+7 (499) 940-90-61
С-Терра L2

Версия 5.0

Версия 4.3

Программный модуль для шлюза безопасности С-Терра Шлюз. Обеспечивает защищенное туннелирование кадров канального уровня L2 между географически распределенными сегментами сетей. Реализует создание виртуальных локальных сетей VLAN по стандарту IEEE 802.1q с передачей через недоверенные L3-сети.
Оставить заявку
Продукт зарегистрирован
в реестре Российского ПО
Требуется отдельная лицензия
Заявка
Документация по установке

С-Терра L2 версии 5.0 обеспечивает безопасную L2-связь между географически разделенными сегментами сети при их взаимодействии через недоверенную L3-инфраструктуру.

Назначение

  • Построение высокопроизводительных, отказоустойчивых сетей с балансировкой нагрузки
  • Организация защищенных каналов между ЦОД с полным сохранением L2-топологии
  • Миграция сетевой инфраструктуры без изменения адресации и конфигурации конечных устройств
  • Передача данных между локальными сетями с интеграцией приложений, использующих широковещательные механизмы
  • Характеристики
  • Эксплуатация

Архитектура решения С-Терра L2

Программный модуль «С-Терра L2» представляет собой предустановленный на Шлюз пакет - sterra-l2. Он реализуется на базе линейки продуктов С-Терра Шлюз версий 5.0 или 4.3, 4.2, 4.1.


Захват трафика: Внутренний интерфейс (capture) шлюза работает в режиме прослушивания (promiscuous mode) для полного захвата всех приходящих на него Ethernet-кадров


L2-инкапсуляция: Демон l2svc инкапсулирует эти Ethernet-кадры в UDP-пакеты (L2-туннель)


IPsec-защита: Шлюз безопасности С-Терра Шлюз ST выполняет IPsec-инкапсуляцию. UDP-пакет помещается в ESP-пакет, где IP-адресом источника становится адрес внешнего интерфейса локального шлюза, а адресом назначения — IP-адрес внешнего интерфейса удаленного шлюза (VPN-туннель)


Передача: Зашифрованные пакеты передаются через недоверенную L3-сеть


Декапсуляция: На принимающей стороне процесс выполняется в обратном порядке — сначала IPsec-декапсуляция (расшифровка и извлечение UDP-пакета), затем UDP-декапсуляция (извлечение исходного Ethernet-кадра), после чего кадр передается в локальную сеть. Таким образом реализуется туннелирование L2 через L3-сеть с криптографической защитой по ГОСТ



Рисунок 1

Технические функции

Технические особенности:

  • Виртуальные TAP-интерфейсы: создаются для каждого L2-туннеля с использованием драйвера TUN/TAP
  • Bridge-интерфейсы: объединяют TAP и физические интерфейсы в единый широковещательный домен
  • Smart Forwarding: передача только кадров с нелокальными destination MAC-адресами
  • MAC Learning: автоматическое запоминание MAC-адресов для оптимизации трафика

Пример построения L2 VPN туннеля при помощи программного модуля «С-Терра L2».Отказоустойчивое решение с балансировкой нагрузки.


Сетевые возможности:

  • Объединение территориально-распределенных сетей в единый широковещательный домен
  • Полная поддержка L2-протоколов: передача broadcast, multicast, VLAN-тегов, MPLS-меток
  • Сохранение сетевой топологии: подключение IPv6-сетей через IPv4-инфраструктуру без изменения адресации
  • Прозрачная передача информации о приоритете трафика (ToS, MPLS TC)
  • Обработка специализированного трафика: настраиваемая фильтрация LACP и LLDP, поддержка протокола STP

Производительность

Производительность С-Терра L2 версии 5.0 должна выбираться с учетом базовой производительности L3-платформыплюс 15-20% запаса на L2-обработку.


Ожидаемая производительность С-Терра Шлюз в режиме L2
Наименование Максимальная производительность шифрования L2, Мбит/c Количество туннелей
С-Терра Шлюз 50 45 10
С-Терра Шлюз 100 95 10 | 200
С-Терра Шлюз 1000 240 50 | 500
С-Терра Шлюз 2000 490 500
С-Терра Шлюз 3000 Std 980 1000
С-Терра Шлюз 3000 HE 3 900 1000
С-Терра Шлюз 7000 HE 4 900 Без ограничений

Оптимизация производительности:

  • CPU Affinity: привязка процессов к ядрам процессора: параметр L2VPN_CORE_COUNT для группового назначения
  • Индивидуальная привязка: параметр bind_to_core_id для точной настройки
  • Буферизация: увеличенные сетевые буферы, параметры sndbuf и rcvbuf до 8МБ для высоконагруженных каналов
  • MTU-оптимизация: для предотвращение фрагментации, настройте tun_mtu и скорректируйте MSS TCP-пакетов mssfix

За консультацией по выбору оптимальных платформ обращайтесь в отдел технического консалтинга.

Сертификация

Активация С-Терра L2 версии 5.0 не затрагивает сертифицированную часть продукта С-Терра Шлюз ST. 

Продукт представляет собой сертифицированное решение для защиты на канальном уровне L2 с применением отечественных криптографических алгоритмов ГОСТ. 

Информационные материалы

Официальная документация: https://doc.s-terra.ru/rh_output/5.0/L2/output/index.htm" target="_blank" 

Типовые сценарии применения: https://doc.s-terra.ru/rh_output/5.0/Scenarios/output/index.htm 

раздел «Типовые сценарии применения - С-Терра L2»

Техническая поддержка

Обновлённая услуга «Сервис технической поддержки» даёт возможности пользоваться технической поддержкой того уровня, который вам наиболее подходит на весь период эксплуатации продукта.





Преимущества продукта С-Терра L2 5.0
1.
Централизованное YAML-конфигурирование с автоматической валидацией параметров
2.
Оптимизация производительности через распределение задач по ядрам процессора и расширенные возможности балансировки нагрузки
3.
Улучшенная отказоустойчивость - сохранение туннельных интерфейсов при сбоях при помощи Persist TAP и агрегация каналов связи
4.
Селективный перезапуск - возможность перезапуска отдельных туннелей без влияния на работу остальных
5.
Автоматическое управление интерфейсами: выключение capture-интерфейсов при отсутствии активных туннелей
6.
MAC Learning: запоминание MAC-адресов для передачи по туннелю только не локального трафика
Каталог продукции
Обучающее видео
Урок 1: Как выбрать VPN продукт? (версия 5.0)
Все видеоуроки

Закажите консультацию

Оставьте свои контакты, мы свяжемся с вами в ближайшее время