Saklar Bypass Tap Jaringan Mylinking™ ML-BYPASS-100
Desain Modular 2*Bypass plus 1*Monitor, Tautan 10/40/100GE, Maksimum 640Gbps
Gambaran Umum
Mylinking™ Network Tap Bypass Switch diteliti dan dikembangkan untuk digunakan dalam penerapan fleksibel berbagai jenis peralatan keamanan inline sekaligus memberikan keandalan jaringan yang tinggi.
Dengan menggunakan Mylinking™ Smart Bypass Switch Tap:
- Pengguna dapat memasang/mencopot peralatan/perangkat keamanan secara fleksibel dan hal tersebut tidak akan memengaruhi atau mengganggu jaringan yang ada;
- Saklar Bypass Tap Jaringan Mylinking™ dengan fungsi deteksi kesehatan cerdas untuk memantau secara real-time kondisi kerja normal perangkat keamanan inline. Jika terjadi pengecualian pada perangkat keamanan inline, fungsi proteksi akan secara otomatis melakukan bypass untuk menjaga komunikasi jaringan tetap normal;
- Teknologi perlindungan lalu lintas selektif dapat digunakan untuk menerapkan peralatan keamanan pembersihan lalu lintas spesifik, teknologi enkripsi berbasis peralatan audit. Secara efektif melakukan perlindungan akses langsung untuk jenis lalu lintas tertentu, mengurangi tekanan penanganan arus pada perangkat yang ada di jalur lalu lintas;
- Teknologi Perlindungan Lalu Lintas Seimbang Beban (Load Balanced Traffic Protection) dapat digunakan untuk penerapan klaster perangkat keamanan serial inline yang aman guna memenuhi keamanan inline di lingkungan dengan bandwidth tinggi.
Fitur & Teknologi Canggih dari Saklar Bypass Jaringan
Mode Proteksi Mylinking™ “SpecFlow” dan Mode Proteksi “FullLink”
Perlindungan Pengalihan Bypass Cepat Mylinking™
Mylinking™ “LinkSafeSwitch”
Strategi Dinamis Penerusan/Penerbitan "WebService" Mylinking™
Deteksi Pesan Detak Jantung Cerdas Mylinking™
Pesan Detak Jantung yang Dapat Didefinisikan Mylinking™ (Paket Detak Jantung)
Penyeimbangan Beban Multi-link Mylinking™
Distribusi Lalu Lintas Cerdas Mylinking™
Penyeimbangan Beban Dinamis Mylinking™
Teknologi Manajemen Jarak Jauh Mylinking™ (HTTP/WEB, TELNET/SSH, Karakteristik “EasyConfig/AdvanceConfig”)
Panduan Konfigurasi Opsional Sakelar Bypass Jaringan Tap
Modul BYPASSSlot Modul Port Proteksi:
Slot ini dapat dimasukkan ke dalam modul port proteksi BYPASS dengan kecepatan/jumlah port yang berbeda. Dengan mengganti berbagai jenis modul, slot ini dapat mendukung proteksi BYPASS untuk berbagai kebutuhan tautan 10G/40G/100G.
Modul MONITORSlot Modul Port;
Slot ini dapat disisipkan modul MONITOR dengan kecepatan/port yang berbeda. Slot ini dapat mendukung beberapa tautan 10G/40G/100G untuk penerapan perangkat pemantauan serial inline dengan mengganti modul yang berbeda.
Aturan Pemilihan Modul
Berdasarkan perbedaan tautan yang digunakan dan persyaratan penyebaran peralatan pemantauan, Anda dapat secara fleksibel memilih konfigurasi modul yang berbeda untuk memenuhi kebutuhan lingkungan Anda yang sebenarnya; harap ikuti aturan berikut selama pemilihan modul Anda:
1. Komponen sasis bersifat wajib dan Anda harus memilih komponen sasis sebelum memilih modul lainnya. Pada saat yang sama, silakan pilih metode catu daya yang berbeda (AC/DC) sesuai kebutuhan Anda.
