Cisco VPN 3000 Concentrator Series

Здравствуйте, уважаемые любители сетевой археологии.

Сегодня я хочу рассказать вам о достаточно любопытном экземпляре, редко встречающемся в наших широтах — это представитель семейства Cisco VPN 3000 Concentrator Series.

В начале апреля 2000 компания Cisco удачно пополнила свое портфолио продуктов для организации удаленного доступа пользователей и организации site-to-site vpn, пожрав со всеми потрохами компанию Altiga Networks. Через некоторое время, потребовавшееся для переклейки шильдиков, мир увидел инновационный продукт Cisco VPN 3000 Concentrator Series (в девичестве Altiga Networks VPN Concentrators).

Altiga Networks VPN Concentrators было крутым решением на рынке и могло дать жару, посрамив даже лидеров рынка.

Как же еще унизить конкурентов, как не наглядными графиками.

Как же еще унизить конкурентов, как не наглядными графиками.

Для справки, так же в статье указывается о возможном катастрофическом влиянии 3DES на производительность IPSec, по сравнению с DES. Что дает нам некоторое представление о вычислительных мощностях того времени.

Напомню, что в это время уже существующее оборудование вполне справлялось с задачами шифрования трафика — был PIX Firewall (детище приобретенной в феврале 1995 Network Translation Inc.) и были встроенные криптографические функции (и дополнительные мезонины с аппаратной поддержкой) в обычном IOS для маршрутизаторов.

Поэтому маркетологами было принято решение позиционировать новую железку как средство организации массового защищенного удаленного доступа пользователей к внутренним сервисам компании. Напомню, это 2000 год, а для удалёнки всё было готово уже тогда :-)

Модельный ряд был достаточно широк, от непонятно кому нужной мелочи, до железок для крупного энтерпрайза.

Модели CVPN3002-K9/CVPN3002–8E-K9 отличались друг от друга наличием 8-портового коммутатора. Шифрование было программным, возможности расширения отсутствовали. Найти данные по производительности не удалось.

CVPN3002-8E-K9

CVPN3002–8E-K9

Мммм, любимые желтые патчкорды…

Комплект поставки CVPN3002-K9

Комплект поставки CVPN3002-K9

Модель CVPN3005-E/FE имела только один блок питания, хотя форм-фактор позволял монтировать устройство в стандартную стойку. Она обошлась бы заказчику в $4,000 (в ценах 2000 года). Максимальная производительность составляла 4 Mbps, с поддержкой 200 одновременных IPSec соединений или 50 одновременно подключенных WebVPN-клиентов (clientless, через ActiveX). Производительность указана довольно лукаво, так как 4 Mbps не совсем те цифры, к которым мы привыкли, а full-duplex T1/E1, то есть посчитано 2 Mbps в одну сторону и 2 Mbps в другую.

CVPN3005-E/FE, судя по заглушке, какое-то расширение всё-таки планировалось.

CVPN3005-E/FE, судя по заглушке, какое-то расширение всё-таки планировалось.

Старшие версии, CVPN3015/3030/3060/3080, имели возможность установки второго блока питания и превращались одно в другое установкой дополнительных модулей расширения SEP. Базовая CVPN3015 могла в те же самые 4 Mbps, с поддержкой 100 одновременных IPSec соединений или 75 одновременно подключенных WebVPN-клиентов, с программным шифрованием, но её можно было аппаратно расширить до моделей Cisco VPN 3030 и 3060. На старте продаж Cisco VPN 3030 по GPL стоила $22,000, а Cisco VPN 3060 шла по $40,000 за штуку.

Передняя панель CVPN3015 и выше. Какая красота!

Передняя панель CVPN3015 и выше. Какая красота!

Хотя, для сравнения, Cisco VPN module для маршрутизаторов 1700 серии обошелся бы в $1,000 и вряд-ли он уступил бы по производительности младшим моделям в site-to-site vpn.

Все модели были построены на базе процессоров Motorola PowerPC. У младших моделей было два порта 10/100BASE-TX Fast Ethernet (public/untrusted, private/trusted), у старших три порта 10/100BASE-TX Fast Ethernet (public/untrusted, private/trusted и DMZ), так как первый вариант IEEE 802.1Q вышел только в 1998 и в сетях еще было много устройств, не поддерживающих VLAN. Старшие модели позволяли увеличить объем ОЗУ до 512Мб. Аппаратная поддержка AES появилась только с анонсом Cisco VPN 3000 Concentrator v4.0 в апреле 2003 года и выходом новых модулей расширения Scalable Encryption Processing (SEP-E).

Возможности

Возможности

Обратите внимание, что у VPN3000 был страшный брат-близнец под названием Cisco VPN 5000 Series Concentrators, но документации по нему чуть более, чем нисколько, поэтому оставлю эту тему последователям. Оригинал производился, так же купленной Cisco в 2000 году, компанией Compatible Systems, но в 2002 году выпуск устройств был прекращен и оно кануло в Лету. Даже пузырей не осталось.

Датой окончания продаж Cisco VPN 3000 Concentrator Series указано 6 августа 2007. Последнее обновление ПО вышло в 2008 году.

