинг портторун (оптикалык модулдарды кошпогондо) колдойт. |
| INL-I4HM2H (LM/SM) | Жалпысынан 4 * 100GE интерфейстери бар 2 тараптуу 100GE (40GE шайкеш) шилтеме сериялык коргоосун колдойт; 2 * 100GE QSFP28 мониторинг портторун (оптикалык модулдарды кошпогондо) колдойт. |
| МОНИТОР модулу | |
| ДҮЙНӨ-M16X | 16 * 10GE SFP+ мониторинг порттору (оптикалык модулдарды кошпогондо); |
| MON-M16X-CN98 | 16 * 10GE SFP+ мониторинг порттору (оптикалык модуль кошулган эмес); SSL чечмелөөнү айланып өтүү, SSL прокси жана трафиктин кайталанышын жок кылуу сыяктуу өнүккөн трафикти иштетүү функцияларын колдогон өркүндөтүлгөн функция кыймылдаткычы менен жабдылган; |
| Дүйшөмбү-M4H | 4 * 100GE QSFP28 мониторинг порттору (оптикалык модулдар кошулган эмес); |
| Дүйшөмбү-M4H-CN98 | 4 * 100GE QSFP28 мониторинг порттору (оптикалык модулдар кошулган эмес); SSL чечмелөөнү айланып өтүү, SSL прокси жана трафиктин кайталанышын жок кылуу сыяктуу өнүккөн трафикти иштетүү функцияларын колдогон өркүндөтүлгөн функция кыймылдаткычы менен жабдылган; |
3.2-Модулду тандоо эрежелери
Ар кандай корголгон шилтемелерге жана мониторинг жабдууларын жайгаштыруу талаптарына таянып, сиз өзүңүздүн чыныгы чөйрө муктаждыктарыңызды канааттандыруу үчүн ар кандай модулдук конфигурацияларды ийкемдүү түрдө тандай аласыз; тандоодо төмөнкү эрежелерди сактаңыз:
1) Шассинин жыйындысы милдеттүү компонент болуп саналат жана башка модулдарды тандоодон мурун тандалышы керек. Ошондой эле, муктаждыктарыңызга жараша тиешелүү электр менен камсыздоо ыкмасын (AC/DC) тандаңыз.
2) Түзмөк эң көп дегенде 4 модулдук уячаны колдойт; конфигурациялоо үчүн уячалардын санынан ашык модулдарды тандай албайсыз. Ар кандай модулдук моделдердин ийкемдүү айкалышына негизделген, түзмөк 16га чейин 10GE/GE шилтемелерин же 8 100GE/40GE шилтемелерин сериялык коргоону колдой алат.
4-Акылдуу трафикти иштетүү жөндөмдөрү
4.1-Сап ичинде жайылтуу
Трафиктин линия ичиндеги атайын коргоосу
Ал колдойтСап ичиндеги(сериялык)каалаган жерде белгилүү бир трафик түрлөрү үчүн коргоо режимисап ичиндешилтеме.Toколдонуучу көрсөткөн трафиктин айрым түрлөрүн жөнөтүүсап ичиндешилтемеСап ичинде Sкоопсуздуктүзмөкиштетүү үчүн, ал эми калган трафик түздөн-түз агып өтпөстөн жөнөтүлөтСап ичинде SкоопсуздуктүзмөкОшол эле учурда,itиштеп жаткан абалын реалдуу убакыт режиминде көзөмөлдөйтСап ичинде SкоопсуздуктүзмөкТрафикти иштетүүнүн анормалдуу абалы табылгандан кийин,itтармактык кызматтын үзгүлтүксүздүгүн камсыз кылуу үчүн трафикти өткөрүү жолунан автоматтык түрдө айланып өтөт.
Бардык жол кыймылын коргоо линиясы
Ал колдойтСап ичиндеги(сериялык)каалаган жердеги бардык жол кыймылынын түрлөрү үчүн коргоо режимисап ичиндешилтеме.Toбардык трафикти өткөрүп берүүсап ичиндешилтемеСап ичинде Sкоопсуздуктүзмөкиштетүү үчүн жана Inline Security'дин иштөө абалын көзөмөлдөө үчүнтүзмөкреалдуу убакыт режиминде. Трафикти иштетүүнүн анормалдуу абалы табылгандан кийин,itтармактык кызматтын үзгүлтүксүздүгүн камсыз кылуу үчүн трафикти өткөрүү жолунан автоматтык түрдө айланып өтөт.
Жүк балансы
Ал акылдуу трафик жүгүн тең салмактоо мүмкүнчүлүгүнө ээ. Бир гана нерсени иштетүүдөСап ичинде Sкоопсуздуктүзмөкменен күрөшүүгө жетиштүү эмессап ичиндебайланыш трафигин байланыштыруу менен, ал бөлүштүрө алатсап ичиндежүктү теңдөөчү топту конфигурациялоо аркылуу трафикти N Monitor интерфейстерине байланыштыруу. MAC, IP маалыматы, порт номери, протокол жана башка маалыматтарга ылайык,itкошумча Хэш алгоритминин жүктү теңдөөчү чыгаруусун аткарат, ошондуктансап ичиндешилтеме трафиги бир нече байланыштарга бирдей бөлүштүрүлөтсап ичиндекоопсуздуккуралкластердик иштетүү үчүн, бул жалпы иштетүү көрсөткүчтөрүн натыйжалуу жакшыртатсап ичиндекоопсуздуккуралс. Жогорку өткөрүү жөндөмдүүлүгүнүн жана чоң трафиктин тиркеме сценарийлеринин талаптарына ылайыкташтыруу үчүн.
Жүрөктүн согушу пакетин аныктоо
Ал колдойтTxжанаRxжүрөктүн согушун аныктоо пакеттери туташкан байланыштын жогорку жана төмөнкү линиясы аркылуусап ичиндекоопсуздук түзмөктөрүн аныктайт жанасап ичиндеги куралдариштөө абалы жана трафикти иштетүү процесси кадимкидейби. Эки багыттуу жүрөктүн кагышыпакетаныктоо механизми учурдагы иштөө абалын так чагылдыра алатсап ичиндекоопсуздуктүзмөкжана тармактын кадимкидей иштешин натыйжалуураак камсыз кылат.
Ал каалаган жүрөктүн кагышынын параметрлерин ыңгайлаштыра алатсап ичиндежүрөктүн кагышын басуу сыяктуу коопсуздук түзүлүшү,Txинтервал убактысы, жүрөктүн максималдуу кайталоо убактысы, жүрөктүн кагышынын кайталоосу, жүрөктүн кагышынын кайталоосуTxбагыт ж.б. Ал ката абалын аныктап, баалай алатсап ичиндекоопсуздук түзмөктөрүн өз убагында иштетүү жана коргоо байланыштарын тез айланып өтүүнү ишке ашыруу.