2. Seluruh perangkat mendukung hingga 2 slot modul BYPASS dan 1 slot modul MONITOR; Anda tidak dapat memilih lebih dari jumlah slot yang dikonfigurasi. Berdasarkan kombinasi jumlah slot dan model modul, perangkat dapat mendukung hingga empat perlindungan tautan 10GE; atau dapat mendukung hingga empat tautan 40GE; atau dapat mendukung hingga satu tautan 100GE.
3. Modul model "BYP-MOD-L1CG" hanya dapat dimasukkan ke dalam SLOT1 agar berfungsi dengan benar.
4. Modul tipe "BYP-MOD-XXX" hanya dapat dimasukkan ke dalam slot modul BYPASS; modul tipe "MON-MOD-XXX" hanya dapat dimasukkan ke dalam slot modul MONITOR untuk pengoperasian normal.
| Model Produk | Parameter fungsi |
| Sasis (Host) | |
| ML-BYPASS-M100 | Dudukan rak standar 1U 19 inci; konsumsi daya maksimum 250W; host pelindung BYPASS modular; 2 slot modul BYPASS; 1 slot modul MONITOR; AC dan DC opsional; |
| MODUL BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Mendukung proteksi serial tautan 10GE 2 arah, antarmuka 4*10GE, konektor LC; transceiver optik terintegrasi; tautan optik mode tunggal/multimode opsional, mendukung 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Mendukung proteksi serial tautan 40GE 2 arah, antarmuka 4*40GE, konektor LC; transceiver optik terintegrasi; tautan optik mode tunggal/multimode opsional, mendukung 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Mendukung proteksi serial tautan 100GE 1 saluran, antarmuka 2*100GE, konektor LC; transceiver optik terintegrasi; tautan optik mode tunggal multimode opsional, mendukung 100GBASE-SR4/LR4; |
| MODUL MONITOR | |
| MON-MOD-L16XG | Modul port pemantauan 16*10GE SFP+; tanpa modul transceiver optik; |
| MON-MOD-L8XG | Modul port pemantauan 8*10GE SFP+; tanpa modul transceiver optik; |
| MON-MOD-L2CG | Modul port pemantauan 2*100GE QSFP28; tanpa modul transceiver optik; |
| MON-MOD-L8QXG | Modul port pemantauan 8* 40GE QSFP+; tanpa modul transceiver optik; |
Spesifikasi Saklar Bypass TAP Jaringan
| Modalitas Produk | Saklar Bypass Tap Jaringan Inline ML-BYPASS-M100 | |
| Jenis Antarmuka | Antarmuka MGT | Antarmuka manajemen adaptif 1*10/100/1000BASE-T; Mendukung manajemen HTTP/IP jarak jauh. |
| Slot Modul | 2 slot modul BYPASS; 1 slot modul MONITOR; | |
| Tautan yang mendukung maksimum | Perangkat ini mendukung maksimal 4 tautan 10GE atau 4 tautan 40GE atau 1 tautan 100GE. | |
| Pemantauan | Perangkat ini mendukung maksimal 16 port pemantauan 10GE atau 8 port pemantauan 40GE atau 2 port pemantauan 100GE; | |
| Fungsi | Kemampuan pemrosesan full duplex | 640Gbps |
| Berdasarkan IP/protokol/port, perlindungan kaskade lalu lintas spesifik lima tuple. | Didukung | |
| Perlindungan berjenjang berdasarkan lalu lintas penuh | Didukung | |
| Penyeimbangan beban ganda | Didukung | |
| Fungsi pendeteksi detak jantung khusus | Didukung | |
| Mendukung independensi paket Ethernet | Didukung | |
| SAKLAR BYPASS | Didukung | |
| Saklar BYPASS tanpa lampu kilat | Didukung | |
| MANAJEMEN KONSOL | Didukung | |
| Manajemen IP/WEB | Didukung | |
| Manajemen SNMP V1/V2C | Didukung | |
| Manajemen Telnet/SSH | Didukung | |
