Модуль NME-RVPN (МСМ)

Внимание:

В сентябре 2014 года состоялся запуск локального производства новых модулей МСМ на базе платформы Cisco UCS EN120S-M2. В связи с этим, компания Cisco сняла с производства модуль NME-RVPN.

Обзор продукта

Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.

Рисунок 1. Модуль NME-RVPN (МСМ)

Сертификаты

Сертификат ФСТЭК России № 3370 (МЭ-3, НДВ-3, ОУД 4+) – действителен до 25.03.2021

Встроенная криптобиблиотека компании «С-Терра СиЭсПи»:
Сертификат ФСБ России № СФ/114-3229 (КС1) – действителен до 15.11.2019

Преимущества и возможности продукта

Защищенность сетевых взаимодействий

В связи с широкой интеграцией корпоративных коммуникаций с публичными сетями, для обеспечения взаимодействий компаний с филиалами, удаленными пользователями, заказчиками и партнерами первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением в сочетании с передовыми технологиями Cisco Systems и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий. При этом необходимо не только решить вопросы защиты внешнего обмена данными, но и предоставить современные решения по защищенным беспроводным коммуникациям, защите голоса и видео с обеспечением качества обслуживания, максимально эффективно защитить взаимодействие клиентов в сетях операторов связи и услуг.

Интеграция модуля NME-RVPN (МСМ) в маршрутизаторы серии Cisco 2800/3800 или 2900/3900 Integrated Services Router позволяет потребителям получить единое решение, обеспечивающее, в том числе, организацию сетевой защиты, использующей российскую сертифицированную криптографию (модуль сертифицирован как СКЗИ по классу защиты КС3), развитую маршрутизацию, качество обслуживания приоритетного трафика (QoS), сервисы IP-телефонии и видео, коммутацию сетей. Подобные качества совместно с управляемостью и технологий Cisco IOS практически полностью закрывают потребность современного бизнеса в организации и защите ответственных, критически важных сетевых взаимодействий.

Программное обеспечение CSP RVPN

Программное обеспечение CSP RVPN, входящее в состав модуля NME-RVPN (МСМ), является еще одним элементом семейства продуктов CSP VPN Client, CSP VPN Server, масштабируемой серии шлюзов безопасности CSP VPN Gate 100/1000/3000/7000 и системой управления "С-Терра КП"

Продукты CSP VPN обеспечивают базовую функциональность современного VPN-устройства:

Шифрование (конфиденциальность) и ЭЦП (целостность, аутентификация) IP-пакетов, целостность потока пакетов.
Маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель.
Прозрачность для NAT (поддержка инкапсуляции пакета ESP в UDP).
Аутентификацию узлов сети и пользователей, контроль доступа на уровне компьютеров, пользователей и приложений, интегрированный межсетевой экран 4-го класса (CSP RVPN удовлетворяет требованиям к межсетевому экрану по 4-му классу защищенности).
Обеспечение надежности с выравниванием нагрузки в схеме резервирования N+1 (Dead Peer Detection protocol).
Унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
Сохранение классификации трафика для защищенных пакетов (мaпирование ToS поверх IPsec), приоритетную обработку трафика голоса и видео (поддержка QoS), отсутствие потери пакетов при регенерации сессионных ключей (smooth IKE re-keying).
Гибкое, централизованное и событийное ведение журнала с возможностью вторичной обработки на основе протокола Syslog.

Как результат, применение модуля NME-RVPN (МСМ) в составе маршрутизатора Cisco Integrated Services Router 2800/3800 или 2900/3900 обеспечивает эффективную реализацию множества сценариев сертифицированной защиты, включая:

межсетевые взаимодействия;
защищенный доступ удаленных и мобильных пользователей;
защиту беспроводных сетей;
защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь);
защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте.

Межсетевые взаимодействия

Сценарии защиты межсетевых взаимодействий (Site-to-Site VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.

По сути применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN-решения должны обеспечивать высокую ценовую эффективность и большую гибкость в реализации таких требований. Высокую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно. Использование для этой цели маршрутизаторов Cisco ISR (рисунок 2) в полной мере выполняет поставленную выше задачу.

Рисунок 2. Использование VPN туннелей для создания защищенной корпоративной сети.

Для выполнения требований повышенной надежности сетевых взаимодействий крупных сетей (обеспечивающей непрерывность бизнес-процессов в них) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.

Защита беспроводных и мультисервисных сетей

Продукты CSP VPN поддерживают сценарии защиты как выделенных мультимедийных сетей, так и «смешанных» сетей, обеспечивая:

поддержку качества сетевого обслуживания;
защиту качества сервиса в голосовой VPN при перегрузке трафика данных.

