Семейство маршрутизаторов ESR – это устройства, представляющие собой универсальную аппаратную платформу и способные выполнять широкий круг задач, связанных с сетевой защитой. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей операторов связи и дата-центров.
«Где-то я уже это читал» - скажете вы? Вы будете несомненно правы. Это выдержка из краткого технического описания или datasheet. Что же на самом деле может и умеет данное устройство? Попробуем рассказать в данной статье.
Линейка сервисных маршрутизаторов ESR берет своё начало с ESR-1000 (рис.1), который на заре своей юности умел немного - firewall, NAT, шифрование. Со временем линейка начала расширяться новыми моделями и обрастать новым функционалом. На сегодняшний день она доросла до BRAS, но это не предел, отдел разработки совместно с сервисным центром трудятся над дальнейшем улучшением своего детища.
Устройство умеет шифровать, шифрованные туннели можно строить с другими ESR, а также c маршрутизаторами Cisco, Juniper (речь идет о соединении site-to-site). Маршрутизаторы умеют пробрасывать L2/L3 точка-точка туннели: GRE (L2/L3), L2TPv3(L2). Умеет маршрутизировать, зря что ли называется маршрутизатор - для сбора и обмена маршрутной информацией может использовать BGP(в старшие модели влезет пара fullview, в ESR-1000 войдет четыре fullview), OSPF, для особенно консервативных есть RIP. ESR поддерживает трансляцию адресов, как динамическую, так и статическую, выдает по DHCP адресу.
Нужно произвести мониторинг? - есть SNMP. Хотите знать, кто куда ходит? -есть Netflow. Оператор предоставляющий вам Интернет не поддерживает IPoE, настройте PPPoE или PPTP клиента. Таким образом ESR похож на ящик с инструментами, есть различные инструменты для различных целей, и этот набор регулярно пополняется.
Комбинируя набор фич в ESR можно подстроить маршрутизатор под свои нужды.
Например:
* Компании нужно соединить два филиала в режиме коммутатора с обеспечением конфиденциальности, на маршрутизаторе настраивается туннель передающий L2 трафик (L2TPv3), и поверх настраивается шифрование IPsec, таким образом клиентский L2 трафик передается в L2TPv3 внутри IPsec.
* В филиалах используется динамическая маршрутизация в частности OSPF, нужно объединить филиалы, обеспечив шифрование трафика. На ESR настраивается OSPF в GRE туннеле в сторону соседа и поверх IPsec шифрование.
* Провайдеру нужен пограничный маршрутизатор - используют ESR-x, который получая full-view (всю маршрутную таблицу Интернета) по BGP от нескольких вышестоящих интернет-операторов и поскольку число белых адресов ограничено, трафик пользователей подвергается трансляции.
* Интернет-оператору ESR может пригодиться в качестве IPoE BRAS, с ограничением пользователей по скорости, с отслеживанием на какие IP адреса обращаются пользователи.
* Компании нужен маршрутизатор, обеспечивающий резервирование интернет соединений от нескольких интернет операторов, с проверкой соединения и переходом на резерв в случае падения основного канала, в таких случаях используют функционал Multiwan. При необходимости можно настроить использование одновременно более двух каналов (ECMP) в равномерном и неравномерном режиме.
* Небольшой компании нужно устройство, обеспечивающее трансляцию адресов (NAT), производящее ограничение по скорости(QoS) и раздачу IP адресов по DHCP. Со всем этим отлично справиться ESR.
* Нужно резервирование посредством 3G/4G модема с этим также прекрасно справится маршрутизатор серии ESR.
Заводская конфигурация ESR при условии использования интернет подключения IPoE может работать из коробки. Первый интерфейс должен быть подключен в сторону провайдера, остальные порты могут быть использованы в качестве коммутатора. В заводской настройке преднастроен DHCP клиент, DHCP сервер для подсети 192.168.16.0/24, NAT, Firewall.
Если говорить за производительность линейки маршрутизаторов, то цифры выходят следующие:
Таблица 1 . Производительность маршрутизаторов ESR
Модель |
Производительность (Гбит/с) |
Производительность шифрования (Гбит/с) |
0,6 Гбит/с |
0,1 Гбит/с |
|
0,6 Гбит/с |
0,1 Гбит/с |
|
0,6 Гбит/с |
0,1 Гбит/с |
|
1,5 Гбит/с |
0,5 Гбит/с |
|
2,3 Гбит/с |
0,75 Гбит/с |
|
9,8 Гбит/с |
3 Гбит/с |
|
9,8 Гбит/с |
3 Гбит/с |
|
58,2 Гбит/с |
20,4 Гбит/с |
Поскольку мир не состоит из одних маршрутизаторов Eltex, ESR умеет и взаимодействует с другими вендорами, такими как Juniper, Cisco по открытым протоколам и стандартам, описанных к примеру в RFC. Разумеется могут быть нюансы и особенности при настройке, но это является нормой, нет устройств без особенностей реализации, нюансов, идеально подходящей под все остальные устройства.
