©2008 NIL 1

©2008 NIL 2

24 лет успеха и прогресса ... с 1989

• Компания по обучению и консалтингу по технологии Cisco

• Восточная Европа, Россия, США, Южная Африка, Ближний Восток

• Специализирующаяся по технологиям SP & центров обработки данных

©2008 NIL 3

В компании успешных

Крупные компании / Поставщики услуг / Малое и среднее предпринимательство

Беспроводной шлюз безопасности

в сетях 4G

Wireless Security Gateway (WSG)

Давид Ерор

©2008 NIL 5

Виды угрозы безопасности:

• Физический доступ к площадке

• Доступность услуг / Конфиденциальность

• Инфраструктура / отказ в обслуживании (DoS)

• Доступность услуг

• Конфиденциальность пользователей / информация

• Фишинг, слежка, человек-в-середине, взлом шифрования

Угрозы безопасности сети

©2008 NIL 6

• LTE – All-IP архитектура

• Легкий доступ (например, имитировать eNodeB)

• Отсутствие шифрования между двумя концами

• Отсутствие аутентификации между сетью и eNodeB

• Влияние третьей стороны (инциденты, изменения инфраструктуры...)

• Целостность и шифрование на радио и NAS

• Отсутствие целостности / шифрования на S1, X2

• IPsec может быть использован для обеспечения транспортной целостности

LTE безопасность системы

©2008 NIL 7

НезащищеннoeRRC Целостность и шифрование

• Типичное требование по безопасности – чтобы все управление (S1-MME, X2-C) и плоскость управлениябыли аутентифицированы и зашифрованы

• Аутентификация и шифрование пользовательской плоскости (S1-U, X2-U) остаются в качестве дополнительного

Требование в мобильной сети

©2008 NIL 8

LTE X2 интерфейс и требования

• В R8 / 9 - Сегодня X2 в основном используется для:

• Управления мобильностью (роуминг)

• Управления нагрузкой

• Отчета об ошибках

• LTE Advanced (R10/11) вводит CoMPКоординированное многоточие

• Централизованная совместная передача - один UE обслуживается несколькими узлами еNодеB

• UE сообщает узлам eNodeB информацию о состоянии канала – обмен сообщениями через X2

• X2 требует прямую связь с низкой задержкой

©2008 NIL 9

LTE X2 - Сегодня: Все интерфейсы,

соединенные на WSG ядра• eNodeB установят один или несколько IPSec туннелей

для X2, S1-C/-U и OAM к централизованному WSG

• Первоначальное развертывание в большинстве случаев из-за ограниченного трафика LTE

• Централизованное PKI обеспечивает аутентификацию на основе сертификата

WSG

ядрa

Шлюз агрегации

Шлюз агрегации

Шлюз предагрегации

Шлюз предагрегации

Сотовый шлюз

Граничный

маршрутизатор

Граничный

маршрутизатор

©2008 NIL 10

LTE X2 - Завтра: Все интерфейсы,

соединенные на распределенных WSG

• eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к распределенному WSG

• Оптимальные масштабируемость, низкая задержка и доступность услуг

Граничный

маршрутизатор

Граничный

маршрутизатор

Шлюз предагрегации

Шлюз предагрегации

Сотовый шлюз

Агрег.

WSG

Шлюз агрегации

Шлюз агрегации

©2008 NIL 11

WSG в качестве опции ?Cisco WSG обеспечивает безопасное туннелирование через незащищенную сеть агрегации для:

• 3G и 4G трафика

• Развертывания фемтосот

• Поддержка Internet Key Exchange 2 (IKE 2) –

требование 3GPP для фемтосот и UMA / GAN

• Лучшее покрытие внутри дома

• Развертывания пикосот

• Unlicensed Mobile Access (UMA) трафика WiFi

Интернет-провайдерИнтернет-провайдер

LTE Ядро

Kорпоративный

пользователь

©2008 NIL 12

Сетевая архитектура

• WSG решение основано на универсальных Cisco 7600

• Архитектура построена на основе :

• SAMI платы с WSG прошивкой

• Входные данные зашифрованы

• Выходные данные в незашифрованном виде

• Балансировка нагрузки на основе Policy-Based Routing (PBR) решения

©2008 NIL 13

Соединие единого IPSec туннеля

• Идентификация трафика (S1, X2, OAM) на основе IP адреса назначения

• Один IPSec SA Фаза 2 (для разных IP адресов источников - S1, X2, OAM)

©2008 NIL 14

• Идентификация трафика на основе IP адреса назначения (D1, D2, D3) или на основе IPSec SA Фаза 2

• Несколько IPSec туннелей / SA Фаза 2 (eNodeB использует различные IP адреса источников - S1, X2, OAM)