Модуль NME-RVPN (МСМ) в составе маршрутизаторов Cisco 2800/3800 или 2900/3900, обеспечивающих дополнительную функциональность Cisco Unified CallManager Express и беспроводной точки доступа, предоставляет для удаленных офисов всю необходимую функциональность обработки и защиты беспроводных мультимедийных и мультисервисных сетей в едином устройстве.

Рисунок 3. Защита беспроводных и мультисервисных сетей.

Основным средством защиты трафика в беспроводной сети является IPsec. При этом обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей (рисунок 3). Применение в радио сегменте выделенного адресного пространства и IPsec VPN обеспечивает возможность:

изолировать проводной сегмент от открытого IP-трафика;
пропускать внутрь проводной корпоративной сети (к ресурсам локальной сети) только IPsec-трафик, причем только в «домашние» сети.

Защита удаленных и мобильных пользователей

Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи.

Политика безопасности клиента доступа CSP VPN Client определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.
Права доступа пользователя определяются в корпоративной сети, и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа CSP VPN Client.
Клиент доступа CSP VPN Client не требует от пользователя никаких технических операций кроме установки и ввода ключа, предоставленного администратором безопасности.

CSP VPN Client поддерживает защищенную связь практически из любой точки, где присутствует какой-либо коммуникационный ресурс. Используются специальные меры в обеспечении мобильности пользователя:

адаптивность к адресному пространству (IPsec автоматически включается в зонах, где требуется защищенное соединение);
поддержка различных сред передачи, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.);
обеспечение прозрачной передачи IKE/IPsec трафика через шлюзы с трансляцией адресов (NAT).

Возможности и преимущества

По сравнению с другими отдельными подобными устройствами модуль NME-RVPN (МСМ) при использовании в сетевой инфраструктуре центрального офиса имеет ряд преимуществ:

Общий с другими устройствами интерфейс управления. Для управления и настройки модуля можно применять интерфейс командной строки (CLI) с использованием команд, аналогичных Cisco IOS. Модулем можно также управлять с помощью графического web-интерфейса, а также посредством графического интерфейса Cisco Security Manager 3.2 (CSM) и CSM 4.3 (совместимо с версией 3.11), который входит в состав Cisco Security Management Suite и посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC).
Снижение потребления и простота коммутации. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.
Проверка целостности ОС (реализовано в версии 3.11)

Архитектура модуля

Модуль NME-RVPN (МСМ) можно установить в маршрутизаторы Cisco ISR:

первого поколения (серий 2811, 2821, 2851, 3825 и 3845) с версией IOS 12.4(11)T или выше;
второго поколения (серий 2911, 2921, 2951, 3925 и 3945) с версией IOS 15.x.x. ".

Некоторые модели маршрутизаторов допускают установку нескольких модулей:

маршрутизаторы серий 2951, 3825, 3925 позволяют установить до двух модулей МСМ;
маршрутизаторы серий 3845, 3945 – до четырех модулей.

Модуль может работать с любых образом (feature set) IOS начиная с "IP base". При этом модуль NME-RVPN (МСМ) работает независимо от IOS маршрутизатора, используя программное обеспечение CSP RVPN компании ООО «С-Терра СиЭсПи», установленное на компакт-флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной OS Linux.

Аппаратно модуль NME-RVPN (МСМ) представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512 Мб оперативной памяти и 1 Гб Compact Flash (рисунок 4). Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.

Рисунок 4. Архитектура модуля NME-RVPN (МСМ) и Cisco Router.

Спецификация модуля NME-RVPN (МСМ)

Характеристика	Описание
Аппаратные характеристики модуля
Процессор	1 ГГц Intel Celeron-M
Память DRAM	512 MБ DDR2
Сетевые интерфейсы	1 внутренний интерфейс 1000 Мбит/с Ethernet 1 внешний интерфейс10/100/1000 Мбит/с Ethernet
Память Flash	1 Гб Compact Flash
Физические характеристики модуля
Физические размеры (В x Ш x Д)	3.9 x 18.0 x 18.3 cm (1.55 x 7.10 x 7.2 дюймов)
Вес	1.25 фунтов (567 грамм)
Рабочая влажность	5% до 95%, без конденсата
Рабочая температура	0-40 °C (32-104 °F)
Температура хранения	-25 °C до 70 °C
Рабочая высота над уровнем моря	10 000 футов (3048 м) при 25 °C
Потребляемая мощность	21 Вт
Сертификаты по электробезопасности	Underwriters Laboratory 1950 CSA-C22.2 No. 950 EN 60950 IEC 60950
Сертификаты по электромагнитной совместимости	47 CFR Part 15 Class A CISPR22 Class A EN300386 Class A EN55022 Class A EN61000-3-2 EN61000-3-3 VCCI Class I AS/NZS CISPR 22 Class A
Сертификаты по электромагнитной помехоустойчивости	CISPR24 EN300386 EN50082-1 EN55024 EN61000-6-1

