Разработчики продуктов для VPN внедряют усовершенствования в области безопасности, производительности и администрирования сетей
Кристина Салливан
Учитывая озабоченность пользователей вопросами общей производительности и безопасности виртуальных частных сетей, разработчики наделяют VPN-решения средствами управления ресурсом полосы пропускания, аутентификации и маршрутизации, функциями брандмауэра и возможностью централизованного администрирования.
Хотя ряд задач, включая обеспечение гарантированного уровня качества сервиса, остаются пока нерешенными, такие преимущества технологии VPN, как уменьшение расходов на телекоммуникационные услуги и снижение требований к квалификации персонала служб ИТ, слишком соблазнительны, чтобы ими пренебрегать.
По оценке аналитиков из исследовательской фирмы Infonetics Research (Сан-Хосе, шт. Калифорния), переход от территориально-распределенных сетей на базе выделенных линий к VPN для организации связи с удаленными офисами позволит почти вдвое снизить затраты на эти нужды.
Все более широкого признания добивается стандарт IPSec (IP Security - безопасность передачи данных по протоколу IP), что, как ожидается, будет способствовать еще большему оживлению рынка VPN. IPSec обеспечивает повышение безопасности передачи данных через VPN за счет аутентификации хост-узлов и конечных пунктов передачи, контроля целостности данных и их шифрования. В ОС Windows 2000 корпорации Microsoft будет включена поддержка защищенных туннелей на втором уровне с применением протокола IPSec.
“IPSec позволяет использовать в сети устройства различных производителей, причем организация взаимодействия между ними не вызывает затруднений”, - говорит Агнес Импрей, вице-президент по маркетингу фирмы RedCreek Communications (Ньюарк, шт. Калифорния), производящей платы аппаратного шифрования Ravlin IPSec Card.
Поскольку большинство VPN-решений предполагают использование Internet, сомнения в безопасности все же остаются. Однако утверждение стандарта IPSec и добавление функций аутентификации и шифрования уменьшает эти опасения.
“Несмотря на то, что надежность Internet постоянно растет, проблемы в Сети иногда возникают и основанные на ее использовании решения пока далеки от принятого в промышленности уровня безопасности, обеспечиваемого, например, сетями SNA, - полагает глава подразделения консультационной службы корпорации IBM в Роли (шт. Сев. Каролина) Эд Харриссон. - По мере внедрения компаниями технологии VPN расширяется практика заключения соглашений, в которых оговариваются уровень качества сервиса и время отклика”.
Повышение уровней безопасности и производительности
Производители продуктов для VPN совершенствуют их с точки зрения обеспечения безопасности. Фирма Ascend Communications (Аламеда, шт. Калифорния) приступила в декабре к поставкам клиентского ПО Secure Connect Client, объединяющего в себе функции брандмауэра и средства криптозащиты; фирма Nortel Networks (Брамптон, пров. Онтарио, Канада) намеревается встроить ПО брандмауэра Check Point FireWall-1 фирмы Check Point Software Technologies в свои коммутаторы семейства Contivity Extranet Switch в I квартале 1999 г.; а фирма Radguard (Мово, шт. Нью-Джерси) недавно дополнила свой продукт cIProVPN средствами динамического администрирования ключей, позволяющими организовать прозрачный процесс шифрования с возможностью замены ключа “на лету”.
Статистика VPN на подъеме
Другой важнейший вопрос - производительность. Наделение продуктов для VPN все новыми и новыми функциональными возможностями может привести к определенному замедлению их работы.
Фирма Internet Devices (Саннивейл, шт. Калифорния) планирует приступить в I квартале к поставкам новой версии своего маршрутизатора Fort Knox Policy Router, обладающего высокопроизводительными средствами поддержки VPN. “Инкапсуляция приводит к увеличению в пакетах доли служебной информации, в результате чего производительность может снижаться, - говорит директор Internet Devices по маркетингу Митч Стробин. - Тем не менее мы уже продемонстрировали возможность передачи данных со скоростью линии T-3 при использовании криптозащиты по стандарту Triple Data Encryption Standard”. Маршрутизатор Fort Knox уже сейчас располагает средствами управления ресурсом полосы пропускания, позволяющими обеспечить рост производительности.
Некоторые компании намерены добиваться повышения производительности путем дополнения своих программных VPN-решений аппаратными компонентами, например Axent Technologies (Роквилл, шт. Мэриленд), выпускающая ПО Power VPN и Raptor Mobile.
Корпорация Xylan (Калабасас, шт. Калифорния) планирует во второй половине 1999 г. представить свои совместимые с протоколом IPSec решения для служб VPN, использующие аппаратное шифрование.
