Сетевое оборудование
-
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
КДСУ-КД2402-А1Б представляет коммутатор Ethernet уровня L3 , программное обеспечение которого (прошивка) работает на основе ОС Linux.Функциональные возможности УМК определяются используемым ПО. Они представлены в разделе "Характеристики". -
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
УМК, совместно с установленным на нем ПО, выполняет совокупность операций:
– коммутацию и маршрутизацию пакетов Ethernet между интерфейсами УМК с предоставлением дополнительной сервисной функциональности;
– разграничения доступа с помощью идентифицирующих устройств для пользова-телей;
– контроля программной и аппаратной конфигурации при загрузке;
– восстановление программной конфигурации при аварийных ситуациях и обна-ружении попыток взлома;
– непрерывный контроль портов ввода/вывода модуля управления, а также внут-ренних устройств с целью предотвращения попыток несанкционированного проникновения;
– дистанционный и локальный мониторинг событий безопасности.
-
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
Платформа Коммутирующая матрица Модуль коммутирующей матрицы на основе процессора Marvell 98DX4122 Управление коммутатором Модуль управления на основе встроенной вычислительной системы на базе процессора архитектуры х86 с интегрированными средствами защиты информации Коммутируемые порты под GBIC 1G 24 порта SFP Коммутируемые порты под GBIC 10G 2 порта SFP+ Порты управления 1 порт RJ-45 10/100/1000 Base-T; 1 порт SFP 1000 Base-LX (под GBIC); 1 порт RS-232 Порты для подключения устройств идентификации Считыватель смарт-карт, CCID Порты для подключения устройств USB 1 порт, USB 2.0 Светодиодные индикаторы системный; индикаторы активности коммуникационных портов; Кнопка Reset Поддержка кнопки Reset Встроенные средства безопасности уровня BIOS Встроенное в BIOS ПО безопасности Встроенная в UEFI оболочка безопасности Kraftway Secure Shell (KSS) Питание Блок питания Один внутренний 220 В переменного тока, 50-60 Гц Габариты, Вес Высота 43 мм (1U) Ширина 440 мм Глубина 310 мм (380 мм с разъемом питания) Функциональные свойства коммутатора: Порты Защита от блокировки нескольких потоков на одном порту (HOL Blocking Prevention); Управление потоком в полном дуплексном режиме для предотвращения потери пакетов (Flow Control Support, IEEE802.3X); Полнофункциональная поддержка сверхдлинных пакетов размером до 9 Кб (Jumbo Frames support); Проверка подключённого оптического трансивера: напряжение, сила тока, входная и выходная мощность, температура, потеря сигнала, отказы трансивера; Поддержка энергосберегающей технологии: отключение питания не использующегося порта, подстройка мощности под длину кабеля (Green Ethernet); Ручная настройка портов; Отключение по расписанию. Зеркалирование Поддержка полного зеркалирования (дублирования) трафика портов для анализа и мониторинга. Поддерживается зеркалирование до 8 портов на 1 контролирующий порт; Поддерживается зеркалирование сетей VLAN; MAC-адресация таблица MAC-адресов размерностью до 128000 записей; таблица MAC-адресов при помощи кэширования в ПО; Аппаратно поддерживается 16000 записей; Формирование таблицы MAC-адресов (MAC learning)-автоматическое «обучение»; Коммутация пакетов на основе MAC-адреса с учётом принадлежности к сети VLAN с поддержкой отдельной базы данных пересылки (forwarding data base, FDB); Автоматическое удаление MAC-адресов, не активных в течение заданного времени, для предотвращения переполнения таблицы пересылки (MAC Address Aging); Ручной (статический) ввод в таблицу пересылки MAC-адресов, не «устаревающих» и не удаляющихся после перезагрузки (Static MAC addresses, не менее 256 адресов). Виртуальные локальные сети VLAN до 4074 виртуальных локальных сетей VLAN; распределение по группам VLAN на основе портов; поддержка протокола GVRP для динамического создания сетей VLAN; режим доступа (access) - порт принадлежит одной VLAN в режиме передачи