Mylinking™ ネットワークパケットブローカー+インラインバイパススイッチ ML-BYPASS-M2000
バイパスモジュール:8*10G SFP+ & 4*100GE、モニターモジュール:16*10GE SFP+ & 4*100GE、最大2.4Tbps
1-概要
インターネットの急速な発展に伴い、ネットワーク情報セキュリティの脅威はますます深刻化しており、さまざまな情報セキュリティ保護アプリケーションがますます広く使用されています。従来のアクセス制御機器(ファイアウォール)であれ、侵入防御システム(IPS)、統合脅威管理プラットフォーム(UTM)、サービス拒否攻撃対策システム(Anti-DDoS)、スパム対策ゲートウェイ、統合DPIトラフィック識別制御システムなどの新しいタイプのより高度な保護手段であれ、多くのセキュリティデバイスがネットワークのキーノードに直列に配置され、対応するデータセキュリティポリシーを実行して、合法/違法トラフィックを識別して処理します。しかし同時に、コンピュータネットワークは、フェイルオーバー、メンテナンス、アップグレード、機器交換などの場合に、ネットワークの遅延やネットワークの中断を引き起こす可能性があり、高い信頼性が求められる本番ネットワークアプリケーション環境では、ユーザーはそれを許容できません。
ML-BYPASS-M2000 Mylinking™ネットワークパケットブローカー+インラインバイパススイッチは、様々なタイプのシリアルセキュリティ機器を柔軟に導入できると同時に、高いネットワーク信頼性を提供するために研究開発された製品です。
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチを導入することで:
●ユーザーは、既存のネットワークに影響を与えたり中断したりすることなく、セキュリティ保護デバイスを柔軟にインストール/アンインストールできます。
● インテリジェントな健康状態検出機能を備えており、接続されたセキュリティ機器の正常な動作状態をリアルタイムで監視します。接続されたセキュリティ機器に不具合が発生した場合、プロテクターは自動的にバイパスして、正常なネットワーク通信を維持します。
●選択的トラフィック保護技術は、特定のトラフィックスクラビングセキュリティ機器、暗号化ベースの監査機器などを導入するために使用できます。特定のトラフィックタイプに対するインラインアクセス保護を効果的に実現し、インラインデバイスのトラフィック処理負荷を軽減します。
● 負荷分散トラフィック保護技術を使用することで、セキュアなインラインデバイスをクラスタ内に展開し、高帯域幅負荷環境下でのインラインセキュリティ保護のニーズを満たすことができます。
●SSLプロキシ機能を備えており、平文データコンテンツに対するセキュリティ保護デバイスの監視および分析要件を満たします。
● トラフィックの複製、集約、フィルタリング、ラベル付けなどの基本的なトラフィック処理機能に加え、重複排除、マスキング、アプリケーション層プロトコルの識別、トラフィックシェーピングなどの高度なトラフィック処理機能も備えています。
2-Mylinking™ネットワークパケットブローカーとインラインバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードおよび「FullLink」保護モード技術
Mylinking™ 高速バイパススイッチング保護技術
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」動的ポリシー転送/発行テクノロジー
Mylinking™ インテリジェント心拍パケット検出技術
Mylinking™ 定義可能なハートビートパケット技術
Mylinking™ マルチリンク負荷分散技術
Mylinking™ インテリジェント交通分散技術
Mylinking™ 動的負荷分散技術
Mylinking™ リモート管理技術(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」機能)
3-Mylinking™ネットワークパケットブローカー+インラインバイパススイッチ設定ガイド
上の図に示すように、ユニット全体は4つのモジュール式スロットで構成されています。
SLOT1、SLOT2、SLOT3、SLOT4の各モジュールスロットには、異なるレートとポート数を持つバイパス保護ポートモジュールまたはモニターポートモジュールを搭載できます。異なるモデルのモジュールを交換することで、複数の10G/40G/100Gリンクに対するバイパス保護のサポート、および複数の10G/40G/100Gリンクに対するインラインバイパス監視機器の導入が可能になります。
注:BYPASSモジュールとMONITORモジュールはどちらもホットスワップに対応しています。
3.1-モジュール仕様一覧
| 製品モデル | 機能的Pパラメータ |
| Cハシス | |
| ML-BYPASS-M2000-CHS/AC | 2U 標準 19 インチ ラックマウント; 最大消費電力 300W; モジュラー BYPASS プロテクター メインユニット; 4 つのモジュール スロット; 1*RS232 コンソール インターフェース、1*10/100/1000M RJ45 インターフェースと外部ネットワーク管理; デュアル電源 AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U標準19インチラックマウント; 最大消費電力300W; モジュラーBYPASSプロテクターメインユニット; 4つのモジュールスロット; 1*RS232コンソールインターフェース、外部ネットワーク管理付き1*10/100/1000M RJ45インターフェース; デュアル電源DC-48V; |
| バイパスMモジュール | |
| INL-I8XM8X(LM/SM) | 4方向10GE(1G互換)リンクシリアル接続保護をサポートし、合計8*10GEインターフェースを備えています。また、8*10G SFP+モニタリングポートをサポートします(光モジュールは除く)。 |
