Mylinking™ ネットワークタップバイパススイッチ ML-BYPASS-100
2*バイパス+1*モニター モジュラー設計、10/40/100GEリンク、最大640Gbps
概要
Mylinking™ ネットワーク タップ バイパス スイッチは、高いネットワーク信頼性を提供しながら、さまざまなタイプのインライン セキュリティ機器を柔軟に導入できるように研究開発されています。
Mylinking™ スマートバイパススイッチタップを導入することで、次のことが可能になります。
- ユーザーはセキュリティ機器/ツールを柔軟にインストール/アンインストールでき、現在のネットワークに影響を与えたり中断したりすることはありません。
- Mylinking™ ネットワークタップバイパススイッチは、インテリジェントなヘルスチェック機能を備え、インラインセキュリティデバイスの正常な動作状態をリアルタイムで監視します。インラインセキュリティデバイスの動作に異常が発生した場合、保護機能が自動的にバイパスされ、正常なネットワーク通信が維持されます。
- 選択的トラフィック保護技術は、特定のトラフィックをクリーニングするセキュリティ機器や、監査機器に基づく暗号化技術を導入する際に活用できます。特定のトラフィックタイプに対するインラインアクセス保護を効果的に実行し、インラインデバイスのフロー処理負荷を軽減します。
- 負荷分散トラフィック保護テクノロジーは、高帯域幅環境でのインライン セキュリティを満たすために、安全なシリアル インライン セキュリティ デバイスのクラスター展開に使用できます。
ネットワークタップバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードと「FullLink」保護モード
Mylinking™ 高速バイパススイッチング保護
Mylinking™「LinkSafeSwitch」
Mylinking™「Webサービス」動的戦略転送/問題
Mylinking™ インテリジェントハートビートメッセージ検出
Mylinking™ 定義可能なハートビートメッセージ(ハートビートパケット)
Mylinking™ マルチリンク負荷分散
Mylinking™ インテリジェントトラフィック分散
Mylinking™ 動的負荷分散
Mylinking™ リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
ネットワークタップバイパススイッチオプション構成ガイド
バイパスモジュール保護ポートモジュールスロット:
このスロットには、異なる速度/ポート番号のバイパス保護ポートモジュールを挿入できます。異なる種類のモジュールを交換することで、複数の10G/40G/100Gリンクのバイパス保護要件をサポートできます。
モニターモジュールポート モジュール スロット。
このスロットには、異なる速度/ポートのMONITORモジュールを挿入できます。異なるモジュールを交換することで、10G/40G/100Gの複数のリンクをサポートし、インラインシリアルモニタリングデバイスを構築できます。
モジュール選択ルール
さまざまな展開リンクと監視機器の展開要件に基づいて、実際の環境の要求を満たすさまざまなモジュール構成を柔軟に選択できます。モジュールの選択時には、次のルールに従ってください。
1. シャーシコンポーネントは必須です。他のモジュールを選択する前に、シャーシコンポーネントを選択してください。同時に、ニーズに応じて異なる電源方式(AC/DC)を選択してください。
2. デバイス全体で最大2つのBYPASSモジュールスロットと1つのMONITORモジュールスロットをサポートします。設定するスロット数を超えて選択することはできません。スロット数とモジュールモデルの組み合わせに応じて、デバイスは最大4つの10GEリンク保護、最大4つの40GEリンク、または最大1つの100GEリンクをサポートできます。
3. モジュールモデル「BYP-MOD-L1CG」は、SLOT1にのみ挿入して正常に動作します。
4. モジュール タイプ「BYP-MOD-XXX」は BYPASS モジュール スロットにのみ挿入でき、モジュール タイプ「MON-MOD-XXX」は MONITOR モジュール スロットにのみ挿入して通常の操作を行うことができます。
| 製品モデル | 関数パラメータ |
| シャーシ(ホスト) | |
| ML-バイパス-M100 | 1U 標準 19 インチ ラックマウント、最大消費電力 250W、モジュラー BYPASS プロテクター ホスト、2 つの BYPASS モジュール スロット、1 つの MONITOR モジュール スロット、AC および DC オプション。 |
| バイパスモジュール | |
