Отказоустойчивые схемы и дополнительные возможности Защита межсетевого продукта взаимодействия уровня ЦОД-ЦОД СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА Cisco Solution Technology Integrator Предпосылки • Значительный рост количества передаваемой по сети информации • Консолидация IT-ресурсов и распространение ЦОДов • Развитие облачных технологий © 2003-2013 S-Terra CSP 2 Архитектура решения •Производительность •Отказоустойчивость Модульное решение •Масштабируемость © 2003-2013 S-Terra CSP 3 Архитектура решения Модульное решение •Отдельное балансирующее устройство •Интегрированный балансировщик + © 2003-2013 S-Terra CSP 4 Решение для сетевого уровня Маршрутизаторы Cisco создают набор GREтуннелей Каждый наш шлюз шифрует один из GREтуннелей Балансировка и отказоустойчивость достигаются с помощью протокола динамической маршрутизации © 2003-2013 S-Terra CSP 5 Cisco Catalyst 6503E + 10 x CSP VPN Gate Результаты: Пиковая производительность UDP 1350 (dual) - 6720 Мбит/c Производительность при смешанном трафике (аналог IMIX) UDP 512 (dual) - 5120 Мбит/c © 2003-2013 S-Terra CSP 6 Миграция ЦОДа © 2003-2013 S-Terra CSP 7 Решение для канального уровня Логика работы: Для балансировки трафика используются технология Etherchannel (протоколы LACP или PAgP) Перехват трафика происходит на канальном уровне © 2003-2013 S-Terra CSP 8 Cisco Catalyst 3560X + 8 x CSP VPN Gate Количество пар шлюзов UDP-1400, Мбит/c UDP-512, Мбит/c UDP-64, Мбит/c TCP, Мбит/c 1 840+840 460+460 90+90 670+670 4 3240+3240 1800+1800 360+360 2640+2640 8 6450+6450 3550+3550 710+710 5250+5250 16 12850+12850 7100+7100 1400+1400 10450+10450 © 2003-2013 S-Terra CSP 9 Тестовые испытания © 2003-2013 S-Terra CSP 10 Отказоустойчивость Обнаружение отказа шлюза безопасности или канала связи происходит автоматически средствами LACP/PAgP Нагрузка распределяется между работающими шлюзами безопасности © 2003-2013 S-Terra CSP 11 Платформа CrossBeam • встроенный балансировщик • отказоустойчивость, резервирование каждого элемента • высокая производительность • масштабируемость © 2003-2013 S-Terra CSP 12 Тестирование CrossBeam X80 • • • © 2003-2013 S-Terra CSP CPM - Control Processor Module NPM - Network Processor Module APM - Application Processor Module 13 Производительность Решение показало очень высокий уровень масштабируемости Удвоение количества шифрующих APM вызывает пропорциональный рост общей производительности решения Количество пар APM UDP-1400, Мбит/c UDP-512, Мбит/c UDP-64, Мбит/c TCP, Мбит/c 1 1500 680 73 1500 2 3000 1350 146 3000 4 5500 2660 256 6000 *Нагрузка CPU ~50% © 2003-2013 S-Terra CSP 14 Мониторинг Мониторинг всех устройств решения с помощью протокола SNMP и SYSLOG © 2003-2013 S-Terra CSP 15 QoS Поле ToS переносится из заголовка нешифрованного пакета в заголовок шифрованного и обратно В шлюзе реализованы приоритетная и неприоритетная очередь Приоритетные данные передаются без потерь и задержек даже при очень высокой интенсивности трафика © 2003-2013 S-Terra CSP 16 Управление Настройка шлюзов безопасности через систему управления с помощью шаблонной конфигурации © 2003-2013 S-Terra CSP 17 Решение «С-Терра» для ЦОДов Безопасность Легитимность Производительность Масштабируемость Отказоустойчивость Централизованное управление © 2003-2013 S-Terra CSP 18 Спасибо за внимание. Александр Веселов +7 (499) 940 9061 (ext 130) [email protected] [email protected] Cisco Solution Technology Integrator