Жүрөктүн согушун аныктоочу пакеттер - бул демейки Ethernet 2-кабатынын кадрлары. 2-кабаттын тунук көпүрө режими (мисалы, IPS/FW) жайгаштырылганда, 2-кабаттын Ethernet кадрлары бөгөттөөсүз же түшүрбөстөн кадимкидей жөнөтүлөт. Ошол эле учурда, ал кээ бир атайын шарттарга ылайыкташуу үчүн ыңгайлаштырылган Ethernet 2, 3 жана 4-кабаттын жүрөктүн согушун аныктоо пакеттерин да колдой алат.сап ичиндекоопсуздук түзмөктөрү кадимки Ethernet 2-деңгээлдеги кадрларды жөнөтө алышпайт.
Жогорудагы механизмдин негизинде, колдонуучулар туташкан коопсуздук түзмөктөрүнүн тейлөө деңгээлиндеги ден соолукту аныктоо эффектин түшүнө алышат, ошентип ал коопсуздук кызматтарынын кадимкидей иштешин натыйжалуураак камсыздай алат.
Айланып өтүү которуштуруу
Ал өтө төмөн айланып өтүүнү колдойткоторуштуруукечигүү (<8мс), жана түзмөк айланып өтүүнү аткарганда колдонуучулар тармакка тийгизген таасирин дээрлик сезишпейткоторуштурууОшол эле учурда, түзмөккө тиешелүү шилтеме которуштуруу технологиясы айланып өтүү учурунда негизги шилтеменин байланыш абалына таасир этпөөсүн камсыздай алат.которуштурууБул технология айланып өтүүнү камсыздайткоторуштуруукоопсузураак жана корголгон шилтемелердин 2-кабатынын / 3-кабатынын топология протоколунун кайра эсептөөсүнө жана конвергенциясына алып келбейт, ошентип колдонуучу тармагына тийгизген таасирин минималдаштыруу үчүнкоторуштуруу.
Жол кыймылын бөгөттөө
Коопсуздук түзмөгү трафиктен мыйзамсыз же анормалдуу сеанс байланыштарын аныктап, аларды өз убагында бөгөттөө керек болгондо, түзмөк трафиктин жогору/ылдый жагындагы каалаган көрсөтүлгөн пакеттерди кармап кала алатсап ичиндетармактык кызматтардын коопсуз иштешин камсыз кылуу үчүн байланышты дал келтирүүчү чыпка шарттарына негизделген.
Жол кыймылынын күзгүсү
Ички байланыштын жана Ички коопсуздук түзмөгүнүн (мисалы, IPS, WAF) трафигин коргоодон тышкары, SPAN күзгүсүнө айланган ар кандай трафикти SPAN коопсуздук мониторинг системасына (мисалы, IDS, APT) чыгарууга болот, бул SPAN трафик маалыматтарын мониторингдөөнүн же трафикти текшерүүнүн жана текшерүүнүн жайылтуу талаптарын канааттандырат.
SSL проксиси
SSL прокси функциясы аркылуу баштапкы шифрленген пакет чечмеленип, ички коопсуздукту коргоо системасына жөнөтүлөт, андан кийин чечмеленген маалыматтар калыбына келтирилип, баштапкы шилтемеге кайра жөнөтүлөт, ошентип чечмеленген маалыматтар колдонуучунун баштапкы шилтемесинде шифрленген маалыматтардын берилишине таасир этпестен, ички коопсуздукту коргоо системасына берилет жана талдоо системасы тарабынан шифрленген маалыматтарды көзөмөлдөөнү жана талдоону жүзөгө ашырат.
4.2-SPAN жайылтуу
Тармак трафигин репликациялоо
Ал колдойтСап ичиндеги(сериялык)каалаган жерде белгилүү бир трафик түрлөрү үчүн коргоо режимисап ичиндешилтеме.Toколдонуучу көрсөткөн трафиктин айрым түрлөрүн жөнөтүүсап ичиндешилтемеСап ичинде Sкоопсуздуктүзмөкиштетүү үчүн, ал эми калган трафик түздөн-түз агып өтпөстөн жөнөтүлөтСап ичинде SкоопсуздуктүзмөкОшол эле учурда,itиштеп жаткан абалын реалдуу убакыт режиминде көзөмөлдөйтСап ичинде SкоопсуздуктүзмөкТрафикти иштетүүнүн анормалдуу абалы табылгандан кийин,itтармактык кызматтын үзгүлтүксүздүгүн камсыз кылуу үчүн трафикти өткөрүү жолунан автоматтык түрдө айланып өтөт.
Тармак трафигин агрегациялоо
Баштапкы киргизүү трафигин жана алдын ала иштетилген трафикти GE, 10GE, 40G жана 100G линиялык ылдамдыкты багыттоодо N каналдык сигналды агрегациялагандан кийин 1 каналдык сигналга ылайык N каналдык сигналга көчүрүүгө же M каналдык сигналга көчүрүүгө болот, бул бир эле учурда тармакта экиден ашык көп порттуу угуу айланып өтүүчү түзмөктөрдү жайгаштыруу муктаждыктарын эң сонун чечет.
Маалыматтарды бөлүштүрүү/жөнөтүү
Кирүүчү метадайындарды так классификациялап, колдонуучунун алдын ала аныкталган эрежелерине ылайык ар кандай маалымат кызматтарын бир нече интерфейс чыгыштарына жөнөттү же жок кылды.
Пакеттик маалыматтарды чыпкалоо
Киргизилген маалыматтаржол кыймылытак классификацияланышы мүмкүн, жана ар кандай маалымат кызматтары ак тизмеге же кара тизме эрежелерине киргизилиши мүмкүн, жана бир нече интерфейс чыгыштарын жокко чыгарууга же жөнөтүүгө болот. Ал Ethernet түрүнө, vlan тегине, беш кортеждүү IPге негизделген ийкемдүү айкалышты колдойт,TCPар кандай тармактык коопсуздук жабдууларынын жайылтуу талаптарын андан ары канааттандыруу үчүн идентификатор, пакет мүнөздөмөлөрү жана башка элементтер, протоколду талдоо, сигнализацияны талдоо жана башка трафикти көзөмөлдөө.
Жүк балансы
Кошумча Хэш алгоритминин жүктү тең салмактоосу L2-L4 ички жана тышкы катмарынын мүнөздөмөлөрүнө ылайык жүргүзүлүшү мүмкүн, бул алынган маалымат агымынын сессиясынын бүтүндүгүн камсыз кылат.СПАНмониторинг түзмөгү. Байланыш абалы өзгөргөндө, жүк түшүрүүчү порт тобунун мүчөлөрү ийкемдүү түрдө чыга алышат (шилтеме ТӨМӨН) же кошула алышат (шилтеме ЖОГОРКУ), ал эми жүк түшүрүүчү топ порттун чыгуучу трафигинин динамикалык жүк тең салмактуулугун камсыз кылуу үчүн трафикти автоматтык түрдө кайра бөлүштүрө алат.
VLAN тегделген
VLAN тегсиз
VLAN алмаштырылды
Пакеттин алгачкы 128 байтындагы каалаган ачкыч талааны дал келтирүү колдоого алынган. Колдонуучу офсеттик маанини, ачкыч талаанын узундугун жана мазмунун ыңгайлаштырып, колдонуучунун конфигурациясына ылайык трафикти чыгаруу саясатын аныктай алат.
