Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.
Преимущества и возможности продукта
Защищенность сетевых взаимодействий
В связи с широкой интеграцией корпоративных коммуникаций с публичными сетями, для обеспечения взаимодействий компаний с филиалами, удаленными пользователями, заказчиками и партнерами первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением в сочетании с передовыми технологиями Cisco Systems и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий. При этом необходимо не только решить вопросы защиты внешнего обмена данными, но и предоставить современные решения по защищенным беспроводным коммуникациям, защите голоса и видео с обеспечением качества обслуживания, максимально эффективно защитить взаимодействие клиентов в сетях операторов связи и услуг.
Интеграция модуля NME-RVPN (МСМ) в маршрутизаторы серии Cisco 2800/3800 или 2900/3900 Integrated Services Router позволяет потребителям получить единое решение, обеспечивающее, в том числе, организацию сетевой защиты, использующей российскую сертифицированную криптографию, развитую маршрутизацию, качество обслуживания приоритетного трафика (QoS), сервисы IP-телефонии и видео, коммутацию сетей. Подобные качества совместно с управляемостью и технологий Cisco IOS практически полностью закрывают потребность современного бизнеса в организации и защите ответственных, критически важных сетевых взаимодействий.
Программное обеспечение CSP RVPN
Программное обеспечение CSP RVPN, входящее в состав модуля NME-RVPN (МСМ), является еще одним элементом семейства продуктов CSP VPN Client, CSP VPN Server и масштабируемой серии шлюзов безопасности CSP VPN Gate 100/1000/3000/7000.
Продукты CSP VPN обеспечивают базовую функциональность современного VPN-устройства:
- Шифрование (конфиденциальность) и ЭЦП (целостность, аутентификация) IP-пакетов, целостность потока пакетов;
- Маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель.
- Прозрачность для NAT (поддержка инкапсуляции пакета ESP в UDP);
- Аутентификацию узлов сети и пользователей, контроль доступа на уровне; компьютеров, пользователей и приложений, интегрированный межсетевой экран 4-го класса (CSP RVPN удовлетворяет требованиям к межсетевому экрану по 4-му классу защищенности).;
- Обеспечение надежности с выравниванием нагрузки в схеме резервирования N+1 (Dead Peer Detection protocol);
- Унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»);
- Сохранение классификации трафика для защищенных пакетов (мaпирование ToS поверх IPsec), приоритетную обработку трафика голоса и видео (поддержка QoS), отсутствие потери пакетов при регенерации сессионных ключей (smooth IKE re-keying);
- Гибкое, централизованное и событийное ведение журнала с возможностью вторичной обработки на основе протокола Syslog.
Как результат, применение модуля NME-RVPN (МСМ) в составе маршрутизатора Cisco Integrated Services Router 2800/3800 или 2900/3900 обеспечивает эффективную реализацию множества сценариев сертифицированной защиты, включая:
- межсетевые взаимодействия;
- защищенный доступ удаленных и мобильных пользователей;
- защиту беспроводных сетей;
- защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь);
- защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте.
Межсетевые взаимодействия
Сценарии защиты межсетевых взаимодействий (Site-to-Site VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.
По сути применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN-решения должны обеспечивать высокую ценовую эффективность и большую гибкость в реализации таких требований. Высокую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно. Использование для этой цели маршрутизаторов Cisco ISR в полной мере выполняет поставленную выше задачу.
Для выполнения требований повышенной надежности сетевых взаимодействий крупных сетей (обеспечивающей непрерывность бизнес-процессов в них) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.
Защита беспроводных и мультисервисных сетей
Продукты CSP VPN поддерживают сценарии защиты как выделенных мультимедийных сетей, так и «смешанных» сетей, обеспечивая:
- поддержку качества сетевого обслуживания;
- защиту качества сервиса в голосовой VPN при перегрузке трафика данных.
Модуль NME-RVPN (МСМ) в составе маршрутизаторов Cisco 2800/3800 или 2900/3900, обеспечивающих дополнительную функциональность Cisco Unified CallManager Express и беспроводной точки доступа, предоставляет для удаленных офисов всю необходимую функциональность обработки и защиты беспроводных мультимедийных и мультисервисных сетей в едином устройстве.
Основным средством защиты трафика в беспроводной сети является IPsec. При этом обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей. Применение в радио сегменте выделенного адресного пространства и IPsec VPN обеспечивает возможность:
- изолировать проводной сегмент от открытого IP-трафика;
- пропускать внутрь проводной корпоративной сети (к ресурсам локальной сети) только IPsec-трафик, причем только в «домашние» сети.
Защита удаленных и мобильных пользователей
Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи.
- Политика безопасности клиента доступа CSP VPN Client определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.
- Права доступа пользователя определяются в корпоративной сети, и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа CSP VPN Client.