| Protokol SYSLOG | Didukung | |
| Otorisasi pengguna | Berdasarkan otorisasi kata sandi/AAA/TACACS+ | |
| Listrik | Tegangan suplai terukur | AC-220V/DC-48V【Opsional】 |
| Frekuensi daya terukur | 50Hz | |
| Arus masukan terukur | AC-3A / DC-10A | |
| Daya Terukur | 100W | |
| Lingkungan | Suhu Kerja | 0-50℃ |
| Suhu penyimpanan | -20-70℃ | |
| Kelembaban kerja | 10%-95%, Tanpa kondensasi | |
| Konfigurasi pengguna | Konfigurasi konsol | Antarmuka RS232,115200,8,N,1 |
| Antarmuka MGT di luar jalur | 1 antarmuka Ethernet 10/100/1000M | |
| Otorisasi kata sandi | Didukung | |
| Tinggi Sasis | Ruang sasis (U) | 1U 19 inci, 485mm*44.5mm*350mm |
Aplikasi Saklar Bypass TAP Jaringan (seperti berikut)
5.1 Risiko Peralatan Keamanan Inline (IPS / FW)
Berikut ini adalah contoh mode penerapan IPS (Intrusion Prevention System) dan FW (Firewall) yang umum. IPS/FW diterapkan sebagai perangkat jaringan inline (seperti router, switch, dll.) di antara lalu lintas melalui implementasi pemeriksaan keamanan, sesuai dengan kebijakan keamanan yang berlaku untuk menentukan apakah lalu lintas yang bersangkutan diizinkan atau diblokir, untuk mencapai efek pertahanan keamanan.
Pada saat yang sama, kita dapat mengamati IPS (Intrusion Prevention System) / FW (Firewall) sebagai perangkat yang ditempatkan di jalur utama jaringan perusahaan, biasanya ditempatkan di lokasi kunci jaringan perusahaan untuk menerapkan keamanan jalur utama. Keandalan perangkat yang terhubung secara langsung memengaruhi ketersediaan jaringan perusahaan secara keseluruhan. Jika perangkat keamanan jalur utama mengalami kelebihan beban, kerusakan, pembaruan perangkat lunak, pembaruan kebijakan, dan lain-lain, ketersediaan seluruh jaringan perusahaan akan sangat terpengaruh. Pada titik ini, kita hanya dapat memulihkan jaringan melalui pemutusan jaringan atau menggunakan jumper bypass fisik, tetapi hal ini sangat memengaruhi keandalan jaringan. IPS (Intrusion Prevention System) / FW (Firewall) dan perangkat jalur utama lainnya di satu sisi meningkatkan penerapan keamanan jaringan perusahaan, di sisi lain juga mengurangi keandalan jaringan perusahaan, meningkatkan risiko jaringan tidak tersedia.
5.2 Perlindungan Peralatan Seri Inline Link
Mylinking™ "Bypass Switch" dipasang secara inline di antara perangkat jaringan (router, switch, dll.), dan aliran data antar perangkat jaringan tidak lagi langsung menuju IPS (Intrusion Prevention System) / FW (Firewall). "Bypass Switch" melewati IPS/FW. Ketika IPS/FW mengalami kegagalan karena kelebihan beban, kerusakan, pembaruan perangkat lunak, pembaruan kebijakan, dan kondisi lainnya, "Bypass Switch" melalui fungsi deteksi pesan detak jantung cerdas akan melakukan deteksi tepat waktu, sehingga melewati perangkat yang rusak tanpa mengganggu jaringan, dan peralatan jaringan yang terhubung langsung dengan cepat untuk melindungi jaringan komunikasi normal. Ketika IPS/FW pulih dari kegagalan, "Bypass Switch" juga akan melakukan deteksi tepat waktu melalui fungsi deteksi paket detak jantung cerdas, sehingga tautan asli dapat memulihkan keamanan pemeriksaan keamanan jaringan perusahaan.