Убакыт белгилөө
Колдоого алынган убакытты оңдоо үчүн NTP серверин синхрондоштуруп, билдирүүнү пакетке кадрдын аягында убакыт белгиси менен салыштырмалуу убакыт теги түрүндө, наносекунддардын тактыгы менен жазыңыз
Туннелди капсуляциялоо
VxLAN, VLAN, GRE, GTP, MPLS, IPIP аталышы баштапкы маалымат пакетинде алынып, чыгарылышты жөнөтүүнү колдоду.
Маалыматтарды/пакеттерди кесүү
Ал колдойтпакет тилкесисаясат деңгээлиндеги трафик киргизүү интерфейсине жана чыгаруу интерфейсине негизделген баштапкы маалыматтарды түзүү (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байт милдеттүү эмес), жана трафик чыгаруу саясатын колдонуучунун конфигурациясына ылайык ишке ашырууга болот.
Туннелдик протоколду аныктоо
GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP сыяктуу ар кандай туннелдөө протоколдорун автоматтык түрдө аныктоо колдоого алынат. Колдонуучунун конфигурациясына ылайык, трафикти чыгаруу стратегиясы туннелдин ички же тышкы катмарына ылайык ишке ашырылышы мүмкүн.
Пакеттерди жөнөтүүнүн артыкчылыгы
Ал кирүүчү порттогу кызматтын маанисине жараша маалымат пакеттеринин артыкчылыгын аныктоону колдойт жана жогорку артыкчылыктуу пакеттер чыгууда артыкчылыктуу түрдө жөнөтүлөт. Жогорку артыкчылыктуу пакеттер жөнөтүлгөндөн кийин, башка орто жана төмөнкү артыкчылыктуу пакеттер жөнөтүлөт. Маанилүү маалымат пакеттеринин жоголушунан улам келип чыккан талдоо системасынын коңгуроосунан качыңыз.
Анормалдуу кооптонуу
Ал босого жөндөөлөрүнө негизделген интерфейс трафигинин тенденцияларынын реалдуу убакыт режиминдеги мониторинг сигнализациясын жана тарыхый сигнализация жазууларын колдойт. Ал түзмөктүн жабдыктарынын (процессор, эс тутум, температура, желдеткич, кубат булагы ж.б.) ден соолугунун абалына негизделген реалдуу убакыт режиминдеги мониторинг сигнализацияларын жана тарыхый сигнализация жазууларын колдойт.
Интерфейстин ысык камдык көчүрмөсү
Ал киргизүүдөн чыгарууга чейинки трафик процессинде жогорку ишенимдүүлүккө жетүү үчүн киргизүү интерфейсинин 1+1 негизги/күтүү конфигурациясын, чыгаруу интерфейсинин 1+1 негизги/күтүү конфигурациясын жана жүктү теңдөө тобунун N+1 негизги/күтүү конфигурациясын колдойт.
Трафиктин микрожарылышын өлчөө
Ал трафиктин микро-жарылышынын пайда болуу убактысын, узактыгын жана жарылуу ылдамдыгын реалдуу убакыт режиминде аныктай алат жана өлчөөнүн тарыхый жазууларын сактоону камсыздай алат, бул сандык жана байкалуучу каражаттарды жана иштөө жана техникалык тейлөө көйгөйлөрүн чечүү жана пакеттердин жоголушун аныктоо үчүн негизди камсыз кылат.
Интерфейстин термелүүсүнөн коргоо
Ал каалаган интерфейстин байланыштын жогору/ылдый термелүү окуяларын аныктоону жана коргоону колдойт, ошентип интерфейстердин тез-тез байланышынын жогору/ылдый болушунан улам киргизүү жана чыгаруу трафигинин жоголушун болтурбоо жана трафикти чогултуунун жана багыттоонун туруктуулугун жакшыртуу.
Туннелди капсуляциялоо чыгышы
Ал чогултулган трафикти алыскы талдоо системасына өткөрүүнүн колдонмо талаптарын канааттандыруу үчүн чогултулган трафиктин жана чыгаруунун ERSPAN2, GRE, VXLAN, NVGRE тибиндеги туннель инкапсуляциясын колдойт.
Туннель пакетин токтотуу
Ал туннель билдирүүсүн токтотуу функциясын колдойт. Бул функция трафикти киргизүү портунда IP даректерин/маскасын жана MAC даректерин конфигурациялоого мүмкүндүк берет. Ал колдонуучу тармагында чогултулушу керек болгон трафикти GRE, GTP жана VXLAN сыяктуу туннель инкапсуляция ыкмалары аркылуу түзмөктүн чогултуу портуна түз өткөрүп берүүгө мүмкүндүк берет.
SPAN SSL чечмелөө
Тиешелүү SSL сертификатынын чечмеленишин жүктөө колдоого алынат. Көрсөтүлгөн трафик үчүн HTTPS шифрленген маалыматтарынын чечмеленишинен кийин, ал зарылчылыкка жараша сервердик мониторинг жана талдоо системаларына жөнөтүлөт. TLS1.0, TLS1.2 жана SSL3.0 колдоого алынат
Маалыматтарды/пакеттерди кайталоону жок кылуу
Белгиленген убакытта бир нече чогултуу булагынын маалыматтарын жана бир эле маалымат пакетинин кайталанышын салыштыруу үчүн портко негизделген же саясат деңгээлиндеги статистикалык майда-чүйдөсүнө чейин колдоого алынат. Колдонуучулар ар кандай пакет идентификаторлорун (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id) тандай алышат.
Жашыруун даталарды жашыруу
Сезимтал маалыматты коргоо максатына жетүү үчүн чийки маалыматтардагы каалаган негизги талааны алмаштыруу үчүн саясатка негизделген майда-чүйдөсүнө чейин деталдаштыруу колдоого алынат. Колдонуучунун конфигурациясына ылайык, трафикти чыгаруу саясатын ишке ашырууга болот.
APP катмар протоколун аныктоо
Ал DNS/URL дал келүү режимине негизделген Колдонмо катмарынын протоколдорун аныктоону, чыгарууну жана жокко чыгарууну колдойт. DPI функцияларынын китепканасы кеминде 1800 түрдөгү колдонмо протоколунун функцияларын (мисалы, аудио жана видео, оюн, заматта кабарлашуу, маалымат базасы, электрондук почта, P2P ж.б.) таануу, чыгаруу жана жок кылуу үчүн интеграцияланышы мүмкүн, ал эми DPI функцияларынын китепканасы жаңыртылып жана жаңыртылышы мүмкүн. Эгерде атайын муктаждыктар болсо, экинчилик иштеп чыгууну да жүргүзсө болот.
Пакет колдонуучу тарабынан аныкталган декапсуляция
Ал пакеттин алгачкы 128 байтынын каалаган позициясындагы инкапсуляция талааларын жана мазмунун сыйрып алып, аны чыгара турган өзүн-өзү аныктаган пакетти капсуладан ажыратуу функциясын колдойт.
