English version  
Главная Продукция Решения Лицензии Партнеры Поддержка О компании Контакты

Продуктная линия

CSP VPN Client

CSP VPN Server

CSP VPN Gate 100B

CSP VPN Gate 100

CSP VPN Gate 1000

CSP VPN Gate 3000

CSP VPN Gate 7000

Модуль NME-RVPN

Производительность

Сравнение VPN

Downloads

Цены

Модуль NME-RVPN

ОБЗОР ПРОДУКТА

Модуль NME-RVPN в составе маршрутизаторов серии Cisco® 2800 и 3800 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.

Рисунок 1. Модуль NME-RVPN

ПРЕИМУЩЕСТВА И ВОЗМОЖНОСТИ ПРОДУКТА

Защищенность сетевых взаимодействий

В связи с широкой интеграцией корпоративных коммуникаций с публичными сетями, для обеспечения взаимодействий компаний с филиалами, удаленными пользователями, заказчиками и партнерами первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением в сочетании с передовыми технологиями Cisco Systems и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий. При этом необходимо не только решить вопросы защиты внешнего обмена данными, но и предоставить современные решения по защищенным беспроводным коммуникациям, защите голоса и видео с обеспечением качества обслуживания, максимально эффективно защитить взаимодействие клиентов в сетях операторов связи и услуг.

Интеграция модуля NME-RVPN в маршрутизаторы серии Cisco 2800 или 3800 Integrated Services Router позволяет потребителям получить единое решение, обеспечивающее, в том числе, организацию сетевой защиты, использующей российскую сертифицированную криптографию, развитую маршрутизацию, качество обслуживания приоритетного трафика (QoS), сервисы IP-телефонии и видео, коммутацию сетей. Подобные качества совместно с управляемостью и технологий Cisco IOS практически полностью закрывают потребность современного бизнеса в организации и защите ответственных, критически важных сетевых взаимодействий.

Программное обеспечение CSP VPN Gate

Программное обеспечение CSP VPN Gate, входящее в состав модуля NME-RVPN, является еще одним элементом семейства продуктов CSP VPN Client, CSP VPN Server и масштабируемой серии шлюзов безопасности CSP VPN Gate 100/1000/3000/7000/10000.

Продукты CSP VPN обеспечивают базовую функциональность современного VPN-устройства:

  • Шифрование (конфиденциальность) и ЭЦП (целостность, аутентификация) IP-пакетов, целостность потока пакетов.
  • Маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель.
  • Прозрачность для NAT (поддержка инкапсуляции пакета ESP в UDP).
  • Аутентификацию узлов сети и пользователей, контроль доступа на уровне компьютеров, пользователей и приложений, интегрированный межсетевой экран 4-го класса (CSP VPN Gate удовлетворяет требованиям к межсетевому экрану по 4-му классу защищенности).
  • Обеспечение надежности с выравниванием нагрузки в схеме резервирования N+1 (Dead Peer Detection protocol).
  • Унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
  • Сохранение классификации трафика для защищенных пакетов (мaпирование ToS поверх IPsec), приоритетную обработку трафика голоса и видео (поддержка QoS), отсутствие потери пакетов при регенерации сессионных ключей (smooth IKE re-keying).
  • Гибкое, централизованное и событийное ведение журнала с возможностью вторичной обработки на основе протокола Syslog.

Как результат, применение модуля NME-RVPN в составе маршрутизатора Cisco Integrated Services Router 2800/3800 обеспечивает эффективную реализацию множества сценариев сертифицированной защиты, включая:

  • межсетевые взаимодействия;
  • защищенный доступ удаленных и мобильных пользователей;
  • защиту беспроводных сетей;
  • защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь);
  • защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте.

Межсетевые взаимодействия

Сценарии защиты межсетевых взаимодействий (Site-to-Site VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.

По сути применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN-решения должны обеспечивать высокую ценовую эффективность и большую гибкость в реализации таких требований. Высокую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно. Использование для этой цели маршрутизаторов Cisco ISR (рисунок 2) в полной мере выполняет поставленную выше задачу.

Рисунок 2. Использование VPN туннелей для создания защищенной корпоративной сети.

