Программное обеспечение

EcoRouterOS

Программный IP/MPLS-маршрутизатор, разработанный для выполнения критически важных функций в сетях операторов связи на уровнях агрегации, дистрибуции, ядра, границы сети (ASBR).

Преимущества и особенности

Программное обеспечение EcoRouterOS позволяет реализовать многоцелевые современные устройства с поддержкой широкого спектра технологий — как традиционной IP-маршрутизации, так и MultiProtocol label Switching (MPLS). Оборудование может применяться на всех уровнях сетей операторов связи и корпоративных сетей.

Минимальные требования к аппаратным платформам:

  • Процессор – Intel Atom C2758
  • Оперативная память – 32 Гб
  • Жесткий диск – 16 Гб
  • Блок питания – AC Power Supply
  • Сетевые карты на чипах Intel i210

Производительность EcoRouterOS обеспечивает полосу пропускания трафика до 360 Гб/с на одно устройство и позволяет работать с большими таблицами маршрутизации (до 5 миллионов маршрутов в FIB).

EcoRouterOS поддерживает следующую функциональность:

  • IPv4 Unicast маршрутизация (Static, RIP, OSPFv2, IS-IS, MP-BGP);
  • IPv4 Multicast маршрутизация (IGMPv1/v2/v3, PIM-DM/SM/SSM);
  • протоколы сигнализации MPLS меток LDP/Targeted LDP и коммутация MPLS трафика;
  • организация MPLS L3 VPN;
  • технология MPLS Pseudowire с поддержкой механизма Pseudowire Redundancy;
  • поддержка VPLS (LDP-based и BGP-based);
  • гибкие механизмы манипуляции VLAN-тегами на Ethernet-интерфейсах (push/pop/swap);
  • работа в режиме DHCP Relay, DHCP Proxy;
  • туннелирование трафика IP с использованием инкапсуляции GRE и IP-in-IP;
  • иерархическая система обеспечения качества обслуживания H-QoS;
  • функции безопасности (L3/L4 ACL, CoPP и др.);
  • управление по протоколам SSH и Telnet с возможностью аутентификации с использованием серверов TACACS+ и RADIUS;
  • поддержка SNMP v1/2/3, SNMP Trap и Syslog для интеграции с системами мониторинга и сбора статистики;
  • технология контейнерной виртуализации.

Большой набор функций, возможность комбинации сервисов 2 и 3 уровня, поддержка технологий MPLS — все это позволяет операторам и корпорациям упростить архитектуру своей сети агрегации, а также повысить качество и надежность предоставления сервисов. При этом обеспечивается значительное снижение как капитальных, так и операционных затрат на обслуживание и эксплуатацию сети оператора.

Уникальная для маршрутизаторов встроенная технология виртуализации дает возможность запуска на том же устройстве произвольных сторонних приложений и развертывания дополнительных сетевых сервисов: AntiVirus/AntiSpam, IDS/IPS, построение защищенных туннелей с использованием шифрования IPSEC или ГОСТ 28147–89. Такие функции повышают безопасность узлов, делая услуги операторов связи более привлекательными для абонентов. Владельцы корпоративных сетей получают возможность сэкономить путем использования минимального набора оборудования при создании узлов связи в филиалах.

Открыть страницу с документацией и сертификатами

EcoNAT

Ориентированный на операторов программное обеспечение (ПО), способное решить вопрос нехватки адресов IPv4 при сохранении существующей IPv4 инфраструктуры и в перспективе плавной миграции на IPv6.

Основная функциональность

ПО EcoNAT реализует широкий набор функций, включающий функциональность NAT, Bras и URL-Filterring.

Основные функции ПО EcoNAT:

  • трансляция сетевых адресов (CGNAT, BNAT, статическая трансляция 1:1);
  • особенности реализации CGNAT, такие как: Full Cone NAT, Port Block Allocation, IP pairing, Hairpinning, Aging, Application Layer Gateway;
  • особенности реализации CGNAT, такие как: Full Cone NAT, Port Block Allocation, IP pairing, Hairpinning, Aging, Application Layer Gateway;
  • ограничения скорости доступа абонентов к IP-сервисам и услугам передачи данных в обоих направлениях (BRAS);
  • отключение абонентов с переадресацией абонентов на портал или страницу напоминания о платеже;
  • демонстрацию абонентам информационных сообщений путем переадресации;
  • особенности реализации BRAS, такие как:
    • Open Garden,
    • поддержка классов трафика,
    • ограничение скорости в обоих направлениях,
    • Burst,
    • предзагрузка правил на основе проприетарного протокола,
    • пропуск протоколов маршрутизации, управление по стандарту RADIUS,
    • назначение ACL отдельным абонентам,
    • отдельная консоль;
  • интеграцию функционала BRAS с биллинговой системой,
  • регистрацию информации об объеме переданных данных для каждого IP в каждом из направлений;
  • фильтрация доступа к информационным ресурсам по HTTP и HTTPS (поддержка черных и белых списков, фильтрации Zapret-info);
  • поддержка множества списков фильтрации (ACL);
  • автоматическая загрузка списка фильтрации с сайта Роскомнадзора.

Преимущества и особенности

Скорость создания новых соединений — 8 млн/сек с блочным логированием или 2,5 млн/сек с логированием каждой сессии. Общее число обрабатываемых соединений достигает 150 миллионов. Это лучший результат в отрасли.

Smart Wire™

ПО EcoNAT прозрачно для всех видов служебного трафика, в том числе, протоколов маршрутизации BGP, OSPF, ISIS, STP, LACP, BFD.

Поддержка множества типов трансляции

ПО EcoNAT поддерживает одновременную работу различных типов преобразования адресов. При этом возможна настройка до 32 одновременно работающих NAT-пулов, которые могут отличаться типом трансляции, диапазонами публичных IPv4 адресов, лимитами числа соединений для абонентов и диапазонами выделяемых при трансляции портов UDP и TCP.

Критерием для выбора пула являются Access Control Lists (ACL), связанные с каждым пулом. ACL анализируются в порядке приоритетов пулов и могут включать в себя как Source адрес, так и Destination адрес IP-пакета. Данное решение может использоваться для участия в пиринговых сетях с пересекающимися диапазонами IP-адресов.

Механизм hairpinning позволяет абонентам, подключенным через EcoNAT, взаимодействовать с публичными адресами друг друга, не посылая пакеты за пределы устройства.

Application Layer Gateway (ALG)

Современные протоколы разрабатываются с учётом работы через системы NAT, однако, некоторые широко используемые протоколы (такие, как FTP, PPTP, RTSP, SIP) требуют специальной обработки при преобразовании адресов. Для поддержки работы абонентов, использующих эти протоколы, в EcoNAT реализована функциональность Application Layer Gateway (ALG).

Aging

При длительной неактивности (период зависит он настроек пула и состояния соединения) неиспользуемые соединения закрываются, высвобождая порты. Таким образом, возможна дополнительная экономия адресного пространства за счёт не очень активных абонентов.

User quotas

ЕсоNAT позволяет для каждого пула индивидуально устанавливать ограничения на количество портов и соединений для абонента. Вместе с горячей реконфигурацией и поддержкой множества пулов эта возможность позволяет оператору гибко распределять ресурсы IPv4 между корпоративными и частными абонентами.

Логирование трансляций

ПО EcoNAT позволяет экспортировать информацию обо всех трансляциях и соединениях абонентов (Local_IP, Local_Port, Global_IP, Global_Port, Destination_IP, Destination_Port, Protocol), используя стандартные интерфейсы Syslog и Netflow v9. При применении механизма Port Block Allocation (PBA) объем экспортируемой информации снижается в десятки раз.

Управление

EcoNAT оснащен удобным интерфейсом командной строки (CLI), позволяющим производить изменения настроек устройства, работать со структурированным файлом конфигурации и просматривать параметры работы системы.

Для доступа к устройству используется выделенный управляющий сетевой интерфейс (доступ к устройству через SSH) или консольный порт (RS-232 °C). Идентификация пользователей устройства осуществляется локально или с использованием TACACS+.

Информация о состоянии оборудования доступна по протоколу SNMP (v1/v2c). Для экспорта системных сообщений и сообщения о событиях используются протоколы Syslog и SNMP Trap.

Открыть страницу с документацией и сертификатами

EcoBNGOS

Broadband Network Gateway на базе программно-аппаратного комплекса EcoRouter.