немаскированного трафика; общий режим (general) – поддерживаются все функции, как определено в стандарте IEEE 802.1q; магистральный режим (trunk) - порт может быть членом одной VLAN в режиме передачи немаскированного трафика и членом нескольких VLAN в режиме передачи маскированного трафика; Создание сетей VLAN по признаку протокола L2 (Protocol Based VLANs), до 8 сетей; Трансляция трафика в сеть VLAN на основе подсети IP-адреса источника (Subnet based VLAN); Выделенные сети VLAN групповой передачи L2-трафика (Multicast TV VLAN); Трансляция трафика в сеть VLAN на основе MAC-адреса источника (MAC Based VLANs); Автоматическое добавление VoIP-оборудования в сеть Voice VLAN на основе OUI для приоритезации трафика (Auto Voice VLAN), до 128 OUI; Поддержка вложенных сетей VLAN (Nested VLANs (QinQ)) старндартов IEEE 802.1Q, IEEE 802.1ad. Многоадресная передача Multicast Bridge Количество поддерживаемых таблиц групповых адресов (Multicast Groups) –до 4096 групп; Ручная настройка таблиц групповых адресов, когда не поддерживается IGMP (Static Multicast Groups); Групповая передача на основе анализа IGMP пакетов (IGMP Snooping), IGMP v1, v2, v3; Групповая передача на основе анализа MLD-пакетов (MLD Snooping); Настройка работы с пакетами, которые принадлежат незарегистрированным группам многоадресной рассылки (Unregistered Multicast); Работа в режиме Querier в отсутствие в сети multicast-маршрутизатора (IGMP Querier). Протокол Spanning Tree Поддержка протокола STP для построения древовидной топологии сети, протокол IEEE 802.1d; Поддержка “быстрого” протокола STP (Rapid Spanning Tree), протокол IEEE 802.1w; Поддержка протокола MSTP для привязки сетей VLAN к элементам в древовидной топологии (Multiple Spanning Tree- MSTP), протокол IEEE802.1s; Защита от назначения несанкционированного устройства на роль «корневого элемента» древовидной топологии сети (STP Root Guard); Автоматическое отключение порта при получении сообщения BPDU для защиты от неправильной конфигурации сети (STP BPDU Guard); Фильтрация BPDU-данных для разделения “деревьев” двух подсетей; Определение петель пересылки в L2-топологии сети, дополнительно к STP (Loopback detection). Агрегирование каналов Link Aggregation, LAG поддерживается до 8-и портов в LAG; поддерживается до 16 LAG; Поддержка протокола LACP для автоматического объединения отдельных связей в единый канал (LACP) до 16 портов; Настройка баланса загрузки пропускной способности агрегированного канала на основе MAC, IP или порта назначения (LAG Balancing Algorithm). Список контроля доступа Access Control Lists применяется для отдельных портов и LAG; поддерживается до 4096 таблиц; поддерживается для MAC и IP –адресов; PCL TCAM 3K + Management ACL 1K или PCL TCAM 3K + TTI TCAM 1K; Контроль доступа на основе правил фильтрации трафика. Поддержка до 2048 списков ACL на основе заголовков пакетов уровней 2, 3 и 4 (IP ACL Condition); Настройка времени действия правил фильтрации (Time Based ACL); Качество обслуживания Quality of Service Поддержка приоритезации до 8 очередей на каждый порт, до 8 уровней приоритетов; QoS Basic Mode, протокол 802.1p; Создание правил приоритезации (фильтрации) на основе классификации потоков (QoS Advanced Mode); Распространение правил QoS на весь стэк устройств; Сбор статистики QoS на каждом порту по: очередям, классу трафика, примененным политикам; Ingress Rate Limiting Accurate mechanism; Ограничение скорости передачи пакетов заданного типа при сохранении параметров QoS на порту (Egress Rate Limiting); Ограничение скорости входящего трафика на порту на основе политик (Rate Limiting action in ACL); Контроль скорости передачи широковещательных и многоадресных пакетов на входе порта (Packet Storm Control); IP адресация Статическое назначение коммутатору IP-адреса и его получение по протоколам DHCP/BootP; DNS клиент (до 8 DNS-серверов); до 64 статических назначений доменных имен; поддержка ping, trace route, TACACS сервер, RADIUS сервер, SNTP