| INL-I4HM2H (LM/SM) | 双方向100GE(40GE互換)リンクシリアル保護をサポートし、合計4つの100GEインターフェースを備えています。また、2つの100GE QSFP28モニタリングポートをサポートします(光モジュールは除く)。 |
| モニターモジュール | |
| MON-M16X | 16個の10GE SFP+モニタリングポート(光モジュールを除く)。 |
| MON-M16X-CN98 | 16個の10GE SFP+モニタリングポート(光モジュールは含まれていません)。高度な機能エンジンを搭載し、SSL復号化バイパス、SSLプロキシ、トラフィック重複排除などの高度なトラフィック処理機能をサポートしています。 |
| MON-M4H | 4つの100GE QSFP28モニタリングポート(光モジュールは含まれていません)。 |
| MON-M4H-CN98 | 4つの100GE QSFP28モニタリングポート(光モジュールは含まれていません)。高度な機能エンジンを搭載し、SSL復号化バイパス、SSLプロキシ、トラフィック重複排除などの高度なトラフィック処理機能をサポートしています。 |
3.2-モジュール選択ルール
保護対象リンクや監視機器の設置要件に応じて、実際の環境ニーズに合わせて柔軟にモジュール構成を選択できます。選択の際は、以下のルールに従ってください。
1) シャーシアセンブリは必須部品であり、他のモジュールを選択する前に必ず選択してください。また、必要に応じて適切な電源方式(AC/DC)を選択してください。
2) 本機は最大4つのモジュールスロットをサポートします。構成時にスロット数を超えるモジュールを選択することはできません。異なるモジュールモデルを柔軟に組み合わせることで、本機は最大16個の10GE/GEリンク、または8個の100GE/40GEリンクのシリアル保護をサポートできます。
4-高度な交通処理能力
4.1-インライン展開
特定トラフィックのインライン保護
サポート列をなして(シリアル)あらゆる特定のトラフィックタイプに対する保護モード列をなしてリンク。Toユーザー指定のトラフィックタイプを転送する列をなしてリンク先列をなして Sセキュリティデバイス処理のため、残りのトラフィックは直接転送され、列をなして Sセキュリティデバイス。 同時に、it実行状態をリアルタイムで監視します列をなして Sセキュリティデバイス異常なトラフィック処理状態が検出されると、itネットワークサービスの継続性を確保するため、トラフィック伝送経路から自動的に除外されます。
すべてのトラフィックのインライン保護
サポート列をなして(シリアル)あらゆるトラフィックタイプの保護モード列をなしてリンク。Toすべてのトラフィックを送信する列をなしてリンク先列をなして Sセキュリティデバイス処理のため、およびインラインセキュリティの実行状態を監視するデバイスリアルタイムで。異常なトラフィック処理状態が検出されると、itネットワークサービスの継続性を確保するため、トラフィック伝送経路から自動的に除外されます。
ロードバランシング
インテリジェントなトラフィック負荷分散機能を備えています。列をなして Sセキュリティデバイス対処するには不十分です列をなしてリンク通信トラフィックでは、割り当てることができます列をなしてロードバランシンググループを設定することで、トラフィックをNモニターインターフェースにリンクします。MAC、IP情報、ポート番号、プロトコルなどの情報に基づいて、itオプションのハッシュアルゴリズムの負荷分散出力を実行するため、列をなしてリンクトラフィックは複数の場所に均等に分散されます列をなして安全道具クラスター処理用のsは、全体の処理性能を効果的に向上させます。列をなして安全道具s. 高帯域幅および大容量トラフィックのアプリケーションシナリオの要件に適応するため。
ハートビートパケット検出
サポートTxそしてRx接続された機器のアップリンクとダウンリンクを介したハートビート検出パケット列をなしてセキュリティデバイスを検出し、インラインツール動作状況とトラフィック処理プロセスが正常かどうか。双方向ハートビートパケット検出メカニズムは、列をなして安全デバイスそして、ネットワークの正常な動作をより効果的に確保する。
あらゆる心拍パラメータをカスタマイズできます列をなして心拍数などのセキュリティデバイスTx間隔時間、最大心拍再試行回数、心拍数Tx方向など。故障状態を検出および判断できます。列をなしてセキュリティデバイスをタイムリーに作動させ、保護リンクの高速バイパス切り替えを実現する。
ハートビート検出パケットは、デフォルトではイーサネットレイヤ2フレームです。透過レイヤ2ブリッジモード(IPS/FWなど)が展開されている場合、レイヤ2イーサネットフレームはブロックやドロップされることなく正常に転送されます。同時に、特定の要件に対応するために、カスタムのイーサネットレイヤ2、レイヤ3、レイヤ4ハートビート検出パケットもサポートできます。列をなしてセキュリティデバイスは通常、通常のイーサネットレイヤ2フレームを転送できません。
上記の仕組みに基づき、ユーザーは接続されたセキュリティデバイスのサービスレベル健全性検出効果を実現でき、セキュリティサービスの正常な動作をより効果的に確保できます。
バイパススイッチング
非常に低いバイパスをサポートします切り替え遅延は8ms未満で、デバイスがバイパスを実行してもユーザーはネットワークへの影響をほとんど感じない。切り替え同時に、デバイス固有のリンク切り替え技術により、バイパス中にプライマリリンクのリンク状態が影響を受けないことが保証されます。切り替えこの技術によりバイパスが確実に切り替えより安全であり、保護されたリンクのレイヤ 2 / レイヤ 3 トポロジ プロトコルの再計算と収束を引き起こさないため、ユーザー ネットワークへの影響を最小限に抑えます。切り替え.