Соединие нескольких IPSec туннелей

©2008 NIL 15

Мобильное ядро

Активная плата

Избыточная плата

Режим работы Активный-Запасной

• Одна плата из избыточной пары будет в активном режиме, другая будет в резерве – обе платы имеют туннели

• Только одна WSG плата в паре обрабатывает туннельный трафик – другой туннель пустой

©2008 NIL 16

Мобильное ядро Мобильное ядро

• Обе платы из избыточной пары будут в активном режиме и в состоянии обработать туннельный трафик

• Удваиватся пропускная способность избыточной пары

• Туннели на каждой WSG плате в паре синхронизируются с другой платой в паре, создавая пустой избыточный туннель

Режим работы Активный-Активный

©2008 NIL 17

WSG избыточность

Агрегация Мобильное ядро

Активная плата

Избыточная плата

Зашифрованный трафик

Незашифрованный трафик

• Первичное шасси - активный HSRP, активные WSG

• Вторичное шасси - запасной HSRP, запасные WSG

• Есть готовность переключатьсяна запасной туннель на запасную WSG

©2008 NIL 18

Обеспечение высокой доступности

• Полная избыточность обеспечивается с помощью двух шасси в следующих случаях :

1. Отказ платы управления

2. Отказ линейной платы или оптоволкна

3. Отказ обоих источников питания - выход из строя шасси

4. Отказ платы SAMI

4

3 3

2

1 ЯДРО

ДОСТУП

ЯДРО

ДОСТУП

©2008 NIL 19

Переключение, отказоустойчивость (1)

• Во время переключения - ICMP потеряет 2 пакета

• Автоматическое восстановление

• Несколько сценариев отказа и переключения:

• Плата управления (RSP, SUP) запасная плата управления на том же шасси

• Линейная плата HSRP на вторичное шасси

• Канал связи L2 между 2 шасси

• OSPF (глобальный и VRF) между 2 шасси - использован вместо статических маршрутов, которые перераспределяются

©2008 NIL 20

• Выход из строя шасси HSRP с задержкой после перезагрузки на вторичное шасси

• SUP/RSP восстанавливается раньше, чем SAMI – IPSecтуннели ждут задержку HSRP

• OSPF (глобальный и VRF) между 2 шасси

• Плата SAMI запасная плата SAMI нa другом шасси

• Специальная VLAN только за высокую доступность между двумя шасси

• Резервный IPSec туннель существует на запасной плате и готов к обслуживанию

Переключение, отказоустойчивость (2)

©2008 NIL 21

Положение WSG в сети• Балансировка нагрузки (PBR) IPSec туннелей:

• Четные адреса источников WSG-A

• Нечетные адреса источников WSG-B

• Внутренняя IP-связь между шасси – OSPF, VRF OSPF

• Внешняя виртуализация шасси – HSRP, WSG alias

IP-MME

IP-SGW

SUP SUP

WSG-B

WSG-A

S1-C Доступ S1-C Ядро

S1-U Ядро

S1-U Доступ

eNodeB

R

R

R

R R

RR

R

IP-A

ВНЕШНИЙ

IP-B

ВНЕШНИЙ

IP-C

IP-C

IP-D

IP-D

IP-XВНУТРЕННИЙ

IP-YВНУТРЕННИЙ

PBR

RRI

Глобальная таблица маршрутизации

IP-X через WSG-A

SUP SUP

WSG-D

WSG-C

IP-C

IP-C

IP-D

IP-D

PBR RRI

VRF Таблица маршрутизации

IPSec содержащий IP-X через WSG-A

ЧЕТНИЙ IP АДРЕС ИСТОЧНИКА

НЕЧЕТНИЙ IP АДРЕС ИСТОЧНИКАHSRP HSRPO

SP

F

VR

F O

SP

F

ПЛОСКОСТЬ УПРАВЛЕНИЯ

ПЛОСКОСТЬ

ПОЛЬЗОВАТЕЛЯ

©2008 NIL 22

Масштабируемость

• Первый этап – 2xSAMI, 4 Гбит, 200,000 туннелей IPSec

ЯДРО

ДОСТУПДОСТУП

• Второй этап – 4xSAMI, 8 Гбит, 400,000 туннелей IPSec

• Третий этап – 8xSAMI, 16 Гбит, 800,000 туннелей IPSec

ЯДРО

©2008 NIL 23

WSG в будущем

• WSG на ASR9000 / VSM реализован на StarOS

• VSM платы представят 12 10GE интерфейсов, которые видны через IOS-XR CLI и осуществляют передачу трафика от шасси в VSM платы

• LC модулей на ASR9000 будет использоваться для проведения внешнего трафика на шасси

©2008 NIL 24

Преимущества решения Cisco

• Cовместимость с основными производителями eNodeB

• Большая емкость

• Возможность повторного использования существующего оборудования

• Уверенность в существовании продукта и в будущем