сервер, Syslog сервер, TFTP сервер, и DHCP сервер; Работа в режиме DHCP-ретранслятора между клиентами и DHCP-сервером. IP маршрутизация Функции маршрутизации IPv4; Функции маршрутизации IPv6; Функции маршрутизации MIB, включая протоколы: RFC 1724 RIP v2 MIB расширения; RFC 1850 OSPF MIB; RFC 2096 IP таблица MIB; RFC 2787 VRRP MIB; Размер таблицы маршрутизации не менее 13000 (для IPv4), не менее 4096 Multicast групп; Работа в режиме DHCP-ретранслятора между клиентами и DHCP-сервером (DHCP Relay); Прокси ARP; Поддержка протокола ECMP, до 8 маршрутов; Перенаправление широковещательного UDP трафика на указанный IP адрес (UDP Relay); Поддержка протокола динамической маршрутизации RIP v2; Протокол динамической маршрутизации OSPF v2; VRRP v3 для IPv4; BGPv4. Безопасность Предоставление доступа к порту коммутатора только для устройств, MAC-адреса которых закреплены за этим портом, (MAC-based Port Security), до 256 адресов; Контроль доступа на основе проверки подлинности по стандарту IEEE 802.1x, до 512 одновременных проверенных пользователей; Проверка подлинности на основе MAC-адреса для устройств, не поддерживающих 802.1х; Настройка времени действия проверки подлинности по стандарту IEEE 802.1x. (Time Based 802.1x); Предоставление пользователю, не прошедшему проверку подлинности, доступа к ограниченной гостевой сети VLAN (Guest VLAN); Предоставление доступа к назначенным сетям VLAN, не требующим проверки подлинности портов (например, в IP-телефонии); Динамическое присоединение прошедшего проверку клиента к сети VLAN на основе данных RADIUS о нем (Dynamic VLAN Assignment); Динамическое внесение записи с прошедшим проверку MAC-адресом в ACL-список порта (Dynamic ACL (DACL)); Поддержка протокола удаленной авторизации, аутентификации и учета (Remote Authorization and Authentication (RADIUS)), до 8 RADIUS-серверов; Регистрация сессий по управлению/настройке коммутатора, до 128 сессий на отдельный коммутатор и до 1024 сессий на стэк (Radius Accounting); Поддержка протокола проверки подлинности TACACS+, до 8 TACACS-серверов; двухфакторная аутентификация с помощью внешнего идентифицирующего устройства (смарт-карта)(локальная аутентификация); аутентификация по паролю и логину пользователя(локальная аутентификация); аутентификация с запросом удаленного сервера для проверки прав администратора(локальная аутентификация); IP Source Guard; Защита от атак с использованием протокола ARP на основе проверки IP-адреса (Dynamic ARP Inspection); Контроль целостности, поддерживается с помощью внешнего по отношению к коммутирующей матрице доверенного вычислительного модуля. Для Системного ПО, конфигурационных файлов и баз данных пользователей Управление коммутатором Поддерживается ролевое и мандатное разграничения прав доступа к настройкам и управлению; Поддержка MIB версии 1.3.6 и выше; Шифрование удаленного доступа к Web-интерфейсу по HTTPS. Поддержка SSL v3; Интерфейс командной строки CLI; Сервер SSH для удаленного доступа к консоли управления, о 5 одновременных сессий; WEB консоль, базовая конфигурация IP stack; Управление паролями; Восстановление пароля и обновление сертификатов, локально при загрузке; Криптография - RSA, AES; 3DES; Защита канала управления по ГОСТ; возможность установки шифрованного соединения при помощи функции микроконтроллера АПМДЗ и аппаратного ДСЧ (датчика случайных чисел)(Опционально); Предусмотрена возможность установки внешней платы шифратора в модуль управления(Опционально); Удаленный доступ к функциям управления для администратора прошедшего авторизацию с ограничениями по протоколам: Web (HTTPS);Secure Web (HTTPS, Using SSL); Telnet (CLI over telnet sessions); Secure Shell (CLI over SSH access); SNMP. Поддержка HTTP/HTTPS, не менее 5 конкурентных сессий; Системное ПО и управление конфигурациями Удаленное обновление прошивки по протоколу TFTP, через WEB консоль; локальное обновление прошивки с USB носителя; Управление файлами конфигураций; Системное ПО (“Firmware