交通遮断
セキュリティ デバイスがトラフィック内の不正または異常なセッション接続を検出し、それらをタイムリーにブロックする必要がある場合、デバイスは、アップ/ダウン トラフィック内の指定されたパケットを傍受できます。列をなしてネットワークサービスの安全な運用を保証するために、タプルマッチングフィルタ条件に基づいてリンクします。
交通ミラー
インラインリンクのトラフィック保護やインラインセキュリティデバイス(IPS、WAFなど)に加えて、SPANミラーリングされたトラフィックをSPANセキュリティ監視システム(IDS、APTなど)に出力することもできるため、トラフィックデータのSPAN監視やトラフィックのテストおよび検証といった展開要件を満たすことができます。
SSLプロキシ
SSLプロキシ機能により、元の暗号化パケットが復号化されてインラインセキュリティ保護システムに送信され、その後、復号化されたデータが復元されて元のリンクに送り返されます。これにより、ユーザーの元のリンク上の暗号化データの送信に影響を与えることなく、復号化されたデータがインラインセキュリティ保護システムに提供され、分析システムによる暗号化データの監視と分析が実現されます。
4.2-SPAN展開
ネットワークトラフィックの複製
サポート列をなして(シリアル)あらゆる特定のトラフィックタイプに対する保護モード列をなしてリンク。Toユーザー指定のトラフィックタイプを転送する列をなしてリンク先列をなして Sセキュリティデバイス処理のため、残りのトラフィックは直接転送され、列をなして Sセキュリティデバイス。 同時に、it実行状態をリアルタイムで監視します列をなして Sセキュリティデバイス異常なトラフィック処理状態が検出されると、itネットワークサービスの継続性を確保するため、トラフィック伝送経路から自動的に除外されます。
ネットワークトラフィック集約
GE、10GE、40G、100Gの回線速度転送において、元の入力トラフィックと前処理済みトラフィックを1チャネル信号に基づいてNチャネル信号にコピーしたり、Nチャネル信号を集約した後にMチャネル信号にコピーしたりすることができ、ネットワーク内に2つ以上のマルチポートリスニングバイパスデバイスを同時に展開するニーズを完全に解決します。
データ配信/転送
受信したメタデータを正確に分類し、ユーザーが事前に定義したルールに従って、異なるデータサービスを破棄するか、複数のインターフェース出力に転送します。
パケットデータフィルタリング
入力データ渋滞正確に分類でき、異なるデータサービスをホワイトリストまたはブラックリストルールに設定でき、複数のインターフェース出力を破棄または転送できます。イーサネットタイプ、VLANタグ、IP 5タプルに基づく柔軟な組み合わせをサポートします。TCP識別子、パケット特性、その他の要素により、各種ネットワークセキュリティ機器の展開要件、プロトコル分析、シグナリング分析、その他のトラフィック監視をさらに満たします。
ロードバランシング
オプションのハッシュアルゴリズムの負荷分散は、L2-L4 の内部および外部層の特性に応じて実行され、受信したデータフローのセッション整合性を保証します。スパン監視装置。リンク状態が変化すると、オフロードポートグループのメンバーは柔軟に退出(リンクDOWN)または参加(リンクUP)することができ、オフロードグループはトラフィックを自動的に再分配して、ポートの出力トラフィックの動的な負荷分散を保証します。
VLANタグ
VLANタグなし
VLANが置き換えられました
パケットの最初の128バイト内の任意のキーフィールドのマッチングをサポートします。ユーザーはオフセット値、キーフィールドの長さと内容をカスタマイズし、ユーザー設定に基づいてトラフィック出力ポリシーを決定できます。
タイムスタンプ
サポート対象 NTPサーバーと同期して時刻を修正し、フレームの末尾にタイムスタンプマークを付けた相対タイムタグの形式で、ナノ秒単位の精度でメッセージをパケットに書き込む。
トンネル封止材の剥離
元のデータパケットからヘッダーが削除され、転送されるVxLAN、VLAN、GRE、GTP、MPLS、IPIPヘッダーをサポートする。
データ/パケットスライシング
サポートパケットスライスポリシーレベルのトラフィック入力インターフェースと出力インターフェースに基づいて元のデータを処理し(64、96、128、160、192、224、256、288、320、384、512、640、768、896、960バイトはオプション)、トラフィック出力ポリシーはユーザー設定に従って実装できます。
トンネリングプロトコル識別子
GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP など、さまざまなトンネリングプロトコルを自動的に識別します。ユーザー設定に応じて、トンネルの内側レイヤーまたは外側レイヤーに応じてトラフィック出力戦略を実装できます。
パケット転送優先度
受信ポートにおけるサービスの重要度に応じてデータパケットの優先順位を定義し、出力時には優先度の高いパケットを優先的に転送します。優先度の高いパケットが転送された後、中優先度および低優先度のパケットが転送されます。重要なデータパケットの欠落による解析システムのアラーム発生を回避します。
異常警報
しきい値設定に基づき、インターフェースのトラフィック傾向に関するリアルタイム監視アラームと履歴アラーム記録をサポートします。また、デバイスハードウェア(CPU、メモリ、温度、ファン、電源など)の健全性状態に基づいたリアルタイム監視アラームと履歴アラーム記録もサポートします。
インターフェースのホットバックアップ
入力インターフェース1+1プライマリ/スタンバイ構成、出力インターフェース1+1プライマリ/スタンバイ構成、および負荷分散グループN+1プライマリ/スタンバイ構成をサポートし、入力から出力までのトラフィック処理において高い信頼性を実現します。