Основная функциональность

Существует несколько вариантов подключения абонентов к сети: с установлением сессии и без нее. В качестве протокола установления сессий, многими операторами уже используется протокол PPPoE. Другим протоколом, набирающим популярность в ШПД сетях, является протокол DHCP/IPoE. Каждый из протоколов обладает своими преимуществами и недостатками, поэтому при выборе единой сервисной модели должны учитываться эти моменты. PPPoE имеет более развитые механизмы аутентификации по сравнению с DHCP, а DHCP в свою очередь менее чувствителен к сбоям подключения. PPPoE имеет на борту механизмы keepalive для обнаружения проблем на сессии. DHCP в свою очередь позволяет абонентам без дополнительных настроек клиентского оборудования получить доступ к сервисам оператора. Для идентификации пользователей в случае PPPoE используются явные имена, присылаемые пользователями, а в случае с DHCP для этого используется option 82. В обоих случаях для аутентификации задействуется механизм RADIUS.

Модели доставки услуг

Одним из основополагающих моментов является принцип распределения виртуальных LAN сетей на уровне доступа. Наиболее распространенным в построенных на сегодняшний день сетях является подход Shared VLAN (разделяемой виртуальной LAN сети). Для каждого сервиса выделяется свой отдельный VLAN, доступ к которому имеет каждый абонент, подписанный на услугу. Основным преимуществом использования данного метода является простота его реализации. К недостаткам же можно отнести проблемы с контролем взаимодействия абонентов друг с другом, невозможность обеспечения персонализированного сервиса SLA для каждого абонента. Этих требований достаточно, чтобы отказаться от использования данного подхода построения сети доступа.

Следующим подходом для построения является модель с выделением VLAN на абонента (Customer VLAN) и предоставлением всех сервисов абоненту в одном VLAN. В данном подходе можно явно идентифицировать абонента по номеру VLAN. Все сервисы абонента аутентифицируются в одном месте – на BRAS/BNG. Данный подход накладывает дополнительные требования на оборудование агрегации и устройства BRAS/BNG в части использования Q’n’Q технологии.

Последним подходом является выделение отдельного VLAN для каждого отдельного сервиса (S-VLAN). Преимуществом данного подхода является разграничение доступа и обеспечение SLA, однако требует ручной настройки на BRAS/BNG достаточно большого количества подинтерфейсов. Устройство CPE должно поддерживать 802.1q технологию. Устройства доступа должны поддерживать DHCP option 82.

Оптимальной среди моделей предоставления доступа можно выделить модель C-VLAN. При этом каждый сервис в рамках одного VLAN обеспечивается гарантированным уровнем обслуживания за счет иерархичности механизма качества обслуживания.

Несмотря на различия в протоколах PPPoE и DHCP/IPoE, существующая сеть должна обеспечивать возможность подключения абонентов в обоих случаях. Это в свою очередь позволит оператору расширить портфель предоставляемых услуг и обеспечить лояльность к клиенту.

Отказоустойчивость BRAS/BNG

Для обеспечения отказоустойчивости рекомендуется использовать схему с резервированием устройств, блоков питания.

Поддерживаемый функционал

  • Поддержка RADIUS сервера для управления абонентскими сессиями;
  • Автоматическое создание VLAN сабинтерфейсов по первому входящему пакету;
  • IPoE абонентские сессии (IPv4/IPv6*);
  • DHCP абонентские сессии (IPv4/IPv6*);
  • PPPoE абонентские сессии;
  • DHCP Relay (только IPv4);
  • DHCP Relay Proxy (только IPv4);
  • DHCP Local Server (IPv4/IPv6*) (в виртуальном контейнере);
  • Обработка DHCP Option 82;
  • Поддержка квотирования по времени;
  • IP Demux интерфейс;
  • Защита Control Plane от атак пакетами ARP и DHCP (только IPv4);
  • Трассировка IPoE абонентов по MAC и IP адресам;
  • Трассировка индивидуальных DHCP абонентских сессий;
  • Трассировка RADIUS сообщений для заданного абонента;
  • Поддержка локального HTTP Redirect сервера;
  • Поддержка GRE для реализации HTTP Redirect на внешнем сервере;
  • Создание сервисных профилей локально и их назначение абонентским сессиям статически или по протоколу RADIUS;
  • Поддержка механизма RADIUS CoA;
  • QoS на уровне VLAN, H-QoS*.

* Данный функционал появится в ближайшее время

Открыть страницу с документацией и сертификатами