Mylinking™ тармактык таптоону айланып өтүүчү которгуч ML-BYPASS-200
2 * Айланып өтүү жана 1 * Монитордун модулдук дизайны, 10/40/100GE шилтемелери, макс. 640 Гбит/сек
1-Сереп салуулар
Mylinking™ Smart Bypass Switch программасын орнотуу менен:
- Колдонуучулар коопсуздук жабдууларын ийкемдүү түрдө орното/чыгарып сала алышат жана учурдагы тармакка таасир этпейт жана үзгүлтүккө учурабайт;
- Mylinking™ тармактык таптоону айланып өтүү которгучу, акылдуу ден соолукту аныктоо функциясы менен сериялык коопсуздук түзмөгүнүн кадимки иштөө абалын реалдуу убакыт режиминде көзөмөлдөөгө мүмкүндүк берет, сериялык коопсуздук түзмөгү иштебей калганда, коргоо кадимки тармактык байланышты сактоо үчүн автоматтык түрдө айланып өтөт;
- Тандалма трафикти коргоо технологиясын белгилүү бир трафикти тазалоочу коопсуздук жабдууларын, аудит жабдууларына негизделген шифрлөө технологиясын жайгаштыруу үчүн колдонсо болот. Белгилүү бир трафик түрү үчүн сериялык кирүүнү коргоону натыйжалуу жүргүзүү, сериялык түзмөктүн агым башкаруу басымын түшүрүү;
- Жүктү тең салмактуу трафикти коргоо технологиясы жогорку өткөрүү жөндөмдүүлүгү бар чөйрөлөрдө сериялык коопсуздукка болгон муктаждыкты канааттандыруу үчүн коопсуз сериялык түзмөктөрдү кластердик жайгаштыруу үчүн колдонулушу мүмкүн.
Интернеттин тез өнүгүшү менен тармактык маалыматтык коопсуздук коркунучу барган сайын олуттуу болуп баратат, ошондуктан маалыматтык коопсуздукту коргоонун ар кандай тиркемелери барган сайын кеңири колдонулууда. Салттуу кирүүнү көзөмөлдөө жабдуулары (брандмауэр) болобу же жаңы типтеги өнүккөн коргоо каражаттары, мисалы, басып кирүүнү алдын алуу системасы (IPS), Бирдиктүү коркунучтарды башкаруу платформасы (UTM), Анти-DDoS кызматынын чабуулуна каршы система (Anti-span Gateway), Бирдиктүү DPI трафикти аныктоо жана башкаруу системасы жана көптөгөн коопсуздук түзмөктөрү тармактын негизги түйүндөрүнө удаалаш жайгаштырылат, мыйзамдуу/мыйзамсыз трафикти аныктоо жана чечүү үчүн тиешелүү маалыматтардын коопсуздугу саясатын ишке ашыруу керек. Бирок, ошол эле учурда, компьютердик тармак чоң тармактык кечигүүнү же ал тургай тармактын үзгүлтүккө учурашын жаратат, эгерде бул өтө ишенимдүү өндүрүштүк тармактык тиркеме чөйрөсүндө, техникалык тейлөө, жаңыртуу, жабдууларды алмаштыруу жана башкаларда болсо, колдонуучулар муну көтөрө алышпайт.
2-тармактык таптоону айланып өтүүчү которгучтун өркүндөтүлгөн функциялары жана технологиялары
Mylinking™ “SpecFlow” коргоо режими жана “FullLink” коргоо режими технологиясы
Mylinking™ тез айланып өтүү которуштуруудан коргоо технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалык стратегиясын багыттоо/чыгаруу технологиясы
Mylink™ акылдуу жүрөктүн согушу тууралуу билдирүүнү аныктоо технологиясы
Mylinking™ аныкталуучу жүрөктүн согушу жөнүндө билдирүүлөр технологиясы
Mylinking™ көп шилтемелүү жүктү тең салмактоо технологиясы
Mylinking™ интеллектуалдык трафикти бөлүштүрүү технологиясы
Mylinking™ динамикалык жүктү тең салмактоо технологиясы
Mylinking™ алыстан башкаруу технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” мүнөздөмөсү)
3-тармактык таптоону айланып өтүүчү которгучту конфигурациялоо боюнча колдонмо
Айланып өтүүКоргоо портунун модулунун уячасы:
Бул уячаны ар кандай ылдамдыктагы/порт номериндеги BYPASS коргоо порт модулуна киргизүүгө болот. Ар кандай типтеги модулдарды алмаштыруу менен, ал бир нече 10G/40G/100G шилтемелеринин BYPASS коргоосун колдой алат.
