Geekly articles weekly

Tarjetas Check Point Falcon Acceleration - Acelerando el procesamiento del tráfico



Hace relativamente poco, publicamos un artículo sobre Check Point Maestro , una nueva plataforma escalable que le permite aumentar casi linealmente la "potencia" de las puertas de enlace de Check Point. Sin embargo, esta no es la única tecnología para aumentar la productividad. En 2018, se anunciaron nuevas tarjetas de aceleración de tráfico con un procesador de red dedicado: Falcon Acceleration Cards . El significado de estos dispositivos es simple: formar parte de la carga de procesamiento del tráfico. En este artículo consideraremos:

  • Opciones para tarjetas disponibles;
  • ¿En qué modelos de pasarela se pueden instalar?
  • Apariencia e instalación;
  • ¿Qué tipo de carga puede asumir?
  • ¿Cuánto “aceleran” la inspección SSL?

Si está interesado en este tema, bienvenido a cat.

Como ya se mencionó, las tarjetas se anunciaron en 2018. Sin embargo, aparecieron a la venta más recientemente. Esto se debe principalmente al hecho de que solo pueden funcionar en puertas de enlace que ejecutan el sistema operativo a partir de la versión de Gaia R80.20 (R80.30 ya está disponible). Veamos los modelos disponibles.

Opciones de tarjeta disponibles


Actualmente no hay muchas opciones. Hay dos posiciones:

  1. Tarjeta de aceleración Falcon 10G (número de pieza - CPAC-FALCON-10G-B). Tarjeta con 4 puertos ópticos de 10 GbE cada uno. Transceptores compatibles: CPAC-TR-10SR-B (también es compatible con 1 GbE), CPAC-TR-10LR-B (también es compatible con 1 GbE), CPAC-TR-1T-B.
  2. Tarjeta de aceleración Falcon 40G (número de pieza - CPAC-FALCON-40G-B). Tarjeta con 2 puertos ópticos de 40 GbE cada uno. Transceptores compatibles: CPAC-TR-40SR-QSFP-300m (admite el modo de ruptura), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.

Modelos de puerta de enlace compatibles


Desafortunadamente, las tarjetas no se pueden insertar en todos los dispositivos. Lista de modelos de pasarela Check Point compatibles:

  • 5900 (hasta 2 tarjetas)
  • 6800 (hasta 2 tarjetas)
  • 15400 (hasta 3 tarjetas)
  • 15600 (hasta 3 tarjetas)
  • 23500 (hasta 5 tarjetas)
  • 23800 (hasta 5 tarjetas)

Inicialmente, cuando apareció información sobre estas tarjetas, se corrió el rumor de que podrían insertarse en modelos a partir de 5600. Sin embargo, las tarjetas existentes aún no son compatibles. Quizás en el futuro se agregarán otros modelos que serán compatibles con las puertas de enlace de la familia más joven.

Apariencia e instalación


Así es como se ve la tarjeta de aceleración Falcon 10G :



Tarjeta de aceleración Falcon 40G :



Las tarjetas se insertan en las puertas de enlace en ranuras especiales. En realidad, el número de tragamonedas gratis está limitado por el número de tarjetas de aceleración admitidas. Ejemplo para la pasarela 23500:



¿Qué tipo de carga pueden asumir las tarjetas de aceleración?


Ambas tarjetas de aceleración se pueden usar para las siguientes tareas:

  1. Para inspección https. En este caso, el rendimiento de la puerta de enlace aumenta significativamente;
  2. En Prevención de Amenazas. Inspección profunda, SandBlast, NGFW, toda esta carga se puede transferir desde la puerta de enlace al mapa;
  3. Para cortafuegos. Procesamiento de tráfico normal. Aumenta el rendimiento, reduce el tiempo de respuesta, aumenta el número de sesiones compatibles.
  4. Para VSX o QoS.

En mi opinión, el punto sobre la inspección HTTPS y la capacidad de transferir la carga para la "inspección profunda" de los archivos es de interés principal.

¿Cuánto “aceleran” estos datos de la tarjeta la inspección SSL?


A continuación se muestra una tabla de pruebas para diferentes modelos con diferentes números de tarjetas de aceleración. El interés en este caso refleja cuánto aumenta el rendimiento del dispositivo cuando se habilita la inspección SSL:



Puede confiar en estos números al dimensionar el modelo que más le convenga.

Conclusión


Según nuestra información, desafortunadamente, estas tarjetas no pueden importarse a Rusia hasta el momento. El proceso de notificación está en curso. Sin embargo, ya podemos decir que esta es una buena adición a la cartera de dispositivos "de hierro". Puede encontrar más información técnica aquí , o contáctenos directamente. Lea más sobre Check Point en nuestro blog .

Source: https://habr.com/ru/post/460349/

More articles:


All Articles