Обзор

Маршрутизатор Cisco 1720 с функциями ВЧС поддерживает множество стандартов безопасности, но требует опыта работы с IOS

Панкай Чоудри (PC Week Labs)

В новый маршрутизатор для ВЧС фирма Cisco Systems постаралась включить все, что только возможно: свою вездесущую операционную систему IOS 12.0 (ее теперь разве что в кухонной мойке не найдешь), полномасштабную поддержку спецификации IP Security и даже встроенный брандмауэр.

Однако большинству администраторов хорошо известно, что Internetwork Ope- rating System и IPSec отличаются высокой сложностью. Чего же тогда ожидать от их комбинации в одном продукте? Пожалуй, великая теорема Ферма покажется пользователям этого маршрутизатора детской игрушкой.

И все же, несмотря на сложность, это полнофункциональное комбинированное устройство превосходит все другие подобные продукты для филиалов компаний, когда-либо проходившие тестирование в PC Week Labs. Если вы хотите подобрать для сети только лучшие в своем классе устройства, маршрутизатор Cisco 1720 наверняка удовлетворит ваши запросы. Выпуск нового устройства начался в январе, стоит оно 2195 долл.

Сложность работы с моделью 1720 связана в первую очередь с обилием функций. Кроме спецификации IPSec, которую поддерживают маршрутизаторы других фирм - VPNet Technologies и Red Creek Communications, в этом устройстве предусмотрена работа по протоколу L2TP (Layer 2 Tunneling Protocol - сетевой протокол туннелирования на канальном уровне), поддерживается целый ряд протоколов маршрутизации, включая Generic Routing Encapsulation (общее инкапсулирование маршрутизации), а также такие алгоритмы обеспечения качества обслуживания, как организация очередей на основе весовых коэффициентов и предварительная отбраковка пакетов.

Конфигурирование двух подключенных друг к другу маршрутизаторов 1720 мы провели из командной строки. Как и в случае с другими продуктами Cisco, нам пришлось сначала подготовить текстовый файл конфигурации и ввести в него все параметры IPSec, в том числе длину ключа и данные о шифрованных подсетях.

Представители Cisco согласились, что такой способ настройки создает проблемы для администратора, но сообщили, что уже ведутся работы над его совершенствованием. В мае должна появиться обновленная версия ConfigMaker - утилиты конфигурирования из экранных форм, разработанной этой фирмой, в которую также будет включена поддержка IPSec. Появление такого инструментария еще более повысит конкурентоспособность модели 1720 на фоне менее сложных маршрутизаторов, например серии Pipeline фирмы Ascend Communications, где использован визуальный диспетчер настройки Security Configuration Manager.

Реализация стандарта IPSec, выполненная фирмой Cisco, в целом нам понравилась. Особенно приятное впечатление оставляют функции балансировки нагрузки - для их тестирования в сети было установлено несколько удаленных равноправных хостов. При этом доступ по шифрованному пути открывался даже к тем из них, которые не отвечали условиям выполняемого сценария. Правда, чтобы воспользоваться столь богатыми возможностями, администратору придется попотеть. Для конфигурирования криптографических возможностей нужно сначала задать конфигурацию списков доступа, преобразований, равноправных участников сети и дополнительных компонентов безопасности, а затем установить частоту смены ключей. В общей сложности это требует выполнения восьми команд.

Cisco 1720 не слишком быстр

Cisco 1720 предлагает самый широкий выбор интерфейсов ГВС, который мы когда-либо встречали в недорогих маршрутизаторах. Их спектр простирается от простого Basic Rate Interface до асинхронных последовательных портов.

В ходе тестирования модели 1720 применялся интерфейс Т-1, соединяющий ее через перевернутый (crossover) кабель с другим таким же маршрутизатором. При этой конфигурации скорость шифрования изменялась от 512 кбит/с до ничтожно малых 55 кбит/с (см. график). Многофункциональность требует жертв, и ею стала производительность. Ничего удивительного: практически все универсальные устройства по этому параметру уступают специализированным. К примеру, Ravlin фирмы Red Creek работает намного быстрее, выполняя шифрование по стандарту Triple Data Encryption Standard на пределе скорости Т-1.