Mylinking™ "Bypass Switch" memiliki fungsi Deteksi Pesan Detak Jantung yang cerdas dan canggih, pengguna dapat menyesuaikan interval detak jantung dan jumlah percobaan ulang maksimum, melalui pesan detak jantung khusus pada IPS/FW untuk pengujian kesehatan, seperti mengirim pesan pengecekan detak jantung ke port hulu/hilir IPS/FW, dan kemudian menerima dari port hulu/hilir IPS/FW, dan menilai apakah IPS/FW bekerja normal dengan mengirim dan menerima pesan detak jantung.
5.3 Kebijakan “SpecFlow” Alur Perlindungan Seri Traksi Inline
Ketika perangkat jaringan keamanan hanya perlu menangani lalu lintas spesifik dalam rangkaian perlindungan keamanan, melalui fungsi pra-pemrosesan lalu lintas "Network Tap Bypass Switch" Mylinking™, melalui strategi penyaringan lalu lintas untuk menghubungkan perangkat keamanan, lalu lintas "yang bersangkutan" dikirim kembali langsung ke tautan jaringan, dan "bagian lalu lintas yang bersangkutan" ditarik ke perangkat keamanan inline untuk melakukan pemeriksaan keamanan. Hal ini tidak hanya akan mempertahankan penerapan normal fungsi deteksi keamanan perangkat keamanan, tetapi juga mengurangi aliran yang tidak efisien dari peralatan keamanan untuk menangani tekanan; pada saat yang sama, "Network Tap Bypass Switch" dapat mendeteksi kondisi kerja perangkat keamanan secara real-time. Perangkat keamanan yang bekerja secara abnormal akan langsung melewati lalu lintas data untuk menghindari gangguan layanan jaringan.
Mylinking™ Inline Traffic Bypass Tap dapat mengidentifikasi lalu lintas berdasarkan pengidentifikasi header lapisan L2-L4, seperti tag VLAN, alamat MAC sumber/tujuan, alamat IP sumber, tipe paket IP, port protokol lapisan transport, tag kunci header protokol, dan sebagainya. Berbagai kombinasi kondisi pencocokan yang fleksibel dapat didefinisikan secara fleksibel untuk menentukan jenis lalu lintas spesifik yang diminati oleh perangkat keamanan tertentu dan dapat digunakan secara luas untuk penerapan perangkat audit keamanan khusus (RDP, SSH, audit basis data, dll.).
5.4 Perlindungan Seri dengan Keseimbangan Beban
Mylinking™ "Network Tap Bypass Switch" dipasang secara inline di antara perangkat jaringan (router, switch, dll.). Ketika kinerja pemrosesan IPS/FW tunggal tidak cukup untuk mengatasi lalu lintas puncak tautan jaringan, fungsi penyeimbangan beban lalu lintas dari pelindung, "penggabungan" pemrosesan lalu lintas tautan jaringan oleh beberapa klaster IPS/FW, dapat secara efektif mengurangi tekanan pemrosesan IPS/FW tunggal, meningkatkan kinerja pemrosesan keseluruhan untuk memenuhi kebutuhan bandwidth tinggi dari lingkungan penerapan.
Mylinking™ "Network Tap Bypass Switch" memiliki fungsi penyeimbangan beban yang andal, berdasarkan tag VLAN frame, informasi MAC, informasi IP, nomor port, protokol, dan informasi lainnya pada distribusi penyeimbangan beban Hash untuk memastikan integritas sesi aliran data yang diterima setiap IPS/FW.
5.5 Perlindungan Traksi Aliran Peralatan Inline Multi-seri (Mengubah Koneksi Seri menjadi Koneksi Paralel)
Pada beberapa tautan kunci (seperti outlet internet, tautan pertukaran area server), lokasi seringkali ditentukan oleh kebutuhan fitur keamanan dan penerapan beberapa peralatan pengujian keamanan inline (seperti firewall (FW), peralatan anti-serangan DDOS, Web Application Firewall (WAF), Intrusion Prevention System (IPS), dll.), beberapa peralatan deteksi keamanan secara bersamaan dalam seri pada tautan tersebut dapat meningkatkan titik kegagalan tunggal, sehingga mengurangi keandalan jaringan secara keseluruhan. Selain itu, dalam penerapan peralatan keamanan online tersebut, peningkatan peralatan, penggantian peralatan, dan operasi lainnya akan menyebabkan gangguan layanan jaringan dalam waktu lama dan memerlukan tindakan pemangkasan proyek yang lebih besar untuk menyelesaikan implementasi proyek tersebut dengan sukses.