交通マイクロバースト測定
トラフィックのマイクロバーストの発生時間、継続時間、バースト率をリアルタイムで検出し、過去の測定記録を保持することで、運用保守のトラブルシューティングやパケット損失検出のための定量的かつ観測可能な手段と根拠を提供します。
インターフェース発振保護
あらゆるインターフェースのリンクアップ/ダウンの振動イベントの検出と保護をサポートすることで、インターフェースの頻繁なリンクアップ/ダウンによって引き起こされる入出力トラフィックの損失を回避し、トラフィックの収集と転送の安定性を向上させます。
トンネルカプセル化出力
収集したトラフィックをERSPAN2、GRE、VXLAN、NVGREタイプのトンネルカプセル化でカプセル化し、リモート分析システムへの収集トラフィック送信というアプリケーション要件を満たすように出力します。
トンネルパケットの終端
トンネルメッセージ終端機能をサポートしています。この機能により、トラフィック入力ポートでIPアドレス/マスクおよびMACアドレスを設定できます。GRE、GTP、VXLANなどのトンネルカプセル化方式を介して、ユーザーネットワークで収集する必要のあるトラフィックをデバイスの収集ポートに直接送信できます。
SPAN SSL復号化
対応するSSL証明書の復号化の読み込みをサポートします。指定されたトラフィックのHTTPS暗号化データの復号化後、必要に応じてバックエンドの監視および分析システムに転送されます。TLS1.0、TLS1.2、およびSSL3.0をサポートします。
データ/パケット重複排除
ポートベースまたはポリシーレベルの統計的粒度をサポートし、複数の収集元データと、指定された時刻における同一データパケットの繰り返しを比較できます。ユーザーは、異なるパケット識別子(dst.ip、src.port、dst.port、tcp.seq、tcp.ack、dst.mac、src.mac、vlan.id)を選択できます。
機密データのマスキング
機密情報の保護を目的として、生データ内の任意のキーフィールドを置き換えるためのポリシーベースの粒度をサポートしています。ユーザー設定に応じて、トラフィック出力ポリシーを実装できます。
APPレイヤープロトコル識別子
DNS/URLマッチング方式に基づき、アプリケーション層プロトコルの識別、出力、破棄をサポートします。DPI機能ライブラリを統合することで、1800種類以上のアプリケーションプロトコル機能(オーディオ、ビデオ、ゲーム、インスタントメッセージ、データベース、電子メール、P2Pなど)を認識、出力、破棄することが可能です。また、DPI機能ライブラリはアップグレードや更新も可能です。特別なニーズがある場合は、二次開発も承ります。
パケットのユーザー定義デカプセル化
独自のパケット非カプセル化機能をサポートしており、パケットの最初の128バイトの任意の位置にあるカプセル化フィールドと内容を削除して出力できます。
トラフィックシェーピング
同時に、出力インターフェースではトラフィックシェーピング技術が使用され、データフローを分析ツールにスムーズに出力することで、マイクロバーストによって引き起こされるパケット損失現象を根本的に解決し、分析システムにおけるトラフィック損失による異常アラームを回避します。
パケットキーワードマッチング
パケットのペイロード部分にあるフィールドコンテンツが一致してヒットした場合、関連するパケットまたはセッションフローは転送されて出力されるか、特定のトラフィックデータの前処理要件を満たすために破棄されます。
トンネル封止材の剥離
元のデータパケットからヘッダーを削除した後、VXLAN、MPLS、GRE、SRV6、FABRICPATCH、GENEVEなどのパケットヘッダーを出力することをサポートします。
長期接続オフロード
ユーザーのニーズに応じて、送信バイト数と送信パケット数に基づいて任意のセッションフローを転送および出力し、後続のセッションフローを破棄することができます。これにより、特定のシナリオにおいてバックエンド分析システムの要件を満たし、セッションフローのトラフィックの一部のみを取得することで、トラフィック分析の負荷を軽減し、分析システムの効率を向上させることができます。
交通統計分析
あらゆる入力インターフェーストラフィックの構成要素の統計情報をサポートし、トラフィックの傾向サイズ、IPアドレス別のトラフィックサイズ/割合(TOPN)、アプリケーションプロトコルカテゴリ別のトラフィックサイズ/割合(TOPN)、アプリケーションプロトコル名別のトラフィックサイズ/割合(TOPN)、およびトラフィックセッション情報をリアルタイムでグラフ形式で表示できます。また、統計結果をローカルファイルにエクスポートすることも可能です。これにより、ユーザーは収集したトラフィックの構成構造をより明確に把握でき、トラフィック戦略のカスタマイズや変化するビジネス要件に対応するための最も直接的なデータサポート基盤を得ることができます。
交通状況の可視化 - 基本的なデータ分析
トラフィック可視化検出機能の基本分析モジュールは、パケット数、ユニキャスト/マルチキャスト/ブロードキャストパケット分布、セッション接続数、パケットプロトコル分布、キャプチャされたトラフィックサイズなど、キャプチャされたターゲットトラフィックデータの基本情報を表示できます。
交通状況の可視化 - DPI詳細分析
交通可視性検出機能のDPI詳細分析モジュールは、取得した対象交通データを複数の視点から詳細に分析し、グラフや表の形式で詳細な統計情報を表示できます。
交通視認性 - 交通量割合分析
● トランスポート層プロトコルの割合分析:TCP、UDP、ICMP、IGMP、ARPなどのパケットの割合、トラフィック統計、円グラフ表示
