Маршрутизатор Ascend с поддержкой VPN

Обзор

Модель Pipeline 130 удобна для применения на удаленных узлах, но ей недостает расширяемости

Панкай Чоудри (PC Week Labs)

Поддержка протокола IP Security и возможности предварительного конфигурирования делают маршрутизатор Pipeline 130 фирмы Ascend Communications претендентом на роль лидера рынка универсальных устройств для удаленных офисов. Однако ему предстоит нелегкая борьба с новым многопротокольным маршрутизатором 1720 фирмы Cisco Systems, правда, более дорогим, но зато и более расширяемым.

Проведенные в Тестовом центре PC Week Labs испытания показали, что сочетание функций маршрутизации с поддержкой VPN (virtual private network - виртуальная частная сеть) обеспечивает модели Pipeline 130, выпущенной в продажу в октябре по цене $1995, преимущество перед любыми устройствами, предназначенными только для организации VPN, такими, как Ravlin фирмы RedCreek Communications, Permit Gateway корпорации TimeStep или ExtraNet фирмы Nortel Networks.

В частности, встроенные функции маршрутизации позволяют Pipeline 130 выполнять прямое и обратное преобразования сетевых адресов и строить на этой основе очень гибкие VPN, способные адаптироваться практически к любой инфраструктуре.

Кроме того, Pipeline 130 поддерживает оба распространенных протокола VPN: Point-to-Point Tunneling Protocol (туннельный протокол точка - точка) и Layer 2 Tunneling Protocol (протокол туннелирования на втором уровне). В сочетании с протоколом обеспечения безопасности IP Security они позволяют строить на основе Pipeline 130 сети VPN, пригодные для передачи трафика на основе протоколов, отличных от IP. Эта возможность важна для компаний, эксплуатирующих многопротокольные сети и заинтересованных в экономии, которую может принести внедрение VPN.

Кроме того, сочетание функций маршрутизации и VPN обеспечивает более избирательное управление качеством сервиса, предоставляемого на базе криптозащищенных туннелей.

ПО конфигурирования маршрутизатора - Security Connection Manager также дает дополнительные преимущества, позволяя администраторам конфигурировать Pipeline 130 в центральном офисе и передавать его в офис филиала уже полностью готовым к работе; большинство других VPN-устройств приходится настраивать на месте.

Однако модель 1720 фирмы Cisco, предлагаемая за $2195, допускает установку дополнительного WAN-порта. Что еще более важно, в эту систему может быть установлена плата аппаратного шифрования, поддерживающая алгоритм криптозащиты Triple DES (Data Encryption Standard - стандарт шифрования данных). Цены на плату шифрования пока не объявлены.

Pipeline 130 поддерживает лишь криптозащиту с длиной ключа 40 бит. Хотя в будущих версиях ПО появится также поддержка Triple DES (за дополнительные $195), процессору Pipeline, работающему с тактовой частотой 25 МГц, просто не хватит вычислительной мощности для продолжительной работы в режиме полной пропускной способности линии связи.

По сравнению с такими недорогими аппаратными средствами криптозащиты, как Ravlin, производительность Pipeline 130 оставляет желать много лучшего. В Ravlin используются специализированные микросхемы ASIC, способные шифровать трафик по алгоритму Triple DES на скорости линии T-1, тогда как применение программных средств модели 130 ограничивает максимальную пропускную способность устройства.

Тестовая конфигурация состояла из двух Pipeline 130, соединенных через имитатор линии T-1. В отличие от конкурирующих устройств, шифрование трафика (Pipeline 130) никак не сказывается на скорости его передачи.

Конфигурирование Pipeline 130 не представляет сложности. Используя простой интерфейс продукта мы быстро настроили все нужные туннели.

Хотя набор конфигурационных параметров Pipeline может быть экспортирован во внешний файл, маршрутизатор Permit Gateway комплектуется полнофункциональным ПО развертывания в масштабе предприятия, которое позволяет генерировать специализированные утилиты инсталляции приложений как для локальных, так и для удаленных шлюзов.

В то же время ПО Security Connection Manager более просто в использовании. Мы имели возможность выбирать предварительно сконфигурированные подходящие правила и использовать их для конфигурации туннеля. После ввода IP-адреса туннеля нам оставалось только нажать на кнопку экспорта, чтобы текущая конфигурация была выведена в файл. Импорт конфигурации из такого файла не представляет трудности.

Нас разочаровало, что ПО Ascend не поддерживает некоторые новейшие возможности, такие, как сертификаты стандарта X.509 и протокол LDAP, в отличие, например, от продукта ExtraNet VPN фирмы Nortel.

Резюме для руководителей

ПО для VPN фирмы Ascend совместно с ее маршрутизаторами серии Pipeline образуют интегрированную систему маршрутизации и обеспечения безопасности для офисов небольших предприятий или филиалов. Простое администрирование и возможность предварительного конфигурирования упрощают его развертывание одновременно на нескольких узлах. Однако этот продукт менее расширяем, чем его конкурент 1720 VPN Access Router фирмы Cisco.Методика оценки: www.pcweek.com/reviews/meth.html.

Pipeline 130.

(+) Возможность экспорта конфигурационной информации; в высокой степени интегрированное решение.

(-) Недостаточная расширяемость; отсутствие аппаратного ускорителя шифрования.

Фирма Ascend Communications, Аламеда, шт. Калифорния: (510) 769-6001; www.ascend.com.