| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:различные_сценарии_эксплуатации [2024/12/12 17:21] – i.sharapov | tssltd:различные_сценарии_эксплуатации [2024/12/12 17:47] (current) – i.sharapov |
|---|
| | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
| | |
| <WRAP indent> | <WRAP indent> |
| <wrap em>Многофункциональный комплекс сетевой защиты «Diamond Next»</wrap> - это современное высокопроизводительное UTM решением, которое включает в себя основные и дополнительные функции. К основным относятся функции безопасности, такие как защита канала передачи данных с использованием отечественных алгоритмов, межсетевое экранирование, детектирование сетевых атак. К дополнительным функциям относятся поддержка базовых протоколов и сетевых технологий, которые присуще всем современным устройствам, фильтрация по GeoIP, статическая и динамическая маршрутизация, маршрутизация мультикаст трафика, поддержка отказоустойчивой конфигурации, механизм DPI и др. Как основные функции, так и дополнительные могут одновременно работать на одном устройстве, при этом аппаратные ресурсы устройства будут разделены между функциями безопасности согласно настройке. | <wrap em>Многофункциональный комплекс сетевой защиты «Diamond Next»</wrap> - это современное высокопроизводительное UTM решением, которое включает в себя основные и дополнительные функции. К основным относятся функции безопасности, такие как защита канала передачи данных с использованием отечественных алгоритмов, межсетевое экранирование, детектирование сетевых атак. К дополнительным функциям относятся поддержка базовых протоколов и сетевых технологий, которые присуще всем современным устройствам, фильтрация по GeoIP, статическая и динамическая маршрутизация, маршрутизация мультикаст трафика, поддержка отказоустойчивой конфигурации, механизм DPI и др. Как основные функции, так и дополнительные могут одновременно работать на одном устройстве, при этом аппаратные ресурсы устройства будут разделены между функциями безопасности согласно настройке. |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные механизмы трансляции ip-адресов: Static NAT, Dynamic NAT, PAT, Port-forward и Twice-NAT. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные механизмы трансляции ip-адресов: **Static NAT**, **Dynamic NAT**, **PAT**, **Port-forward** и **Twice-NAT**. |
| * Static NAT – механизм, который позволяет транслировать внутренний приватный сетевой адрес в публичный сетевой адрес. Сопоставление адресов происходит в режиме один к одному. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность одному устройству получить доступ в публичную сеть. | * **Static NAT** – механизм, который позволяет транслировать внутренний приватный сетевой адрес в публичный сетевой адрес. Сопоставление адресов происходит в режиме один к одному. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность одному устройству получить доступ в публичную сеть. |
| * Dynamic NAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. | * **Dynamic NAT** - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим. Механизм позволяет скрыть инфраструктуры внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. |
| * PAT - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим, при этом используется не только диапазон сетевых адресов, но также и диапазон сетевых портов. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. Данный механизм позволяет снизить количество публичных адресов за счета сетевых портов по сравнению с механизмом Dynamic NAT. | * **PAT** - механизм, который позволяет транслировать внутренние приватные сетевые адреса в публичные сетевые адреса. Сопоставление адресов происходит в режиме многие ко многим, при этом используется не только диапазон сетевых адресов, но также и диапазон сетевых портов. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и предоставляет возможность нескольким устройствам получить доступ в публичную сеть. Данный механизм позволяет снизить количество публичных адресов за счета сетевых портов по сравнению с механизмом Dynamic NAT. |
| * Port-forward – механизм, который позволяет транслировать публичные сетевые адреса во внутренние приватные сетевые адреса. Сопоставление адреса может происходить в режиме один к одному без использования сетевых портов. Дополнительно можно задать сетевые порты как для публичного сетевого адреса, так и для приватного. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и позволяет предоставить доступ удаленному устройству, которое расположено в публичном сегменте сети, во внутреннюю сеть до заданного сетевого адреса, по заданному сетевому протоколу и сетевому порту. | * **Port-forward** – механизм, который позволяет транслировать публичные сетевые адреса во внутренние приватные сетевые адреса. Сопоставление адреса может происходить в режиме один к одному без использования сетевых портов. Дополнительно можно задать сетевые порты как для публичного сетевого адреса, так и для приватного. Механизм позволяет скрыть инфраструктуру внутренней приватной сети и позволяет предоставить доступ удаленному устройству, которое расположено в публичном сегменте сети, во внутреннюю сеть до заданного сетевого адреса, по заданному сетевому протоколу и сетевому порту. |
