Embed Size (px)
Citation preview
Cisco Solution Technology Integrator
Cisco Expo 2012
Сессия неформального общения
Cisco Solution Technology Integrator
Высокопроизводительные решения с шифрованием на канальном и сетевом уровне
© 2003-2012 S-Terra CSP 3
Предпосылки
Значительный рост количества передаваемой по сети информации
Консолидация IT-ресурсов и распространение ЦОДов
Развитие облачных технологий
© 2003-2012 S-Terra CSP 4
Архитектура решения L3
Маршрутизаторы Cisco создают набор GRE-туннелей
Каждый наш шлюз шифрует один из GRE-туннелей
Балансировка и отказоустойчивость достигаются с помощью протокола динамической маршрутизации
© 2003-2012 S-Terra CSP 5
Архитектура решения L2
Для балансировки трафика используются технология Etherchannel (протоколы LACP или PAgP)
Перехват трафика происходит на канальном уровне
© 2003-2012 S-Terra CSP 6
Производительность
Производительность одной пары шлюзов указана в таблице
Тип трафика Однонаправленный трафик, Мбит/c
Двунаправленный трафик, Мбит/c
UDP-1400 930* 840+840
UDP-512 910 460+460
UDP-64 120 90+90
TCP 930* 670+670
TCP (MTU 9000) 930* 930*+930*
UDP-9000 930* 930*+930*
* Достигнута скорость физической среды передачи (1 Gbit/s)
© 2003-2012 S-Terra CSP 7
Масштабируемость Решение показало очень высокий уровень
масштабируемости Удвоение количества шифрующих шлюзов
вызывает пропорциональный рост общей производительности решенияКоличествопар шлюзов
UDP-1400, Мбит/c
UDP-512, Мбит/c
UDP-64, Мбит/c TCP, Мбит/c
1 840+840 460+460 90+90 670+670
4 3240+3240 1800+1800 360+360 2640+2640
8 6450+6450 3550+3550 710+710 5250+5250
16 12850+12850 7100+7100 1400+1400 10450+10450
© 2003-2012 S-Terra CSP 8
Тестовые испытания
© 2003-2012 S-Terra CSP 9
Отказоустойчивость
Обнаружение отказа шлюза безопасности или канала связи происходит автоматически средствами LACP/PAgP
Нагрузка распределяется между работающими шлюзами безопасности
© 2003-2012 S-Terra CSP 10
Управление
Настройка шлюзов безопасности через систему управления (Cisco CSM или С-Терра КП) с помощью шаблонной конфигурации
© 2003-2012 S-Terra CSP 11
Мониторинг
Мониторинг всех устройств решения с помощью протокола SNMP
© 2003-2012 S-Terra CSP 12
QoS
Поле ToS переносится из заголовка нешифрованного пакета в заголовок шифрованного и обратно
В шлюзе реализованы приоритетная и неприоритетная очередь
Приоритетные данные передаются без потерь и задержек даже при очень высокой интенсивности трафика
© 2003-2012 S-Terra CSP 13
Сценарии применения
Защита взаимодействия ЦОДов Защита облачной инфраструктуры Физическая миграция сетевой
инфраструктуры
СХД
ЦОДы облака
телеком
Cisco Solution Technology Integrator
Защищенное межгосударственное трансграничное взаимодействие
СКЗИ CSP Gate-E – применение за пределами России
CSP VPN Gate E – первый российский сертифицированный продукт (СКЗИ), разрешенный к вывозу по упрощенной процедуре и предназначенный для использования заказчиками за пределами Российской ФедерацииCSP VPN Gate E представлен на соискание
премии Security Awards в номинации «Фундамент» - за фундаментальные открытия и технологии» завершено оформление процедуры ввоза
CSP VPN Gate E в Республику Беларусь
© 2003-2012 S-Terra CSP
Проблема организации защищенного взаимодействия
Варианты:
международные стандарты
применение СКЗИ одной из стран (РФ)
третьи стандарты для межгосударственного взаимодействия.
на основе национальных технических стандартов
© 2003-2012 S-Terra CSP
Схема защищенного трансграничного взаимодействия
© 2003-2012 S-Terra CSP
Cisco Solution Technology Integrator
Решения для мобильных платформ
VPN Client для ОС Android
© 2003-2012 S-Terra CSP
Мобильный клиент для ОС Android 4
Универсальное кроссплатформенное приложение
Не требует взлома устройства
VPN Client для ОС Android (2)
© 2003-2012 S-Terra CSP
Помимо защиты обычного трафика, обеспечивается защита IP-телефонии и ВКС
Cisco Solution Technology Integrator
Спасибо за внимание.
