«Компьютерные бизнес системы»
комплексные IT-услуги по развитию
корпоративной инфраструктуры

  +7 (495) 411-82-82      




/ Каталог продукции / Информационная безопасность / Программно-аппаратные решения ИБ / S-Terra / Модуль NME-RVPN (МСМ)

Модуль NME-RVPN (МСМ)

Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.

Преимущества и возможности продукта

Защищенность сетевых взаимодействий

В связи с широкой интеграцией корпоративных коммуникаций с публичными сетями, для обеспечения взаимодействий компаний с филиалами, удаленными пользователями, заказчиками и партнерами первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением в сочетании с передовыми технологиями Cisco Systems и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий. При этом необходимо не только решить вопросы защиты внешнего обмена данными, но и предоставить современные решения по защищенным беспроводным коммуникациям, защите голоса и видео с обеспечением качества обслуживания, максимально эффективно защитить взаимодействие клиентов в сетях операторов связи и услуг.

Интеграция модуля NME-RVPN (МСМ) в маршрутизаторы серии Cisco 2800/3800 или 2900/3900 Integrated Services Router позволяет потребителям получить единое решение, обеспечивающее, в том числе, организацию сетевой защиты, использующей российскую сертифицированную криптографию, развитую маршрутизацию, качество обслуживания приоритетного трафика (QoS), сервисы IP-телефонии и видео, коммутацию сетей. Подобные качества совместно с управляемостью и технологий Cisco IOS практически полностью закрывают потребность современного бизнеса в организации и защите ответственных, критически важных сетевых взаимодействий.

Программное обеспечение CSP RVPN

Программное обеспечение CSP RVPN, входящее в состав модуля NME-RVPN (МСМ), является еще одним элементом семейства продуктов CSP VPN Client, CSP VPN Server и масштабируемой серии шлюзов безопасности CSP VPN Gate 100/1000/3000/7000.

Продукты CSP VPN обеспечивают базовую функциональность современного VPN-устройства:

  • Шифрование (конфиденциальность) и ЭЦП (целостность, аутентификация) IP-пакетов, целостность потока пакетов.
  • Маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель.
  • Прозрачность для NAT (поддержка инкапсуляции пакета ESP в UDP). 
  • Аутентификацию узлов сети и пользователей, контроль доступа на уровне; компьютеров, пользователей и приложений, интегрированный межсетевой экран 4-го класса (CSP RVPN удовлетворяет требованиям к межсетевому экрану по 4-му классу защищенности).
  • Обеспечение надежности с выравниванием нагрузки в схеме резервирования N+1 (Dead Peer Detection protocol). 
  • Унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»). 
  • Сохранение классификации трафика для защищенных пакетов (мaпирование ToS поверх IPsec), приоритетную обработку трафика голоса и видео (поддержка QoS), отсутствие потери пакетов при регенерации сессионных ключей (smooth IKE re-keying).
  • Гибкое, централизованное и событийное ведение журнала с возможностью вторичной обработки на основе протокола Syslog.

Как результат, применение модуля NME-RVPN (МСМ) в составе маршрутизатора Cisco Integrated Services Router 2800/3800 или 2900/3900 обеспечивает эффективную реализацию множества сценариев сертифицированной защиты, включая:

  • Межсетевые взаимодействия; 
  • Защищенный доступ удаленных и мобильных пользователей; 
  • Защиту беспроводных сетей; 
  • Защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь); 
  • Защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте.

Межсетевые взаимодействия

Сценарии защиты межсетевых взаимодействий (Site-to-Site VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.

По сути применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN-решения должны обеспечивать высокую ценовую эффективность и большую гибкость в реализации таких требований. Высокую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно. Использование для этой цели маршрутизаторов Cisco ISR в полной мере выполняет поставленную выше задачу.

Для выполнения требований повышенной надежности сетевых взаимодействий крупных сетей (обеспечивающей непрерывность бизнес-процессов в них) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.