| BYP-MOD-L2XG(LM/SM) | 2 方向 10GE リンク シリアル保護、4 * 10GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー。光リンク シングル/マルチモード (オプション)、10GBASE-SR/LR をサポート。 |
| BYP-MOD-L2QXG(LM/SM) | 2 方向 40GE リンク シリアル保護、4 * 40GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー。光リンク シングル/マルチモード (オプション)、40GBASE-SR4/LR4 をサポート。 |
| BYP-MOD-L1CG(LM/SM) | 1 チャネル 100GE リンク シリアル保護、2 * 100GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー。光リンク シングル マルチモードはオプション、100GBASE-SR4/LR4 をサポート。 |
| モニターモジュール | |
| MON-MOD-L16XG | 16*10GE SFP+ モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L8XG | 8*10GE SFP+ モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L2CG | 2*100GE QSFP28 モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L8QXG | 8* 40GE QSFP+ モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
ネットワークTAPバイパススイッチの仕様
| 製品モダリティ | ML-BYPASS-M100 インラインネットワークタップバイパススイッチ | |
| インターフェースの種類 | MGTインターフェース | 1*10/100/1000BASE-T 適応型管理インターフェース; リモート HTTP/IP 管理をサポート |
| モジュールスロット | 2*BYPASSモジュールスロット;1*MONITORモジュールスロット; | |
| 最大限をサポートするリンク | デバイスは最大 4*10GE リンクまたは 4*40GE リンクまたは 1*100GE リンクをサポートします | |
| 監視 | デバイスは最大 16 * 10GE 監視ポートまたは 8 * 40GE 監視ポートまたは 2 * 100GE 監視ポートをサポートします。 | |
| 関数 | 全二重処理能力 | 640Gbps |
| IP/プロトコル/ポートの5タプルに基づく特定のトラフィックカスケード保護 | サポートされている | |
| 完全なトラフィックに基づくカスケード保護 | サポートされている | |
| 複数の負荷分散 | サポートされている | |
| カスタムハートビート検出機能 | サポートされている | |
| イーサネットパッケージの独立性をサポート | サポートされている | |
| バイパススイッチ | サポートされている | |
| フラッシュなしのバイパススイッチ | サポートされている | |
| コンソール管理 | サポートされている | |
| IP/WEB管理 | サポートされている | |
| SNMP V1/V2C 管理 | サポートされている | |
| TELNET/SSH 管理 | サポートされている | |
| SYSLOGプロトコル | サポートされている | |
| ユーザー認証 | パスワード認証/AAA/TACACS+に基づく | |
| 電気 | 定格供給電圧 | AC-220V/DC-48V【オプション】 |
| 定格電力周波数 | 50Hz | |
| 定格入力電流 | AC-3A / DC-10A | |
| 定格出力 | 100W | |
| 環境 | 動作温度 | 0-50℃ |
| 保管温度 | -20~70℃ | |
| 作業湿度 | 10%~95%、結露なし | |
| ユーザー設定 | コンソール構成 | RS232インターフェース、115200、8、N、1 |
| 帯域外MGTインターフェース | 1*10/100/1000M イーサネットインターフェース | |
| パスワード認証 | サポートされている | |
| シャーシの高さ | シャーシスペース(U) | 1U 19インチ、485mm×44.5mm×350mm |
ネットワークTAPバイパススイッチアプリケーション(以下の通り)
5.1 インラインセキュリティ機器(IPS / FW)のリスク
