Статья только в электронной версии журнала
Обзор
Altiga добилась быстрого шифрования, а конфигурацию концентратора спрятать не потрудилась
Панкай Чоудри (PC Week Labs)
В новом концентраторе для виртуальных частных сетей (ВЧС) С50 устранены два основных препятствия, затрудняющих проникновение этих сетей в большой бизнес. Во-первых, фирме Altiga Networks удалось упростить конфигурирование своего устройства, а во-вторых, решить проблему масштабируемости.
В Тестовом центре PC Week Labs была проведена тщательная экспертиза нового устройства. Установив в своей сети два концентратора С50, мы подвергли проверке не только их инструментарий администрирования, но и скорость шифрования по стандарту Triple DES. Последняя оказалась прямо-таки потрясающей: при использовании пакетов длиной 512 байт, типичной для Интернета, скорость передачи шифрованного трафика составила 27 Мбит/с. Никогда раньше такого показателя нам видеть не доводилось (см. график).
Правда, нашли мы в С50 и пару недостатков. Самый значительный из них связан с управлением через “Всемирную паутину”. Дело в том, что Web-сервер, встроенный в концентратор, не поддерживает протокол безопасности транспортного уровня TSL и, следовательно, все параметры его конфигурации хранятся в доступном для посторонних виде. В устройствах, одной из функций которых является обеспечение безопасности, таких брешей допускать нельзя.
Выпуск С50 начался в марте, стоит этот концентратор 50 тыс. долл. Такая цена выгодно отличает новое устройство от других старших моделей концентраторов для ВЧС, например Cisco 7500 фирмы Cisco Systems (с подключенным дополнительным процессором шифрования) и PathBuilder корпорации 3Com.
На старт, внимание, тест!
Тестирование концентраторов С50 производилось в сети, содержащей восемь клиентов на базе Pentium Pro и генератор пакетов SMB 2000 фирмы Netcom Systems. Применение обоих типов устройств потребовалось из-за двойственной натуры С50: концентратор может использоваться не только в качестве шлюза между ЛВС, но и как система подключения клиентов к ЛВС.
Для тестирования клиентского ПО мы воспользовались инструментальной программой Network Infrastructure Testing фирмы Ziff-Davis Benchmark Operation, способной генерировать пакеты протокола UDP (User Datagram Protocol - протокол дейтаграмм пользователя) заданного размера и с заданной скоростью. Эта программа позволила нам проверить на клиентских компьютерах уровень Winsock и сделать прогноз о том, какую производительность они смогут показать в реальных условиях.
Настройка С50 предельно проста, однако требует детального знания обоих узлов ВЧС и соединяющего их интерфейса. Но как бы то ни было, мы смогли очень быстро определить несколько групп и пользователей. Назначение уровней безопасности производилось с учетом роли каждого пользователя в системе безопасности предприятия.
Несколько сложнее, чем хотелось бы, оказалась настройка правил, которая производится по чересчур знакомой методике “нанизывания”. Если такой подход избран исключительно для поиска неполадок, производителям придется предусмотреть в своих продуктах для ВЧС какие-либо способы имитации правил, позволяющие администратору выяснять причины перебоев в трафике.
В целом же Altiga сумела оснастить С50 практически всем - не хватает разве что встроенной посудомойки. Концентратор поддерживает не только IPSec, но и множество других протоколов, включая PPTP (Point-to-Point Tunneling Protocol - протокол туннелирования между узлами) и L2TP (Layer 2 Tunneling Protocol - сетевой протокол туннелирования канального уровня). Кроме того, он способен обрабатывать различные протоколы аутентификации, в том числе и LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к сетевым каталогам), который раньше поддерживался только в коммутаторах Contivity фирмы Nortel Networks. Однако последние предназначены для работы с интерфейсами ГВС, тогда как С50 - только для обслуживания подключений Fast Ethernet.
В комплект своего концентратора Altiga включила бесплатное ПО клиента IPSec для машин на базе Win32. С его помощью мы смогли легко и быстро настроить все компьютеры своей экспериментальной сети.
И на Солнце есть пятна
Как ни удобно клиентское ПО Altiga, но и в нем ощущаются недостатки, особенно при развертывании системы. Чтобы автоматизировать настройку клиентов, администратор должен создать текстовый файл инициализации. С этой точки зрения нам гораздо больше нравится подход, воплощенный, скажем, в продуктах фирмы VPNet Technologies. Инструментарий развертывания в масштабе предприятия, которым они оснащаются, обеспечивает более детальный контроль за использованием всех возможностей системы. Не хватает концентраторам С50 и поддержки сертификатов Х.509, столь необходимой в устройствах такого класса и масштаба.
Чтобы добиться максимальной скорости шифрования (напомним, что в С50 она достигает почти 30 Мбайт/с), нам пришлось воспользоваться специальными платами, которые Altiga назвала SEP (Scalable Encryption Processor - масштабируемый процессор шифрования). Это не что иное, как ускоритель на базе процессора цифровой обработки сигнала: он принимает на себя все функции шифрования и управления ключами, высвобождая тем самым ресурсы ЦПУ.
Правда, даже при установке этих плат зависимость производительности системы от нагрузки остается нелинейной. По всей вероятности, причина такого явления заключается в недостатках архитектуры концентратора.
Каждую плату SEP можно выделить для обслуживания конкретной группы, благодаря чему пользователям ВЧС становятся доступны некоторые функции гарантированного качества. Однако возможности управления интегрированной полосой пропускания, заложенные в С50, не столь широки, как в других комплектах организации ВЧС. В этом отношении концентратор Altiga уступает и Fort Knox Policy router фирмы Internet Devices, и VPN-1 фирмы Check Point Software Technologies, и комплекту управления пропускной способностью Floodgate.
Резюме для руководителей
С50
Концентратор ВЧС С50, выпущенный фирмой Altiga, напоминает швейцарский армейский нож с его обилием инструментов. Благодаря множеству функций новое устройство открывает надежный путь к обеспечению безопасности трафика даже в Интернете. С50 поддерживает практически все существующие протоколы безопасности и аутентификации, благодаря чему должен легко вписаться в сетевую инфраструктуру любой компании.
( + ) Высокая скорость шифрования по стандарту Triple DES; простота конфигурирования; поддержка протоколов IPSec, PPTP, L2TP и LDAP.
( - ) Слабо защищенный процесс конфигурирования; отсутствие поддержки сертификатов Х.509.
Фирма Altiga Networks, Франклин, шт. Массачусетс, (508) 541-7300, www.altiga.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
