Компания «Специальная интеграция», совместно с компаниями «T8», «H3C», «Netwell», «Arista Networks» и «VIAVI Solutions», собрала стенд, на котором в ходе проведения испытаний была реализована защита канала скоростью 100 Гбит/с по протоколу Ethernet с алгоритмом шифрования ГОСТ без потерь пакетов, без уменьшения пропускной способности, без возникновения ошибок с минимальной сетевой задержкой при максимальной нагрузке канала связи применив изделия «Квазар» производства компании «Системы практической безопасности».
Испытания проходили в демонстрационном зале компании «Специальная интеграция» - дистрибьютора продукции компании «Системы практической безопасности» в присутствии представителей производителей оборудования «T8», «H3C», «Netwell», «Arista Networks» и «VIAVI Solutions.
Основной задачей тестов была выработка масштабируемого решения для получения стабильного шифрованного по ГОСТу канала связи скоростью 100 Гбит/с по протоколу Ethernet без потерь пакетов, без уменьшения пропускной способности, без возникновения ошибок и с минимальным влиянием на характеристики действующей сети.
Стенд состоял из сетевых коммутаторов H3C серии S6800 и Arista серии 7280, выполняющих разбивку канала 100GE на 10 каналов 10GE, их балансировку по портам и сборку 10 каналов 10GE в канал 100GE; модулей шифрования Квазар – МШ-TPfc, выполняющих защиту трафика (шифрование) 10 GE и его инкапсуляцию в OTN-контейнер OTU2e; агрегирующих транспондеров MS-100E-T10 платформы «Волга» производства компании Т8, обеспечивающих мультиплексирование 10 каналов формата OTU2e, их инкапсуляцию в OTN-контейнер OTU4 и его передачу на одной длине волны; катушки с оптоволоконным кабелем длинной 50 км (имитации оптической трассы 50 км) и сетевого анализатора компании MTS 5800-100G производства VIAVI Solutions, генерирующего сетевой трафик 100GE, выполняющего заворот трафика, производящего измерения тестов и фиксацию их результатов.
Общая схема стенда приведена на рисунке:
Каждая из схем строится на технологии агрегации портов и балансировки трафика между ними. Для разбивки, балансировки и сборки трафика использовались: 1x100GE и 10x10GE порты коммутаторов. Порт 1x100GE был соединен с анализатором, каждый порт 10GE соединялся с клиентским портом модуля шифрования «Квазар».
Для каждой схемы проводились тестирования по методикам ITU‑T Y.1564 и RFC2544.
Основным условием выполнения задачи была реализация защиты канала 100 Гбит/с по протоколу Ethernet при наличии одного IP и MAC адреса источника и получателя трафика, это условие было полностью выполнено с использованием оборудования Arista. Так же проводились более простые для реализации тесты с использованием имитации множества источников и получателей (IP и MAC адресов) трафика. При этом для всех испытаний максимальная допустимая нагрузка на канал связи была принята 90%, что превышает нормальные практические пороговые значения.
Основные исследуемые схемы:
-
Источник трафика 100 Гбит/с – Коммутатор – Модули шифрования – Оптическая трасса – Модули шифрования – Коммутатор – петля (заворот).
В данном случае использовалась короткие оптические трассы (патч‑корды) для каждого соединения, имитирующие «тёмные волокна». На практике в этом месте необходимо использовать мультиплексоры, что позволит задействовать лишь одну пару оптических волокон.
Масштабировать данное решение возможно до 800 Гбит/с и выше в зависимости от состава платформы.
-
Источник трафика – Коммутатор – Модули шифрования – Агрегирующий транспондер – Оптическая трасса 50 км – Агрегирующий транспондер – Модули шифрования – Коммутатор – петля (заворот).
Применение агрегирующего транспондера, в данном случае, позволяет не только использовать оптическую трассу из одной пары волокон, но и передать трафик 100 Гбит/с по одной длине волны. При применении системы DWDM, масштабировать это решение возможно до 9 Тбит/с и выше. На практике же, это позволяет на одной паре волокон использовать различное количество сервисов с различными источниками и характеристиками сети.
Для схемы сети №1 зафиксированы следующие результаты:
-
Потери пакетов → 0
-
Средний показатель сетевой задержки (RTT) = 0.254 мс
-
Вариация задержки (jitter) = 0.129мс
-
Пропускная способность – без уменьшения
*(Исследование результатов различных тестов показало, что основное влияние на задержку в сети оказывает балансировка Jumboframes. При тестировании без использования Jumboframes значение сетевой задержки(RTT) не превышает 0.19 мс, а значение вариации стремится к нулю.
Для схемы сети №2 зафиксированы следующие результаты:
-
Потери пакетов → 0
-
Средний показатель сетевой задержки (RTT) = 0.886 мс
-
Вариация задержки (jitter) = 0.133 мс
-
Пропускная способность – без уменьшения
Аналогичные результаты достигаются при 100% нагрузке на канал связи и при использовании 11 портов агрегации для каждой их схем.
В ходе испытаний проводилась имитация выхода их строя одной из пары агрегированных соединений. В результате процесс балансировки быстро перестраивался, при этом было потеряно лишь небольшое количество пакетов, пропускная способности канала не уменьшилась
Исследование показало, что в условиях необходимости и при различных схемах организации сети, СКЗИ «Квазар», в сочетании со специализированными устройствами коммутации трафика, можно успешно применять для защиты высокоскоростных каналов связи более 10 Гбит/с.
С результатами отчётов можно ознакомиться ниже:
Отчёты ITU‑T Y.1564 для схемы 1Отчёты ITU‑T Y.1564 для схемы 2
Отчёты ITU‑T Y.1564 для схемы 1 без Jumbo Frame