В данном разделе приведено краткое описание сценариев применения устройства МКСЗ «Diamond Next». Каждый сценарий соответствует отдельному подразделу, в котором содержится подробное описание настройки и работы соответствующего механизма.
Устройство МКСЗ «Diamond Next» поддерживает установление защищённых соединений на базе проприетарного протокола шифрования, работающего на уровне L4 по протоколу UDP. Поддерживаются следующие топологии: точка-точка (point-to-point) для объединения двух объектов, точка-многоточка (point-to-multipoint) для подключения нескольких объектов к центральному узлу по топологии «звезда», полносвязная и частично-связная топологии (full-mesh, partial-mesh) для объединения трёх и более объектов с произвольным распределением ролей, а также соединение между центрами обработки данных (ЦОД-ЦОД) для задач с максимальными требованиями к пропускной способности. Для каждой топологии поддерживается выбор типа инкапсуляции (L2, L3, L4) и типа туннеля (L2overVPN, TransparentVPN, стандартный VPN).
Устройство МКСЗ «Diamond Next» обеспечивает защищённое подключение удалённых сотрудников к корпоративной сети с использованием тонкого клиента или устройств на базе ARM-архитектуры. После установления защищённого соединения пользователь получает доступ во внутренний сегмент сети предприятия. Управление доступом осуществляется с помощью политик фильтрации и маршрутных анонсов, передаваемых клиенту при подключении. Максимальное количество одновременных подключений составляет до 15 000 на одно устройство в зависимости от его модели.
Устройство МКСЗ «Diamond Next» обеспечивает фильтрацию сетевого трафика по любым полям и заголовкам сетевого пакета на основе интерфейсно-ориентированного подхода с применением списков контроля доступа (ACL, Access Control List). Поддерживаются три режима фильтрации: прозрачный режим — без учёта механизмов коммутации и маршрутизации, с прозрачной обработкой служебных протоколов (STP, LACP, PAGP); режим L2 — с учётом механизма коммутации; режим L3/L4 — с учётом механизмов коммутации и маршрутизации. Дополнительно поддерживается фильтрация по доменному имени, фильтрация по расписанию, группировка сетевых адресов и портов, а также журналирование правил фильтрации.
Устройство МКСЗ «Diamond Next» поддерживает фильтрацию сетевого трафика на основе географической принадлежности IP-адреса (GeoIP). Механизм обрабатывает трафик до применения основных правил межсетевого экранирования и учитывает только сетевой адрес. На устройство предустановлена база подсетей для всех стран мира, которую администратор может дополнять и изменять в процессе эксплуатации.
Устройство МКСЗ «Diamond Next» поддерживает функции системы обнаружения вторжений (СОВ, IDS — Intrusion Detection System) и системы предотвращения вторжений (СПВ, IPS — Intrusion Prevention System). Актуальная база сигнатурных правил содержит порядка 35 000 записей и обновляется несколько раз в неделю; поддерживается создание пользовательских сигнатур. При обнаружении атаки формируется запись в журнале событий и сохраняется файл захвата трафика в формате PCAP (Packet Capture). Устройство может быть подключено через порт зеркалирования (SPAN, Switched Port Analyzer) для пассивного анализа трафика, либо установлено в разрыв канала передачи данных — в прозрачном режиме (анализ до механизма межсетевого экранирования) или в стандартном режиме (анализ после механизма межсетевого экранирования).
Устройство МКСЗ «Diamond Next» поддерживает глубокую инспекцию пакетов (DPI, Deep Packet Inspection) — анализ сетевого трафика на уровне L7 с проверкой не только заголовков, но и полезной нагрузки пакетов в режиме реального времени. Механизм позволяет обнаруживать, классифицировать, перенаправлять или блокировать трафик на основе его содержимого, в том числе управлять доступом к конкретным приложениям и ресурсам сети.
Устройство МКСЗ «Diamond Next» поддерживает следующие механизмы трансляции сетевых адресов: статическая трансляция (Static NAT, Network Address Translation) — сопоставление адресов один-к-одному; динамическая трансляция (Dynamic NAT) — сопоставление многие-ко-многим; трансляция с использованием портов (PAT, Port Address Translation) — сопоставление многие-ко-многим с использованием диапазона портов для снижения потребления публичных адресов; перенаправление портов (Port Forward) — трансляция входящих соединений с публичного адреса на внутренний с возможностью указания протокола и порта; двойная трансляция (Twice-NAT) — одновременная подмена адреса источника и адреса назначения в одном пакете.
