Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:
- Варианты доступных карт;
- В какие модели шлюзов они могут быть установлены;
- Внешний вид и установка;
- Какую нагрузку могут на себя брать;
- На сколько они “ускоряют” SSL-инспекцию.
Если вам интересна данная тема — добро пожаловать под кат.
Как уже было сказано, сами карты анонсировали еще в 2018 году. Однако в продаже они появились совсем недавно. Связано это в первую очередь с тем, что работать они могут лишь на шлюзах под управлением ОС начиная с версии Gaia R80.20 (сейчас уже доступна R80.30). Давайте рассмотрим доступные модели.
Варианты доступных карт
На текущий момент вариантов не так много. Есть две позиции:
- Falcon 10G Acceleration Card (партномер — CPAC-FALCON-10G-B). Карта с 4 оптическими портами по 10 GbE. Поддерживаемые трансиверы: CPAC-TR-10SR-B (also supports 1 GbE), CPAC-TR-10LR-B (also supports 1 GbE), CPAC-TR-1T-B.
- Falcon 40G Acceleration Card (партномер — CPAC-FALCON-40G-B). Карта с 2 оптическими портами по 40 GbE. Поддерживаемые трансиверы: CPAC-TR-40SR-QSFP-300m (supports the breakout mode), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.
Поддерживаемые модели шлюзов
К сожалению вставить карты можно далеко не во все устройства. Список поддерживаемых моделей шлюзов Check Point:
- 5900 (до 2 карт)
- 6800 (до 2 карт)
- 15400 (до 3 карт)
- 15600 (до 3 карт)
- 23500 (до 5 карт)
- 23800 (до 5 карт)
Изначально, когда появилась информация об этих картах, был слух, что их можно будет вставлять в модели начиная с 5600. Однако, существующие карты пока не поддерживаются. Возможно в будущем добавят другие модели, которые будут поддерживаться шлюзами младшего семейства.
Внешний вид и установка
Вот так выглядит карта Falcon 10G Acceleration Card:
Карта Falcon 40G Acceleration Card:
Сами карты вставляются в шлюзы в специальные слоты. Собственно, кол-вом свободных слотов и ограничивается кол-во поддерживаемых карт акселерации. Пример для шлюза 23500:
Какую нагрузку могут на себя брать карты акселерации?
Обе карты акселерации могут использоваться для следующих задач:
- Для HTTPS инспекции. В этом случае существенно повышается пропускная способность шлюза;
- В Threat Prevention. Deep Inspection, SandBlast, NGFW, всю эту нагрузку можно переложить со шлюза на карту;
- Для Firewall. Обычная обработка трафика. Увеличивает пропускную способность, уменьшает время отклика, увеличивает кол-во поддерживаемых сессий.
- Для VSX или QoS.
На мой взгляд, в первую очередь интересен пункт про HTTPS инспекцию и возможность переноса нагрузки для “глубокой” проверки файлов (deep inspection).
На сколько данные карты “ускоряют” SSL инспекцию?
Ниже представлена таблица тестов для разных моделей с разным кол-вом карт акселерации. Проценты в данном случае отражают, на сколько увеличивается пропускная способность устройства при включенной SSL-инспекции:
Можно опираться на эти цифры при сайзинге подходящей вам модели.
Заключение
По нашей информации, к сожалению, пока эти карты ввезти в Россию нельзя. Идет процесс оформления нотификации. Однако, уже сейчас можно сказать, что это хорошее дополнение к портфелю “железных” устройств. Более техническую информацию можно найти здесь, либо обратиться непосредственно к нам. Больше материалов о Check Point читайте в нашем блоге.
Автор: cooper051