● IPトラフィック比率分析:異なるIPアドレスによって生成されたトラフィック統計、IPベースのトラフィックランキングTOP N、棒グラフ表示など
● DPIアプリケーション比率分析:HTTP、QQ、FTPなどのアプリケーションプロトコル、バイト数、通信トラフィックの統計分布、円グラフ表示
交通状況の可視化 - 交通状況のタイムライン分析
IPアドレス、ポート番号、トランスポート層プロトコル、アプリケーション層プロトコルなどのさまざまなフィルタリング条件に基づいて、サンプリング時間に基づいて現在のターゲットキャプチャトラフィックデータを分析および表示できます。また、タイムスライダーと統計粒度スケーリングを移動することでトラフィックのサイズと傾向を照会でき、精度は最大1ミリ秒に達します。
交通状況の可視化 – フローテーブル分析
フローID、IPアドレス、ポート番号、トランスポート層プロトコル、アプリケーション層プロトコルなどのさまざまなフィルタ条件に基づいて、現在キャプチャされたトラフィックデータはセッションフローモードに基づいて分析およびカウントされます。つまり、各フローの5タプル情報、伝送アプリケーションの種類、パケット送信数とバイト数、および関連するデータフローを含むセッションフロー情報の詳細な表示が行われます。また、上記の情報に基づいてランキング表示も行われます。この情報に基づいて、ユーザーは関心のあるトラフィックの種類を容易に選択でき、トラフィック転送ポリシーを策定するための最も直接的な根拠となります。
トラフィック可視化 – パケット分析
パケットID、IPアドレス、ポート番号、トランスポート層プロトコル、アプリケーション層プロトコル、その他の指定されたコンテンツなど、さまざまなフィルタリング基準に基づいて、キャプチャされたターゲットトラフィックデータは、パケットごとの分析表示とともに提供できます。これには以下が含まれます。
● パケット収集タイムスタンプの分析
● SIP、DIP、SMAC、DMAC、プロトコル、フラグ、TTL、メッセージ長、キーイベントなどの主要パケット情報分析
● パケット伝送経路の分析とアニメーション表示(転送時間、転送遅延、転送タイプ(ルーティング、スイッチング、ファイアウォール、ロードバランシング、NAT)など)
● パケット情報の概要と詳細な構造表示
● パケット収集の繰り返し回数の分析
交通状況の可視化 – 精密な障害分析
交通可視性検出機能の障害分析モジュールは、取得した対象交通データに対して、以下のようなさまざまな視覚的障害分析位置を提供できます。
● 異常の概要(例:ネットワークサービス分析結果、異常イベント分析結果、動作分析に基づくネットワークプロセス(パケット送信によって通過したルーティングデバイス、NATデバイス、ファイアウォールデバイス、ロードバランシングデバイスの数など))
● フローテーブルレベルでの障害分析(異常イベントの種類(接続拒否/接続応答なし/接続データ送信なし/接続半開/セッションルート到達不能など))、● パケットレベルでの障害分析(異常イベントの種類(パケットチェックサムエラー/TTL 0/到達不能エラー/FCSチェックサムエラーなど)、異常情報の詳細な説明、関連するデータフローの詳細など)
● セキュリティ障害分析:異常イベントの種類(DDOS攻撃/ファイアウォール遮断/ARP攻撃/UDPフラッド/SYNフラッドなど)、異常情報の詳細な説明、および関連するデータフローの詳細
● ネットワーク障害分析:異常イベントの種類(スイッチングループ/ルーティングループ/パス到達不能/リンク中断など)、異常情報の詳細な説明、および関連するデータフローの詳細
5-Mylinking™ネットワークパケットブローカーおよびインラインバイパススイッチの仕様
| ML-バイパス-M2000 Mylinking™ ネットワークパケットブローカーとインラインバイパススイッチ 機能仕様 | ||||
| ネットワークインターフェース | モジュールスロット | バイパスまたはモニターモジュールスロット4個 | ||
| インラインリンクの数 | 最大16個の1G/10G光リンク、または8個の40G/100G光リンクの保護をサポートします。 | |||
| 監視インターフェースを監視する | 最大で64個の1G/10GE監視インターフェース、または16個の40G/100G監視インターフェースをサポートします。 | |||
| 帯域外管理インターフェース | 10/100/1000Mイーサネットポート×1 | |||
| 展開モード | インライン展開 | サポート | ||
| SPAN展開 | サポート | |||
| システム機能 | インライン展開モード | 特定フロー連結保護 | サポート | |
| 全フローシリーズ保護 | サポート | |||
| ロードバランシング | サポート | |||
| 心拍検出 | サポート | |||
| バイパススイッチング | サポート | |||
| 交通規制 | サポート | |||
| トラフィックミラーリング | サポート | |||
| SSLプロキシ | サポート | |||
| SPAN展開モード | 基本的な交通処理 | トラフィックの複製/集約/分散 | サポート | |
| ロードバランシング | サポート | |||
| IPアドレス/プロトコル/ポート番号の5タプル識別子に基づくトラフィックフィルタリング | サポート | |||
| VLANのタグ付け/変更/削除 | サポート | |||
| タイムスタンプ | サポート | |||
| トンネルの被覆剥離 | サポート | |||
| データスライシング | サポート | |||
| トンネリングプロトコルの識別 | サポート | |||