Как нас заверили представители Cisco, уже принимаются все необходимые меры, чтобы к III кварталу нынешнего года существенно поднять производительность маршрутизатора.

Большие возможности для роста

Решить проблему производительности администраторам поможет высокая масштабируемость модели 1720. В ней предусмотрено специальное гнездо (оно сейчас пустует) для платы с сопроцессором шифрования Encryption Co-Processor. Эта плата, по словам представителей Cisco, значительно ускорит процесс шифрования и обеспечит выполнение данной операции на скоростях Т-1.

Нельзя не отметить и ОЗУ емкостью 48 Мб, которым оснащен новый маршрутизатор. Пока эта емкость может показаться чрезмерной, однако в будущем она обеспечит поддержку перспективных стандартов.

Большинство современных функций модели 1720 применимы только в конфигурации сети “точка - точка”, однако мы проверили работу маршрутизатора Cisco и в качестве клиентского компонента ВЧС (виртуальной частной сети). С этой целью был использован клиент Ravlin фирмы Red Creek, настройка которого производилась с помощью удобного интерфейса, позволяющего выбрать любую функцию простым щелчком мыши.

Немного повозившись с конфигурированием системы, мы смогли наладить связь между Ravlin и 1720 по безопасному туннелю. Собственного клиентского ПО Cisco пока не выпускает, но представители фирмы пообещали, что оно появится в III квартале нынешнего года. Что ж, в этом фирма несколько отстала от своих конкурентов, предлагающих более совершенные средства клиентского развертывания, например от корпорации TimeStep.

Модель 1720 поддерживает сертификаты стандарта Х.509. Эта особенность на сегодняшний день уникальна, она не предусмотрена даже в маршрутизаторах конкурентов, например Pipeline, выпускаемых фирмой Ascend. Но здесь есть одно “но”: службы администрирования сертификатов, используемые совместно с Cisco 1720, должны поддерживать не только стандарт PKCS 10 (Public Key Cryptography Standard - стандарт шифрования с открытым ключом), но и частный протокол распространения сертификатов, разработанный Cisco.

Высокий уровень безопасности ГВС

Cisco 1720 представляет собой первый продукт для ВЧС с поддержкой IPSec, дающий начало новому классу устройств. Но этим его достоинства далеко не исчерпываются. Весьма привлекательна, к примеру, заложенная в него поддержка протокола L2TP, позволяющая безопасно инкапсулировать в IP-пакеты другие протоколы. Конечно, по надежности этот протокол несопоставим с IPSec, однако для компаний, использующих в ГВС множество разнообразных протоколов, именно он может стать единственным выбором.

Конфигурирование большинства функций модели 1720 производится с помощью хорошо известных списков контроля доступа ACL фирмы Cisco. Несмотря на то, что эти элементы управления всегда отличались сложностью настройки, их богатые возможности наращивания открывают перед администратором ряд уникальных перспектив конфигурации модели 1720.

С помощью карт маршрутизации IPSec и организации очередей на основе весовых коэффициентов (WFQ) мы смогли разработать схему обеспечения качества обслуживания, где предпочтение отдавалось тому трафику, который направлялся на другие узлы ВЧС.

Но если бы в нашей сети было установлено несколько разнотипных сетевых устройств, подобная задача оказалась бы намного сложнее, а то и вообще невыполнимой. Дело в том, что одна из функций безопасности IPSec предусматривает шифрование всего пакета, в том числе и заголовка, а выделить из такого шифрованного пакета адрес получателя становится просто невозможно. В стандартных сетях с использованием компонентов различных производителей это может создать серьезные проблемы, так как большинство алгоритмов обеспечения качества обслуживания использует отображение IP-адресов.

Многофункциональность маршрутизатора Cisco 1720 позволила нам легко задавать запасные пути маршрутизации и правила отработки отказов на основе характеристик ВЧС.