МОНИТОРПорт модулунун уячасы;
Бул уячаны MONITOR порт модулуна ар кандай ылдамдыктар/порттор менен киргизүүгө болот. Ал ар кандай моделдерди алмаштыруу менен бир нече 10G/40G/100G шилтемелүү онлайн сериялык мониторинг түзмөгүн жайгаштырууну колдой алат.
Модулду тандоо эрежелери
Ар кандай жайгаштырылган шилтемелерге жана мониторинг жабдууларын жайгаштыруу талаптарына таянып, сиз өзүңүздүн чыныгы чөйрөңүздүн муктаждыктарын канааттандыруу үчүн ар кандай модулдук конфигурацияларды ийкемдүү түрдө тандай аласыз; тандоодо төмөнкү эрежелерди сактаңыз:
1. Шасси компоненттери милдеттүү болуп саналат жана башка модулдарды тандоодон мурун шасси компоненттерин тандашыңыз керек. Ошол эле учурда, муктаждыктарыңызга жараша ар кандай электр менен камсыздоо ыкмаларын (AC/DC) тандаңыз.
2. Бүтүндөй машина 2ге чейин BYPASS модулунун уячасын жана 1 MONITOR модулунун уячасын колдойт; конфигурациялоо үчүн уячалардын санынан ашык тандай албайсыз. Уячалардын санынын жана модулдун моделинин айкалышына жараша, түзмөк төрткө чейин 10GE байланыш коргоосун колдой алат; же төрткө чейин 40GE байланышын колдой алат; же бирге чейин 100GE байланышын колдой алат.
3. "BYP-MOD-L1CG" модулунун моделин туура иштеши үчүн SLOT1ге гана киргизүүгө болот.
4. "BYP-MOD-XXX" модуль түрүн BYPASS модулунун уячасына гана киргизүүгө болот; "MON-MOD-XXX" модуль түрүн кадимки иштөө үчүн MONITOR модулунун уячасына гана киргизүүгө болот.
| Продукциянын модели | Функция параметрлери |
| Шасси (хост) | |
| ML-BYPASS-M200 | 1U стандарттуу 19 дюймдук стеллажга орнотуу; максималдуу кубаттуулукту керектөө 250 Вт; модулдук BYPASS коргоочу хост; 2 BYPASS модулунун уячасы; 1 MONITOR модулунун уячасы; AC жана DC кошумча; |
| АЙЛАП ӨТҮҮ МОДУЛУ | |
| BYP-MOD-L2XG(ЛМ/СМ) | 2 тараптуу 10GE шилтеме сериялык коргоосун, 4 * 10GE интерфейсин, LC туташтыргычын колдойт; орнотулган оптикалык кабыл алгыч-өткөргүч; оптикалык шилтеме бир/көп режимдүү кошумча, 10GBASE-SR/LR колдойт; |
| BYP-MOD-L2QXG(LM/SM) | 2 тараптуу 40GE шилтеме сериялык коргоосун, 4 * 40GE интерфейсин, LC туташтыргычын колдойт; орнотулган оптикалык кабыл алгыч-өткөргүч; оптикалык шилтеме бир/көп режимдүү, 40GBASE-SR4/LR4 колдойт; |
| BYP-MOD-L1CG (LM/SM) | 1 каналдуу 100GE шилтеме сериялык коргоосун, 2 * 100GE интерфейсин, LC туташтыргычын колдойт; орнотулган оптикалык кабыл алгыч-өткөргүч; оптикалык шилтеме бир көп режимдүү кошумча, 100GBASE-SR4/LR4 колдойт; |
| МОНИТОР МОДУЛУ | |
| Дүйшөмбү-MOD-L16XG | 16 * 10GE SFP+ мониторинг портунун модулу; оптикалык кабыл алгыч-өткөргүч модулу жок; |
| Дүйшөмбү-MOD-L8XG | 8 * 10GE SFP+ мониторинг портунун модулу; оптикалык кабыл алгыч-өткөргүч модулу жок; |