Функциональные возможности

Характеристика	Описание
Программная совместимость	Любые продукты, поддерживающие протоколы IKE/IPsec (RFC 2401 – RFC 2412)
Протоколы туннелирования	IPsec, NAT Traversal IPsec (NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02))
Шифрование/аутентификация	IPsec Encapsulating Security Payload (ESP) и/или IPsec Authentication Header (AH) при использовании ГОСТ 28147-89 (256 бит), DES/3DES (56/168 бит) или AES (128/192/256 бит) с ГОСТ Р 34.11-94, MD5 или SHA
Управление ключами	IKE (Internet Key Exchange) IKE exchanges: Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges IKE: ГОСТ Р 31.10-2001, RSA, DSA, Pre-shared key Поддержка Smooth IKE/IPsec rekeying
Работа с сертификатами	LDAP v.3, x509 v.3, PKCS #7 (base64, bin), PKCS #10 (base64, bin), PKCS #12 (base64, bin), CRL
Маршрутизация	Статическая маршрутизация Управляемый политикой IPsec контроль фрагментации пакетов в канале Обнаружения отказов удаленных узлов: IKE keep-alive extension – Dead Peer Detection (draft-ietf-ipsec-dpd-04) Удаленный клиент IP, назначение IP из локального пула адресов (IKECFG)
Фильтрация	IP-адрес (диапазон IP, сайт) источника и назначения Порта и тип протокола Обработка фрагментированных пакетов
Настройка и управление	Протоколы управления: SSH, HTTP или они же, в режиме защиты IPsec Ведение журнала событий: syslog (локально или на удаленный сервер) Протокол SNMP, поддержка MIB-II SNMP traps (CISCO-IPSECFLOW- MONITOR-MIB, CISCO-IPSECMIB, CISCO-CONFIG-MAN-MIB)
Поддержка QoS	Отображение битов TOS поверх IPsec и приоритизация очередей QoS для обеспечения работы IP-телефонии и видео
Высокая доступность	Распределение нагрузки, псевдо кластер (n+1), поддержка IPsec соединений. Обнаружение потери соединения (draft-ietf-ipsec-dpd-04), восстановление соединения
Управление политиками	Интерфейс командной строки CLI Графический пользовательский интерфейс на основе Web Система управления "С-Терра КП" Графический интерфейс Cisco Security Manager 3.2 (CSM) и CSM 4.3 (совместимо с версией 3.11), входящий в состав Cisco Security Management Suite
Проверка целостности ОС	Реализуется автоматически в версии 3.11 средствами загрузчика ОС

Производительность

Наиболее часто используемый алгоритм для IPsec-туннелей, включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность, равную 40 Mбит/с (измерено на больших пакетах – 1400 байт). Если же проверка целостности не важна, то в режиме «ESP only» модуль может обеспечить скорость шифрования до 95 Mбит/с.

Характеристики производительности модуля NME-RVPN (МСМ).

Используемый алгоритм	Значение*
ESP c проверкой целостности	40 Mбит/с
ESP без проверки целостности	95 Mбит/с
AH	57 Mбит/с
AH+ESP	40 Mбит/с

* – Измерено при использовании потока UDP пакетов размером 1400 байт.

Системные требования

Требование	Описание
Оборудование	Cisco 2811, 2821, 2851, 3825 или 3845 Integrated Series Routers Cisco серий 2911, 2921, 2951, 3925 или 3945 Integrated Series Routers
Программное обеспечение	Программное обеспечение - Cisco IOSR Software Release 12.4(11)T или более поздний, установленный на маршрутизаторах первого поколения (серий 2811, 2821, 2851, 3825 и 3845) или с версией IOS 15.x.x - для маршрутизаторов второго поколения (серий 2911, 2921, 2951, 3925 и 3945).

Требование

Описание

Оборудование

Cisco 2811, 2821, 2851, 3825 или 3845 Integrated Series Routers
Cisco серий 2911, 2921, 2951, 3925 или 3945 Integrated Series Routers

Программное обеспечение

Программное обеспечение - Cisco IOSR Software Release 12.4(11)T

или более поздний, установленный на маршрутизаторах первого поколения (серий 2811, 2821, 2851, 3825 и 3845)

или с версией IOS 15.x.x - для маршрутизаторов второго поколения (серий 2911, 2921, 2951, 3925 и 3945).

Информационные материалы:

Модуль NME-RVPN.

Уважаемые клиенты!

Заказ модулей NME_RVPN (МСМ) производится у следующих дистрибьютеров продукции компании Cisco Systems:

Документация по этому продукту