| パケット転送の優先順位 | サポート | |||
| 異常警告 | サポート | |||
| インターフェースホットスタンバイ | サポート | |||
| マイクロバースト測定 | サポート | |||
| インターフェース振動保護 | サポート | |||
| トンネルカプセル化出力 | サポート | |||
| トンネルパケットの終端 | サポート | |||
| 高度なトラフィック処理 | SSL復号化をバイパスする | サポート | ||
| データ重複排除 | サポート | |||
| データマスキング | サポート | |||
| アプリケーション層プロトコルの識別 | サポート | |||
| カスタムデカプセル化 | サポート | |||
| フローシェーピング | サポート | |||
| キーワードマッチング | サポート | |||
| トンネルの被覆剥離 | サポート | |||
| 長期間接続のアンロード | サポート | |||
| 流量成分の観測 | サポート | |||
| 診断とモニタリング | リアルタイム監視 | サポート | ||
| 過去のトラフィッククエリ | サポート | |||
| 交通情報 | サポート | |||
| 交通状況可視化検出 | ファンダメンタル分析 | パケット数、パケットタイプの分布、セッション接続数、パケットプロトコルの分布といった基本情報に基づいた統計情報の要約表示をサポートします。 | ||
| DPIの詳細分析 | トランスポート層プロトコルの割合、ユニキャスト、ブロードキャスト、マルチキャストの割合、IPトラフィックの割合、DPIアプリケーションの割合の分析をサポートします。サンプリング時間とデータ量に基づいてデータコンテンツの分析と表示をサポートします。セッションストリームに基づいてデータ分析と統計をサポートします。 | |||
| 精密な故障解析 | パケット送信挙動分析、データストリームレベルの障害分析、データパケットレベルの障害分析、セキュリティ関連の障害分析、ネットワーク関連の障害分析など、さまざまな視点からのトラフィックデータを用いた障害分析と障害位置特定をサポートします。 | |||
| 処理能力 | 2.4Tbps | |||
| 管理 | コンソールネットワーク管理 | サポート | ||
| IP/WEBネットワーク管理 | サポート | |||
| SNMPネットワーク管理 | サポート | |||
| TELNET/SSHネットワーク管理 | サポート | |||
| SYSLOGプロトコル | サポート | |||
| RADIUSまたはTADACS+による集中認証 | サポート | |||
| ユーザー認証機能 | ユーザー名とパスワードによる認証 | |||
| 電気 | 定格電源電圧 | AC-220V/DC-48V [オプション] | ||
| 定格電力周波数 | AC-50Hz | |||
| 定格入力電流 | AC-3A / DC-10A | |||
| 定格機能電力 | 最大300W | |||
| 環境 | 動作温度 | 0-50C | ||
| 保管温度 | -20~70℃ | |||
| 動作湿度 | 10%~95%、結露なし | |||
| ユーザー設定 | コンソール設定 | RS232インターフェース、115200、8、N、1 | ||
| パスワード認証 | Sサポート | |||
| ラックサイズ | ラックスペース(U) | 2U 444mm×88mm×670mm | ||
6-Mylinking™ネットワークパケットブローカーとインラインバイパススイッチアプリケーション
6.1のRイスクのインラインSセキュリティE機器(IPS / FW)
以下は、典型的なIPS(侵入防御システム)、FW(ファイアウォール)の展開モードです。IPS/FWは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、トラフィックを介してセキュリティチェックを実行します。対応するセキュリティポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御効果を実現します。
以下は、典型的なIPS(侵入防御システム)、FW(ファイアウォール)の展開モードです。IPS/FWは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、トラフィックを介してセキュリティチェックを実行します。対応するセキュリティポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御効果を実現します。
6.2 インラインリンクシリーズ機器保護
Mylinking™ Network Packet BrokerとInline Bypass Switchは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、ネットワーク機器間のデータフローはIPS/FWに直接接続されなくなります。IPS/FWは「スマートインラインバイパススイッチ」を経由して接続されます。IPS/FWが過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどの障害状態になった場合、「スマートインラインバイパススイッチ」はインテリジェントなハートビートメッセージ検出機能によりタイムリーに障害を検出し、障害のある機器をスキップします。これにより、ネットワークの前提を中断することなく、ネットワーク機器が直接接続され、正常な通信ネットワークが迅速に保護されます。IPS/FWの障害復旧時にも、インテリジェントなハートビートパケット検出機能によりタイムリーに検出され、元のリンクが復元され、企業ネットワークのセキュリティチェックが行われます。
