1. ©2008 NIL
1

2. 24 лет успеха и прогресса ... с 1989
•
•
Компания по обучению и консалтингу по технологии Cisco
•
Специализирующаяся по технологиям SP & центров обработки
данных
Восточная Европа, Россия, США, Южная Африка, Ближний
Восток
©2008 NIL
2

3. В компании успешных
Крупные компании / Поставщики услуг / Малое и среднее предпринимательство
©2008 NIL
3

4. Беспроводной шлюз безопасности
в сетях 4G
Wireless Security Gateway (WSG)
Давид Ерор

5. Угрозы безопасности сети
Виды угрозы безопасности:
•
Физический доступ к площадке
•
•
Инфраструктура / отказ в обслуживании (DoS)
•
•
Доступность услуг
Конфиденциальность пользователей / информация
•
©2008 NIL
Доступность услуг / Конфиденциальность
Фишинг, слежка, человек-в-середине, взлом шифрования
5

6. LTE безопасность системы
•
•
•
•
•
LTE – All-IP архитектура
•
•
•
Целостность и шифрование на радио и NAS
Легкий доступ (например, имитировать eNodeB)
Отсутствие шифрования между двумя концами
Отсутствие аутентификации между сетью и eNodeB
Влияние третьей стороны (инциденты, изменения
инфраструктуры...)
Отсутствие целостности / шифрования на S1, X2
IPsec может быть использован для обеспечения
транспортной целостности
©2008 NIL
6

7. Требование в мобильной сети
• Типичное требование по безопасности – чтобы все
управление (S1-MME, X2-C) и плоскость управления
были аутентифицированы и зашифрованы
•
Аутентификация и шифрование пользовательской
плоскости (S1-U, X2-U) остаются в качестве
дополнительного
RRC Целостность и шифрование
©2008 NIL
Незащищеннoe
7

8. LTE X2 интерфейс и требования
•
В R8 / 9 - Сегодня X2 в основном используется для:
•
•
•
•
Управления мобильностью (роуминг)
Управления нагрузкой
Отчета об ошибках
LTE Advanced (R10/11) вводит CoMP
Координированное многоточие
•
Централизованная совместная передача - один UE
обслуживается несколькими узлами еNодеB
•
UE сообщает узлам eNodeB информацию о состоянии
канала – обмен сообщениями через X2
•
X2 требует прямую связь с низкой задержкой
©2008 NIL
8

9. LTE X2 - Сегодня: Все интерфейсы,
соединенные на WSG ядра
• eNodeB установят один или несколько IPSec туннелей
для X2, S1-C/-U и OAM к централизованному WSG
•
Первоначальное развертывание в большинстве
случаев из-за ограниченного трафика LTE
•
Централизованное PKI обеспечивает аутентификацию
на основе сертификата
Шлюз агрегации
Граничный
маршрутизатор
Шлюз предагрегации
WSG
ядрa
Сотовый шлюз
Шлюз предагрегации
Граничный
маршрутизатор
Шлюз агрегации
©2008 NIL
9

10. LTE X2 - Завтра: Все интерфейсы,
соединенные на распределенных WSG
• eNodeB установят один или несколько IPSec туннелей
для X2, S1-C/-U и OAM к распределенному WSG
•
Оптимальные масштабируемость, низкая задержка и
доступность услуг
Шлюз агрегации
Граничный
маршрутизатор
Шлюз предагрегации
Агрег.
WSG
Сотовый шлюз
Шлюз предагрегации
Шлюз агрегации
©2008 NIL
Граничный
маршрутизатор
10

11. WSG в качестве опции ?
Cisco WSG обеспечивает безопасное туннелирование
через незащищенную сеть агрегации для:
•
•
3G и 4G трафика
Развертывания фемтосот
•
Поддержка Internet Key Exchange 2 (IKE 2) –
требование 3GPP для фемтосот и UMA / GAN
•
•
•
Лучшее покрытие внутри дома
Развертывания пикосот
Unlicensed Mobile Access (UMA) трафика  WiFi
Kорпоративный
пользователь
LTE Ядро
Интернет-провайдер
Интернет-провайдер
©2008 NIL
11

12. Сетевая архитектура
• WSG решение основано на универсальных Cisco 7600
• Архитектура построена на основе :
•
SAMI платы с WSG прошивкой
•
•
•
©2008 NIL
Входные данные зашифрованы
Выходные данные в незашифрованном виде
Балансировка нагрузки на основе Policy-Based Routing
(PBR) решения
12

13. Соединие единого IPSec туннеля
•
Идентификация трафика (S1, X2, OAM) на основе IP
адреса назначения
•
Один IPSec SA Фаза 2 (для разных IP адресов
источников - S1, X2, OAM)
©2008 NIL
13

14. Соединие нескольких IPSec туннелей
•
Идентификация трафика на основе IP адреса назначения
(D1, D2, D3) или на основе IPSec SA Фаза 2
•
Несколько IPSec туннелей / SA Фаза 2 (eNodeB использует
различные IP адреса источников - S1, X2, OAM)
©2008 NIL
14