С версии ПО 1.4.0 на маршрутизаторах линейки ESR единый функционал, за исключением отсутствия BRAS на моделях ESR-10/ ESR-12V/ ESR-12VF, но кому может понадобиться BRAS на этих малышах, и STP(есть только на ESR-1000), который на маршрутизаторе и не нужен вовсе. Поскольку функционал - набор инструментов на все линейки одинаковый, при выборе модели стоит ориентироваться на объемы трафика(таб.1), которые будущее устройство будет перемалывать. Нет смысла приобретать ESR-1000, если необходимая вам суммарная пропускная способность не превышает 1Гбитс. Также надо ориентироваться в количестве используемых интерфейсов(таб.2).
Таблица 2 . Применение маршрутизаторов ESR
Модель |
Интерфейсы |
Применение, сертификаты |
4х Ethernet 10/100/1000 Base-T, 2х 1000Base-X (SFP) |
Малый офис, филиалы |
|
8х Ethernet 10/100/1000 Base-T, 3x FXS, 1x FXO |
Малый офис, филиалы (+телефония) |
|
8хEthernet 10/100/1000 Base-T; 1х1000Base-X (SFP); 3x FXS, 1x FXO |
Малый офис, филиалы (+телефония) |
|
4x Combo 10/100/1000BASE-T/1000BASE-X SFP |
Филиал |
|
4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP |
Филиал |
|
24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) |
Головное отделение (агрегатор) |
|
4х combo 10/100/1000BASE-T/1000BaseX, 8х 10GBASE-R SFP+, 12x 10/100/1000BASE-T |
Головное отделение (агрегатор) |
|
4х combo 10/100/1000BASE-T/1000Base-X, |
Головное отделение (агрегатор) |
|
4x Combo 10/100/1000BASE-T/1000BASE-X SFP |
Гос. структуры. Межсетевой экран типа «А» пятого класса защиты |
|
ESR-200 FSTEC | 4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP | Гос. структуры. Межсетевой экран типа «А» пятого класса защиты (2 класс защищенности) |
ESR-1000 FSTEC | 24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) | Гос. структуры. Межсетевой экран типа «А» пятого класса защиты (2 класс защищенности) |
ESR-100-ST | 4x Combo 10/100/1000BASE-T/1000BASE-X SFP | Криптографическая защита. Классы сертификации: КС2, KC3. |
ESR-200-ST | 4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP | Криптографическая защита. Классы сертификации: КС2, KC3. |
ESR-1000-ST | 24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) | Криптографическая защита. Классы сертификации: КС2, KC3. |
Для малых офисов отлично подойдут ESR-10/ESR-12V/ESR-12VF.
ESR-12V/ESR-12VF имеет отдельный чип под телефонию, можно подключать IP телефоны, есть 3 FXS порта под обычные телефоны. FXO можно использовать при наличии аналоговой линии до АТС.
ESR-10/ESR-12V/ESR-12VF/ESR-100/ESR-200 можно использовать в филиалах, а ESR-1000/ESR-1200/ESR-1700 как агрегатор в головном отделении.
Для компаний с повышенными требованиями к безопасности в связи с передачей конфиденциальной информации, отлично подходят маршрутизаторы ФСТЭК (ESR-100 FSTEC, ESR-200 FSTEC, ESR-1000 FSTEC).
Маршрутизаторы имеют три сертификата соответствия ФСТЭК N3778, №3788,№ 3789 для межсетевых экранов типа «А» пятого класса защиты.( Дата выдачи: 10 августа 2017
Срок действия: до 10 августа 2020 года.)
В первую очередь, данная информация может заинтересовать представителей государственных учреждений (ведомственные структуры, государственные организации или компании с гос. участием) использующих информационные системы 2 класса защищенности, автоматизированные системы управления производственными и технологическими процессами2 класса защищенности, а также в системах персональных данных требующих обеспечения 2 уровня защищенности персональных данных.
И завершит статью линейка универсальных сервисных криптомаршрутизаторов ESR-ST (ESR-100-ST, ESR-200-ST, ESR-1000-ST) –решение совместно с «С-Терра СиЭсПи». Модели маршрутизаторов с повышенной надежностью и резервированием критичных узлов.Данные устройства поддерживают алгоритмы шифрования по ГОСТ 28147-89, ГОСТ Р 34.12-2015
В устройствах объединены функции VPN-шлюза, межсетевого экрана и мультифункционального сетевого устройства.
Криптомаршрутизаторы могут применяться в государственных и бюджетных учреждениях, финансово-кредитных организациях, телекоммуникационных компаниях, предприятиях ТЭК и др.
Криптомаршрутизаторы позволят заменить сразу несколько устройств, благодаря богатому функционалу и гибкой интеграции в существующую структуру. Высокая надежность и производительность, классы сертификации КС2, КС3. Реализация устройств стартует осенью 2018 года.