Устройство МКСЗ «Diamond Next» поддерживает широкий набор технологий канального и сетевого уровней. На уровне L2 поддерживаются: VLAN (Virtual Local Area Network, IEEE 802.1Q) с расширенным диапазоном идентификаторов, Q-in-Q (IEEE 802.1ad), прозрачный мост с обработкой протоколов LACP (Link Aggregation Control Protocol) и PAGP (Port Aggregation Protocol), агрегация каналов в режимах Round-robin, XOR, Active-Backup, Broadcast и LACP (IEEE 802.3ad), а также конфигурации L2overVPN и L2overGRE (Generic Routing Encapsulation). На уровне L3/L4 поддерживаются статическая и динамическая маршрутизация, маршрутизация на основе политик (PBR, Policy-Based Routing), маршрутизация на основе списков доступа (ABF, ACL-Based Forwarding), а также балансировка трафика между несколькими шлюзами по умолчанию.
Устройство МКСЗ «Diamond Next» поддерживает протоколы динамической маршрутизации: RIP (Routing Information Protocol), RIPng, OSPF (Open Shortest Path First), OSPFv3, BGP (Border Gateway Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol), IS-IS (Intermediate System to Intermediate System), что обеспечивает гибкую интеграцию устройства в существующую сетевую инфраструктуру. Поддерживаются независимые таблицы маршрутизации VRF (Virtual Routing and Forwarding), фильтрация маршрутной информации, балансировка нагрузки ECMP (Equal-Cost Multi-Path) и WCMP (Weighted-Cost Multi-Path). Протокол BFD (Bidirectional Forwarding Detection) обеспечивает оперативный контроль состояния линков и может работать как самостоятельно, так и совместно с протоколами динамической маршрутизации. Для построения сетей MPLS (Multiprotocol Label Switching) поддерживается протокол LDP (Label Distribution Protocol).
Устройство МКСЗ «Diamond Next» поддерживает маршрутизацию мультикаст-трафика с использованием протоколов PIM (Protocol Independent Multicast) и IGMP (Internet Group Management Protocol). Данные протоколы обеспечивают распространение маршрутной информации для мультикаст-групп и позволяют эффективно управлять доставкой группового трафика в сети.
Устройство МКСЗ «Diamond Next» поддерживает создание отказоустойчивой конфигурации в режиме Active-Backup на основе двух и более устройств. В данном режиме одно устройство работает в активном состоянии и обрабатывает сетевой трафик, второе находится в пассивном режиме и отслеживает состояние активного. При отказе активного узла пассивное устройство автоматически принимает на себя обработку трафика. На каждом устройстве можно задать до 255 независимых отказоустойчивых конфигураций. Поддерживается мониторинг состояния сетевых интерфейсов и управление виртуальными IP-адресами (VIP, Virtual IP Address), которые используются в качестве шлюза по умолчанию для сегментов сети.
Устройство МКСЗ «Diamond Next» поддерживает создание отказоустойчивого кластера в режиме Active-Active на базе проприетарного протокола DLBP (Diamond Load Balancing Protocol). Протокол объединяет до 15 физических устройств в кластер, в котором все узлы одновременно участвуют в обработке трафика. Управление кластером осуществляет узел AVG (Active Virtual Gateway), который обрабатывает ARP-запросы (Address Resolution Protocol) и распределяет нагрузку между узлами AVF (Active Virtual Forwarder). Клиенты сети используют единый виртуальный IP-адрес, в то время как DLBP прозрачно распределяет трафик между физическими устройствами. Поддерживаются три режима балансировки: циклический (Round-robin), привязка к хосту (Host-dependent) и взвешенный (Weighted). При отказе одного из узлов кластера его нагрузка автоматически перераспределяется между оставшимися участниками.
Устройство МКСЗ «Diamond Next» поддерживает создание независимых таблиц маршрутизации VRF (Virtual Routing and Forwarding) с назначением сетевых интерфейсов в каждую из них. Технология обеспечивает изоляцию сетевого трафика между сегментами сети, позволяет применять раздельные политики маршрутизации для каждого контекста и обрабатывать трафик из сегментов с пересекающимися адресными пространствами.