Модуль Cisco шифрует информацию, но его масштабируемость оставляет желать лучшего
Роджер Хартджи (eWeek Labs)
Владельцам маршрутизаторов серии 1700, выпускаемых фирмой Cisco Systems, стоит присмотреться к ее новому модулю Virtual Private Network Module. Расширенные функции шифрования и знакомый интерфейс - именно то, что нужно малому и среднему бизнесу, равно как и удаленным филиалам корпораций, где все задачи доступа решаются с помощью устройств семейства Cisco 1700.
Как показывают результаты тестирования, проведенного в eWeek Labs, новинка Cisco существенно ускоряет программное шифрование. А ведь именно низкая производительность этой функции значительно снижала показатели маршрутизаторов 1700, когда мы проверяли их в прошлом году.
И хотя новому модулю пока еще далеко до обещанного дуплексного шифрования Triple DES (Triple Data Encryption Standard - утроенный стандарт шифрования данных) на скорости канала T1 или E1, экспертиза свидетельствует о серьезном достижении в области программного шифрования.
VPN Module, к выпуску которого Cisco приступила в апреле, работает с любым маршрутизатором серии 1700 под управлением операционной системы IOS 12.1 этой же фирмы. В тестовой конфигурации - максимальный объем оперативной памяти, установленная плата шифрования и интерфейс ГВС - устройство стоит 3995 долл., что несколько дороже сопоставимых систем конкурентов.
Организациям, уже вложившим средства в другие маршрутизаторы, лучше пополнить свой арсенал автономными аппаратными средствами шифрования ВЧС, такими, как, например, Ravlin 3200 фирмы RedCreek Communications ценой 1500 долл. Имеет смысл обратить внимание и на младшие модели с поддержкой ВЧС фирмы Lucent Technologies и корпорации Intel.
Модуль Cisco, как и другие подобные системы, хорошо подойдет тем филиалам, которым необходимо развернуть подключение к электронной почте, небольшой Web-узел или канал связи с корпоративной штаб-квартирой. Здесь покупатель найдет полный набор необходимых компонентов, значительно упрощающих подключение к ГВС.
Там же, где предъявляются повышенные требования к функциональности ГВС или нужна масштабируемость, лучшие результаты даст традиционная компонентная архитектура.
Базовый маршрутизатор Cisco 1720 нетрудно настроить на поддержку многопротокольной маршрутизации и брандмауэров, благодаря чему всего одно устройство может удовлетворить потребности малого и среднего бизнеса в доступе к ГВС. Этому устройству найдется место и в филиалах крупных корпораций, поскольку оно поддерживает модули ГВС для маршрутизаторов Cisco серий 1600, 2600 и 3600.
Настоящий ГИП
В ходе тестирования мы подключили к ПК порт консоли 1720 на маршрутизаторе, после чего ConfigMaker - графическая инструментальная программа настройки фирмы Cisco - автоматически обнаружила его.
С начальной конфигурацией ConfigMaker справился отлично. Похоже, что Cisco наконец-то убедилась: работа с ГИП и доступ к командной строке IOS через браузер - не одно и то же. До сегодняшнего дня фирма много говорила о браузерном управлении, но в действительности пользователям приходилось выходить в командную строку IOS (для многих страшную и непонятную) через свои браузеры.
ConfigMaker включен в состав 1720 VPN Module, эту утилиту можно также бесплатно получить на Web-узле Cisco.
Подключив два маршрутизатора через Ethernet, мы сконфигурировали ВЧС. Благодаря ConfigMaker все операции при этом свелись к перемещению мыши и щелчкам по ее клавише - в ходе всего процесса нам пришлось ответить на вопросы одного-единственного диалогового окна. А двойной щелчок на пиктограмме подключения позволил нам задать параметры шифрования, системы управления ключами Internet Key Exchange и протокола IP Security.
Правда, когда мы попытались сохранить конфигурацию на маршрутизаторах, ни один из них не признал пароль на право записи.
Утилита ConfigMaker помогла нам выполнить весьма трудоемкую настройку модуля Cisco с использованием протокола IPSec. Она позволяет копировать и вставлять параметры конфигурации IOS, созданной с ее помощью, что намного быстрее и легче, чем вводить команды для конфигурации функций шифрования в командной строке.
Чтобы завершить создание ВЧС, мы добавили к каждому маршрутизатору по рабочей станции Windows NT 4.0, после чего приступили к обмену файлами между клиентами.
Для начала мы проверили работу системы без шифрования, передав с одного NT-клиента на другой файл размером 100 Мб. При его пересылке в одном направлении пропускная способность системы оказалась равной 2 Мб/с, а при дуплексной передаче она составила 1,65 Мб/с. Когда же было включено шифрование по алгоритму DES, скорость упала до 1,45 Мб/с в симплексном режиме и до 1,25 Мб/с - в дуплексном.
При использовании алгоритма Triple DES с ключом длиной 168 бит эти показатели составили 1,45 Мб/с и 1,15 Мб/с соответственно.
Роджер Хартджи - директор по информационным технологиям фирмы Lava-Storm Technologies. Связаться с ним можно по адресу: roger_hartje@hotmail.com.
Резюме для руководителей
Cisco Virtual Private Network Module для маршрутизаторов серии 1700
Выпущенный фирмой Cisco модуль VPN Module значительно расширяет возможности универсальных маршрутизаторов серии 1700 по организации виртуальных частных сетей. С его помощью филиалы крупных корпораций, фирмы малого и среднего бизнеса смогут предельно расширить функциональность своих ВЧС, однако там, где требуется масштабируемость, понадобятся более сложные системы.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Виртуальные частные сети - сравнительно недорогое сетевое решение для ГВС и удаленных пользователей. VPN Module может стать отправной точкой на пути в мир ВЧС для тех организаций, где уже используются маршрутизаторы Cisco 1700, а также для компаний, которые развертывают экономичные ГВС.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Модуль обеспечивает шифрование связи в недорогих средах, без чего малому бизнесу очень трудно сохранять свою конкурентоспособность.
( + ) Значительно расширяет возможности маршрутизаторов Cisco 1700 по организации виртуальных частных сетей.
( - ) Не обеспечивает масштабируемость.
Фирма Cisco System, Сан-Хосе, шт. Калифорния, (800) 553-6387, www.cisco.com.
Методика оценки: www.pcweek.com/reviews/meth.html.