Для выполнения требований повышенной надежности сетевых взаимодействий крупных сетей (обеспечивающей непрерывность бизнес-процессов в них) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.

Защита беспроводных и мультисервисных сетей

Продукты CSP VPN поддерживают сценарии защиты как выделенных мультимедийных сетей, так и «смешанных» сетей, обеспечивая:

  • поддержку качества сетевого обслуживания;
  • защиту качества сервиса в голосовой VPN при перегрузке трафика данных.

Модуль NME-RVPN в составе маршрутизаторов Cisco 2800 или Cisco 3800, обеспечивающих дополнительную функциональность Cisco Unified CallManager Express и беспроводной точки доступа, предоставляет для удаленных офисов всю необходимую функциональность обработки и защиты беспроводных мультимедийных и мультисервисных сетей в едином устройстве.

Рисунок 3. Защита беспроводных и мультисервисных сетей.

Основным средством защиты трафика в беспроводной сети является IPsec. При этом обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей (рисунок 3). Применение в радио сегменте выделенного адресного пространства и IPsec VPN обеспечивает возможность:

  • изолировать проводной сегмент от открытого IP-трафика;
  • пропускать внутрь проводной корпоративной сети (к ресурсам локальной сети) только IPsec-трафик, причем только в «домашние» сети.

Защита удаленных и мобильных пользователей

Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи.

  • Политика безопасности клиента доступа CSP VPN Client определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.
  • Права доступа пользователя определяются в корпоративной сети, и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа CSP VPN Client.
  • Клиент доступа CSP VPN Client не требует от пользователя никаких технических операций кроме установки и ввода ключа, предоставленного администратором безопасности.

CSP VPN Client поддерживает защищенную связь практически из любой точки, где присутствует какой-либо коммуникационный ресурс. Используются специальные меры в обеспечении мобильности пользователя:

  • адаптивность к адресному пространству (IPsec автоматически включается в зонах, где требуется защищенное соединение);
  • поддержка различных сред передачи, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.);
  • обеспечение прозрачной передачи IKE/IPsec трафика через шлюзы с трансляцией адресов (NAT).

ВОЗМОЖНОСТИ И ПРЕИМУЩЕСТВА

По сравнению с другими отдельными подобными устройствами модуль NME-RVPN при использовании в сетевой инфраструктуре центрального офиса имеет ряд преимуществ:

  • Общий с другими устройствами интерфейс управления. Для управления и конфигурирования модуля можно применять интерфейс командной строки (CLI) с использованием команд, аналогичных Cisco IOS. Модулем можно также управлять с помощью графического web-интерфейса.
  • Снижение потребления и простота коммутации. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.

АРХИТЕКТУРА МОДУЛЯ

Модуль NME-RVPN можно установить в маршрутизаторы Cisco ISR 2811, 2821, 2851, 3825 и 3845 с версией IOS 12.4(11)T или выше. Модуль может работать с любых образом (feature set) IOS начиная с “IP base”. При этом модуль NME-RVPN работает независимо от IOS маршрутизатора, используя программное обеспечение CSP VPN Gate v 2.1 компании «С-Терра СиЭсПи», установленное на компакт-флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной OS Linux.

Аппаратно модуль NME-RVPN представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512 МБ оперативной памяти и 512 МБ Compact Flash (рисунок 4). Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.

Рисунок 4. Архитектура модуля NME-RVPN и Cisco Router

СПЕЦИФИКАЦИЯ МОДУЛЯ NME-RVPN

Характеристика Описание
Аппаратные характеристики модуля
Процессор 1 ГГц Intel Celeron-M
Память DRAM 512 MБ DDR2
Сетевые интерфейсы
  • 1 внутренний интерфейс 1000 Мбит/с Ethernet
  • 1 внешний интерфейс10/100/1000 Мбит/с Ethernet
Память Flash 512 MБ Compact Flash
Физические характеристики модуля
Физические размеры (В x Ш x Д) 3.9 x 18.0 x 18.3 cm (1.55 x 7.10 x 7.2 дюймов)
Вес 1.25 фунтов (567 грамм)
Рабочая влажность 5% до 95%, без конденсата
Рабочая температура 0-40 °C (32-104 °F)
Температура хранения -25 °C до 70 °C
Рабочая высота над уровнем моря 10 000 футов (3048 м) при 25 °C
Потребляемая мощность 21 Вт
Сертификаты по электробезопасности
  • Underwriters Laboratory 1950
  • CSA-C22.2 No. 950
  • EN 60950
  • IEC 60950
Сертификаты по электромагнитной совместимости
  • 47 CFR Part 15 Class A
  • CISPR22 Class A
  • EN300386 Class A
  • EN55022 Class A
  • EN61000-3-2
  • EN61000-3-3
  • VCCI Class I
  • AS/NZS CISPR 22 Class A
Сертификаты по электромагнитной помехоустойчивости
  • CISPR24
  • EN300386
  • EN50082-1
  • EN55024
  • EN61000-6-1

