ИНФРАСТРУКТУРА
Обзор. В сочетании с набором других средств URT 1.2 позволяет пользователям работать на различных ПК в пределах сети без ущерба для безопасности
Кевин Янг (PC Week Labs)
ПО User Registration Tool 1.2 фирмы Cisco Systems представляет собой весьма эффективный пакет ПО DEN (directory enabled network - сеть с использованием возможностей служб каталогов). Он предназначается для применения в инфраструктурах с виртуальными локальными вычислительными сетями (ВЛВС), использующих протокол DHCP (Dynamic Host Configuration Protocol - протокол динамического конфигурирования хост-машин), серверы Windows NT или NetWare, а также сетевое оборудование производства Cisco. URT 1.2 особо удобен для организаций и компаний, в которых не предусмотрено закрепление за каждым сотрудником отдельного ПК, а потому подвижность пользователей достаточно велика.
Проведенные в Тестовом центре PC Week Labs испытания показали, что для администраторов подобных сетей пакет, выпущенный Cisco в июле по цене $9995, может оказаться настоящим подарком.
В то же время нельзя сказать, что этот продукт настолько хорош, чтобы подвигнуть всех сетевых администраторов к переходу на оборудование Cisco. Они смогут гораздо лучше устроиться, разделяя пользователей своих сетей с помощью недорогих коммутаторов третьего уровня, ведь при этом не потребуется дополнительных расходов сетевых ресурсов, как в случае использования виртуальных ЛВС.
Таким образом, URT представляет собой продукт, пригодный, пожалуй, для применения в довольно ограниченной нише. Тем не менее на его примере можно составить представление о том, чего ждать от концепции DEN.
URT отображает регистрационные записи пользователей доменной системы NT или службы каталогов NDS на виртуальные ЛВС. Отнесение пользователя к той или иной ЛВС осуществляется на основе регистрационной записи, а не какого-либо аппаратного признака ПК вроде номера порта или MAC-адреса сетевой платы. Благодаря этому пользователь, входя в свою ВЛВС с любой машины сети, сохраняет все положенные ему привилегии доступа. Характерный для виртуальных ЛВС высокий уровень безопасности сочетается с возможностью предоставления дополнительных сетевых услуг.
URT позволяет менеджерам ИТ легко и быстро распределять пользователей по ВЛВС
Первоначально при регистрации в сети пользователю присваивается временный IP-адрес. Затем осуществляется процедура аутентификации, включающая обращение к серверу URT для определения ВЛВС пользователя. В случае успешной аутентификации временный IP-адрес высвобождается и вместо него пользователь получает новый, принадлежащий соответствующей ВЛВС. В ходе наших испытаний эта процедура работала без каких-либо нареканий.
Безопасность на ходу
Применение URT наиболее оправданно в случаях, когда пользователи могут регистрироваться в сети более чем с одной машины. Такое положение характерно, например, для больниц или университетов. Эта система отлично вписывается в сценарии, когда подключение пользователей всех уровней привилегий как к общедоступным, так и к требующим защиты ресурсам осуществляется через одни и те же коммутаторы.
Версия URT 1.2 работает с NDS и поддерживает более широкий, по сравнению со своими предшественницами, спектр коммутаторов производства Cisco. В ходе тестирования эта система легко собрала сведения по двум доменам NT, полудюжине ВЛВС и множеству групп пользователей. Затем потребовалось распределить пользователей по ВЛВС, что не составило большого труда, хотя для процедуры регистрации используется выделенная ВЛВС.
Сама инсталляция URT - дело нехитрое, но требует основательной подготовки “площадки”. В ее основание нужно положить несколько слоев ПО Cisco, включая CiscoWorks for Switched Internets и Resource Manager Essentials. Компаниям, планирующим развертывание URT, скорее всего, понадобятся все эти продукты или большинство из них.
Наиболее ответственный этап в развертывании URT - обеспечение полноценной замены статических ВЛВС на базе портов или MAC-адресов динамическими. Хотя такие виртуальные сети способны сосуществовать с поддерживаемыми URT, специалисты Cisco рекомендуют осуществлять переход одномоментно, а не в несколько этапов.
Это обычно требует некоторых изменений в топологии ВЛВС, хотя и не настолько серьезных, чтобы говорить о полной перестройке.