| Дүйшөмбү-MOD-L2CG | 2 * 100GE QSFP28 мониторинг портунун модулу; оптикалык кабыл алгыч-өткөргүч модулу жок; |
| Дүйшөмбү-MOD-L8QXG | 8* 40GE QSFP+ мониторинг портунун модулу; оптикалык кабыл алгыч-өткөргүч модулу жок; |
4-тармактык TAP айланып өтүүчү которгучтун мүнөздөмөлөрү
| Продукциянын түрү | ML-BYPASS-M200 сериялык айланып өтүүчү которгуч | |
| Интерфейстин түрү | MGT интерфейси | 1*10/100/1000BASE-T Адаптивдүү башкаруу интерфейси; Алыстан HTTP/IP башкарууну колдоо |
| Модуль уячасы | 2*BYPASS модулунун уячасы; 1*MONITOR модулунун уячасы; | |
| Максималдуу колдоо шилтемелери | Түзмөк эң көп дегенде 4 * 10GE шилтемесин же 4 * 40GE шилтемесин же 1 * 100GE шилтемесин колдойт | |
| Монитор | Түзмөктү колдогон эң көп дегенде 16 * 10GE мониторинг порттору же 8 * 40GE мониторинг порттору же 2 * 100GE мониторинг порттору; | |
| Функция | Толук дуплекстүү иштетүү мүмкүнчүлүгү | 640 Гбит/сек |
| IP/протокол/портко негизделген беш кортежге мүнөздүү трафик каскадын коргоо | Колдоо | |
| Толук трафикке негизделген каскаддык коргоо | Колдоо | |
| Көп жүктү тең салмактоо | Колдоо | |
| Ыңгайлаштырылган жүрөктүн кагышын аныктоо функциясы | Колдоо | |
| Ethernet пакетинин көз карандысыздыгын колдоо | Колдоо | |
| АЙЛАП ӨТКӨРҮҮЧҮ | Колдоо | |
| Жаркылдагы жок BYPASS которгучу | Колдоо | |
| КОНСОЛЬ MGT | Колдоо | |
| IP/ВЕБ MGT | Колдоо | |
| SNMP V1/V2C MGT | Колдоо | |
| TELNET/SSH MGT | Колдоо | |
| SYSLOG протоколу | Колдоо | |
| Колдонуучунун уруксаты | Сырсөздү авторизациялоо/AAA/TACACS+ негизинде | |
| Электр | Номиналдык камсыздоо чыңалуу | AC-220V/DC-48V【Милдеттүү эмес】 |
| Номиналдык кубаттуулук жыштыгы | 50Гц | |
| Номиналдык киргизүү тогу | AC-3A / DC-10A | |
| Номиналдык кубаттуулук | 100 Вт | |
| Айлана-чөйрө | Иштөө температурасы | 0-50℃ |
| Сактоо температурасы | -20-70℃ | |
| Жумушчу нымдуулук | 10%-95%, Конденсация жок | |
| Колдонуучунун конфигурациясы | Консоль конфигурациясы | RS232 интерфейси, 115200,8,N,1 |
| MGT интерфейсинин диапазонунан тышкары | 1 * 10/100/1000M Ethernet интерфейси | |
| Сырсөздү уруксаттоо | Колдоо | |
| Шасси бийиктиги | Шасси мейкиндиги (U) | 1U 19 дюйм, 485мм*44.5мм*350мм |
5-тармактык TAP айланып өтүү которуштуруу тиркемеси (төмөнкүдөй)
Төмөндө типтүү IPS (кирип кирүүнүн алдын алуу системасы), FW (брандмауэр) жайгаштыруу режими келтирилген, IPS / FW коопсуздукту коргоо эффектине жетүү үчүн тиешелүү коопсуздук саясатына ылайык, коопсуздук текшерүүлөрүн ишке ашыруу аркылуу тармактык жабдууларга (роутерлер, коммутаторлор ж.б.) удаалаш жайгаштырылат, тиешелүү трафикти чыгарууну же бөгөттөөнү аныктоо үчүн тиешелүү коопсуздук саясатына ылайык.
