28.12.2021 21:29
info_habr 10 3700 Источник
В конце года мы протестировали техническое решение по защищенной передаче данных со скоростью до 100 Гбит/ сек – с использованием программно-аппаратного комплекса «Квазар-100». Испытания прошли на участке Москва – Санкт-Петербург магистральной транспортной сети компании. Транспортный канал связал центры обработки данных (ЦОД) в двух столицах.



Тесты проходили в рамках мероприятий по предоставлению в 2022 году услуг защищенной передачи данных на магистральных сетях МТС. Интерес к защите трафика при помощи криптографических средств с использованием отечественного оборудования связан с современными тенденциями и требованиями регуляторов

Эта тема особенно актуальна для отраслей критической информационной инфраструктуры (здравоохранение, наука, транспорт, связь, финансы и другие сферы промышленности), для которых необходимы системы, оказывающие минимальное влияние на существующие IT-инфраструктуры – в плане задержек сигнала и уменьшения полосы пропускания, то есть с возможностью сохранять неизменные параметры сети для сервисов.

Для испытаний в московском и питерских ЦОДах мы установили модули шифрования «Квазар-100» и подключили в сеть передачи данных, связывающую два центра. На площадке в Москве был также установлен анализатор трафика, который проверял канал; оттуда канал нагружался и анализировался. В Санкт-Петербурге был организован оптический заворот.

Анализатор трафика
Viavi MTS5800-100G



Испытания проводились по методике RFC 2544 для размеров кадра 64 – 9600 байт. Для оценки влияния «Квазар-100» на канал связи тестирование сперва проходило без установки шифросредства на линию связи, а затем – с его установкой.

Результаты

Испытания показали готовность осуществлять защищенную передачу данных на скоростях магистральных каналов с минимальной потерей пропускной способности – около 0,001%.

Задержка RTT увеличилась на 22,7 микросекунды, то есть 5,675 микросекунды на одно устройство. Это, хоть и немного больше заявленного производителем значения в технических характеристиках (5 микросекунд), не имеет существенного влияния. Например, за 5 микросекунд луч света проходит 1 км по оптическому волокну.




Такие накладные расходы на шифрование и имитозащиту позволяют защищать данные без пересмотра параметров сервисов, работающих на каналах связи.

Автор — Вячеслав Гаврилов, руководитель направления кибербезопасности продуктовых решений МТС.

Комментарии (10)


  1. ky0
    28.12.2021 22:29
    #23881691
    +3

    Так, окей. Везде теперь такие ставить будете или чего? Что там по цене в сравнении с зарубежными решениями аналогичной функциональности?


    1. apkotelnikov
      29.12.2021 01:21
      #23882071
      +2

      Ну с аналогичными зарубежными туго, совсем туго. Тут ГОСТ и сертификат ФСБ и, формально, у нас можно использовать только ГОСТовое шифрование. С точки зрения удобства использования для шифрования тех же ПДН при репликации между ЦОДами, на порядки удобнее континентов и иже с ним. В Российских реалиях для шифрования трафика в рамках ethernet канала точка-точка практически идеальное решение.


    1. info_habr Автор
      29.12.2021 17:18
      #23884873
      +1

      По установке. Любой проект с использованием магистрального оборудования прорабатывается индивидуально. Это не массмаркет.

      Зарубежные решения не поставляют решения с отечественной криптографией. А на отечественном рынке, это пока единственное решение работающее на таких скоростях.


  1. lumag
    28.12.2021 22:47
    #23881755

    "се-ти" в заголовке — это кто-то умный с переносами?


  1. DYa
    29.12.2021 17:19
    #23884877

    Здравствуйте, выражаю Вам благодарность за Вашу статью!

    Не могли ли вы поделиться техническими характеристиками устройства шифрования? Что это: криптошлюз, криптомаршрутиазтор, межсетевой экран с функцией криптозащиты? Или это закрытая информация?


    1. Dzzzen
      30.12.2021 14:08
      #23888065

      https://systempb.ru/catalog/produkty/kvazar-100/

      Квазар L1VPN работает на уровне фреймов, IP-адреса он не маршрутизирует и не фильтрует, поэтому такой быстрый.


    1. info_habr Автор
      30.12.2021 17:06
      #23888921

      Здравствуйте!

      Информация открыта. Ссылка на СКЗИ https://systempb.ru/catalog/produkty/kvazar-100/

      сертификат https://systempb.ru/documets/%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%20%D1%81%D0%BE%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B8%D1%8F%20%D0%A4%D0%A1%D0%91%20%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%A1%D0%A4_124-4128%20%D0%BE%D1%82%2002.09.2021.pdf

      и вот даташит https://dropmefiles.com/dIgui


  1. pavel-stepanov
    30.12.2021 16:56
    #23888905

    Я бы на IMIX еще посмотрел, как чипы справляются


    1. MarkevichKirill
      30.12.2021 19:16
      #23889329

      Так весь же спектр пакетов показали. Ну и на 64 байта молотит без просадки. На сайте есть полные отчёты под катом:

      https://systempb.ru/company/news/mts-protestirovala-zashchishchennuyu-peredachu-dannykh-na-transportnoy-seti-moskva-sankt-peterburg-so-skorostyu-100-gbit-sek/


  1. MarkevichKirill
    30.12.2021 16:56
    #23888907

    Добрый день!

    ТХ Вы можете посмотреть на сайте продуктов компании производителя https://skzi.ru/catalog/kvazar-100/vmsh-tr/

    По сути, это телеком оборудование, преобразователь протоколов локальных сетей в протокол передачи по оптическим каналам связи, с функцией шифрования.