Перспективы для бизнеса

Объединение почти всегда выгодно, и ВЧС-маршрутизатор Cisco 1720 только подтверждает это правило. Его применение должно снизить стоимость подключения к ВЧС, а сочетание в одном устройстве функций трех различных сетевых компонентов - предельно упростить управление ими.

Краткосрочные прогнозы

Развертывание ВЧС уже давно включено в долгосрочные стратегические планы многих компаний, и появление маршрутизатора Cisco 1720 поможет их реализовать. Однако новое устройство не ограничивается лишь этой сферой, оно предлагает целый ряд других функций, что позволяет вполне обоснованно назвать его “слугой многих господ”. Экономия, которую даст применение модели 1720, должна еще более ускорить развитие ВЧС. Да и хорошо зарекомендовавшая себя торговая марка Cisco избавит высшее руководство от боязни пересылать корпоративные данные через Интернет. Многоликость Cisco 1720, сочетающего в себе маршрутизатор, ВЧС и брандмауэр, уже сейчас широко открывает ему двери в филиалы корпораций.

Долгосрочные прогнозы

Cisco 1720 повышает привлекательность ВЧС, однако для систем управления предприятиями, развернутых в больших компаниях, он едва ли подходит. Во главу угла здесь приходится ставить не мелкие заботы о конфигурировании отдельных маршрутизаторов, а решение более масштабных вопросов. Приняв на вооружение Cisco 1720, большим компаниям придется уделять много внимания администрированию пользователей своих ВЧС, управлению их сертификатами и всей инфраструктурой открытых ключей. У Cisco уже сейчас есть все необходимое для развертывания полномасштабных ВЧС - от серверов доступа по коммутируемым каналам до маршрутизаторов, - но свести все эти компоненты воедино фирме еще предстоит.

Взгляд из PC Week Labs:

Майкл Суркан

Еще пару лет назад мы предсказывали, что это произойдет, и появление маршрутизатора Cisco 1720 VPN лишний раз подтвердило нашу правоту: дни специализированных средств для создания ВЧС сочтены.

В этом новом недорогом маршрутизаторе для ВЧС еще не все отлажено, но уже сейчас совершенно ясно, что он открывает путь, на который вскоре выйдет вся отрасль - оснащение стандартных маршрутизаторов средствами шифрования ВЧС по вполне умеренной цене.

Когда маршрутизаторы смогут шифровать трафик, как это делает сегодня новое надежное устройство Cisco, разве что мазохисты продолжат покупать специализированные компоненты ВЧС, требующие отдельного управления. Модель 1720 говорит на языке IOS, хорошо знакомом большинству администраторов. К тому же она битком набита стандартами ВЧС, включая поддержку IPSec и сертификатов Х.509.

Для небольших филиалов, где необходимо наладить связь между ЛВС через ВЧС, трудно найти что-нибудь лучше Cisco 1720. И все же полномасштабное использование маршрутизатора ВЧС для организации удаленного доступа многих пользователей станет возможным лишь после того, как Cisco усовершенствует его средства управления.

Ну а если Cisco включит поддержку ВЧС во все свои маршрутизаторы...

Резюме для руководителей

Маршрутизатор ВЧС Cisco 1720

Комплексность - вот наиболее точное определение нового маршрутизатора ВЧС Cisco 1720. Его создатели приложили много сил, чтобы объединить в своем детище функции разнообразных сетевых устройств, и это им удалось. Правда, работать с Cisco 1720 нелегко, а его настройка может превратиться в настоящую головоломку для любого администратора сети, если только у того нет богатого опыта применения IOS.

( + ) Поддержка двух протоколов безопасности IPSec и L2TP; хорошая функциональная интеграция.

( - ) Трудность конфигурирования; отсутствие поддержки PKCS 10.

Фирма Cisco Systems, Сан-Хосе, шт. Калифорния, представительство в Москве: (095) 961-1410, www.cisco.com/ru.

Методика оценки: www.pcweek.com/reviews/meth.html.