На клиентских машинах необходимо устанавливать ПО протокола DHCP (Dynamic Host Configuration Protocol) и агентский компонент системы. Рассылка клиентского компонента по системам с ОС Windows NT Workstation, Windows 95 и Windows 98 не представила сложности: мы просто включили эту операцию в сценарий регистрации при входе в сеть. С NT пришлось повозиться чуть больше, чем с остальными платформами, поскольку эта система использует более строгий подход к обеспечению безопасности. Еще сложнее дело обстоит с NetWare. URT работает только с версией NetWare 5.0 в режиме протокола IP и с установленным комплектом дополнительного ПО ZENworks Starter Pack. Каждый компьютер, взаимодействующий с URT, должен иметь прямой выход на порт коммутатора Cisco, поддерживающего набор функций VLAN Membership and Policy Server, либо на маршрутизатор или коммутатор третьего уровня производства Cisco.
Чтобы в полной мере реализовать потенциал DEN, разработчикам URT нельзя ограничиваться поддержкой NDS и NT-доменов. По словам представителей производителя, работа над поддержкой протокола LDAP (Lightweight Directory Access Protocol) уже ведется.
Сервер URT требует выделенной машины под управлением NT с 200 МГц процессором Pentium или более мощным. Если один сервер не справляется, к нему можно добавить еще два, но не больше.
Значение для бизнеса
Компаниям с мобильной пользовательской базой, вложившим значительные средства в ВЛВС, ПО URT производства Cisco может принести большую пользу. Однако и им следует подумать о перспективах перехода с обремененных ненужными сложностями ВЛВС на недорогие коммутаторы с функциями третьего уровня.
В краткосрочной перспективе
Применение URT 1.2 несколько упрощает администрирование ВЛВС. Для крупных вычислительных центров, оснащенных аппаратурой производства Cisco, URT может стать недорогим средством администрирования пользователей вне зависимости от того, через какие порты коммутатора они работают. Это сэкономит довольно много времени как службе поддержки, так и самим пользователям.
В долгосрочной перспективе
URT не настолько увеличивает привлекательность концепции ВЛВС, чтобы пользователи и впредь сохранили к ней лояльность. Применение коммутаторов третьего уровня, которые стоят сегодня пару сотен долларов на порт, дает большинство все тех же преимуществ, но без головной боли, связанной с поддержкой ВЛВС.
Взгляд из лаборатории: Панкай Чоудри
Бизнес, связанный с производством аппаратуры для предприятий, - это не всегда выпуск устройств, основанных на самых передовых технологиях. В сущности, гораздо чаще речь идет о поддержке ранее выпущенных не столь сложных систем.
Именно эту цель фирма Cisco и преследовала при создании URT. Компания стремится оказывать максимальную поддержку тем, кто, к своему несчастью, успел увязнуть в идеологии ВЛВС, и помочь им выжать из этой стареющей концепции все, что еще возможно.
Мир повернулся в сторону IP, коммутаторы третьего уровня продаются за пятачок пучок, и вскоре менеджерам служб ИТ не будет уже совсем никакого смысла цепляться за отжившие свое ВЛВС вместо того, чтобы перейти на более новые, сравнительно легко администрируемые топологии.
С техническим директором отделения Тестового центра PC Week Labs на Западном побережье Панкаем Чоудри можно связаться по адресу: pankaj-chowdhry@zd.com.
Резюме для руководителей
Хотя обновленный продукт Cisco - система URT - остается в своей основе ориентированным на довольно узкую рыночную нишу, он может служить иллюстрацией потенциала сетей с поддержкой служб каталогов. Опора на систему доменов NT и каталоги NDS позволяет сочетать администрирование пользователей и администрирование сетевых топологий в одном приложении. Администратор может расширить пределы мобильности пользователей сети комплекса зданий, не жертвуя безопасностью. Однако требования URT к оборудованию, скорее всего, отвратят от применения этого продукта пользователей аппаратуры других производителей, а опора на ВЛВС означает для многих дополнительные усилия по администрированию.
Работает с доменной системой NT и с NDS, в том числе одновременно.
Требует дополнительной установки нескольких пакетов производства Cisco; не поддерживает LDAP; клиентские машины должны подключаться к портам коммутатора напрямую; необходима установка агентских компонентов на каждый клиентский компьютер.
Методика оценки: www.pcweek.com/reviews/meth.html.
User Registration Tool 1.2
Фирма Cisco Systems, Сан-Хосе, шт. Калифорния, (800) 553-6387, www.cisco.com.