Защита беспроводных и мультисервисных сетей

Продукты CSP VPN поддерживают сценарии защиты как выделенных мультимедийных сетей, так и «смешанных» сетей, обеспечивая:

  • Поддержку качества сетевого обслуживания; 
  • Защиту качества сервиса в голосовой VPN при перегрузке трафика данных.

Модуль NME-RVPN (МСМ) в составе маршрутизаторов Cisco 2800/3800 или 2900/3900, обеспечивающих дополнительную функциональность Cisco Unified CallManager Express и беспроводной точки доступа, предоставляет для удаленных офисов всю необходимую функциональность обработки и защиты беспроводных мультимедийных и мультисервисных сетей в едином устройстве.

Основным средством защиты трафика в беспроводной сети является IPsec. При этом обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей. Применение в радио сегменте выделенного адресного пространства и IPsec VPN обеспечивает возможность:

  • Изолировать проводной сегмент от открытого IP-трафика; 
  • Пропускать внутрь проводной корпоративной сети (к ресурсам локальной сети) только IPsec-трафик, причем только в «домашние» сети.

Защита удаленных и мобильных пользователей

Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи.

  • Политика безопасности клиента доступа CSP VPN Client определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.
  • Права доступа пользователя определяются в корпоративной сети, и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа CSP VPN Client.
  • Клиент доступа CSP VPN Client не требует от пользователя никаких технических операций кроме установки и ввода ключа, предоставленного администратором безопасности.

CSP VPN Client поддерживает защищенную связь практически из любой точки, где присутствует какой-либо коммуникационный ресурс. Используются специальные меры в обеспечении мобильности пользователя:

  • Адаптивность к адресному пространству (IPsec автоматически включается в зонах, где требуется защищенное соединение). 
  • Поддержка различных сред передачи, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.). 
  • Обеспечение прозрачной передачи IKE/IPsec трафика через шлюзы с трансляцией адресов (NAT). 

Возможности и преимущества

По сравнению с другими отдельными подобными устройствами модуль NME-RVPN (МСМ) при использовании в сетевой инфраструктуре центрального офиса имеет ряд преимуществ:

  • Общий с другими устройствами интерфейс управления. Для управления и настройки модуля можно применять интерфейс командной строки (CLI) с использованием команд, аналогичных Cisco IOS. Модулем можно также управлять с помощью графического web-интерфейса, а также посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite и посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 — CiscoWorks Router Management Center (Router MC). 
  • Снижение потребления и простота коммутации. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.

Архитектура модуля

Модуль NME-RVPN (МСМ) можно установить в маршрутизаторы Cisco ISR первого поколения (серий 2811, 2821, 2851, 3825 и 3845) и второго поколения (серий 2911, 2921, 2951, 3925 и 3945) с версией IOS 12.4(11)T или выше. Модуль может работать с любых образом (feature set) IOS начиная с  «IP base». При этом модуль NME-RVPN (МСМ) работает независимо от IOS маршрутизатора, используя программное обеспечение CSP RVPN компании «С-Терра СиЭсПи», установленное на компакт-флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной OS Linux.

Аппаратно модуль NME-RVPN (МСМ) представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512 МБ оперативной памяти и 512 МБ Compact Flash. Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.

Технические характеристики

Технические характеристики Модуль NME-RVPN (МСМ)
Аппаратные характеристики модуля
Процессор 1 ГГц Intel Celeron-M
Память DRAM 512 MБ DDR2
Сетевые интерфейсы 1 внутренний интерфейс 1000 Мбит/с Ethernet; 
1 внешний интерфейс10/100/1000 Мбит/с Ethernet
Память Flash 512 MБ Compact Flash
Физические характеристики модуля
Физические размеры (В x Ш x Д) 3.9 x 18.0 x 18.3 cm (1.55 x 7.10 x 7.2 дюймов)
Вес 1.25 фунтов (567 грамм)
Рабочая влажность 5% до 95%, без конденсата
Рабочая температура 0-40 °C (32-104 °F)
Температура хранения -25 °C до 70 °C
Рабочая высота над уровнем моря 10 000 футов (3048 м) при 25 °C
Потребляемая мощность 21 Вт
Сертификаты по электробезопасности Underwriters Laboratory 1950
CSA-C22.2 No. 950
EN 60950
IEC 60950
Сертификаты по электромагнитной совместимости 47 CFR Part 15 Class A
CISPR22 Class A
EN300386 Class A
EN55022 Class A
EN61000-3-2
EN61000-3-3
VCCI Class I
AS/NZS CISPR 22 Class A
Сертификаты по электромагнитной помехоустойчивости CISPR24
EN300386
EN50082-1
EN55024
EN61000-6-1