image”) копирование/хранение/выбор/загрузка; Обновление конфигурационных файлов и образов Системного ПО по протоколу HTTP/S; SNMP SNMP V1, V2C, v3; Журнал событий Журнал событий (Event Logging), Не менее 8 серверов Syslog; Локальное хранение не менее 200 лог файлов объемом не менее 128 кБ; Поддерживается единый журнал событий безопасности, генерируемых встроенными СЗИ(средств защиты информации). Журнал располагается в защищённой области энергонезависимой памяти модуля управления. Стекирование коммутаторов Поддерживается, до 8 коммутаторов; Топология: кольцо, линейная OF (Open Flow) Openflow v1.0. -
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
- Ядро WindRiver VxWorks 6.9
- Интерфейс CISCO-like
- Поддержка стекирования устройств (до 8 устройств)
- Получение сетевого времени по протоколу SNTP
- Защита от несанкционированного доступа к управлению на всех интерфейсах
- Встроенный веб-сервер для управления
- Поддержка TELNET/SSH/SNMP
- Система контроля доступа на основе уровней привилегий
- Поддержка взаимодействия с серверами RADIUS/TACACS+
- Поддержка протокола 802.1x
- Поддержка агрегации каналов (статическая/LACP)
- Поддержка протокола sFlow
- Поддержка протокола LLDP
- Поддержка протоколов STP/RSTP/MSTP
- Поддержка VLAN
- Поддержка портов доступа и транковых портов
- Поддержка технологии Q-in-Q
- Поддержка протокола GVRP
- Поддержка частных VLAN
- Поддержка автоматических VLAN на основе MAC/protocol/subnet
- Поддержка голосовых VLAN
- Поддержка IGMP Snooping
- Поддержка технологий безопасности DHCP Snooping и Dynamic ARP Inspection
- Поддержка технологий DHCP сервера и DHCP посредника
- Поддержка ACL уровней 2/3/4
- Поддержка технологий QoS с гибкой классификацией трафика
- Поддержка технологий безопасности DoS Protection
- Поддержка протокола отказоустойчивости VRRP
- Поддержка маршрутизации
- Поддержка статической маршрутизации
- Поддержка протоколов динамической маршрутизации RIPv2/OSPFv2
- Переход на ядро LINUX 4.4.16
- Реализация поддержки OSPF NSSA
- Реализация поддержки OPSF point-to-point интерфейсов
- Поддержка возможности обработки трафика сторонними программными пакетами
- Поддержка скорости 100Mbps на интерфейсах
- Поддержка IPv6 over GRE
- Исправление ошибок, приводящих к падению устройства при определенных сценариях
- Косметические исправления в выводах команд
- Исправление приоритетов добавления маршрутов OSPF
- Исправление генерации LSA для NSSA-областей
- Исправление изменения P-бита для OSPF ABR
- Исправление невозможности использования VLAN1 в качестве внешнего при настройке двойного тегирования
- Исправление регистрации VLAN на интерфейсе через GVRP
- Исправление отображения интерфейсов для протокола RIP в show ip protocols
- исправление полного отключения OSPF после выполнения команды clear ip ospf process при наличии интерфейса в режиме точка-точка
- Исправление зависимости работы GVRP от порядка настройки
- Исправление отсутствия команды switchport community
- Переработка опроса сигнала LOS для 10-гигабитных интерфейсов
- Исправление отображения соседей в OSPF для интерфейсов типа точка-точка
- Исправление отображения пользователей в show snmp users
- Исправление вывода мусора в конфигурации при настройке ipv6 dhcp
- Исправление вывода команды show bridge unicast unknown
- Добавление команды service cpu-input-rate
- Исправление команды disable ports leds
- Исправление медленного копирования файлов на внешний USB-носитель
- Исправление показаний датчика температуры
- Добавление команды ip http secure-port
- Исправление копирования конфигурации в startup-config
- Обновление логотипа в веб-интерфейсе
- Исправление ошибок, приводящих к падению устройства при определенных сценариях
- Косметические исправления в выводах команд
- Исправление проблемы получения адреса по DHCP клиентами при несоответствии стандарту
- Исправление проблемы индикации активности канала при отключении/подключении гигабитного трансивера в 10-гигабитном порту