Ошол эле учурда, биз IPS/FW жабдууларын сериялык жайгаштыруу катары байкай алабыз, адатта, сериялык коопсуздукту ишке ашыруу үчүн ишкана тармагынын негизги жайгашкан жерине жайгаштырылат, ага туташкан түзмөктөрдүн ишенимдүүлүгү ишкана тармагынын жалпы жеткиликтүүлүгүнө түздөн-түз таасир этет. Сериялык түзмөктөр ашыкча жүктөлүп, бузулуп, программалык камсыздоону жаңыртып, саясатты жаңыртып ж.б.у.с. бүтүндөй ишкана тармагынын жеткиликтүүлүгүнө чоң таасирин тийгизет. Бул учурда, биз тармакты кесип, физикалык айланып өтүүчү секирүү аркылуу гана тармакты калыбына келтире алабыз, бул тармактын ишенимдүүлүгүнө олуттуу таасир этет. IPS/FW жана башка сериялык түзмөктөр бир жагынан ишкана тармагынын коопсуздугун жайылтууну жакшыртат, экинчи жагынан ишкана тармактарынын ишенимдүүлүгүн төмөндөтөт, тармактын жеткиликтүү эместигинин тобокелдигин жогорулатат.
5.2 Inline Link Series жабдууларын коргоо
Mylinking™ "Айланып өтүүчү которгуч" тармактык түзмөктөрдүн (роутерлер, которгучтар ж.б.) ортосунда удаалаш жайгаштырылат жана тармактык түзмөктөрдүн ортосундагы маалымат агымы мындан ары түздөн-түз IPS / FWга, "Айланып өтүүчү которгучка" IPS / FWга алып барбайт, IPS / FW ашыкча жүктөлүүдөн, бузулуудан, программалык камсыздоону жаңыртуудан, саясатты жаңыртуудан жана башка бузулуулардан улам келип чыкканда, "Айланып өтүүчү которгуч" акылдуу жүрөктүн согушу жөнүндө билдирүүнү аныктоо функциясы аркылуу өз убагында табылат жана ошентип, тармактын шартын үзгүлтүккө учуратпастан, тармактык жабдууларды түздөн-түз туташтырып, кадимки байланыш тармагын коргойт; IPS / FW бузулганда калыбына келтирүү, ошондой эле акылдуу жүрөктүн согушу пакеттери аркылуу функцияны өз убагында аныктоо, баштапкы шилтеме аркылуу ишкананын тармагынын коопсуздугун текшерүү.
Mylinking™ "Айланып өтүү которгучу" күчтүү акылдуу жүрөктүн согушу жөнүндө билдирүүнү аныктоо функциясына ээ, колдонуучу IPS/FWдеги ден соолукту текшерүү үчүн жүрөктүн согушу жөнүндө билдирүү аркылуу жүрөктүн согушу аралыгын жана кайталоолордун максималдуу санын ыңгайлаштыра алат, мисалы, жүрөктүн согушун текшерүү билдирүүсүн IPS/FWнын жогорку/ылдыйкы портуна жөнөтүп, андан кийин IPS/FWнын жогорку/ылдыйкы портунан кабыл алып, жүрөктүн согушу жөнүндө билдирүүнү жөнөтүү жана кабыл алуу менен IPS/FW кадимкидей иштеп жатканын баалайт.
