ИНФРАСТРУКТУРА
Отход от традиционных типов сетей может снизить затраты и предоставить больше гибкости
Традиционно корпоративные VPN-решения реализуются на основе выделенных линий либо глобальных сетей frame relay или ATM, однако многие организации переводят свою VPN-инфраструктуру полностью или частично на IP-сети, защищая их протоколами IP Security, MPLS и SSL.
Хотя IPSec и Multiprotocol Label Switching более пригодны для соединений узел - узел, а Secure Sockets Layer лучше подходит для удаленного доступа, главными стимулами для замены унаследованных подключений через территориальные или глобальные сети на любые виды VPN на базе IP являются снижение эксплуатационных затрат и повышение гибкости использования сети.
Существует немало способов построения экономически целесообразной и надежной IP-инфраструктуры VPN. ИТ-менеджерам следует детально вникнуть в потребности своей организации и вместе с поставщиками оборудования и сервис-провайдерами найти наиболее подходящий вариант VPN. Его можно целиком выстроить при помощи специально разработанных VPN-маршрутизаторов и шлюзов таких производителей, как корпорации Nokia (с ПО фирмы Check Point Software Technologies), Cisco Systems и NetScreen. Подобные IP VPN “самостоятельной сборки” состоят из недорогой, легко управляемой аппаратуры с интегрированными функциями брандмауэров, криптозащиты, туннелирования и маршрутизации.
Эти поставщики предлагают линейку шлюзов с матрицей производительности, удовлетворяющей уровню требований разных узлов, так что администраторы, например, могут установить в главном офисе многопортовое масштабируемое устройство, а в удаленном филиале - менее мощное однопортовое.
Развертывание самостоятельно конструируемых VPN значительно усложняет управление сетевой инфраструктурой компании. И при оценке общей стоимости владения надо учитывать затраты на переобучение персонала, а возможно, и найм новых специалистов.
Для сокращения административных расходов выбирайте VPN-продукты с централизованным управлением политикой. Это особенно важно для корпораций, устанавливающих связь между многими удаленными офисами и филиалами, разбросанными по разным регионам.
Часть предприятий может предпочесть передать - полностью или частично - обеспечение своих нужд в межузловых VPN в руки MSP (провайдеров служб управления). MSP-решение IP VPN нередко позволяет быстро развернуть глобальную систему и расширить сеть организации за счет магистралей Интернет-провайдеров (ISP).
Компании, использующей VPN для работы критически важных приложений, следует выбрать решение, при котором ISP размещает свое оборудование на территории клиента (такую аппаратуру ISP обозначают аббревиатурой CPE) и предоставляет комплексное обслуживание с гарантиями качества услуг и оформлением соглашения об уровне сервиса. Среди ISP есть немало провайдеров (в частности, корпорации AT&T, Sprint, WorldCom), предлагающих VPN-системы на базе IPSec, которые обычно объединяются с уже действующим оборудованием и позволяют использовать опыт специалистов компании-клиента.
Ряд поставщиков, например корпорации Aventail, Uroam, фирмы Neoteris и SafeWeb, предоставляет VPN-службы и аппаратные устройства, работающие с VPN-приложениями по протоколу SSL. По сравнению с VPN для удаленного доступа на основе IPSec виртуальные частные сети на базе SSL очень привлекают гораздо меньшей сложностью установки и эксплуатации. VPN на основе SSL обходятся без клиентского ПО, необходимого в VPN с IPSec, и удаленный пользователь получает доступ к внутренним ресурсам и приложениям при помощи стандартного Web-браузера.
Протокол SSL очень подходит в случае VPN, создаваемых для дистанционного доступа и объединения сетей, однако для достижения требуемого уровня их производительности ИТ-менеджерам, возможно, придется развернуть устройства ускорения SSL. К тому же с SSL работают не все унаследованные приложения, поэтому администраторам следует подумать о варианте, при котором Web-приложения действуют через SSL VPN, а унаследованные ответственные бизнес-приложения - через традиционные VPN.
Во многих компаниях сегодня популярна идея использования VPN для обеспечения безопасности WLAN (беспроводных ЛВС). Предприятия, уже организовавшие удаленный доступ на основе IPSec, вполне могут использовать существующую систему VPN для защиты WLAN. Однако, поскольку протокол IPSec не рассчитан на задержки, которые бывают в мобильных сетях, ИТ-специалистам, вероятно, придется повозиться с проблемами сегментного роуминга и пропускной способности.
Фирмы ReefEdge, Vernier Networks и ряд других производителей предлагают аппаратуру для усиления безопасности WLAN при помощи технологии VPN (см. обзор eWeek Labs от 3 февраля 2003 г. по Connect System 3.1 фирмы ReefEdge на странице ссылок www.eweek.com/links), но обустройство такого рода системы потребует дополнительных расходов и усложнит управление.
Рекомендации по созданию VPN
- VPN на основе IPSec и MPLS более пригодны для соединений узел - узел, а VPN на базе протокола SSL - для удаленного доступа.
- Стандарт IPSec обеспечивает возможность взаимодействия между устройствами IP VPN, однако построение VPN-среды из продуктов разных производителей создаст больше трудностей управления, чем однородная среда.
- ИТ-менеджерам надо быть готовыми к развертыванию инфраструктуры открытых ключей для взаимодействия с бизнес-партнерами и поставщиками через узлы экстрасетей.
- Компаниям, выбирающим полный или частичный аутсорсинг инфраструктуры своей VPN и собирающимся ее использовать для ответственных приложений, следует предпочесть решение с размещением аппаратуры провайдера на своих площадях.
- Рост масштабов виртуальной сети может потребовать перехода на VPN-сеть, обслуживаемую провайдером.
- VPN-технологии могут помочь в обеспечении безопасности WLAN, однако это лишь временное решение до принятия IEEE более безопасного стандарта Wi-Fi, например 802.11i.