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ

Характеристика Описание
Программная совместимость Любые продукты, поддерживающие протоколы IKE/IPSec (RFC 2401 – RFC 2412)
Протоколы туннелирования IPSec, NAT Traversal IPSec (NAT-T по
draft-ietf-ipsec-nat-t-ike-03(02) и
draft-ietf-ipsec-udp-encaps-03(02))
Шифрование/аутентификация IPSec Encapsulating Security Payload (ESP) и/или IPSec Authentication Header (AH) при использовании ГОСТ 28147-89 (256 бит), DES/3DES (56/168 бит) или AES (128/192/256 бит) с ГОСТ Р 34.11-94, MD5 или SHA
Управление ключами
  • IKE (Internet Key Exchange)
  • IKE exchanges: Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges
  • IKE: ГОСТ Р 34.10-94, ГОСТ Р 31.10-2001, RSA, DSA, Pre-shared key
  • Поддержка Smooth IKE/IPSec rekeying
Работа с сертификатами LDAP v.3, x509 v.3, PKCS #7 (base64, bin), PKCS #10 (base64, bin), PKCS #12 (base64, bin), CRL
Маршрутизация
  • Статическая маршрутизация
  • Управляемый политикой IPSec контроль фрагментации пакетов в канале
  • Обнаружения отказов удаленных узлов: IKE keep-alive extension - Dead Peer Detection (draft-ietf-ipsec-dpd-04)
  • Удаленный клиент IP, назначение IP из локального пула адресов (IKE-CFG)
Фильтрация
  • IP адрес (диапазон IP, сайт) источника и назначения
  • Порта и тип протокола
  • Обработка фрагментированных пакетов
Настройка и управление
  • Протоколы управления: Telnet, SSH, HTTP или они же, в режиме защиты IPSec
  • Ведение журнала событий: syslog (локально или на удаленный сервер)
  • Протокол SNMP, поддержка MIB-II
  • SNMP traps (CISCO-IPSECFLOW- MONITOR-MIB, CISCO-IPSECMIB, CISCO-CONFIG-MAN-MIB)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Высокая доступность
  • Распределение нагрузки, псевдо кластер (n+1), поддержка IPSec соединений.
  • Обнаружение потери соединения (draft-ietf-ipsec-dpd-04), восстановление соединения
Управление политиками
  • Интерфейс командной строки CLI
  • Графический пользовательский интерфейс на основе Web

ПРОИЗВОДИТЕЛЬНОСТЬ

Наиболее часто используемый алгоритм для IPsec-туннелей, включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность, равную 40 Mбит/с (измерено на больших пакетах – 1400 байт). Если же проверка целостности не важна, то в режиме «ESP only» модуль может обеспечить скорость шифрования до 95 Mбит/с.

Характеристики производительности модуля NME-RVPN.

Используемый алгоритм Значение*
ESP c проверкой целостности 40 Mбит/с
ESP без проверки целостности 95 Mбит/с
AH 57 Mбит/с
AH+ESP 40 Mбит/с

* - Измерено при использовании потока UDP пакетов размером 1400 байт.

СИСТЕМНЫЕ ТРЕБОВАНИЯ

Требование Описание
Оборудование
  • Cisco 2811, 2821 или 2851 Integrated Series Routers
  • Cisco 3825 или 3845 Integrated Series Routers
Программное обеспечение Cisco IOS® Software Release 12.4(11)T или более поздний, установленный на маршрутизаторе

ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ

Модуль NME-RVPN.