| * Twice-NAT – механизм, который позволяет при обработке сетевого трафика осуществлять двойную подмену как адреса источника, так и адреса назначения. | * **Twice-NAT** – механизм, который позволяет при обработке сетевого трафика осуществлять двойную подмену как адреса источника, так и адреса назначения. |
| |
| </WRAP> | </WRAP> |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает протоколы и сетевые технологии, которые работают на уровне L2 стандартной сетевой модели, которые включают в себя поддержку VLAN ID, протокол связующего дерева STP, возможность перевода сетевых интерфейсов в режиме работы L2, фильтрация в прозрачном режиме (режим коммутатора), проброс L2 уровня L2overVPN, агрегацию сетевых интерфейсов с использованием протокол LACP. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает протоколы и сетевые технологии, которые работают как на уровне L2, так и на уровне L3/L4 стандартной сетевой модели. |
| | |
| | Технологии на уровне L2 включают в себя поддержку VLAN ID (802.1q) с расширенным диапазоном, поддержку технологии Q-in-Q (802.1ad) возможность перевода сетевых интерфейсов в режиме работы на втором уровне стандартной сетевой модели с возможность осуществлять фильтрацию в прозрачном режиме коммутатора, возможность перевода сетевых интерфейсов в полностью прозрачный режим с возможность обработки любого типа сетевого трафика, в том числе с прозрачной обработкой протокола LACP, возможность создания конфигураций L2overVPN, L2overGRE, различные типы агрегации сетевых интерфейсов (Round-robin, Xor, Active-Backup, Broadcast), в том числе протокол LAСP (802.3ad). |
| | |
| | Технологии на уровне L3 включают в себя поддержку механизмов маршрутизации как статической, так и динамической. Поддерживается возможность осуществлять маршрутизацию сетевого трафик с использование политик или списков доступа – Policy-based routing или ACL Based Forwarding, возможность задавать несколько шлюзов по умолчанию с дальнейшей балансировкой сетевого трафика между разными каналами передачи данных. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, OSPF и BGP, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Функция расширенной маршрутизации позволяет создавать независимые таблицы маршрутизации с индивидуальными правилами. Решение об оптимальном маршруте для сетевого пакета может приниматься на основе различных критериев. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает различные протоколы динамической маршрутизации, которые позволят решать задачи по распространению маршрутной информации и обеспечению целостности сети и доступности всех ее узлов. Для распространения маршрутной информации можно использовать протокол динамической маршрутизации RIP, RIPng, OSPF, OSPFv3, BGP, EIGRP, IS-IS, что позволяет легко интегрировать устройство в текущую инфраструктуру сети. Поддерживается возможность создания независимых контекстов с маршрутной информацией VRF, поддерживается возможность фильтрации маршрутной информации, которая отправляется другим устройствам или принимается от них. Протокол PIM, PIMv6 и протокол IGMP позволяют решать задачи по маршрутизации мультикаст трафика. Протокол BFD позволяет отслеживать состояние линков между устройствами и оперативно реагировать при возникновении различных ситуация на сетевой инфраструктуре. Протокол LDP позволяет осуществлять обмен информацией о метках в рамках построения сети MPLS. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность реализации отказоустойчивого кластера на основе двух и более устройств. Отказоустойчивый кластер может быть настроен в нескольких режимах работы: с одним виртуальным ip-адресом, с несколькими виртуальными ip-адресами. Поддерживается возможность ведения независимой таблицы маршрутизации, осуществлять контроль за сетевыми интерфейсами и работы в режиме Active/passive. | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность создания отказоустойчивой конфигурации на основе двух и более устройств. При создании отказоустойчивой конфигурации одно из устройств работает в активном режиме и осуществляет обработку сетевого трафика, второе устройство работает в пассивном режиме и отслеживает состояние активного. На устройствах можно задать до 255 отказоустойчивых конфигураций. Поддерживается возможность отслеживать состояние сетевых интерфейсов и возможность изменять статус устройств. При создании отказоустойчивого кластера устройства поддерживают работоспособность одного или нескольких виртуальных адресов, которые могут выступать шлюзами по умолчанию для сегмента сети или других устройств. |
| | |
| | === Независимые контексты с маршрутной информацией === |
| | |
| | <WRAP indent> |
| | Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность создавать дополнительные таблицы с маршрутной информацией и закреплять сетевые интерфейсы для каждой из таблиц. Технология позволяет изолировать движение сетевого трафика между сегментами сети, позволяет задавать свои специфические политики маршрутизации сетевого трафика и обрабатывать сетевой трафик из сегментов сети, в которых пересекаются адресные пространства. |
| </WRAP> | </WRAP> |
| |
| | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
