Обзор
Недорогой коммутатор Contivity 1000 помогает малому бизнесу отказаться от удаленного доступа по коммутируемым каналам
Майкл Суркан (PC Week Labs)
Перед компаниями открылся еще один удобный путь для перехода от удаленного доступа по коммутируемым каналам к виртуальным частным сетям (Virtual Private Networks, VPN). Проложила его фирма Bay Networks, выпустив новый коммутатор Contivity Extranet Switch 1000, оснащенный всем необходимым для развертывания VPN. Конечно, такой путь нельзя назвать дешевым. Новинка, способная одновременно обслуживать до 50 удаленных подключений, стоит 7 тыс. долл., но за эти деньги пользователь получит наиболее полный комплект функций сервера удаленного доступа к VPN, который нам когда-либо встречался.
Contivity 1000 (его выпуск начался в августе) призван доказать, что корпоративные модемные пулы уже становятся анахронизмом. Этот коммутатор великолепно справляется с обслуживанием однопользовательского доступа, обеспечивая не только широкий спектр функций безопасности, но и высокий уровень детализации управления.
Подобно своим старшим собратьям (включая версию ценой 20 тыс. долл., которая может одновременно обслуживать до 2 тыс. подключений), Contivity 1000 поддерживает полный комплект протоколов туннелирования для VLAN, в том числе РРТР (Point-to-Point Tunneling Protocol - протокол туннелирования между узлами), IPSec (IP Security - протокол IP с шифрованием), L2F (Layer 2 Forwarding - пересылка на втором уровне) и L2TP (Layer 2 Tunneling Protocol - протокол туннелирования второго уровня). Столь широкий выбор протоколов уверенно обеспечивает подключение к защищенным сетям через Интернет.
И все же многим компаниям даже такая относительно недорогая версия Contivity может оказаться не по карману. Если сетевых администраторов удовлетворяет ограниченная безопасность протокола РРТР, то они могут приобрести серверную платформу и повозиться с настройкой Windows NT 4.0 - это обойдется гораздо дешевле.
Существуют другие многоцелевые решения для организации VPN, например VSU 1010 фирмы VPNet Technologies или Ravlin 10 фирмы Red Creek, которые могут оказаться более привлекательными. Они стоят примерно столько же, сколько и Contivity 1000, но в отличие от последнего предлагают службы многопользовательского доступа к VPN (LAN-to-LAN VPN). Однако эти продукты явно уступают коммутатору Bay по возможностям обслуживания однопользовательского доступа к VPN.
Мягкая поступь
Bay Networks включила в комплект Contivity 1000 ПО, позволяющее коммутатору автоматически получать IP-адрес, но можно воспользоваться и последовательным консольным портом VT100, который также успешно справляется со своей задачей.
Подготовка Contivity 1000 к обслуживанию входящих шифрованных сеансов связи через Интернет оказалась предельно простой. Для этого было достаточно подключить один порт Fast Ethernet коммутатора к нашей внутренней сети, а другой - к Интернету и настроить несколько опций Web-браузера.
Как и в случае с другими продуктами для развертывания VPN, самой сложной частью настройки Contivity 1000 оказалось конфигурирование брандмауэра или безопасного маршрутизатора. В ее ходе нужно было оставить открытыми те сетевые порты, через которые осуществляются сессии VPN.
Как уже отмечалось, Contivity 1000 поддерживает протоколы L2F и L2TP, однако пока на рынке нет изобилия клиентского ПО, в котором они бы использовались. Большинство пользователей этого маршрутизатора, скорее всего, будет работать с протоколами РРТР или IPSec. Для проверки возможностей Contivity 1000 в этой области мы установили на своем клиенте Windows 95 свободно распространяемый РРТР-клиент корпорации Microsoft (в Windows 98 он включен в качестве стандартного компонента), а также ПО IPSec, которое Bay Networks специально разработала для своих коммутаторов (оно входит в комплект Contivity).
Contivity 1000 позволяет детально определить права доступа отдельных групп пользователей к VPN
Многообразие функций управления, заложенных в Contivity 1000, в полной мере проявилось, когда мы приступили к настройке опций аутентификации конечных пользователей. Коммутатор позволил нам использовать не только базу данных службы RADIUS (Remote Authentication Dial-In User Service - Служба дистанционной аутентификации пользователей по коммутируемым линиям), но даже схемы на базе жетонов аутентификации, например SecureID фирмы Secure Dynamics Technologies. Разработчики Contivity 1000 предусмотрели в своем коммутаторе широкие возможности настройки опций обеспечения безопасности. Нам не составило труда задать различные сетевые ограничения для учетных записей конкретных пользователей, а также указать, кто имеет доступ к протоколу РРТР, а кто должен использовать стандарт шифрования Triple DES (Triple Data Encryption Standard - стандарт тройного шифрования данных) протокола IPSec.
Конечно, конкурирующие системы также обеспечивают очень высокую защищенность передаваемой информации, однако им не хватает столь широкой поддержки протоколов и уровней безопасности, которые свойственны Contivity 1000.
Новинкой в последней версии операционной системы Contivity стала возможность применения каталогов LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к сетевым каталогам). Следует отметить, что во всей линии коммутаторов Contivity используются одни и те же базовые коды, поэтому модернизация ОС была осуществлена одновременно на моделях 2000 и 4000. К сожалению, на сегодняшний день описываемое новшество обеспечивает поддержку только сервера LDAP корпорации Netscape Communications (он бесплатно включен в прилагаемый к коммутатору компакт-диск CD-ROM).
В ходе тестирования клиент IPSec работал довольно хорошо. С его помощью мы смогли организовать шифрованный сеанс связи через VPN между нашим ПК под управлением Windows 95 и корпоративной ЛВС. Однако возможности стандарта IPSec могут оказаться для многих администраторов невостребованными. Дело в том, что Contivity 1000, подобно большинству других устройств доступа однопользовательских клиентов к VPN, не совместим с какими-либо другими реализациями этого протокола. В будущем Bay Networks надеется наладить взаимодействие с другими разработчиками и решить проблему совместимости IPSec.
Резюме для руководителей
Шлюз для клиентов VPN, предлагаемый фирмой Bay Networks, обеспечивает самый высокий уровень детализации управления и самую широкую поддержку протоколов, с которыми когда-либо приходилось сталкиваться специалистам PC Week Labs. Правда, Contivity 1000 дороже решений на базе ПК. К тому же ему недостает службы организации VPN между отдельными ЛВС, которую можно встретить в многоцелевых средствах создания VPN, выпускаемых, в частности, фирмами VPNet и Red Creek.Методика оценки: www.pcweek.com/reviews/meth.html.
Contivity Extranet Switch 1000.Фирма Bay Networks, Санта-Клара, шт. Калифорния; телефон в Москве: (095) 258-0434; www.baynetworks.ru.
(+) Поддержка всех протоколов для VPN; простота управления через Web-браузер; гибкость настройки; возможность использования каталогов LDAP.
(-) Высокая по сравнению с самостоятельно создаваемыми средствами VPN цена; невозможность обслуживания трафика VPN между ЛВС.