5.3 “SpecFlow” саясатынын агымынын сызык ичиндеги тартуу сериясын коргоосу
Коопсуздук тармагы түзмөгү белгилүү бир трафикти сериялык коопсуздук коргоосу менен гана иштетүүгө муктаж болгондо, Mylinking™ "Айланып өтүүчү которгуч" ар бир иштетүү функциясы аркылуу, коопсуздук түзмөгүн туташтыруу үчүн трафикти текшерүү стратегиясы аркылуу "Кызыктуу" трафик түз эле тармактык байланышка жөнөтүлөт жана "тиешелүү трафик бөлүмү" коопсуздукту текшерүү үчүн линия ичиндеги коопсуздук түзмөгүнө тартылат. Бул коопсуздук түзмөгүнүн коопсуздукту аныктоо функциясынын кадимки колдонулушун сактап гана тим болбостон, басымды башкаруу үчүн коопсуздук жабдууларынын натыйжасыз агымын азайтат; ошол эле учурда, "Айланып өтүүчү которгуч" коопсуздук түзмөгүнүн иштөө абалын реалдуу убакытта аныктай алат. Коопсуздук түзмөгү тармактык кызматтын үзгүлтүккө учурашына жол бербөө үчүн маалымат трафигин түздөн-түз айланып өтөт.
Mylinking™ Трафикти айланып өтүү коргоочусу VLAN теги, булак/көзөмөл MAC дареги, булактын IP дареги, IP пакетинин түрү, транспорттук катмардын протокол порту, протоколдун аталышынын ачкыч теги жана башкалар сыяктуу L2-L4 катмарынын аталышынын идентификаторуна негизделген трафикти аныктай алат. Белгилүү бир коопсуздук түзмөгүнө кызыккан жана атайын коопсуздук аудит түзмөктөрүн (RDP, SSH, маалымат базасын аудиттөө ж.б.) жайылтуу үчүн кеңири колдонулушу мүмкүн болгон белгилүү бир трафик түрлөрүн аныктоо үчүн ар кандай дал келүү шарттарынын ийкемдүү айкалышын ийкемдүү түрдө аныктоого болот.
5.4 Жүктү тең салмактуу сериялык коргоо
Mylinking™ "Айланып өтүүчү которгуч" тармактык түзмөктөрдүн (роутерлер, которгучтар ж.б.) ортосунда удаалаш жайгаштырылат. Бир гана IPS/FW иштетүү көрсөткүчү тармактык байланыштын эң жогорку трафигин көтөрүү үчүн жетишсиз болгондо, коргоочунун трафик жүгүн тең салмактоо функциясы, бир нече IPS/FW кластердик иштетүү тармактык байланыш трафигин "бириктирүү", бир IPS/FW иштетүү басымын натыйжалуу азайтып, жайылтуу чөйрөсүнүн жогорку өткөрүү жөндөмдүүлүгүн канааттандыруу үчүн жалпы иштетүү көрсөткүчүн жакшырта алат.
Mylinking™ "Айланып өтүүчү которгуч" күчтүү жүк тең салмактоо функциясына ээ, ал кадр VLAN тегине, MAC маалыматына, IP маалыматына, порт номерине, протоколго жана башка маалыматтарга ылайык трафиктин хэш жүк тең салмактоо бөлүштүрүлүшүндө ар бир IPS/FW маалымат агымынын сессиянын бүтүндүгүн кабыл алышын камсыз кылат.
5.5 Көп сериялуу линия ичиндеги жабдуулардын агым тартуудан коргоосу (Сериялык туташууну параллель туташууга өзгөртүү)
Айрым негизги байланыштарда (мисалы, интернет түйүндөрү, сервердик аймак алмашуу байланышы) жайгашкан жер көбүнчө коопсуздук функцияларынын муктаждыктарына жана бир нече линия ичиндеги коопсуздукту текшерүүчү жабдууларды (мисалы, брандмауэр, DDOS чабуулуна каршы жабдуулар, WEB тиркемесинин брандмауэри, басып кирүүнүн алдын алуу жабдуулары ж.б.) жайгаштырууга байланыштуу болот, бир эле учурда байланышта бир нече коопсуздукту аныктоочу жабдууларды удаалаш колдонуу бир эле учурда бузулуу чекитинин байланышын жогорулатуу үчүн тармактын жалпы ишенимдүүлүгүн төмөндөтөт. Ал эми жогоруда айтылган коопсуздук жабдууларын онлайн жайгаштырууда, жабдууларды жаңыртууларда, жабдууларды алмаштырууда жана башка операцияларда тармактын узак убакытка кызмат көрсөтүүсүнүн үзгүлтүккө учурашына жана мындай долбоорлорду ийгиликтүү ишке ашыруу үчүн чоңураак долбоорду кыскартууга алып келет.