15. Режим работы Активный-Запасной
• Одна плата из избыточной пары будет в активном режиме,
другая будет в резерве – обе платы имеют туннели
•
Только одна WSG плата в паре обрабатывает туннельный
трафик – другой туннель пустой
Мобильное ядро
Активная плата
Избыточная плата
©2008 NIL
15

16. Режим работы Активный-Активный
•
Обе платы из избыточной пары будут в активном режиме и в
состоянии обработать туннельный трафик
•
•
Удваиватся пропускная способность избыточной пары
Туннели на каждой WSG плате в паре синхронизируются с
другой платой в паре, создавая пустой избыточный туннель
Мобильное ядро
©2008 NIL
Мобильное ядро
16

17. WSG избыточность
•
•
Первичное шасси - активный HSRP, активные WSG
Вторичное шасси - запасной HSRP, запасные WSG
Агрегация
Мобильное ядро
Активная плата
Избыточная плата
•
Есть готовность переключаться
на запасной туннель на запасную WSG
©2008 NIL
Зашифрованный трафик
Незашифрованный трафик
17

18. Обеспечение высокой доступности
•
Полная избыточность обеспечивается с помощью двух
шасси в следующих случаях :
1. Отказ платы управления
2. Отказ линейной платы или оптоволкна
3. Отказ обоих источников питания - выход из строя шасси
4. Отказ платы SAMI
4
1
ЯДРО
ЯДРО
2
ДОСТУП
©2008 NIL
ДОСТУП
3
3
18

19. Переключение, отказоустойчивость (1)
•
•
Во время переключения - ICMP потеряет 2 пакета
•
Несколько сценариев отказа и переключения:
Автоматическое восстановление
•
Плата управления (RSP, SUP)  запасная плата
управления на том же шасси
•
Линейная плата  HSRP на вторичное шасси
•
•
©2008 NIL
Канал связи L2 между 2 шасси
OSPF (глобальный и VRF) между 2 шасси - использован
вместо статических маршрутов, которые перераспределяются
19

20. Переключение, отказоустойчивость (2)
•
Выход из строя шасси  HSRP с задержкой после
перезагрузки на вторичное шасси
•
•
•
SUP/RSP восстанавливается раньше, чем SAMI – IPSec
туннели ждут задержку HSRP
OSPF (глобальный и VRF) между 2 шасси
Плата SAMI  запасная плата SAMI нa другом шасси
•
•
©2008 NIL
Специальная VLAN только за высокую доступность
между двумя шасси
Резервный IPSec туннель существует на запасной плате
и готов к обслуживанию
20

21. Положение WSG в сети
• Балансировка нагрузки (PBR) IPSec туннелей:
•
•
•
•
Четные адреса источников  WSG-A
Нечетные адреса источников  WSG-B
Внутренняя IP-связь между шасси – OSPF, VRF OSPF
Внешняя виртуализация шасси – HSRP, WSG alias
VRF Таблица маршрутизации
Глобальная таблица маршрутизации
IPSec содержащий IP-X через WSG-A
IP-X через WSG-A
IP-C
PBR
WSG-A
ПЛОСКОСТЬ
УПРАВЛЕНИЯ
RRI
IP-D
SUP
IP-A
SUP
IP-C
ВНЕШНИЙ
ЧЕТНИЙ IP АДРЕС ИСТОЧНИКА
ВНУТРЕННИЙ
R
R
НЕЧЕТНИЙ IP АДРЕС ИСТОЧНИКА
IP-Y
R
ВНУТРЕННИЙ
S1-U Доступ
WSG-B
HSRP
R
ВНЕШНИЙ
ПОЛЬЗОВАТЕЛЯ
IP-D
IP-C
S1-C Ядро
R
S1-U Ядро
R
IP-MME
HSRP
R
IP-SGW
WSG-C
IP-B
ПЛОСКОСТЬ
R
OSPF
eNodeB
S1-C Доступ
VRF OSPF
IP-X
IP-D
SUP
PBR
SUP
IP-C
RRI
WSG-D
©2008 NIL
IP-D
21

22. Масштабируемость
•
•
•
Первый этап – 2xSAMI, 4 Гбит, 200,000 туннелей IPSec
Второй этап – 4xSAMI, 8 Гбит, 400,000 туннелей IPSec
Третий этап – 8xSAMI, 16 Гбит, 800,000 туннелей IPSec
ЯДРО
ЯДРО
ДОСТУП
ДОСТУП
©2008 NIL
22

23. WSG в будущем
•
•
WSG на ASR9000 / VSM реализован на StarOS
•
LC модулей на ASR9000 будет использоваться для
проведения внешнего трафика на шасси
VSM платы представят 12 10GE ​интерфейсов, которые
видны через IOS-XR CLI и осуществляют передачу
трафика от шасси в VSM платы
©2008 NIL
23

24. Преимущества решения Cisco
•
•
•
Cовместимость с основными производителями eNodeB
•
Уверенность в существовании продукта и в будущем
Большая емкость
Возможность повторного использования
существующего оборудования
©2008 NIL
24