Семейство маршрутизаторов ESR – это устройства, представляющие собой универсальную аппаратную платформу и способные выполнять широкий круг задач, связанных с сетевой защитой. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей операторов связи и дата-центров.

Линейка сервисных маршрутизаторов ESR берет своё начало с ESR-1000 (рис.1), который на заре своей юности умел немного – firewall, NAT, шифрование. Со временем линейка начала расширяться новыми моделями и обрастать новым функционалом. На сегодняшний день она доросла до BRAS, но это не предел, отдел разработки совместно с сервисным центром трудятся над дальнейшем улучшением своего детища.

esr_1000_front

Рисунок 1 – Маршрутизатор ESR-1000

Устройство умеет шифровать, шифрованнные туннели можно строить с другими ESR, а также c маршрутизаторами Cisco, Juniper (речь идет о соединении site-to-site). Маршрутизаторы умеют пробрасывать L2/L3 точка-точка туннели: GRE (L2/L3), L2TPv3(L2). Умеет маршрутизировать, зря что ли называется маршрутизатор – для сбора и обмена маршрутной информацией может использовать BGP(в старшие модели влезет пара fullview, в ESR-1000 войдет четыре fullview), OSPF, для особенно консервативных есть RIP. ESR поддерживает трансляцию адресов, как динамическую, так и статическую, выдает по DHCP адресу.

Нужно произвести мониторинг? – есть SNMP. Хотите знать, кто куда ходит? -есть Netflow. Оператор предоставляющий вам Интернет не поддерживает IPoE, настройте PPPoE или PPTP клиента. Таким образом ESR похож на ящик с инструментами, есть различные инструменты для различных целей, и этот набор регулярно пополняется.

Комбинируя набор фич в ESR можно подстроить маршрутизатор под свои нужды.

Например:

* Компании нужно соединить два филиала в режиме коммутатора с обеспечением конфиденциальности, на маршрутизаторе настраивается туннель передающий L2 трафик (L2TPv3), и поверх настраивается шифрование IPsec, таким образом клиентский L2 трафик передается в L2TPv3 внутри IPsec.

* В филиалах используется динамическая маршрутизация в частности OSPF, нужно объединить филиалы, обеспечив шифрование трафика. На ESR настраивается OSPF в GRE туннеле в сторону соседа и поверх IPsec шифрование.

* Провайдеру нужен пограничный маршрутизатор – используют ESR-x, который получая full-view (всю маршрутную таблицу Интернета) по BGP от нескольких вышестоящих интернет-операторов и поскольку число белых адресов ограничено, трафик пользователей подвергается трансляции.

* Интернет-оператору ESR может пригодиться в качестве IPoE BRAS, с ограничением пользователей по скорости, с отслеживанием на какие IP адреса обращаются пользователи.

* Компании нужен маршрутизатор, обеспечивающий резервирование интернет соединений от нескольких интернет операторов, с проверкой соединения и переходом на резерв в случае падения основного канала, в таких случаях используют функционал Multiwan. При необходимости можно настроить использование одновременно более двух каналов (ECMP) в равномерном и неравномерном режиме.

* Небольшой компании нужно устройство, обеспечивающее трансляцию адресов (NAT), производящее ограничение по скорости(QoS) и раздачу IP адресов по DHCP. Со всем этим отлично справиться ESR.

* Нужно резервирование посредством 3G/4G модема с этим также прекрасно справится маршрутизатор серии ESR.

Заводская конфигурация ESR при условии использования интернет подключения IPoE может работать из коробки. Первый интерфейс должен быть подключен в сторону провайдера, остальные порты могут быть использованы в качестве коммутатора. В заводской настройке преднастроен DHCP клиент, DHCP сервер для подсети 192.168.16.0/24, NAT, Firewall.

Если говорить за производительность линейки маршрутизаторов, то цифры выходят следующие:

Таблица 1 . Производительность маршрутизаторов ESR

Модель Производительность
 Firewall
 (большие пакеты),(Гбит/с)
Производительность  шифрования 
при алгоритме aes-128,(Гбит/с)
ESR-10 0,6 Гбит/с 0,1 Гбит/с
ESR-12V 0,6 Гбит/с 0,1 Гбит/с
ESR-12VF 0,6 Гбит/с 0,1 Гбит/с
ESR-100 1,5 Гбит/с 0,5 Гбит/с
ESR-200 2,3 Гбит/с 0,75 Гбит/с
ESR-1000 9,8 Гбит/с 3 Гбит/с
ESR-1200 9,8 Гбит/с 3 Гбит/с
ESR-1700 58,2 Гбит/с 20,4 Гбит/с

 

Поскольку мир не состоит из одних маршрутизаторов Eltex, ESR умеет и взаимодействует с другими вендорами, такими как Juniper, Cisco по открытым протоколам и стандартам, описанных к примеру в RFC. Разумеется могут быть нюансы и особенности при настройке, но это является нормой, нет устройств без особенностей реализации, нюансов, идеально подходящей под все остальные устройства.