Жол кыймылын калыптандыруу
Ошол эле учурда, маалымат агымын талдоо куралына жылмакай чыгаруу үчүн чыгаруу интерфейсинде трафикти калыптандыруу технологиясы колдонулат, бул микро-жарылуудан келип чыккан пакеттердин жоголушу көрүнүшүн түп-тамырынан бери чечет жана талдоо системасында трафиктин жоголушунан келип чыккан анормалдуу сигнализациянын алдын алат.
Пакеттик ачкыч сөздөрдү дал келтирүү
Пакеттин пайдалуу жүк бөлүгүндөгү кандайдыр бир талаанын мазмуну дал келтирилип, ага тийгенден кийин, тиешелүү пакет же сессия агымы жөнөтүлөт жана белгилүү бир трафик маалыматтарынын алдын ала иштетүү талаптарын канааттандыруу үчүн чыгарылат же жокко чыгарылат.
Туннелди капсуляциялоо
Ал VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE жана башка пакет баштарын баштапкы маалымат пакетинен чыгарып берүүнү колдойт.
Узак мөөнөттүү байланышты өчүрүү
Колдонуучунун муктаждыктарына ылайык, каалаган сессия агымы берилген байттардын санына жана берилген пакеттердин санына жараша жөнөтүлүшү жана чыгарылышы мүмкүн, ал эми кийинки сессия агымы алынып салынышы мүмкүн, бул айрым белгилүү бир сценарийлерде арткы учту талдоо системасынын талаптарын канааттандыруу үчүн керек, анткени ал сессия агымынын трафигинин бир бөлүгүн гана алышы керек, трафикти талдоо басымын азайтышы жана талдоо системасынын натыйжалуулугун жогорулатуусу керек.
Трафиктин статистикалык анализи
Ал каалаган киргизүү интерфейсинин трафигинин компоненттеринин статистикасын колдойт жана анын трафик тенденциясынын өлчөмүн, IP дарегинин трафиктин өлчөмүн/пропорциясын, тиркеме протоколунун категориясынын трафиктин өлчөмүн/пропорциясын, тиркеме протоколунун аталышынын трафиктин өлчөмүн/пропорциясын жана трафик сессиясынын маалыматын реалдуу убакыт режиминде диаграммалар түрүндө көрсөтө алат жана статистикалык натыйжаларды жергиликтүү файлдарга экспорттоону камсыз кылат. Ошентип, колдонуучулар чогултулган ар кандай трафиктин курамдык түзүлүшүн так түшүнө алышат жана трафик стратегияларын жана өзгөрүп жаткан бизнес талаптарын ыңгайлаштыруу үчүн эң түз маалыматтарды колдоо негизин камсыз кыла алышат.
Жол кыймылынын көрүнүүсү - Негизги маалыматтарды талдоо
Трафикти визуализациялоону аныктоо функциясынын негизги талдоо модулу пакеттердин саны, бир каналдуу/мультикасттуу/берүүчү пакеттердин бөлүштүрүлүшү, сеанстын туташуу номери, пакет протоколунун бөлүштүрүлүшү жана тартылган трафиктин өлчөмү сыяктуу тартылган максаттуу трафик маалыматтарынын негизги маалыматын көрсөтө алат.
Трафиктин көрүнүүсү - DPI терең талдоосу
Трафиктин көрүнүүсүн аныктоо функциясынын DPI терең талдоо модулу алынган максаттуу трафик маалыматтарын бир нече көз караштан терең талдап, графиктер жана таблицалар түрүндө кеңири статистиканы көрсөтө алат.
Жол кыймылынын көрүнүүсү - Жол кыймылынын пропорциясын талдоо
● Транспорттук катмардын протоколунун пропорциясын талдоо: мисалы, TCP, UDP, ICMP, IGMP, ARP жана башка пакеттердин пропорциясын жана трафик статистикасын жана тегерек диаграмманы көрсөтүү
● IP трафиктин үлүшүн талдоо: мисалы, ар кандай IP даректери тарабынан түзүлгөн трафик статистикасы, IP негизиндеги трафиктин рейтинги TOP N жана тилкелүү диаграмманы көрсөтүү
● DPI тиркемесинин пропорциясын талдоо: мисалы, HTTP, QQ, FTP жана башка тиркеме протоколдору, байттардын саны, байланыш трафигинин статистикалык бөлүштүрүлүшү жана тегерек диаграммаларды көрсөтүү
Жол кыймылынын көрүнүүсү - Жол кыймылынын убакыт тилкесин талдоо
IP, порт, транспорттук катмар протоколу, тиркеме катмар протоколу жана башка көрсөтүлгөн мазмун сыяктуу ар кандай чыпкалоо шарттарына ылайык, учурдагы максаттуу кармоо трафигинин маалыматтарын үлгү алуу убактысына жараша талдап жана көрсөтүүгө болот, ал эми трафиктин көлөмүн жана тенденциясын убакыт жылдыргычын жылдыруу жана статистикалык майдалоо масштабы менен сурамжылоого болот, ал эми тактык 1 миллисекундга чейин жетиши мүмкүн.
Жол кыймылынын көрүнүүсү – Агым таблицасын талдоо
Агымдын IDси, IP, порт, транспорттук катмар протоколу, тиркеме катмарынын протоколу жана башка көрсөтүлгөн мазмун сыяктуу ар кандай чыпкалоо шарттарына ылайык, учурдагы максаттуу кармалган трафик маалыматтары сеанс агымынын режимине, башкача айтканда, сеанс агымы жөнүндө маалыматтын деталдуу көрсөтүлүшүнө, анын ичинде ар бир агымдын беш кортеждик маалыматына, алып жүрүүчү тиркеменин түрүнө, пакеттерди берүүнүн санына жана байттарына жана тиешелүү маалымат агымына жараша талданып жана эсептелиши мүмкүн. Жана жогорудагы маалыматка негизделген рейтингдик дисплейге ээ. Бул маалыматтын негизинде колдонуучулар өздөрүнө керектүү трафик түрлөрүн оңой эле тандай алышат, бул колдонуучуларга трафикти багыттоо саясатын түзүү үчүн эң түз негизди камсыз кылат.
