Крупнейшие производители расширяют сферу применения основанного на стратегиях управления на маршрутизаторы и коммутаторы
Дэйв Козюр
Назначение пользователям привилегий доступа к вычислительным ресурсам и сетям давно уже стало обычным делом в унаследованных системах на базе мэйнфреймов и сетевых ОС. Что же касается средств сетевого администрирования на основе стратегий, то им еще только предстоит распространиться на такие устройства, как маршрутизаторы и коммутаторы, и они будут способны динамически реагировать на изменение характеристик сетевого трафика.
В первой половине нынешнего года три крупнейших производителя сетевого оборудования - 3Com, Bay Networks и Cisco Systems - подробно изложили свои подходы к администрированию на основе стратегий.
Несмотря на различия в конкретных деталях, в основу своих архитектур администрирования с использованием стратегий все три производителя положили одни и те же базовые элементы.
Например, для обмена информацией со службами каталогов, а в некоторых случаях и с сетевыми устройствами будет служить протокол LDAP 3 (Lightweight Directory Access Protocol 3 - упрощенный протокол доступа к каталогам, версия 3). Спецификация COPS (Common Open Policy Service - общий протокол открытой службы стратегий), находящаяся пока на стадии проекта в IETF (Internet Engineering Task Force), должна быть принята в качестве стандарта для обмена правилами между серверами стратегий и интеллектуальными сетевыми устройствами.
3Com: реализуя LDAP и COPS
Корпорация 3Com ведет работы по встраиванию средств администрирования на основе стратегий в свое ПО администрирования TranscendWare. Для обмена правилами и другой информацией предполагается применить такие протоколы, как LDAP и COPS, а также использовать стандарт 802.1p, описывающий организацию трафика с приоритетами. Хотя спецификация 802.1p устанавливает восемь уровней приоритета, 3Com планирует обойтись всего четырьмя различными классами обслуживания. Представители компании заявляют, что предложенный 3Com формат обладает достаточным потенциалом для того, чтобы решить проблему перегрузок в сети. Небольшое число классов обслуживания означает, что сетевому администратору придется описывать меньше различных правил назначения приоритетов и управления трафиком.
В IV квартале прошлого года 3Com приступила к внедрению технологии Smart Bandwidth в свои устройства для локальных и глобальных сетей. В их число уже вошли коммутатор CoreBuilder 3500, семейство коммутаторов для глобальных сетей PathBuilder и семейство коммутаторов SuperStack II. Все они поддерживают принятую 3Com схему администрирования на основе стратегий.
Многообразие протоколов администрирования на основе стратегий
Эти продукты способны выступать не только в роли клиентов, работающих по протоколу LDAP, но и поддерживать несколько очередей для трафика с различными уровнями приоритета. Ожидается, что первые LDAP-клиенты в семействе маршрутизаторов NetBuilder II выйдут в конце нынешнего года. ПО коммутаторов уровней 2 и 3, а также платформ удаленного доступа должно быть дополнено аналогичными возможностями в течение будущего года.
Сервер Transcend Policy Server получит единый пользовательский интерфейс для установки приоритетов в рамках сети предприятия и свяжет сервер стратегий со службами каталогов по протоколу LDAP. Для поддержки аппаратуры других производителей сервер стратегий может использовать стандарт 802.1p или поле “тип сервиса” в заголовке пакета протокола IP.
3Com намерена упростить процедуру регистрации пользователей на своем сервере стратегий, используя БД имен DNS (Domain Name System - доменная система именования) или другие источники, например Службу каталогов NDS.
Со временем предполагается реализовать механизм выбора стратегий администрирования в зависимости от иных параметров, скажем, IP-адреса или имени пользователя. Поскольку компания будет продвигаться вперед в создании системы аутентификации пользователей, в частности для организации VPN, администрирование на основе стратегий будет использовать функции аутентификации непосредственно на уровне настольных и портативных машин.