С версии ПО 1.4.0 на маршрутизаторах линейки ESR единый функционал, за исключением отсутствия BRAS на моделях ESR-10/ ESR-12V/ ESR-12VF, но кому может понадобиться BRAS на этих малышах, и STP(есть только на ESR-1000), который на маршрутизаторе и не нужен вовсе. Поскольку функционал – набор инструментов на все линейки одинаковый, при выборе модели стоит ориентироваться на объемы трафика(таб.1), которые будущее устройство будет перемалывать. Нет смысла приобретать ESR-1000, если необходимая вам суммарная пропускная способность не превышает 1Гбитс. Также надо ориентироваться в количестве используемых интерфейсов (таб.2)

Таблица 2 . Применение маршрутизаторов ESR

Модель Интерфейсы Применение, сертификаты
ESR-10 4х Ethernet 10/100/1000 Base-T, 2х 1000Base-X (SFP) Малый офис, филиалы
ESR-12V 8х Ethernet 10/100/1000 Base-T, 3x FXS, 1x FXO Малый офис, филиалы (+телефония)
ESR-12VF 8хEthernet 10/100/1000 Base-T; 1х1000Base-X (SFP); 3x FXS, 1x FXO Малый офис, филиалы (+телефония)
ESR-100 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Филиал
ESR-200 4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Филиал
ESR-1000 24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) Головное отделение (агрегатор)
ESR-1200 4х combo 10/100/1000BASE-T/1000BaseX, 8х 10GBASE-R SFP+, 12x 10/100/1000BASE-T Головное отделение (агрегатор)
ESR-1700 4х combo 10/100/1000BASE-T/1000Base-X,
8х 10GBASE-R SFP+
Головное отделение (агрегатор)
ESR-100 FSTEC 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Гос. структуры. Межсетевой  экран типа «А» пятого класса защиты
(2 класс защищенности)
ESR-200 FSTEC 4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Гос. структуры. Межсетевой  экран типа «А» пятого класса защиты
(2 класс защищенности)
ESR-1000 FSTEC 24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) Гос. структуры. Межсетевой экран типа «А» пятого класса защиты
(2 класс защищенности)
ESR-100-ST 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Криптографическая защита. Классы сертификации: КС2, KC3.
ESR-200-ST 4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP Криптографическая защита. Классы сертификации: КС2, KC3.
ESR-1000-ST 24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+) Криптографическая защита. Классы сертификации: КС2, KC3.

 

Для малых офисов отлично подойдут ESR-10/ESR-12V/ESR-12VF.

ESR-12V/ESR-12VF имеет отдельный чип под телефонию, можно подключать IP телефоны, есть 3 FXS порта под обычные телефоны. FXO можно использовать при наличии аналоговой линии до АТС.

ESR-10/ESR-12V/ESR-12VF/ESR-100/ESR-200 можно использовать в филиалах, а ESR-1000/ESR-1200/ESR-1700 как агрегатор в головном отделении.

Для компаний с повышенными требованиями к безопасности в связи с передачей конфиденциальной информации, отлично подходят маршрутизаторы ФСТЭК (ESR-100 FSTEC, ESR-200 FSTEC, ESR-1000 FSTEC).

Маршрутизаторы имеют три сертификата соответствия ФСТЭК N3778, №3788,№ 3789 для межсетевых экранов типа «А» пятого класса защиты.( Дата выдачи: 10 августа 2017, cрок действия: до 10 августа 2020 года.)

В первую очередь, данная информация может заинтересовать представителей государственных учреждений (ведомственные структуры, государственные организации или компании с гос. участием) использующих информационные системы 2 класса защищенности, автоматизированные системы управления производственными и технологическими процессами2 класса защищенности, а также в системах персональных данных требующих обеспечения 2 уровня защищенности персональных данных.

И завершит статью линейка универсальных сервисных криптомаршрутизаторов ESR-ST (ESR-100-ST, ESR-200-ST, ESR-1000-ST) –решение совместно с «С-Терра СиЭсПи». Модели маршрутизаторов с повышенной надежностью и резервированием критичных узлов.Данные устройства поддерживают алгоритмы шифрования по ГОСТ 28147-89, ГОСТ Р 34.12-2015

В устройствах объединены функции VPN-шлюза, межсетевого экрана и мультифункционального сетевого устройства.

Криптомаршрутизаторы могут применяться в государственных и бюджетных учреждениях, финансово-кредитных организациях, теле­ком­му­никационных компаниях, предприятиях ТЭК и др.

Криптомаршрутизаторы позволят заменить сразу несколько устройств, благодаря богатому функционалу и гибкой интеграции в существующую структуру. Высокая надежность и производительность, классы сертификации КС2, КС3. Реализация устройств стартует осенью 2018 года.

Related Projects