- Исправление некорректной работа параметра registration-forbid для протокола GVRP
- Исправление проблемы повторного создания VLAN через GVRP в конфигурации с несколькими соседями
- Исправление неработоспособности протокола GVRP после смены режима порта
- Исправление проблемы распределения внешних маршрутов OSPF после перезагрузки процесса
- Исправление проблемы получения маршрутов от соседа после перезапуска процесса OSPF
- Исправление падения устройства при удалении VLAN
- Включение поддержки документированной команды switchport protected
- Исправление проблемы повторной выдачи уже арендованных адресов сервером DHCP
- Исправление падения устройства при использовании автоконфигурации номера устройства в стеке
- Исправление управления линками отдельных физических интерфейсов, включённых в агрегированный
- Исправлена регрессии в работе disable ports leds
- Добавление получение поля System Description из DMI
- Исправление работы параметра registration-forbid в протоколе GVRP
- Исправление удаления полученного через GVRP VLAN после вытаскивания кабеля
- Исправление некорректного вывода в журнал при изменении статуса порта GVRP
- Исправление предупреждения о несовместимости указателй в коде
- Исправление проблемы связности между узлами при включенном STP
- Исправление проблемы доступа к веб-интерфейсу через транковые порты
- Исправление проблемы прохождения трафика в гостевых VLAN
- Изменение модели сетевого стека для интерфейса OOB
- Добавление агента KSC
- Включение поддержки ускоренной обработки отказа канала в кольцевом стеке
- Изменение версии протокола VRRP по умолчанию с версии 2 на версию 3
- Включение поддержки voice vlan secure
- Включение поддержки получения фильтров и динамических списков доступа с сервера RADIUS
- Выключение работы по умолчанию режима совместимости OSPF с RFC 1583
- Изменение файловой системы записываемого раздела на ext4
- Добавление в tech-support команд для отображения состояния OSPF
- Увеличение допустимого максимального размера буфера и файла журнала
- Добавление поддержки туннелей Ethernet-over-GRE
- Удаление сетевой доступности сервисов по умолчанию
- Добавление в tech-support команды show stack links details
- Добавление возможности вывода tech-support в файл
- Удаление конфигурации маршрутизации при настройке no ip routing
- Исправление синтаксиса команд настройки BGP
- Исправление положения имени списка доступа в команде ip as-path access-list
- Изменение поведения команд ip route (для 0.0.0.0/0) и ip default-gateway
- Исправление проблем в протоколе OSPF
- исправлена невозможность удаления настроенного параметра authentication text
- исправлена ошибка копирования конфигурации при задании параметра ospf cost
- исправлена неработоспособность summary not-advertise для сети, полностью совпадающей с анонсируемой
- исправлен тип анонсируемого суммарного маршрута
- исправлено падение в при прекращении редистрибьюции маршрута, входящего в суммируемую подсеть
- исправлено падение при исполнении no router ospf summary-address
- исправлено обновление суммарного маршрута при изменении LSA, входящих в этот маршрут
- исправлена проблема отсылки обновлённых суммарных LSA не всем соседям
- исправлена проблема отображения конфигуарции области NSSA при наличии нескольких областей [51]
- исправлено падение при изменении IP-адреса в OSPF
- исправлено отображение настроенной области на интерфейсах loopback
- исправлено задание параметров метрики при генерации маршрута по умолчанию
- Прочие исправления относительно 4.0.3:
- исправлен ненастраиваемый параметр snmp-server community ... type
- исправлена привязка адреса узла по клиентскому идентификатору в DHCP
- исправлена ошибка при изменении имени системы через веб-интерфейс
- удалён неявно заданный пароль на вход в привилегированный режим
- исправлен вывод команды получения температуры трансиверов
- исправлено падение в DHCP
- исправлена проблема поднятия оптических трансиверов в стеке при их использовании после использования кабелей DAC