Функциональные возможности

Характеристика Описание
Программная совместимость Любые продукты, поддерживающие протоколы IKE/IPsec (RFC 2401 — RFC 2412)
Протоколы туннелирования IPsec, NAT Traversal IPsec (NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02))
Шифрование/аутентификация IPsec Encapsulating Security Payload (ESP) и/или IPsec Authentication Header (AH) при использовании ГОСТ 28147-89(256 бит), DES/3DES (56/168 бит)или AES (128/192/256 бит) с ГОСТ Р 34.11-94, MD5 или SHA
Управление ключами IKE (Internet Key Exchange);
IKE exchanges: Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges;
IKE: ГОСТ Р 34.10-94, ГОСТ Р 31.10-2001, RSA, DSA, Pre-shared key;
Поддержка Smooth IKE/IPsec rekeying
Работа с сертификатами LDAP v.3, x509 v.3, PKCS #7 (base64, bin), PKCS #10 (base64, bin), PKCS #12 (base64, bin), CRL
Маршрутизация Статическая маршрутизация;
Управляемый политикой IPsec контроль фрагментации пакетов в канале;
Обнаружения отказов удаленных узлов: IKE keep-alive extension — Dead Peer Detection (draft-ietf-ipsec-dpd-04);
Удаленный клиент IP, назначение IP из локального пула адресов (IKECFG)
Фильтрация IP-адрес (диапазон IP, сайт) источника и назначения;
Порта и тип протокола;
Обработка фрагментированных пакетов
Настройка и управление Протоколы управления: Telnet, SSH, HTTP или они же, в режиме защиты IPsec;
Ведение журнала событий: syslog (локально или на удаленный сервер);
Протокол SNMP, поддержка MIB-II;
SNMP traps (CISCO-IPSECFLOW-MONITOR-MIB, CISCO-IPSECMIB, CISCO-CONFIG-MAN-MIB)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Высокая доступность Распределение нагрузки, псевдо кластер (n+1), поддержка IPsec соединений;
Обнаружение потери соединения (draft-ietf-ipsec-dpd-04), восстановление соединения
Управление политиками Интерфейс командной строки CLI;
Графический пользовательский интерфейс на основе Web;
Графический интерфейс центра управления CiscoWorks VPN/Security Management Solution v.2.3 — CiscoWorks Router Management Center (Router MC);
Графический интерфейс Cisco Security Manager 3.2 (CSM), входящий в состав Cisco Security Management Suite

Производительность

Наиболее часто используемый алгоритм для IPsec-туннелей, включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность,равную 40 Mбит/с (измерено на больших пакетах — 1400 байт). Если же проверка целостности не важна, то в режиме «ESP only» модуль может обеспечить скорость шифрования до 95 Mбит/с.

Характеристики производительности модуля NME-RVPN (МСМ).

Используемый алгоритм Значение*
ESP c проверкой целостности 40 Mбит/с
ESP без проверки целостности 95 Mбит/с
AH 57 Mбит/с
AH+ESP 40 Mбит/с

* — Измерено при использовании потока UDP пакетов размером 1400 байт.




По любым вопросам обращайтесь к менеджерам CBS по тел. (495) 411-82-82 или через контактную форму.

* - Поля, обязательные для заполнения 


Версия для печати