Упрощение администрирования
С ростом размеров VPN-сетей их администрирование превращается в серьезную проблему.
“Компании, которым пришлось проводить тестирование VPN в сжатые сроки, хорошо понимают связанные с применением этой технологии сложности администрирования, - заявил вице-президент по маркетингу и сбыту фирмы Assured Digital (Литтлтон, шт. Массачусетс) Адриан Бисаз. - Соединив вместе три, четыре, пять узлов, вы неожиданно оказываетесь погребенными под горой дополнительной работы”. Продукт этой компании ADI Management System автоматизирует многие элементы администрирования VPN и обеспечивает выравнивание нагрузки.
Система Shiva Access Manager корпорации Shiva позволяет централизовать управление виртуальными частными сетями. Другие разработчики, включая фирмы Altiga Networks, Axent, Fortress Technologies и Microsoft, также дополняют свои продукты элементами, упрощающими администрирование VPN.
“Мы добавили усовершенствование, которое позволяет учитывать в стратегии администрирования время дня”, - сообщил менеджер Microsoft по продуктам для сетевых коммуникаций Рон Калли. В ОС Windows 2000, которая пока по-прежнему находится на этапе второй бета-версии, заложена возможность задания стратегий, предусматривающих разрешение доступа определенным пользователям в определенное время дня.
В начинающей фирме Altiga Networks (Франклин, шт. Массачусетс) также существует понимание растущей важности администрирования VPN. “Люди обычно бывают рады переложить часть работы по обслуживанию сети на своего поставщика услуг, поэтому мы предоставляем нашим клиентами возможность выбора схемы администрирования, - заявил вице-президент Altiga по маркетингу Грег Маркотт. - Например, можно передать поставщику услуг функции управления устройствами, но оставить за собой аутентификацию пользователей”. Свой продукт VPN Concentrator фирма Altiga планирует выпустить в конце февраля.
Фирма Nortel Networks реализует в своих решениях для VPN средства администрирования с разделением ролей. “Мы используем модель разделения ролей в системе администрирования, - рассказал Майк Файнстайн, вице-президент Nortel по развитию рынка в Биллерике (шт. Массачусетс). - Корпоративному клиенту достаточно назначить каждому пользователю имя и пароль, а остальными вопросами, связанными с администрированием устройств, займется поставщик услуг”.
Фирма Indus River Networks (Актон, шт. Массачусетс) вынашивает планы совершенствования своей системы администрирования VPN на основе стратегий с учетом накопленного опыта. Продукт этой компании River Works System поддерживает прокладку маршрутов соединений на основе критерия минимальной цены.
“Сегодня вы располагаете возможностью выбрать из имеющегося списка точку входа в сеть и автоматически соединиться с ближайшим поставщиком услуг доступа в Internet, - говорит директор Indus River по управлению производством Брендон Хоув. - В новую версию мы внесем усовершенствование: если вы, воспользовавшись какой-то точкой входа, остались недовольны качеством связи, в следующий раз она окажется в конце списка”.
Распространение и администрирование клиентского ПО для VPN также совершенствуются и упрощаются.
Например, клиентское ПО для работы с маршрутизатором Fort Knox Policy Router фирмы Internet Devices хранится на самом этом устройстве и автоматически копируется на компьютер каждого из удаленных пользователей. “Регистрируясь в Fort Knox, вы фактически осуществляете конфигурирование ПО”, - пояснил Стробин.
Недавно выпущенная последняя версия клиентского ПО фирмы TimeStep поддерживает протокол IPSec и существенно снижает потребность в ручном вводе данных. “Единственное, что пользователю все еще необходимо задавать самостоятельно, - это конечная точка организуемого защищенного туннеля, - утверждает вице-президент TimeStep по маркетингу и развитию бизнеса Тони Розати. - Достаточно установить соединение с поставщиком услуг доступа в Internet по телефонной линии, как система автоматически создаст туннель и укажет клиентскому ПО, какие серверы DNS [Domain Name System - доменная система именования] следует использовать. В целом новая версия отличается большей устойчивостью и прозрачностью”. Ранее набирать IP-адреса пользователям приходилось вручную.
Некоторые производители делают все, что в их силах, для обеспечения гарантированного уровня качества сервиса, хотя в основном это зависит от поставщиков услуг. Корпорация Newbridge Networks, например, применяет для решения проблемы обеспечения уровня качества сервиса стратегию организации межсетевого взаимодействия Versatile IP (См. PC Week/RE, № 48/98, с. 16). Ее решение предусматривает сочетание сквозного администрирования качества сервиса и инфраструктуры коммутирующей маршрутизации в сети ATM на стороне поставщика услуг и на участке между пользователем и точкой предоставления сервиса.