Mylinking™ Network Packet Broker plus Inline Bypass Switchは、強力なインテリジェントハートビートメッセージ検出機能を備えています。ユーザーは、ハートビート間隔と最大再試行回数をカスタマイズできます。IPS/FW上でカスタムハートビートメッセージを使用して健全性テストを実行できます。たとえば、ハートビートチェックメッセージをIPS/FWの上流/下流ポートに送信し、IPS/FWの上流/下流ポートから受信して、ハートビートメッセージの送受信によってIPS/FWが正常に動作しているかどうかを判断します。
6.3 「SpecFlow」ポリシーフローのインライン化安全シリーズ保護
セキュリティネットワークデバイスが特定のトラフィックのみを直列セキュリティ保護で処理する必要がある場合、Mylinking™ Network Packet BrokerとInline Bypass Switchのトラフィック処理機能を介して、トラフィックスクリーニングポリシーによりインラインセキュリティデバイスに接続され、「対象」トラフィックがネットワークリンクに直接送り返され、「対象トラフィックセクション」がインラインセキュリティデバイスに引き渡されてセキュリティチェックが実行されます。これにより、セキュリティデバイスのセキュリティ検出機能の正常な動作が維持されるだけでなく、セキュリティ機器の処理負荷の非効率な流れも軽減されます。同時に、「スマートインラインバイパススイッチ」はセキュリティデバイスの動作状態をリアルタイムで検出できます。セキュリティデバイスが異常動作している場合は、データトラフィックを直接バイパスしてネットワークサービスの中断を回避します。
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチは、VLANタグ、送信元/宛先MACアドレス、送信元IPアドレス、IPパケットタイプ、トランスポート層プロトコルポート、プロトコルヘッダーキータグなど、L2~L4レイヤーヘッダー識別子に基づいてトラフィックを識別できます。さまざまなマッチング条件を柔軟に組み合わせることで、特定のセキュリティデバイスにとって重要なトラフィックタイプを定義でき、RDP、SSH、データベース監査などの特別なセキュリティ監査デバイスの展開に幅広く活用できます。
60.4Lロードバランスインラインセキュリティシリーズ保護
Mylinking™ Network Packet BrokerとInline Bypass Switchは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクタのトラフィック負荷分散機能により、複数のIPS/FWクラスタがネットワークリンクトラフィックを「束ねる」ことで、単一のIPS/FWの処理負荷を効果的に軽減し、全体的な処理性能を向上させて、展開環境の高い帯域幅の要求を満たすことができます。
Mylinking™ Network Packet BrokerとInline Bypass Switchは強力な負荷分散機能を備えており、フレームのVLANタグ、MAC情報、IP情報、ポート番号、プロトコルなどの情報に基づいてハッシュ負荷分散トラフィックを分散し、各IPS/FWが受信するデータフローのセッション整合性を保証します。
60.5マルチシリーズインライン機器 F低いT反応P保護(変化物理的なシリアル接続論理的並列接続)
インターネット接続やサーバーエリア間のリンクなど、一部の重要なリンクでは、セキュリティ機能の必要性から、ファイアウォール、DDoS攻撃対策機器、Webアプリケーションファイアウォール、侵入防止機器など、複数のインラインセキュリティテスト機器が配置されることがよくあります。複数のセキュリティ検出機器が同時にリンク上に直列に接続されることで、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作では、ネットワークのサービスが長時間中断され、大規模なプロジェクトカットアクションが発生して、これらのプロジェクトが正常に完了する必要があります。
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチを統合的に導入することで、同一リンク上に直列接続された複数のセキュリティデバイスの導入モードを「物理的直列接続モード」から「物理的並列接続だが論理的直列接続モード」に変更できます。これにより、直列リンク上の単一障害点の発生源を効果的に削減し、リンクの信頼性を向上させます。同時に、Mylinking™ネットワークパケットブローカーとインラインバイパススイッチは、必要に応じてリンクトラフィックを誘導し、元の直列接続モードと同等のトラフィックセキュリティ処理効果を実現します。
複数のインラインセキュリティデバイスを同時に直列接続する構成図:
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチの導入図:
(物理的なシリアル接続を論理的なパラレル接続に変更する)
60.6に基づくとDダイナミックポリシーTraffic インラインSセキュリティD検出P保護
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチを組み合わせた、もう一つの高度なアプリケーションシナリオは、トラフィックトラクションセキュリティ検出保護アプリケーションの動的ポリシーに基づいています。その展開方法は以下のとおりです。
