Документ описывает высокопроизводительные решения шифрования на канальном и сетевом уровне, предложенные Cisco Solution Technology Integrator. Основное внимание уделяется архитектуре решений, масштабируемости, производительности и отказоустойчивости системы. Также рассматриваются сценарии применения в облачных технологиях и мобильных платформах, включая защиту межгосударственного взаимодействия.

1. Cisco Expo 2012
Сессия неформального
общения
Cisco Solution Technology Integrator

2. Высокопроизводительные
решения с шифрованием
на канальном и сетевом
уровне
Cisco Solution Technology Integrator

3. Предпосылки
 Значительный рост
количества передаваемой
по сети информации
 Консолидация IT-ресурсов
и распространение ЦОДов
 Развитие облачных
технологий
© 2003-2012 S-Terra CSP 3

4. Архитектура решения L3
 Маршрутизаторы Cisco создают набор GRE-
туннелей
 Каждый наш шлюз шифрует один из GRE-
туннелей
 Балансировка и отказоустойчивость
достигаются с помощью протокола
динамической маршрутизации
© 2003-2012 S-Terra CSP 4

5. Архитектура решения L2
 Для балансировки трафика используются
технология Etherchannel (протоколы LACP
или PAgP)
 Перехват трафика происходит на
канальном уровне
© 2003-2012 S-Terra CSP 5

6. Производительность
 Производительность одной пары шлюзов
указана в таблице
Однонаправленный Двунаправленный
Тип трафика
трафик, Мбит/c трафик, Мбит/c
UDP-1400 930* 840+840
UDP-512 910 460+460
UDP-64 120 90+90
TCP 930* 670+670
TCP (MTU 9000) 930* 930*+930*
UDP-9000 930* 930*+930*
* Достигнута скорость физической среды передачи (1 Gbit/s)
© 2003-2012 S-Terra CSP 6

7. Масштабируемость
 Решение показало очень высокий уровень
масштабируемости
 Удвоение количества шифрующих шлюзов
вызывает пропорциональный рост общей
производительности решения
Количество UDP-1400, UDP-512, UDP-64,
TCP, Мбит/c
пар шлюзов Мбит/c Мбит/c Мбит/c
1 840+840 460+460 90+90 670+670
4 3240+3240 1800+1800 360+360 2640+2640
8 6450+6450 3550+3550 710+710 5250+5250
16 12850+12850 7100+7100 1400+1400 10450+10450
© 2003-2012 S-Terra CSP 7

8. Тестовые испытания
© 2003-2012 S-Terra CSP 8

9. Отказоустойчивость
 Обнаружение отказа шлюза безопасности или
канала связи происходит автоматически
средствами LACP/PAgP
 Нагрузка распределяется между
работающими шлюзами безопасности
© 2003-2012 S-Terra CSP 9

10. Управление
 Настройка шлюзов безопасности через
систему управления (Cisco CSM или С-Терра
КП) с помощью шаблонной конфигурации
© 2003-2012 S-Terra CSP 10

11. Мониторинг
 Мониторинг всех устройств решения с
помощью протокола SNMP
© 2003-2012 S-Terra CSP 11

12. QoS
 Поле ToS переносится из заголовка
нешифрованного пакета в заголовок шифрованного
и обратно
 В шлюзе реализованы приоритетная и
неприоритетная очередь
 Приоритетные данные передаются без потерь и
задержек даже при очень высокой интенсивности
трафика
© 2003-2012 S-Terra CSP 12

13. Сценарии применения
ЦОДы облака
СХД телеком
 Защита взаимодействия ЦОДов
 Защита облачной инфраструктуры
 Физическая миграция сетевой
инфраструктуры
© 2003-2012 S-Terra CSP 13

14. Защищенное
межгосударственное
трансграничное взаимодействие
Cisco Solution Technology Integrator

15. СКЗИ CSP Gate-E – применение за пределами России
CSP VPN Gate E – первый российский
сертифицированный продукт (СКЗИ),
разрешенный к вывозу по упрощенной
процедуре и предназначенный для
использования заказчиками за пределами
Российской Федерации
CSP VPN Gate E представлен на соискание
премии Security Awards в номинации
«Фундамент» - за фундаментальные
открытия и технологии»
завершено оформление процедуры ввоза
CSP VPN Gate E в Республику Беларусь
© 2003-2012 S-Terra CSP

16. Проблема организации защищенного взаимодействия
Варианты:
 международные стандарты
 применение СКЗИ одной из стран (РФ)
 третьи стандарты для межгосударственного взаимодействия.
 на основе национальных технических стандартов
© 2003-2012 S-Terra CSP

17. Схема защищенного трансграничного взаимодействия
© 2003-2012 S-Terra CSP

18. Решения для мобильных
платформ
Cisco Solution Technology Integrator

19. VPN Client для ОС Android
 Мобильный клиент для ОС
Android 4
 Универсальное
кроссплатформенное
приложение
 Не требует взлома
устройства
© 2003-2012 S-Terra CSP

20. VPN Client для ОС Android (2)
 Помимо защиты обычного трафика,
обеспечивается защита IP-телефонии и ВКС
© 2003-2012 S-Terra CSP

21. Спасибо за
внимание.
Cisco Solution Technology Integrator