Инструкция по эксплуатации QTECH SmartEdge 100

двух подходов. Планирование иерархических очередей и функции
формирования коэффициентов могут при ме нять ся динамически
к каждой очереди или группе. Адми нистра торы системы могут лег-
ко применять изменения в режиме реаль ного времени, по каждо-
му абоненту или к системе в целом. К таким изменениям относится
добавление иерархических уровней для управления изменениями
в поведении по требованию без необходимости перезагрузки сис-
темы или влияния на абонентские сеансы.

Управление доступом и применение политик
к абонентскому трафику

Применение политик к входящему трафику и формирование

исходящего может осуществляться для каждого пользователя
отдельно, поэтому входящий и исходящий трафик может быть
приведен в соответствие со строгим профилем, включающим пос-
тоянное значение полосы пропускания и устойчивость к пиковым
нагрузкам. Динамическое ограничение скорости (DRL) может так-
же определяться отдельно для каждого абонента с приращением
по 64 кбит/с и значениями «минимальной» и «максимальной»
скорости вместе с назначением приоритетов планирования. Такой
подход позволяет обеспечить исключительно индивидуальное уп-
равление трафиком каждого абонента. Помимо этого, расширен-
ные возможности списка управления доступом (ACL) поддержи-
ваются в сочетании с реализацией QoS, что позволяет разрешать
или запрещать пакеты на основании тех же условий фильтрации
и использовать динамическое управление доступом в сеть (NAC).

Высокоэффективные услуги групповой передачи

Шлюз SmartEdge 100 является самым передовым в отрасли

устройством, благодаря диапазону возможностей группового ве-
щания и устойчивой передачи потоков данных. Эти возможности
поддерживают крупномасштабное развертывание общих потоков
приложений, таких как передача аудио- и видеоданных высокого
разрешения, и обеспечивают наиболее эффективное использова-
ние полосы пропускания сети. Шлюз SmartEdge 100 выполняет
аппаратное тиражирование групповой передачи для каждого
порта и каждого пользователя, чтобы обеспечить оптимизацию
производительности сети и сохранить полосу пропускания для ис-
пользования системами с большим числом абонентов. Устройство
SmartEdge 100 позволяет организовать до 10 000 групп протокола
управления группами Интернета (IGMP) с поддержкой масштабиру-
емого протокола маршрутизации групповой передачи (PIM) и раз-
реженного режима PIM (PIM-SM). Также поддерживается полный
набор протоколов, обеспечивающих групповую передачу, таких
как IGMP-перехват, протокол обнаружения источника групповой
передачи (MSDP), протокол многопротокольного пограничного
шлюза (MBGP), групповая передача конкретного источника (SSM)
и отображение SSM. Кроме того, поставщики услуг могут ограни-
чивать число участников группы многоадресной передачи по каж-
дому порту, чтобы контролировать масштаб поддержки предостав-
ления емких многопользовательских IP-видеоуслуг, таких как HDTV.
Это позволяет защитить полосу пропускания канала и сохранить
качество потоков групповой передачи, в особенности, в широко-
полосных системах с большим числом пользователей.

Улучшенная безопасность системы

Чтобы обеспечить необходимый уровень безопасности

и соответствия требованиям широкополосных сетей, в шлюзе
SmartEdge 100 объединены наиболее важные возможности за-
щиты самой платформы от попыток атак, а также получения не-
санкционированного доступа к устройствам или злонамеренного

изменения конфигурации. Эти возможности защиты позволяют
обезопасить все аспекты сетей предоставления услуг.

Разделение абонентского трафика

Шлюз SmartEdge 100 обособляет сеанс каждого абонента, так

что потоки пользовательских данных остаются разделенными и
защищенными от других пользователей этой же системы. Это по-
могает обеспечить неприкосновенность личных сведений и пре-
дотвратить кражу услуг или уровней услуг отдельных абонентов.

Предотвращение отказов обслуживания

Шлюз SmartEdge 100 обладает рядом неотъемлемых, вполне

определенных IP-служб, позволяющих платформе предотвращать
и выполнять ответные действия в случае разного рода распре-
деленных атак типа «отказ в обслуживании» (DDoS), влияющих
на предоставление услуг. Кроме того, чтобы предотвратить синх-
ронные атаки на структуру управления и центральный процессор,
шлюз SmartEdge 100 может применять организацию очереди
доступа к структуре управления и ограничивать скорость пакетов,
пересылаемых в процессор управления, сбрасывая злонамерен-
ный трафик и предотвращая потенциальную перегрузку процессо-
ра. В число функций обеспечения безопасности входят следующие:

Безопасный протокол ARP помогает предотвратить кражу

IP-адреса абонента, запрещая абоненту настраивать ком-
пьютер с использованием IP-адреса, принадлежащего дру-
гому абоненту. При включенном безопасном протоколе ARP
шлюз SmartEdge 100 будет лишь отправлять трафик в канал,
в котором IP-адрес настроен в соответствии с локальной
таблицей переадресации IP-трафика.

Проверка исходного адреса (SAV) обеспечивает защиту

от синхронных атак, запрещая прохождение IP-пакетов от
исходных адресов, к которым нет доступа через связанный
с абонентом канал при сравнении IP-адреса в пакетах с диа-
пазоном адресов, определенным для абонента.

Алгоритм создания дайджеста сообщения 5 (MD5) для аутен-

тификации маршрута предотвращает имитацию сведений
о маршруте.

Пересылка пакетов по обратному пути (RPF) помогает пре-

дотвратить имитацию IP-адреса и может использоваться для
быстрого определения или блокировки источника PING-
или другой DDoS-атаки.

Списки управления доступом

Сервисный шлюз SmartEdge обеспечивает надежную под-

держку списков управления доступом (ACL) по каждому порту,
абоненту или сети VLAN. Списки ACL могут применяться в ряде
приложений и помогают обеспечить безопасность доступа, уп-
равление доступом к услугам и маршрутизацию на основе поли-
тик. Кроме того, шлюз SmartEdge 100 полностью поддерживает
счетчики списков ACL для контроля срабатывания фильтра и мо-
жет отслеживать весь трафик с протоколированием ACL.

Безопасность доступа к устройству

Шлюз SmartEdge 100 обеспечивает управление доступом

к администрированию физического устройства и настройке под-
систем с использованием шифрованных паролей и многоуров-
невого контроля доступа, чтобы предотвратить несанкциониро-
ванный доступ пользователей к системе. В устройстве SmartEdge
используется система RADIUS, ставшая промышленным стан-
дартом, и Система управления доступом к контроллеру терми-
нального доступа плюс (TACACS+) для проверки пользователей,

►

►

►

►