Bay: план создания многоуровневой службы
В августе фирма Bay Networks сформулировала свою программу в области сетевого администрирования на основе стратегий. Ее первый этап сходен с планами Cisco: сосредоточить усилия на поддержке многоуровневых служб в сетях и привязывать их к пользовательским IP-адресам через службы DHCP (Dynamic Host Configuration Protocol - протокол динамического конфигурирования хост-машины) и DNS. Отслеживание работы пользователей осуществляется средствами сервера NetID DHCP/DNS, который Bay приобрела вместе с разработавшей его фирмой Isotro Network Management. Со временем предполагается встроить этот механизм в ПО сетевого администрирования Optivity. Компания планирует и дальше расширять архитектуру NetID с тем, чтобы в течение следующего года включить в нее обработку дополнительной информации, связанной с администрированием на основе стратегий.
Первоначальное конфигурирование системы будет выполняться исходя из статического набора правил, заданного с помощью собственного ПО NetArchitect. В настоящее время такая возможность реализована в выпускаемых компанией устройствах семейства Centillion, а в последующие три-четыре месяца она будет добавлена и в другие сетевые устройства фирмы.
Сервер стратегий будет взаимодействовать с внешними каталогами и устройствами через протокол LDAP; первыми сетевыми устройствами производства Bay с поддержкой LDAP стали коммутаторы Contivity Extranet Switch с функцией организации VPN.
Реализацию своего плана Bay начнет с организации сквозного мониторинга с использованием лицензированных у фирмы VitalSigns Software программных агентов VitalSigns и VitalAgent, которые будут обеспечивать информацию о работе сети.
На I квартал будущего года намечено создание общего для всей системы интерфейса пользователя. В нем можно будет конфигурировать параметры приоритетов доступа к сетевым ресурсам для приложений и пользователей, не выполняя локальных конфигураций каждого конкретного узла сети, хотя задаваемые правила все еще будут оставаться статическими.
Динамическое взаимодействие между сетевыми устройствами на основе протокола RSVP, направленное на гарантированное обеспечение доступности заданной полосы пропускания, может быть реализовано лишь на втором этапе, когда будет готов сервер стратегий администрирования, способный собирать информацию из каталогов с использованием протокола LDAP 3.
Cisco: введение в работу стратегии
Архитектура сетевого администрирования на основе стратегий фирмы Cisco - CiscoAssure Policy Networking - устанавливает соответствие между устройствами, работающими под управлением ПО Cisco IOS (Internet Operating System), и пользовательскими профилями для контроля над QоS, безопасностью и назначением адресов. Реализация плана Cisco начинается с управления индивидуальными устройствами через ПО Cisco IOS и задания статических стратегий администрирования, осуществляемого обычно через интерфейс командной строки. На современном этапе используется расширенная служба регистрации пользователей на основе DHCP/DNS.
Следующий шаг - создание графического интерфейса для администрирования различных устройств на основе стратегий и выпуск сервера стратегий для управления QоS. Эти работы должны быть завершены к концу года (сервер основан на продуктах фирмы Class Data Systems, приобретенной Cisco в нынешнем году).
Этот этап включает также использование LDAP 3 для обмена информацией с другими службами каталогов, например, корпорации Netscape и фирмы Novell и динамическое обновление каталога DNS через протокол DHCP.
Наиболее важная фаза развития будущего поколения средств сетевого администрирования на основе стратегий - обеспечение тесной интеграции с инфраструктурами службы каталогов и создание средств динамического управления в рамках всей сети в целом - скорее всего, будет завершена в будущем году.
А пока Cisco лицензирует у корпорации American Internet ее продукт Network Registrar и использует встроенные в него DHCP и DNS для администрирования IP-адресов и имен. Над DHCP была надстроена новая служба User Registration, позволяющая администраторам связывать стратегии с именами пользователей и их IP-адресами. Позднее архитектура CiscoAssure будет интегрирована с ПО DHCP и DNS из комплекта ОС Windows NT 5.0, что позволит усовершенствовать назначение IP-адресов.
Подобно двум другим рассмотренным в статье производителям, Cisco намеревается поставлять на рынок серверы администрирования на основе стратегий, способные собирать информацию с использованием протокола LDAP 3. Компания ведет совместные работы с корпорацией Microsoft и другими производителями в рамках инициативы Directory-Enabled Networks по внедрению в качестве основной службы каталогов Active Directory..