"Айланып өтүүчү которгучту" бирдиктүү түрдө жайгаштыруу менен, бир эле шилтемеге удаалаш туташтырылган бир нече коопсуздук түзмөктөрүн жайгаштыруу режимин "физикалык бириктирүү режиминен" "физикалык бириктирүү, логикалык бириктирүү режимине" өзгөртүүгө болот. Шилтемедеги бир гана бузулуу чекити шилтеменин ишенимдүүлүгүн жогорулатат, ал эми шилтемедеги "айланып өтүүчү которгуч" талап боюнча тартылуу менен агып, баштапкы коопсуз иштетүү эффектиси менен ошол эле агымды камсыз кылат.
Бир эле учурда бирден ашык коопсуздук түзмөгүн удаалаш жайгаштыруу диаграммасында колдонуу:
Mylinking™ Тармак TAP айланып өтүүчү которгучту жайылтуу схемасы:
5.6 Жол кыймылынын тартылуу коопсуздугун аныктоону коргоонун динамикалык стратегиясына негизделген
"Айланып өтүү которгучу" Дагы бир өркүндөтүлгөн тиркеме сценарийи төмөндө көрсөтүлгөндөй жол кыймылынын тартылуу коопсуздугун аныктоодон коргоо тиркемелеринин динамикалык стратегиясына негизделген:
Мисалы, "DDoS чабуулдарынан коргоо жана аныктоо" коопсуздук сыноо жабдууларын "Айланып өтүү которгучун" алдыңкы тарапка жайгаштыруу жана андан кийин DDOSко каршы коргоо жабдуулары аркылуу "Айланып өтүү которгучуна" туташтыруу аркылуу кадимки "Тартуу коргоочусунда" трафик зымынын ылдамдыгын толук көлөмдө багыттоо менен бир эле учурда агым күзгүсүн "DDOS чабуулдарынан коргоо түзмөгүнө" чыгаруу менен, чабуулдан кийин сервердин IP дареги (же IP тармак сегменти) аныкталгандан кийин, "DDOS чабуулдарынан коргоо түзмөгү" максаттуу трафик агымын дал келтирүү эрежелерин түзүп, аларды динамикалык саясатты жеткирүү интерфейси аркылуу "Айланып өтүү которгучуна" жөнөтөт. "Айланып өтүү которгучу" динамикалык саясат эрежелеринин эрежелеринин пулун алгандан кийин "трафиктин тартылуу динамикасын" жаңырта алат жана дароо "эрежеси" чабуул серверинин трафигин "DDoS чабуулдарынан коргоо жана аныктоо" жабдууларына иштетүү үчүн тийгизет, чабуул агымынан кийин күчүнө кирет жана андан кийин тармакка кайра киргизилет.
"Айланып өтүүчү которгучка" негизделген колдонмо схемасын салттуу BGP маршрутун киргизүүгө же башка трафикти тартуу схемасына караганда ишке ашыруу оңой, ал эми чөйрө тармакка азыраак көз каранды жана ишенимдүүлүгү жогору.
"Айланып өтүү которгучу" динамикалык саясаттын коопсуздугун аныктоодон коргоону колдоо үчүн төмөнкү мүнөздөмөлөргө ээ:
1, WEBSERIVCE интерфейсине негизделген эрежелерден тышкары, үчүнчү тараптын коопсуздук түзмөктөрү менен оңой интеграциялоону камсыз кылуу үчүн "айланып өтүү которгучу".
2, "Айланып өтүүчү которгуч" аппараттык таза ASIC чипине негизделген, которгучту багыттоону бөгөттөбөстөн, 10 Гбит/сек зым ылдамдыктагы пакеттерди жөнөтөт жана санына карабастан "трафикти тартуу динамикалык эрежелеринин китепканасы".
3, "Айланып өтүү которгучу" орнотулган кесиптик BYPASS функциясы, коргоочунун өзү иштебей калса дагы, баштапкы сериялык шилтемени дароо айланып өтө алат, кадимки байланыштын баштапкы шилтемесине таасир этпейт.