- Клиент доступа CSP VPN Client не требует от пользователя никаких технических операций кроме установки и ввода ключа, предоставленного администратором безопасности.
CSP VPN Client поддерживает защищенную связь практически из любой точки, где присутствует какой-либо коммуникационный ресурс. Используются специальные меры в обеспечении мобильности пользователя:
- адаптивность к адресному пространству (IPsec автоматически включается в зонах, где требуется защищенное соединение);
- поддержка различных сред передачи, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.);
- обеспечение прозрачной передачи IKE/IPsec трафика через шлюзы с трансляцией адресов (NAT).
Возможности и преимущества
По сравнению с другими отдельными подобными устройствами модуль NME-RVPN (МСМ) при использовании в сетевой инфраструктуре центрального офиса имеет ряд преимуществ:
- Общий с другими устройствами интерфейс управления. Для управления и настройки модуля можно применять интерфейс командной строки (CLI) с использованием команд, аналогичных Cisco IOS. Модулем можно также управлять с помощью графического web-интерфейса, а также посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite и посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC);
- Снижение потребления и простота коммутации. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.
Архитектура модуля
Модуль NME-RVPN (МСМ) можно установить в маршрутизаторы Cisco ISR первого поколения (серий 2811, 2821, 2851, 3825 и 3845) и второго поколения (серий 2911, 2921, 2951, 3925 и 3945) с версией IOS 12.4(11)T или выше. Модуль может работать с любых образом (feature set) IOS начиная с “IP base”. При этом модуль NME-RVPN (МСМ) работает независимо от IOS маршрутизатора, используя программное обеспечение CSP RVPN компании «С-Терра СиЭсПи», установленное на компакт-флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной OS Linux.
Аппаратно модуль NME-RVPN (МСМ) представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512 МБ оперативной памяти и 512 МБ Compact Flash. Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.
Спецификация модуля NME-RVPN (МСМ)
| Характеристика | Описание |
| Аппаратные характеристики модуля | |
| Процессор | 1 ГГц Intel Celeron-M |
| Память DRAM | 512 MБ DDR2 |
| Сетевые интерфейсы |
|
| Память Flash | 512 MБ Compact Flash |
| Физические характеристики модуля | |
| Физические размеры (В x Ш x Д) | 3.9 x 18.0 x 18.3 cm (1.55 x 7.10 x 7.2 дюймов) |
| Вес | 1.25 фунтов (567 грамм) |
| Рабочая влажность | 5% до 95%, без конденсата |
| Рабочая температура | 0-40 °C (32-104 °F) |
| Температура хранения | -25 °C до 70 °C |
| Рабочая высота над уровнем моря | 10 000 футов (3048 м) при 25 °C |
| Потребляемая мощность | 21 Вт |
| Сертификаты по электробезопасности |
|
| Сертификаты по электромагнитной совместимости |
|
| Сертификаты по электромагнитной помехоустойчивости |
|
Функциональные возможности
| Характеристика | Описание |
| Программная совместимость | Любые продукты, поддерживающие протоколы IKE/IPsec (RFC 2401 – RFC 2412) |
| Протоколы туннелирования | IPsec, NAT Traversal IPsec (NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)) |
| Шифрование/аутентификация | IPsec Encapsulating Security Payload (ESP) и/или IPsec Authentication Header (AH) при использовании ГОСТ 28147-89 (256 бит), DES/3DES (56/168 бит) или AES (128/192/256 бит) с ГОСТ Р 34.11-94, MD5 или SHA |
| Управление ключами |
|
| Работа с сертификатами | LDAP v.3, x509 v.3, PKCS #7 (base64, bin), PKCS #10 (base64, bin), PKCS #12 (base64, bin), CRL |
| Маршрутизация |
|
| Фильтрация |
|
| Настройка и управление |
|
| Поддержка QoS | Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео |
| Высокая доступность |
|
| Управление политиками |
|
Производительность
Наиболее часто используемый алгоритм для IPsec-туннелей, включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность, равную 40 Mбит/с (измерено на больших пакетах – 1400 байт). Если же проверка целостности не важна, то в режиме «ESP only» модуль может обеспечить скорость шифрования до 95 Mбит/с.
Характеристики производительности модуля NME-RVPN (МСМ).
| Используемый алгоритм | Значение* |
| ESP c проверкой целостности | 40 Mбит/с |
| ESP без проверки целостности | 95 Mбит/с |
| AH | 57 Mбит/с |
| AH+ESP | 40 Mбит/с |
* - Измерено при использовании потока UDP пакетов размером 1400 байт.
Системные требования
| Требование | Описание |
| Оборудование |
|
| Программное обеспечение | Cisco IOS® Software Release 12.4(11)T или более поздний, установленный на маршрутизаторе |