Трафиктин көрүнүүсү – Пакеттерди талдоо
Пакеттин IDси, IP дареги, порт, транспорттук катмар протоколу, тиркеме катмарынын протоколу жана башка көрсөтүлгөн мазмун сыяктуу ар кандай чыпкалоо критерийлеринин негизинде, алынган максаттуу трафик маалыматтары ар бир пакет деңгээлиндеги анализ презентациясы менен берилиши мүмкүн, анын ичинде:
● Пакеттерди чогултуу убакыт белгисин талдоо
● Негизги пакет маалыматын талдоо, мисалы, sip, dip, smac, DMac, протокол, желек, TTL, билдирүүнүн узундугу, негизги окуялар
● Пакеттерди берүү жолун талдоо жана анимацияны көрсөтүү, мисалы: багыттоо убактысы, багыттоонун кечигүүсү, багыттоо түрү (маршруттоо, которуштуруу, брандмауэр, жүктү теңдөө, NAT)
● Пакет маалыматынын кыскача баяндамасы жана түзүлүштүн деталдуу көрсөтүлүшү
● Кайталанган пакеттерди чогултуу санын талдоо
Жол кыймылынын көрүнүүсү – каталарды так талдоо
Трафиктин көрүнүүсүн аныктоо функциясынын каталарды талдоо модулу алынган максаттуу трафик маалыматтары үчүн ар кандай визуалдык каталарды талдоо позициясын камсыздай алат, анын ичинде:
● Анормалдуу сереп, мисалы: тармактык кызматты талдоо жыйынтыктары, анормалдуу окуяларды талдоо жыйынтыктары, жүрүм-турумду талдоо негизиндеги тармактык процесс (мисалы, маршруттоочу түзмөктөрдүн саны, NAT түзмөктөрү, брандмауэр түзмөктөрү, пакеттерди берүү аркылуу өткөн жүктөмдү теңдөөчү түзмөктөр)
● Агым таблицасынын деңгээлиндеги каталарды талдоо, мисалы, анормалдуу окуя түрлөрү (туташуу четке кагылды/туташуу жооп бербей жатат/маалыматтарды өткөрүп берүү жок/туташуу жарым ачык/сеанстын маршруту жеткиликсиз ж.б.), ● Пакет деңгээлиндеги каталарды талдоо, мисалы: анормалдуу окуянын түрү (пакеттин текшерүү суммасынын катасы /TTL 0/ жеткиликсиз ката /FCS текшерүү суммасынын катасы ж.б.), анормалдуу маалыматтын толук сүрөттөлүшү жана ага байланыштуу маалымат агымынын чоо-жайы
● Коопсуздук каталарын талдоо, мисалы: адаттан тыш окуянын түрү (DDOS чабуулу/брандмауэрди бөгөттөө /ARP чабуулу/UDP суу ташкыны/ SYN FLOOD ж.б.), адаттан тыш маалыматтын деталдуу сүрөттөлүшү жана ага байланыштуу маалымат агымынын чоо-жайы
● Тармактын каталарын талдоо, мисалы: анормалдуу окуянын түрү (которулуш цикли/маршруттоо цикли/жол жеткиликсиз/байланыштын үзгүлтүккө учурашы ж.б.), анормалдуу маалыматтын деталдуу сүрөттөлүшү жана ага байланыштуу маалымат агымынын чоо-жайы
5-Mylinking™ тармактык пакет брокери жана инлайн айланып өтүүчү коммутатордун мүнөздөмөлөрү
| ML-NPB-M2000-жыл Mylinking™ Тармак Пакет Брокери жана Инлайн Айланып Өтүү Коммутатору Функционалдык мүнөздөмөлөр | ||||
| Тармак интерфейси | Модуль уячасы | 4 BYPASS же MONITOR модулунун уячалары | ||
| Сап ичиндеги шилтемелердин саны | 16га чейин 1G/10G оптикалык байланыштарды же 8 40G/100G оптикалык байланыштарды коргоону колдойт. | |||
| Мониторду көзөмөлдөө интерфейси | Эң көп дегенде 64 * 1G / 10GE мониторинг интерфейстерин же 16 * 40G / 100G мониторинг интерфейстерин колдойт. | |||
| Диапазондон тышкары башкаруу интерфейси | 1 * 10/100/1000M Ethernet порту; | |||
| Жайгаштыруу режими | Сап ичинде жайылтуу | Колдоо | ||
| SPAN жайылтуу | Колдоо | |||
| Системанын функциялары | Сап ичинде жайгаштыруу режими | Агымды бириктирүүнүн атайын коргоосу | Колдоо | |
| Бардык агым серияларын коргоо | Колдоо | |||
| Жүктү тең салмактоо | Колдоо | |||
| Жүрөктүн согушун аныктоо | Колдоо | |||
| БАЙПАСС которуштуруу | Колдоо | |||
| Жол кыймылын бөгөттөө | Колдоо | |||
| Жол кыймылын чагылдыруу | Колдоо | |||
| SSL проксиси | Колдоо | |||
| SPAN жайылтуу режими | Трафикти негизги иштетүү | Трафикти репликациялоо/агрегациялоо/бөлүштүрүү | Колдоо | |
| Жүктү тең салмактоо | Колдоо | |||
| IP/протокол/порттун 5-корпус идентификаторуна негизделген трафикти чыпкалоо | Колдоо | |||
| VLAN тегдөө/өзгөртүү/өчүрүү | Колдоо | |||
| Убакыт белгиси | Колдоо | |||
| Туннелди капсуляциялоо | Колдоо | |||
| Маалыматтарды кесүү | Колдоо | |||
| Туннелдик протоколду аныктоо | Колдоо | |||
| Пакеттерди жөнөтүүнүн артыкчылыгы | Колдоо | |||
| Адаттан тыш эскертүү | Колдоо | |||
| Интерфейстин ысык күтүү режими | Колдоо | |||
| Микро-жарылууну өлчөө | Колдоо | |||
| Интерфейстин термелүүсүнөн коргоо | Колдоо | |||
| Туннелди капсуляциялоо чыгышы | Колдоо | |||
| Туннель пакетинин аякташы | Колдоо | |||
| Өркүндөтүлгөн трафикти иштетүү | SSL чечмелөөнү айланып өтүү | Колдоо | ||
| Маалыматтардын кайталанышын жок кылуу | Колдоо | |||
| Маалыматтарды маскировкалоо | Колдоо | |||
| Колдонмо катмарынын протоколун идентификациялоо | Колдоо | |||
| Ыңгайлаштырылган декапсуляция | Колдоо | |||
| Агымды калыптандыруу | Колдоо | |||
| Ачкыч сөздөрдү дал келтирүү | Колдоо | |||
| Туннелди капсуляциялоо | Колдоо | |||
| Узак мөөнөттүү байланышты түшүрүү | Колдоо | |||
| Агым компоненттерин байкоо | Колдоо | |||
| Диагноз коюу жана мониторинг жүргүзүү | Реалдуу убакыт режиминде мониторинг жүргүзүү | Колдоо | ||
| Тарыхый трафик сурамы | Колдоо | |||
| Трафикти тартып алуу | Колдоо | |||
| Жол кыймылын визуалдаштырууну аныктоо | Фундаменталдык анализ | Пакеттердин саны, пакет түрүнүн бөлүштүрүлүшү, сеанстын туташуу саны жана пакет протоколунун бөлүштүрүлүшү сыяктуу негизги маалыматка негизделген кыскача статистикалык дисплейди колдойт. | ||