以下は、一般的な IPS (侵入防止システム)、FW (ファイアウォール) の展開モードです。IPS / FW は、インライン ネットワーク デバイス (ルーター、スイッチなど) として展開され、トラフィック間のセキュリティ チェックを実施することで、対応するセキュリティ ポリシーに従って、対応するトラフィックのリリースまたはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS(侵入防止システム)/ FW(ファイアウォール)を機器のインライン展開として観察できます。通常、インラインセキュリティを実装するために企業ネットワークの主要な場所に展開されますが、接続されたデバイスの信頼性は、企業ネットワーク全体の可用性に直接影響します。インラインセキュリティデバイスが過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などが発生すると、企業ネットワーク全体の可用性に大きな影響が及びます。この時点で、ネットワークカット、物理的なバイパスジャンパーを介してのみネットワークを回復できますが、ネットワークの信頼性に深刻な影響を及ぼします。IPS(侵入防止システム)/ FW(ファイアウォール)などのインラインデバイスは、一方では企業ネットワークのセキュリティ展開を向上させますが、他方では企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
5.2 インラインリンクシリーズ機器保護
Mylinking™ の「バイパス スイッチ」は、ネットワーク デバイス (ルーター、スイッチなど) 間にインラインで配置され、ネットワーク デバイス間のデータ フローが IPS(侵入防止システム)/FW(ファイアウォール) に直接つながらなくなります。「バイパス スイッチ」は IPS/FW に過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などの障害が発生した場合、「バイパス スイッチ」はインテリジェントなハートビート メッセージ検出機能によってタイムリーに検出し、障害のあるデバイスをスキップすることで、ネットワークの前提を中断することなく、直接接続されているネットワーク機器の正常な通信ネットワークを迅速に保護します。IPS/FW 障害回復時にも、インテリジェントなハートビート パケット検出機能によってタイムリーに検出し、元のリンクのセキュリティ チェックによって企業ネットワークのセキュリティを復元します。
Mylinking™「バイパス スイッチ」には、強力でインテリジェントなハートビート メッセージ検出機能があり、ユーザーは IPS/FW のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズし、ヘルス テストを行うことができます。たとえば、IPS/FW のアップストリーム/ダウンストリーム ポートにハートビート チェック メッセージを送信し、IPS/FW のアップストリーム/ダウンストリーム ポートから受信し、ハートビート メッセージの送受信によって IPS/FW が正常に動作しているかどうかを判断します。
5.3 「SpecFlow」ポリシーフローインライントラクションシリーズ保護
セキュリティネットワークデバイスが直列セキュリティ保護における特定のトラフィックのみを処理する必要がある場合、Mylinking™の「ネットワークタップバイパススイッチ」トラフィック単位処理機能により、トラフィックスクリーニング戦略を通じてセキュリティデバイスに接続され、「該当」トラフィックが直接ネットワークリンクに送り返され、「該当トラフィックセクション」がインラインセキュリティデバイスに牽引されてセキュリティチェックが実行されます。これにより、セキュリティデバイスの安全検出機能の正常な適用が維持されるだけでなく、セキュリティ機器の処理にかかる非効率なフローが軽減されます。同時に、「ネットワークタップバイパススイッチ」はセキュリティデバイスの動作状態をリアルタイムで検出し、セキュリティデバイスが異常動作した場合にデータトラフィックを直接バイパスすることで、ネットワークサービスの中断を回避します。
Mylinking™インライントラフィックバイパスタップは、VLANタグ、送信元/宛先MACアドレス、送信元IPアドレス、IPパケットタイプ、トランスポート層プロトコルポート、プロトコルヘッダーキータグなど、L2-L4層のヘッダー識別子に基づいてトラフィックを識別できます。様々なマッチング条件を柔軟に組み合わせることで、特定のセキュリティデバイスにとって重要なトラフィックタイプを定義でき、特殊なセキュリティ監査デバイス(RDP、SSH、データベース監査など)の導入に幅広く活用できます。
5.4 負荷バランス型直列保護