Согласно документации, размещать устройство можно было в любом сегменте сети, но для доступа пользователей предполагалось прямое подключение внешнего интерфейса к Интернет.

Where the VPN Concentrator Fits in Your Network

Where the VPN Concentrator Fits in Your Network

Набор предоставляемых Cisco решений для организации VPN стал настолько удачным и всеобъемлющим, что конкурентам пришлось придумать новый тип подключения — SSL VPN, чтобы начать достойно конкурировать с VPN 3000. После появления SSL VPN выбор VPN-концентраторов на рынке несколько увеличился, что позволило поднять голову компаниям Juniper, F5 и SonicWall.

На этом предлагаю закончить теоретическую часть и приступить к практической.

Внутренний мир строг и лаконичен. Самая красивая микросхема — это PCI Bus Controller (TSI106G-83JB). CPU заклеен бумажкой, отрывать которую я не стал. Если кто сможет подсказать, что там, с удовольствием дополню.

af98381fbf1b7a46b5bc4f0266709618.jpg

Внешний вид SEP-E — цельнометаллический, полностью посвященный борьбе за электромагнитную совместимость. Ну или для того, чтобы не объяснять заказчикам, как одна микросхема может стоить $9,000. Напомню, для превращения CVPN3015 в CVPN3030 нужно две SEP-E.

Вид в сборе

Вид в сборе

Этой микросхемой является BCM5823, сопроцессор с шиной PCI и частотой 133-MHz, заявленной производительностью до 500 Mbps и аппаратной поддержкой DES-CBC, 3DES-CBC, AES-CBC, AES-CTR (с длинной ключа до 256 бит), HMAC-SHA-1, HMAC-MD5, с аппаратной поддержкой RSA ключей длинной 1024/2048 и обработкой публичных ключей: до 400 Diffie-Hellman транзакций в секунду, 550 1024-bit RSA транзакций в секунду, поддержкой режимов IKE и SSL/TLS. Но, как упоминалось ранее, сетевые интерфейсы у нас 10/100BASE-TX, так что или производительность SEP-E далека от заявленной, или узким горлышком было что-то другое.

Без одежды, так сказать

Без одежды, так сказать

Начальная настройка устройства осуществляется с консоли, так же, с неё восстанавливается забытый пароль администратора. Параметры подключения обычные, 9600–8-N-1, но отдельным едким словом хочу упомянуть того безвестного инженера, который в качестве технического решения выбрал сделать на борту «male» разъем COM-порта и кабель типа «straight-through». С одной стороны всё логично, а с другой, сейчас такой кабель хрен найдешь, а стандартного переходника DB9→RJ45 у меня под рукой не оказалось.

Стремление к исторической достоверности

Стремление к исторической достоверности

После загрузки видим такое:

Ваня, я Ваша навеки!

Ваня, я Ваша навеки!

Тут всё просто, admin: admin, настроить внутренний интерфейс, подключить к локальной сети, в дальнейшем использовать браузер.

Вот она, техноэстетика!

Вот она, техноэстетика!

Как видно на скриншотах, интерфейс максимально дружественный, есть короткие подсказки.

345c489b19a47c61e352b8c602aaebbf.PNG

Не уверен, что имеет смысл прикладывать скриншоты всех этапов настройки, скажу лишь, что устройство соответствовало лучшим практикам того времени. Но, еще раз подчеркну, хотя функционал site-to-site vpn присутствовал, имелась поддержка протоколов динамической маршрутизации и функции пакетной фильтрации, PIX Firewall с этой ролью справлялся намного лучше. А вот в предоставлении защищенного удаленного доступа с помощью Cisco VPN client — тут этим железкам не было равных. Можно было даже не иметь внешнего RADIUS, внутреннего функционала вполне хватало, огромное количество настроек, удобный (по тем временам) мониторинг, возможность управления сессиями пользователей — в общем, неописуемая красота.

Мониторинговое и статистиковое

Мониторинговое и статистиковое

Да, только ленивый не пинал Cisco VPN client за его уязвимости, но это было одно из первых массовых средств обеспечения защищенного удаленного доступа к корпоративной среде под все распространённые операционные системы. А вспомните утилиту SetMTU из комплекта дистрибутива! Да это вообще было первое средство решения сетевых проблем, когда что-то открывается, а что-то не открывается. Telnet проходит, а сайты не работают — уменьшай MTU до 576 и смотри: если заработало, значит где-то на сети проблемы с дефрагментацией.

Эх, где вы, юные годы!

Эх, где вы, юные годы!

Не нравится Cisco VPN client, тогда используйте встроенный в Windows, оно и так может тоже.

В общем, устройство получилось всем на радость, всем на загляденье.

Использование же Cisco AnyConnect это уже другая история, которую Cisco VPN 3000 Concentrator хоть и застал, но уже не мог конкурировать с Cisco ASA.

В заключение, в очередной раз хочу посетовать на стремительное исчезновение из интернетов документации на старые устройства. Я испытываю некоторые опасения по этому поводу. Скоро может случиться так, что никто и не вспомнит былых гигантов.

Ну, а на сегодня всё.

Ссылка на мой канал, но я выбрал лето и грядки вместо личного бренда и теперь пишу мало.

© Habrahabr.ru