Dengan menerapkan "Network Tap Bypass Switch" secara terpadu, mode penerapan beberapa perangkat keamanan yang terhubung secara seri pada tautan yang sama dapat diubah dari "mode penggabungan fisik" menjadi "mode penggabungan fisik dan logis". Hal ini meningkatkan keandalan tautan yang memiliki titik kegagalan tunggal, sementara "bypass switch" pada tautan tersebut melakukan traksi aliran sesuai permintaan, untuk mencapai efek pemrosesan yang aman dengan aliran yang sama seperti mode aslinya.
Lebih dari satu perangkat keamanan secara bersamaan seperti pada diagram penyebaran inline:
Diagram Penerapan Switch Bypass TAP Jaringan Mylinking™:
5.6 Berdasarkan Strategi Dinamis Deteksi Keamanan dan Perlindungan Traksi Lalu Lintas
"Saklar Bypass Tap Jaringan" Skenario aplikasi canggih lainnya didasarkan pada strategi dinamis aplikasi perlindungan deteksi keamanan traksi lalu lintas, dengan cara penerapan seperti yang ditunjukkan di bawah ini:
Ambil contoh peralatan pengujian keamanan "Perlindungan dan deteksi serangan Anti-DDoS", melalui penyebaran front-end "Network Tap Bypass Switch" dan kemudian peralatan perlindungan anti-DDoS yang terhubung ke "Network Tap Bypass Switch", di "pelindung traksi" biasa, seluruh lalu lintas diteruskan dengan kecepatan kabel secara bersamaan dan output pencerminan aliran ke "perangkat perlindungan serangan anti-DDoS". Setelah mendeteksi IP server (atau segmen jaringan IP) setelah serangan, "perangkat perlindungan serangan anti-DDoS" akan menghasilkan aturan pencocokan aliran lalu lintas target dan mengirimkannya ke "Network Tap Bypass Switch" melalui antarmuka pengiriman kebijakan dinamis. "Network Tap Bypass Switch" dapat memperbarui "traksi lalu lintas dinamis" setelah menerima kumpulan aturan kebijakan dinamis dan segera "menarik" lalu lintas server penyerang ke peralatan "perlindungan dan deteksi serangan anti-DDoS" untuk diproses, agar efektif setelah aliran serangan dan kemudian disuntikkan kembali ke jaringan.
Skema aplikasi berbasis "Network Tap Bypass Switch" lebih mudah diimplementasikan daripada injeksi rute BGP tradisional atau skema penarikan lalu lintas lainnya, dan lingkungan kurang bergantung pada jaringan serta keandalannya lebih tinggi.
"Network Tap Bypass Switch" memiliki karakteristik berikut untuk mendukung perlindungan deteksi keamanan kebijakan dinamis:
1. "Saklar Bypass Tap Jaringan" untuk menyediakan aturan di luar antarmuka WEBSERIVCE, memudahkan integrasi dengan perangkat keamanan pihak ketiga.
2. "BNetwork Tap Bypass Switch" berbasis chip ASIC murni perangkat keras yang meneruskan paket hingga 10Gbps dengan kecepatan kabel tanpa memblokir penerusan switch, dan "perpustakaan aturan dinamis penarikan lalu lintas" tanpa memandang jumlahnya.
3. "Saklar Bypass Jaringan" dengan fungsi BYPASS profesional terintegrasi, bahkan jika pelindung itu sendiri mengalami kegagalan, dapat langsung melewati tautan serial asli, tanpa memengaruhi komunikasi normal pada tautan asli.