| DPI терең талдоосу | Ал транспорттук катмар протоколдорунун үлүшүн, бир каналдуу, берүүчү жана көп каналдуу байланыштын үлүшүн, IP трафигинин үлүшүн жана DPI тиркемелеринин үлүшүн талдоону колдойт. Ал үлгү алуу убактысына жана маалыматтардын көлөмүнө негизделген маалыматтардын мазмунун талдоону жана көрсөтүүнү колдойт. Ал сеанс агымдарына негизделген маалыматтарды талдоону жана статистиканы колдойт. | |||
| Так каталарды талдоо | Трафик маалыматтарын ар кандай көз караштардан, анын ичинде пакеттерди өткөрүү жүрүм-турумун талдоо, маалымат агымынын деңгээлиндеги каталарды талдоо, маалымат пакетинин деңгээлиндеги каталарды талдоо, коопсуздукка байланыштуу каталарды талдоо жана тармакка байланыштуу каталарды талдоо аркылуу каталарды талдоону жана локалдаштырууну колдойт. | |||
| Кайра иштетүү кубаттуулугу | 2.4 Тбит/сек | |||
| Башкаруу | КОНСОЛЬ Тармакты Башкаруу | Колдоо | ||
| IP/WEB тармагын башкаруу | Колдоо | |||
| SNMP тармагын башкаруу | Колдоо | |||
| TELNET/SSH тармагын башкаруу | Колдоо | |||
| SYSLOG протоколу | Колдоо | |||
| RADIUS же TADACS+ борборлоштурулган авторизация аутентификациясы | Колдоо | |||
| Колдонуучуну аутентификациялоо функциясы | Колдонуучунун аты жана сырсөз аутентификациясы | |||
| Электрдик | Электр менен камсыздоонун номиналдык чыңалуу | AC-220V/DC-48V [Милдеттүү эмес] | ||
| Номиналдык кубаттуулук жыштыгы | AC-50Гц | |||
| Номиналдык киргизүү тогу | AC-3A / DC-10A | |||
| Номиналдык функционалдык кубаттуулук | Максималдуу 300 Вт | |||
| Айлана-чөйрө | Иштөө температурасы | 0-50℃ | ||
| Сактоо температурасы | -20-70℃ | |||
| Иштөө нымдуулугу | 10%-95%, конденсацияланбайт | |||
| Колдонуучунун конфигурациясы | Консоль конфигурациясы | RS232 интерфейси, 115200, 8, N, 1 | ||
| Сырсөздү аутентификациялоо | Sколдоо | |||
| Текченин өлчөмү | Текче мейкиндиги (U) | 2U 444мм*88мм*670мм | ||
6-Mylinking™ Тармак Пакет Брокери жана Инлайн Айланып Өтүү Колдонмосу
6.1TheRишкСап ичиндеги SкоопсуздукEжабдуулар (IPS / FW)
Төмөндө типтүү IPS (кирип кирүүнүн алдын алуу системасы), FW (брандмауэр) жайгаштыруу режими келтирилген, IPS / FW коопсуздукту коргоо эффектине жетүү үчүн тиешелүү коопсуздук саясатына ылайык, коопсуздук текшерүүлөрүн ишке ашыруу аркылуу тармактык жабдууларга (роутерлер, коммутаторлор ж.б.) удаалаш жайгаштырылат, тиешелүү трафикти чыгарууну же бөгөттөөнү аныктоо үчүн тиешелүү коопсуздук саясатына ылайык.
Төмөндө типтүү IPS (кирип кирүүнүн алдын алуу системасы), FW (брандмауэр) жайгаштыруу режими келтирилген, IPS / FW коопсуздукту коргоо эффектине жетүү үчүн тиешелүү коопсуздук саясатына ылайык, коопсуздук текшерүүлөрүн ишке ашыруу аркылуу тармактык жабдууларга (роутерлер, коммутаторлор ж.б.) удаалаш жайгаштырылат, тиешелүү трафикти чыгарууну же бөгөттөөнү аныктоо үчүн тиешелүү коопсуздук саясатына ылайык.
6.2 Inline Link Series жабдууларын коргоо
Mylinking™ Тармак Пакет Брокери жана Inline Bypass Switch тармактык түзмөктөрдүн (роутерлер, коммутаторлор ж.б.) ортосунда удаалаш жайгаштырылган жана тармактык түзмөктөрдүн ортосундагы маалымат агымы мындан ары түздөн-түз IPS / FWга, "Smart Inline Bypass Switch" IPS / FWга алып барбайт, IPS / FW ашыкча жүктөлүүдөн, бузулуудан, программалык камсыздоону жаңыртуудан, саясатты жаңыртуудан жана башка шарттардан улам иштебей калганда, "Smart Inline Bypass Switch" акылдуу жүрөктүн согушу жөнүндө билдирүүнү аныктоо функциясы аркылуу өз убагында табылат жана ошону менен тармактын шартын үзгүлтүккө учуратпастан, тармактык жабдууларды түздөн-түз туташтырып, кадимки байланыш тармагын коргоо үчүн иштейт; IPS / FW иштебей калганда калыбына келтирилет, ошондой эле акылдуу жүрөктүн согушу жөнүндө пакеттерди аныктоо функциясы аркылуу өз убагында аныктоо, баштапкы шилтеме аркылуу ишкананын тармагынын коопсуздугун текшерүү.
Mylinking™ Network Packet Broker жана Inline Bypass Switch күчтүү акылдуу жүрөк согушу билдирүүсүн аныктоо функциясына ээ, колдонуучу IPS/FWдеги ден соолукту текшерүү үчүн жүрөк согушу билдирүүсү аркылуу жүрөк согушу аралыгын жана кайталоолордун максималдуу санын ыңгайлаштыра алат, мисалы, жүрөк согушун текшерүү билдирүүсүн IPS/FWнын жогорку/ылдыйкы портуна жөнөтүп, андан кийин IPS/FWнын жогорку/ылдыйкы портунан кабыл алып, жүрөк согушу билдирүүсүн жөнөтүү жана алуу менен IPS/FW кадимкидей иштеп жатабы же жокпу, аныктай алат.
6.3 “SpecFlow” саясатынын агымыКоопсуздукСерияларды коргоо
Коопсуздук тармагы түзмөгү белгилүү бир трафикти сериялык коопсуздук коргоосу менен гана иштеши керек болгондо, Mylinking™ Network Packet Broker жана Inline Bypass Switch ар бир иштетүү функциясы аркылуу, трафикти текшерүү саясаты аркылуу, трафикти текшерүү саясаты аркылуу, трафикти туташтыруу аркылуу, "Тынчсыздандырган" трафик түз эле тармактык байланышка кайтарылат жана "тынчсыздандырган трафик бөлүгү" коопсуздукту текшерүү үчүн сызыктагы коопсуздук түзмөгүнө тартылат. Бул коопсуздук түзмөгүнүн коопсуздукту аныктоо функциясынын кадимки колдонулушун сактап гана тим болбостон, басымды башкаруу үчүн коопсуздук жабдууларынын натыйжасыз агымын азайтат; ошол эле учурда, "Акылдуу Inline Bypass Switch" коопсуздук түзмөгүнүн иштөө абалын реалдуу убакытта аныктай алат. Коопсуздук түзмөгү тармактык кызматтын үзгүлтүккө учурашына жол бербөө үчүн маалымат трафигин түздөн-түз айланып өтөт.