例えば、「アンチDDoS攻撃防御および検出」セキュリティテスト機器では、フロントエンドに「スマートバイパススイッチ」を配置し、アンチDDoS防御機器を「スマートバイパススイッチ」に接続します。通常の「スマートバイパススイッチ」では、トラフィックの全量をワイヤースピードで転送すると同時に、フローミラー出力を「アンチDDoS攻撃防御装置」に送信します。サーバーIP(またはIPネットワークセグメント)が攻撃を受けたことが検出されると、「アンチDDoS攻撃防御装置」はターゲットトラフィックフローのマッチングルールを生成し、動的ポリシー配信インターフェースを介して「スマートバイパススイッチ」に送信します。「バイパススイッチ」は、動的ポリシールールルールプール「」を受信した後、「トラフィック牽引動的」を更新し、ルールが攻撃サーバートラフィック「牽引」にヒットするとすぐに「アンチDDoS攻撃防御および検出」機器に処理され、攻撃フローが有効になった後、ネットワークに再注入されます。
「スマートバイパススイッチ」に基づくアプリケーション方式は、従来のBGPルートインジェクションやその他のトラフィックトラクション方式よりも実装が容易であり、ネットワークへの依存度が低く、信頼性が高い。
「スマートバイパススイッチ」は、動的ポリシーセキュリティ検出保護をサポートするために、以下の特徴を備えています。
1. 「スマートバイパススイッチ」は、WEBSERIVCEインターフェースに基づいてルール外のアクセスを提供し、サードパーティのセキュリティデバイスとの統合が容易です。
2. ハードウェア純粋なASICチップに基づく「スマートバイパススイッチ」は、ブロッキングスイッチ転送なしで最大100Gbpsのワイヤースピードパケットを転送し、「トラフィック牽引動的ルールライブラリ」は数に関係なく機能します。
3. 「スマートバイパススイッチ」内蔵のプロフェッショナルバイパス機能により、プロテクター自体が故障した場合でも、元のシリアルリンクを即座にバイパスでき、元のリンクの正常な通信に影響を与えません。
6.7インラインシリアルトラフィックミラーリング帯域外セキュリティ(インライン+SPAN)
Mylinking™ネットワークパケットブローカーとインラインバイパススイッチは、通常、顧客のITネットワークまたはクラウドプラットフォームネットワークに導入され、WAF/IPSデバイスと元のリンクをインラインで保護します。ユーザーは、バイパス監視デバイスのテスト、検証、または導入に関して追加の要件を持つ場合があり、その場合はこのリンク上のトラフィックデータの取得が必要になります。
したがって、Mylinking™ Network Packet BrokerとInline Bypass Switchのトラフィックミラーリング機能を使用することで、次の図に示すように、モニターポートからインラインシリアルリンクのトラフィックをミラーリングできます。
下の図は、インラインリンクトラフィックとスイッチミラーリングポートトラフィックの拡張アプリケーションシナリオを示しています。これにより、スイッチミラーリングポートトラフィックの影響を受けることなく、インラインリンクトラフィックを保護できます。IDS分析システムは、インラインリンクトラフィックとスイッチミラーリングポートトラフィックの両方を同時に取得できます。展開方法は下の図に示されています。
6.8データ/パケット重複排除応用
上記のアプリケーション展開構造に示すように、リンク全体にわたる元のデータ収集の整合性を確保するため、同一のデータパケットが単一パス内で複数回収集される場合があります。これにより、バックエンドシステムでの誤報や再送信が増加し、分析システムのパフォーマンスオーバーヘッドが増加し、分析の精度と有効性に影響します。この解決策に基づき、まず、異なるキャプチャノードで重複排除された重複データパケットを削除します。バックエンドのNPMネットワークパフォーマンス分析システムとAPMアプリケーションパフォーマンス分析システムには、1つのデータパケットのみが転送されるため、分析システムのパフォーマンスが節約され、分析の効率と精度が向上します。
6.9データ/パケットVLANタグing応用
上記の図に示すネットワーク環境において、本ソリューションは、様々なネットワーク機器やリンクノードからの生データにラベルを付与するために使用されます。ネットワーク内で異常なトラフィックやデータパケットが発生した場合、バックエンドの分析機器は、データラベルに基づいて遡及することで、異常データの発生源を迅速かつ正確に特定できます。
6.10 ネットワークトラフィック統一スケジュール応用
上記の図に示すネットワーク環境では、複数の10GE、25GE、40GE、100GEソースリンクデータが、光スプリッティングまたはポートミラーリングを使用してMylinking™ネットワークパケットブローカーとインラインバイパススイッチに完全に入力されます。その後、フィルタリングとトラフィック分割を使用して、異なるサービスデータトラフィックを異なるバックエンドの帯域外ネットワーク監視およびセキュリティシステムデバイスに出力します。ネットワークパケットの異常や異常なトラフィック変動が発生し、手動による介入が必要になった場合、元のデータパケットのリアルタイムパケットキャプチャと分析を即座に実行できるため、ユーザーは障害を迅速に分析して特定できます。
6.11ネットワーク交通データ可視性分析応用
トラフィック構成構造、アプリケーションプロトコル分布、全ネットワークノードのトラフィック分布、データ伝送経路、異常イベント検出、ネットワーク要素/リンク障害の正確な位置、メッセージ相互作用ステータス、トラフィック発展傾向など、監視および分析のためのあらゆる側面を含む、検出および取得されたあらゆるデータを、ユーザーフレンドリーなグラフィックおよびテキストによる対話型インターフェースを通じて、多次元的かつ多角的な視点から表示できるため、企業ネットワーク向けの包括的で可視性があり、制御可能なデータ収集およびセキュリティプラットフォームを構築できます。