Mylinking™「ネットワークタップバイパススイッチ」は、ネットワークデバイス(ルーター、スイッチなど)間にインラインで導入されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクターのトラフィック負荷分散機能により、複数のIPS/FWクラスタ処理ネットワークリンクトラフィックを「バンドル」することで、単一のIPS/FW処理負荷を効果的に軽減し、全体的な処理性能を向上させ、導入環境の高帯域幅に対応します。
Mylinking™「ネットワーク タップ バイパス スイッチ」は強力なロード バランシング機能を備えており、フレームの VLAN タグ、MAC 情報、IP 情報、ポート番号、プロトコルなどのハッシュ情報に基づいてトラフィックをロード バランシング分散し、各 IPS/FW が受信したデータ フローのセッション整合性を確保します。
5.5 マルチシリーズインライン機器のフロートラクション保護(直列接続を並列接続に変更)
一部の重要なリンク(インターネットコンセント、サーバーエリア交換リンクなど)では、セキュリティ機能の需要により、複数のインラインセキュリティテスト機器(ファイアウォール(FW)、DDoS攻撃対策機器、WEBアプリケーションファイアウォール(WAF)、侵入防止システム(IPS)など)の導入が頻繁に行われています。複数のセキュリティ検出機器が同時にリンク上に直列に接続されると、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、前述のセキュリティ機器のオンライン導入、機器のアップグレード、機器の交換などの操作は、ネットワークの長時間のサービス中断や、プロジェクトの大規模な削減を引き起こし、このようなプロジェクトの成功を実現するには時間がかかります。
「ネットワークタップバイパススイッチ」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティデバイスの導入モードを「物理連結モード」から「物理連結、論理連結モード」に変更できます。リンク上の単一障害点のリンクの信頼性を向上させると同時に、「バイパススイッチ」がリンクフローをオンデマンドで牽引し、元のモードと同じフローで安全な処理効果を実現します。
複数のセキュリティ デバイスを同時にインライン展開する図:
Mylinking™ ネットワーク TAP バイパス スイッチの展開図:
5.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「ネットワーク タップ バイパス スイッチ」のもう 1 つの高度な応用シナリオは、トラフィック トラクション セキュリティ検出保護アプリケーションの動的戦略に基づいており、展開方法は次のようになります。
「アンチDDoS攻撃防御・検知」セキュリティテスト装置を例に挙げると、フロントエンドに「ネットワークタップバイパススイッチ」を配置し、アンチDDoS防御装置を「ネットワークタップバイパススイッチ」に接続することで、通常の「トラクションプロテクター」で全トラフィックをワイヤースピード転送すると同時に、フローミラー出力を「アンチDDoS攻撃防御装置」に送ります。攻撃を受けたサーバーIP(またはIPネットワークセグメント)が「アンチDDoS攻撃防御装置」に攻撃されたことを検出すると、「アンチDDoS攻撃防御装置」は対象のトラフィックフローにマッチするルールを生成し、動的ポリシー配信インターフェースを介して「ネットワークタップバイパススイッチ」に送信します。「ネットワークタップバイパススイッチ」は、動的ポリシールールを受信した後に「トラフィックトラクション」を更新し、「ルールプール」にルールを即座に適用し、攻撃を受けたサーバーのトラフィックを「アンチDDoS攻撃防御・検知」装置に転送して処理することで、攻撃フローがネットワークに再投入されます。
「ネットワーク タップ バイパス スイッチ」に基づくアプリケーション スキームは、従来の BGP ルート インジェクションやその他のトラフィック トラクション スキームよりも実装が容易で、環境のネットワークへの依存度が低く、信頼性が高くなります。
「ネットワーク タップ バイパス スイッチ」は、動的ポリシー セキュリティ検出保護をサポートする次の特性を備えています。
1、「ネットワーク タップ バイパス スイッチ」は、WEBSERIVCE インターフェイスに基づいてルール外を提供し、サードパーティのセキュリティ デバイスとの統合が容易です。
2、「BNetwork タップ バイパス スイッチ」は、ハードウェア ピュア ASIC チップをベースとし、最大 10Gbps のワイヤ スピード パケットをブロックなしでスイッチ転送し、数に関係なく「トラフィック トラクション ダイナミック ルール ライブラリ」を備えています。
3、「ネットワークタップバイパススイッチ」は専門的なBYPASS機能を内蔵しており、プロテクター自体が故障した場合でも、元のシリアルリンクを直ちにバイパスすることができ、元のリンクの正常な通信に影響を与えません。