Mylinking™ Network Packet Broker жана Inline Bypass Switch VLAN теги, булак/көзөмөл MAC дареги, булактын IP дареги, IP пакетинин түрү, транспорттук катмар протоколунун порту, протоколдун аталышынын ачкыч теги жана башкалар сыяктуу L2-L4 катмарынын аталышынын идентификаторуна негизделген трафикти аныктай алат. Белгилүү бир коопсуздук түзмөгүнө кызыккан белгилүү бир трафик түрлөрүн аныктоо үчүн ар кандай дал келүү шарттарынын ийкемдүү айкалышын ийкемдүү түрдө аныктоого болот жана атайын коопсуздук аудит түзмөктөрүн (RDP, SSH, маалымат базасын аудиттөө ж.б.) жайылтуу үчүн кеңири колдонулушу мүмкүн.
6.4Lжүк тең салмактууИчки коопсуздукСерияларды коргоо
Mylinking™ Тармак Пакет Брокери жана Inline Bypass Switch тармактык түзмөктөрдүн (роутерлер, коммутаторлор ж.б.) ортосунда удаалаш жайгаштырылат. Бир IPS / FW иштетүү көрсөткүчү тармактык байланыштын эң жогорку трафигин көтөрүү үчүн жетишсиз болгондо, коргоочунун трафик жүгүн тең салмактоо функциясы, бир нече IPS / FW кластердик иштетүү тармактык байланыш трафигин "бириктирүү", бир IPS / FW иштетүү басымын натыйжалуу азайтып, жайылтуу чөйрөсүнүн жогорку өткөрүү жөндөмдүүлүгүн канааттандыруу үчүн жалпы иштетүү көрсөткүчүн жакшырта алат.
Mylinking™ Network Packet Broker жана Inline Bypass Switch ар бир IPS/FW маалымат агымынын сессиясынын бүтүндүгүн кабыл алуусун камсыз кылуу үчүн кадр VLAN тегине, MAC маалыматына, IP маалыматына, порт номерине, протоколго жана трафиктин хэш жүктү теңдөө бөлүштүрүүсүндөгү башка маалыматтарга ылайык күчтүү жүктү теңдөө функциясына ээ.
6.5Көп сериялууСап ичиндеги жабдуулар FтөмөнTрационPкоргоо(ӨзгөртүүФизикалыкСериялык туташууЛогикалыкПараллель туташуу)
Айрым негизги байланыштарда (мисалы, интернет түйүндөрү, сервердик аймак алмашуу байланышы) жайгашкан жер көбүнчө коопсуздук функцияларынын муктаждыктарына жана бир нече линия ичиндеги коопсуздукту текшерүүчү жабдууларды (мисалы, брандмауэр, DDOS чабуулуна каршы жабдуулар, WEB тиркемесинин брандмауэри, басып кирүүнүн алдын алуу жабдуулары ж.б.) жайгаштырууга байланыштуу болот, бир эле учурда байланышта бир нече коопсуздукту аныктоочу жабдууларды удаалаш колдонуу бир эле учурда бузулуу чекитинин байланышын жогорулатуу үчүн тармактын жалпы ишенимдүүлүгүн төмөндөтөт. Ал эми жогоруда айтылган коопсуздук жабдууларын онлайн жайгаштырууда, жабдууларды жаңыртууларда, жабдууларды алмаштырууда жана башка операцияларда тармактын узак убакытка кызмат көрсөтүүсүнүн үзгүлтүккө учурашына жана мындай долбоорлорду ийгиликтүү ишке ашыруу үчүн чоңураак долбоорду кыскартууга алып келет.
Mylinking™ Network Packet Broker жана Inline Bypass Switchти бирдиктүү түрдө жайгаштыруу менен, бир эле шилтемеде удаалаш туташтырылган бир нече коопсуздук түзмөктөрүнүн жайгаштыруу режимин "Физикалык Сериялык Туташуу Режиминен" "Физикалык Параллель Туташуу, бирок Логикалык Сериялык Туташуу Режимине" өзгөртүүгө болот. Бул сериялык шилтемедеги бир чекиттин бузулуу булактарын натыйжалуу азайтып, байланыштын ишенимдүүлүгүн жогорулатат. Ошол эле учурда, Mylinking™ Network Packet Broker жана Inline Bypass Switch баштапкы сериялык туташуу режиминдегидей эле трафик коопсуздугун иштетүү эффектине жетишип, байланыш трафигин суроо-талап боюнча башкара алат.
Бир эле учурда бирден ашык Inline Security түзмөгүн удаалаш жайгаштыруу диаграммасында колдонуу:
Mylinking™ тармактык пакет брокери жана линия ичиндеги айланып өтүүчү которгучту жайылтуу схемасы:
(Физикалык сериялык байланышты логикалык параллелдүү байланышка өзгөртүү)
6.6... негизиндеDдинамикалык саясатыTрафикалык InlineSкоопсуздукDтандооPкоргоо
Mylinking™ Network Packet Broker жана Inline Bypass Switch, дагы бир өнүккөн тиркеме сценарийи трафикти тартуу коопсуздугун аныктоодон коргоо тиркемелеринин динамикалык саясатына негизделген, төмөндө көрсөтүлгөндөй жайылтуу жолу:
Мисалы, "DDoS чабуулдарынан коргоо жана аныктоо" коопсуздук сыноо жабдууларын алалы, "Акылдуу айланып өтүү которгучун" алдыңкы тарапка жайгаштыруу жана андан кийин DDOSко каршы коргоо жабдуулары аркылуу, андан кийин "Акылдуу айланып өтүү которгучуна" туташтыруу аркылуу, кадимки "Акылдуу айланып өтүү которгучуна" трафиктин толук көлөмүндөгү зым ылдамдыгын багыттоо менен бир эле учурда агым күзгүсүн "DDOS чабуулдарынан коргоо түзмөгүнө" чыгарат, чабуулдан кийин сервердин IP дареги (же IP тармак сегменти) аныкталгандан кийин, "DDOS чабуулдарынан коргоо түзмөгү" максаттуу трафик агымын дал келтирүү эрежелерин түзүп, аларды динамикалык саясатты жеткирүү интерфейси аркылуу "Акылдуу айланып өтүү которгучуна" жөнөтөт. "Айланып өтүү которгучу" динамикалык саясат эрежелеринин эрежелеринин пулун алгандан кийин "трафикти тартуу динамикасын" жаңырта алат жана дароо" эрежеси чабуул серверинин трафигин "DDoS чабуулдарынан коргоо жана аныктоо" жабдууларына иштетүү үчүн "тартууга" тийгизип, чабуул агымынан кийин күчүнө кирип, андан кийин тармакка кайра киргизилет.
"Акылдуу айланып өтүүчү которгучка" негизделген тиркеме схемасын салттуу BGP маршрутун киргизүүгө же башка трафикти тартуу схемасына караганда ишке ашыруу оңой, ошондой эле айлана-чөйрө тармакка азыраак көз каранды жана ишенимдүүлүгү жогору.