- добавлена команда для просмотра параметров полученных через DHCP на интерфейсе OOB
- исправлено падение в протоколе RIP при редистрибьюции
- исправлена проблема синхронизации времени, приводившая к набору возможных проблем сборки стека
- исправлена редистрибьюция сети 127.0.0.1/8 в RIP
- Исправление ошибок, приводящих к падению устройства при определенных сценариях
- Косметические исправления в выводах команд
- Исправление записи команд OSPF redistribute в стартовую конфигурацию
- Исправление отображения медных трансиверов на стековых юнитах
- Исправление аутентификации на сервере TACACS+, подключенном через интерфейс OOB
- Исправление конфигурация по умолчанию для голосовых VLAN
- Исправление появление паразитных команд в конфигурации при изменении типа области OSPF с NSSA на Stub
- Исправление отображения настроек proxy arp в конфигурации
- Исправление выпадения команды ospf authentication text из контекста при отображении конфигурации
- Исправление порядка вывода команд в route-map
- Добавление вывода startup-config в show tech-support [14]
- Исправление некорректное заполнение пакета NACK сервером DHCP
- Исправление удаления суммарного маршрута для тупиковой области при смене роли маршрутизатора (ABR на не ABR)
- Исправление отображения температуры 10-гигабитных трансиверов
- Исправление сообщений в журнал при изменении области OSPF
- Исправление падения при исполнении команды router ospf area в контексте virtual-link
- Исправление проблемы перехода Backup Unit в состояние Master при удалении Master Unit из цепочки в стеке
- Исправление проблемы исчезновения областей из базы OSPF при добавлении виртуального соединения
- Добавление времени работы устройств в вывод данных о стеке
- Исправление невозможности добавления адреса с маской /32 на интерфейсах loopback
- Исправление отправки сообщений NACK сервером DHCP
- Исправление подсказки для команды clear ip bgp
- Исправление некорректной работы команды no enable password
- Включение журналирования IP-адреса вместе с идентификатором маршрутизатора в сообщениях о соседях BGP
- Создание соседа BGP по умолчанию в выключенном состоянии
- Исправление проблема переноса настроек интерфейса OOB при обновлении с 4.0.3 на 4.1.0
- Удаление анонса сети 127.0.0.0/8 через BGP при редистрибьюции
- Добавление подавления одинаковых LSA type 5 в OSPF
- Исправление удаления транслированных LSA type 5 в OSPF
- Добавление маскирование паролей в журналируемых командах
- Исправление логики команд switchport/no switchport для удаления неактуальных настроек
- Исправление выпадение из контекста команды ospf network при отображении конфигурации
- Исправление неполного удаления LSA type 5 для одинаковых сетей в OSPF
- Исправление падение при трансляции LSA type 5 в type 7
- Исправление одинаковой административной дистанции для внутреннего и внешнего BGP
- Исправление ошибки копирования конфигурации при указании параметра cost в OSPF
- Исправление проблемы копирования конфигурации при указании параметра ospf hello-interval
- Добавление сообщения пользователю при некорректной последовательности настройки соседа BGP
-
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
-
Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1Б (сертификат транспортной безопасности)
УМК, совместно с установленным на нем ПО, выполняет совокупность операций:
– коммутацию и маршрутизацию пакетов Ethernet между интерфейсами УМК с предоставлением дополнительной сервисной функциональности;
– разграничения доступа с помощью идентифицирующих устройств для пользова-телей;
– контроля программной и аппаратной конфигурации при загрузке;
– восстановление программной конфигурации при аварийных ситуациях и обна-ружении попыток взлома;
– непрерывный контроль портов ввода/вывода модуля управления, а также внут-ренних устройств с целью предотвращения попыток несанкционированного проникновения;
– дистанционный и локальный мониторинг событий безопасности.