Отказоустойчивые схемы и дополнительные возможности продукта Защита межсетевого

Отказоустойчивые схемы и
дополнительные возможности
Защита межсетевого
продукта
взаимодействия уровня
ЦОД-ЦОД
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator
Предпосылки
• Значительный рост
количества передаваемой по
сети информации
• Консолидация IT-ресурсов и
распространение ЦОДов
• Развитие облачных
технологий
© 2003-2013 S-Terra CSP
2
Архитектура решения
•Производительность
•Отказоустойчивость
Модульное
решение
•Масштабируемость
© 2003-2013 S-Terra CSP
3
Архитектура решения
Модульное решение
•Отдельное
балансирующее
устройство
•Интегрированный
балансировщик
+
© 2003-2013 S-Terra CSP
4
Решение для сетевого уровня



Маршрутизаторы Cisco создают набор GREтуннелей
Каждый наш шлюз шифрует один из GREтуннелей
Балансировка и отказоустойчивость
достигаются с помощью протокола
динамической маршрутизации
© 2003-2013 S-Terra CSP
5
Cisco Catalyst 6503E + 10 x CSP VPN Gate
Результаты:
 Пиковая производительность
UDP 1350 (dual) - 6720 Мбит/c
 Производительность при смешанном
трафике
(аналог IMIX) UDP 512 (dual) - 5120 Мбит/c
© 2003-2013 S-Terra CSP
6
Миграция ЦОДа
© 2003-2013 S-Terra CSP
7
Решение для канального уровня


Логика работы:
Для балансировки трафика используются
технология Etherchannel (протоколы LACP
или PAgP)
Перехват трафика происходит на
канальном уровне
© 2003-2013 S-Terra CSP
8
Cisco Catalyst 3560X + 8 x CSP VPN Gate
Количество
пар шлюзов
UDP-1400,
Мбит/c
UDP-512,
Мбит/c
UDP-64,
Мбит/c
TCP, Мбит/c
1
840+840
460+460
90+90
670+670
4
3240+3240
1800+1800
360+360
2640+2640
8
6450+6450
3550+3550
710+710
5250+5250
16
12850+12850
7100+7100
1400+1400
10450+10450
© 2003-2013 S-Terra CSP
9
Тестовые испытания
© 2003-2013 S-Terra CSP
10
Отказоустойчивость


Обнаружение отказа шлюза безопасности или
канала связи происходит автоматически
средствами LACP/PAgP
Нагрузка распределяется между
работающими шлюзами безопасности
© 2003-2013 S-Terra CSP
11
Платформа CrossBeam
• встроенный балансировщик
• отказоустойчивость,
резервирование каждого элемента
• высокая производительность
• масштабируемость
© 2003-2013 S-Terra CSP
12
Тестирование CrossBeam X80
•
•
•
© 2003-2013 S-Terra CSP
CPM - Control Processor Module
NPM - Network Processor Module
APM - Application Processor Module
13
Производительность


Решение показало очень высокий уровень
масштабируемости
Удвоение количества шифрующих APM
вызывает пропорциональный рост общей
производительности решения
Количество
пар APM
UDP-1400,
Мбит/c
UDP-512,
Мбит/c
UDP-64,
Мбит/c
TCP, Мбит/c
1
1500
680
73
1500
2
3000
1350
146
3000
4
5500
2660
256
6000
*Нагрузка CPU ~50%
© 2003-2013 S-Terra CSP
14
Мониторинг

Мониторинг всех устройств решения с
помощью протокола SNMP и SYSLOG
© 2003-2013 S-Terra CSP
15
QoS



Поле ToS переносится из заголовка нешифрованного
пакета в заголовок шифрованного и обратно
В шлюзе реализованы приоритетная и
неприоритетная очередь
Приоритетные данные передаются без потерь и
задержек даже при очень высокой интенсивности
трафика
© 2003-2013 S-Terra CSP
16
Управление

Настройка шлюзов безопасности через
систему управления с помощью шаблонной
конфигурации
© 2003-2013 S-Terra CSP
17
Решение «С-Терра» для ЦОДов






Безопасность
Легитимность
Производительность
Масштабируемость
Отказоустойчивость
Централизованное
управление
© 2003-2013 S-Terra CSP
18
Спасибо за
внимание.
Александр Веселов
+7 (499) 940 9061
(ext 130)
[email protected]
[email protected]
Cisco Solution Technology Integrator