"Акылдуу айланып өтүүчү которгуч" динамикалык саясаттын коопсуздугун аныктоодон коргоону колдоо үчүн төмөнкү мүнөздөмөлөргө ээ:
1. WEBSERIVCE интерфейсине негизделген эрежелерден тышкары, үчүнчү тараптын коопсуздук түзмөктөрү менен оңой интеграциялоону камсыз кылуу үчүн "Акылдуу айланып өтүү которгучу".
2. Коммутатордун багыттоосун бөгөттөбөстөн, 100 Гбит/сек зым ылдамдыктагы пакеттерди жөнөтүүчү аппараттык таза ASIC чипине негизделген "Акылдуу айланып өтүүчү которгуч" жана санына карабастан "трафикти тартуу динамикалык эрежелеринин китепканасы".
3. "Акылдуу айланып өтүү которгучу" орнотулган кесиптик BYPASS функциясы, коргоочунун өзү иштебей калса дагы, баштапкы сериялык шилтемени дароо айланып өтө алат, кадимки байланыштын баштапкы шилтемесине таасир этпейт.
6.7Сап ичиндеги сериялык трафикти чагылдыруутилкеден тышкаркы коопсуздук үчүн (Inline + SPAN)
Mylinking™ Network Packet Broker жана Inline Bypass Switch адатта кардардын IT тармагында же булут платформа тармагында WAF/IPS түзмөктөрүн жана баштапкы шилтемени онлайн коргоону камсыз кылуу үчүн жайгаштырылат. Колдонуучулар ошондой эле айланып өтүү мониторинг түзмөктөрүн сыноо, текшерүү же жайылтуу боюнча кошумча талаптарга ээ болушу мүмкүн, бул бул шилтемедеги трафик маалыматтарын алууну талап кылат.
Ошондуктан, Mylinking™ Network Packet Broker жана Inline Bypass Switchтин трафикти чагылдыруу функциясын колдонуп, төмөнкү сүрөттө көрсөтүлгөндөй, inline сериялык байланыштын трафигин монитор портунан чагылдырууга болот:
Төмөндөгү диаграммада ички байланыш трафигинин жана коммутатордун күзгү портунун трафигинин кеңейтилген колдонуу сценарийи көрсөтүлгөн. Бул коммутатордун күзгү портунун трафигинин таасирине кабылбастан, ички байланыш трафигин коргоого мүмкүндүк берет. IDS анализ системасы бир эле учурда ички байланыш трафигин жана коммутатордун күзгү портунун трафигин ала алат. Жайгаштыруу ыкмасы төмөндөгү диаграммада көрсөтүлгөн:
6.8Маалыматтарды/пакеттерди кайталоону жок кылууКолдонмо
Жогорудагы тиркемени жайылтуу түзүмүндө көрсөтүлгөндөй, бүтүндөй байланыш боюнча баштапкы маалыматтарды чогултуунун бүтүндүгүн камсыз кылуу үчүн, кээ бир окшош маалымат пакеттери бир жолдун ичинде бир нече жолу чогултулушу мүмкүн. Бул арткы системада жалган сигналдардын жана кайра берүүлөрдүн көбөйүшүнө алып келет, талдоо системасынын иштөө чыгымдарын көбөйтөт жана талдоо тактыгына жана натыйжалуулугуна таасир этет. Чечимге негизделгенде, биринчиден, ар кандай кармоо түйүндөрүндө кайталанбаган маалымат пакеттери кайталанат. Арткы NPM тармактык иштөөнү талдоо системасына жана APM тиркемесинин иштөөнү талдоо системасына бир гана маалымат пакети жөнөтүлөт, ошону менен талдоо системасынын иштөөсүн үнөмдөйт жана талдоо натыйжалуулугун жана тактыгын жогорулатат.
6.9Маалыматтар/ПакетVLAN тегдериингКолдонмо
Жогорудагы диаграммада көрсөтүлгөн тармак чөйрөсүндө, чечим ар кандай тармак түзмөктөрүнөн жана байланыш түйүндөрүнөн алынган чийки маалыматтарды белгилөө үчүн колдонулат. Тармакта анормалдуу трафик же маалымат пакеттери пайда болгондо, сервердик талдоо жабдуулары маалымат белгилерине негизделген кайра издөө менен анормалдуу маалыматтардын булагын тез жана так таба алат.
6.10 Тармак трафигиБирдиктүү графикКолдонмо
Жогорудагы диаграммада көрсөтүлгөн тармак чөйрөсүндө бир нече 10GE, 25GE, 40GE жана 100GE булак байланыш маалыматтары Mylinking™ Network Packet Broker жана Inline Bypass Switchке оптикалык бөлүү же порт күзгүсү аркылуу толугу менен киргизилет. Андан кийин, ар кандай кызматтык маалымат трафигин ар кандай арткы чекиттен тышкаркы тармактык мониторинг жана коопсуздук системасынын түзмөктөрүнө чыгаруу үчүн чыпкалоо жана трафикти бөлүү колдонулат. Тармактык пакеттердин аномалиялары же трафиктин анормалдуу өзгөрүүлөрү кол менен кийлигишүүнү талап кылганда, колдонуучуларга катаны тез талдоо жана табууга жардам берүү үчүн баштапкы маалымат пакеттерин реалдуу убакыт режиминде кармоо жана талдоо дароо жүргүзүлүшү мүмкүн.
6.11ТармакТрафик маалыматтарынын көрүнүү анализиКолдонмо
Ал аныкталган жана алынган ар кандай маалыматтарды колдонуучуга ыңгайлуу графикалык жана тексттик интерактивдүү интерфейс аркылуу көп өлчөмдүү жана көп көз карашта көрсөтө алат, анын ичинде трафиктин курамынын түзүмү, тиркеме протоколунун бөлүштүрүлүшү, бардык тармак түйүндөрүнүн трафик бөлүштүрүлүшү, маалыматтарды берүү жолу, анормалдуу окуяларды аныктоо, тармак элементинин/байланыш каталарынын так жайгашкан жери, билдирүүлөр менен өз ара аракеттенүүнүн абалы, трафиктин өнүгүү тенденциясы жана мониторинг жана талдоо үчүн башка аспектилер, ошентип ишкана тармактары үчүн комплекстүү, көрүнүктүү жана башкарылуучу жалпы маалыматтарды чогултуу жана коопсуздук платформасын түзүү.
Продукциялардын категориялары
-
Mylinking™ Тармак Пакет Брокери (NPB) ML-NPB-4810P
-
Mylinking™ Тармак Пакет Брокери (NPB) ML-NPB-54...
-
Mylinking™ Тармак Пакет Брокери (NPB) ML-NPB-3210+
-
Mylinking™ Тармак Пакет Брокери (NPB) ML-NPB-6410+
-
Mylinking™ Тармактык Пакет Брокери (NPB) ML-NPB-3210L
-
Mylinking™ Тармак Пакет Брокери (NPB) ML-NPB-2410
