Сетевое железо - статьи

       

VPN: поделенный рынок


Журнал #11/99

Джоул СНАЙДЕР

Таблица.

Спектр продуктов, предназначенных для организации и использования виртуальных частных сетей (VPN), сегодня необычайно широк - от простых устройств шифрования данных до средств многопротокольного туннелирования. Однако все они обладают одним и тем же недостатком - их возможности администрирования никак не назовешь изощренными.

Бизнес компаний, предлагающих средства для сетей VPN, сегодня на подъеме. Кажется, не проходит недели без сообщения о новом продукте, который пользователи, интересующиеся виртуальными частными сетями, должны внести в список своих возможных приобретений.

Негативным последствием бума, охватившего сектор VPN, стала излишняя фрагментированность этого рынка. В настоящее время вам не составит особого труда подыскать себе приложение для шифрования трафика или развертывания сети VPN, однако законченного решения, способного охватить все проблемы заказчика (подключить удаленных пользователей к корпоративной сети, организовать защищенные туннели для передачи трафика от филиалов компании и реселлеров через Internet в центральный офис, обеспечить шифрование наиболее критичных компонентов внутреннего трафика), на рынке не существует.

Подавляющее большинство поставщиков VPN-продуктов сегодня сконцентрировалось на средствах туннелирования и шифрования, тогда как другие, например средства обеспечения качества сервиса (QoS), которые имело бы смысл реализовать в поставляемом заказчику решении, попросту не поддерживаются. Такое положение вещей заметно осложняет жизнь сетевых администраторов, стремящихся построить настоящую виртуальную частную сеть, зато избавляет от ненужных финансовых и временных затрат тех, кто заинтересован всего в одной операции, например в шифровании данных.

При отсутствии универсальной договоренности о том, что же должна включать в себя сеть VPN и как ее следует строить, производители разделились на три лагеря - в соответствии с тремя "рабочими" уровнями (вторым, третьим и четвертым) семиуровневой модели OSI.
Характеристики предлагаемых ими продуктов сведены в

Средства VPN, используемые на нижнем, втором, уровне модели OSI, инкапсулируют трафик IP и других протоколов - IPX, AppleTalk. Они же обеспечивают независимость создаваемой сети от конкретной платформы, поскольку в данном случае клиентские системы обычно не требуется оснащать специальными программными или аппаратными средствами, за исключением адаптера, поддерживающего доступ по коммутируемой линии. К отрицательным сторонам этого подхода следует отнести его ориентацию исключительно на одиночных удаленных пользователей (а не на филиалы компаний) и отсутствие гибкости, необходимой администраторам для управления связью между локальными сетями.

К этой группе относятся продукты, которые используют как давно появившиеся протоколы, скажем Layer 2 Forwarding (L2F) и Point-to-Point Tunneling Protocol (PPTP), так и сравнительно недавно утвержденный стандарт Layer 2 Tunneling Protocol (L2TP), пришедший им на смену.

Есть основания прогнозировать дальнейший рост данного сегмента рынка, особенно в связи с тем, что ведущие фирмы, вроде Cisco Systems и 3Com, начали поставлять продукты, поддерживающие L2TP, Internet-провайдерам и телефонным компаниям. Наименьший же вклад в этот процесс дадут поставки VPN-продуктов корпоративным заказчикам. Администраторы корпоративных сетей скорее потратят выделенные им средства на инвестиции в постепенно набирающую вес технологию VPN третьего уровня, которая обеспечивает связь между удаленными отделениями компаний и функционирование экстрасетей.

В то время как продукты второго уровня осуществляют инкапсуляцию различных видов трафика в IP-пакеты, средства третьего уровня выполняют инкапсуляцию IP в IP. Основные события в этом секторе разворачиваются вокруг протокола аутентификации, туннелирования и шифрования IP-пакетов IP Security (IPSec), стандартизованного консорциумом Internet Engineering Task Force (IETF). Более ранние технологии шифрования и обмена ключами, например SKIP компании Sun Microsystems, постепенно вытесняются стандартами IETF.


Основанные на них продукты заметно выигрывают перед своими конкурентами, поскольку реализуют лучшие идеи, возникшие в процессе разработки стандартов. В такой сфере, как шифрование данных, это имеет первостепенное значение.

Виртуальные сети, поддерживающие IPSec, позволяют использовать в одной сети оборудование и программное обеспечение нескольких поставщиков. Вы можете приобрести клиентские приложения для ПК, компьютеров Macintosh и Unix-станций, аппаратные средства VPN для удаленных филиалов, а для центрального офиса использовать оборудование различных фирм, выбрав лучшее из того, что предлагает каждый из них. Так обстоит дело в теории. Однако уже первые проведенные нами тесты показали, что многочисленным заявлениям производителей о совместимости выпускаемых ими изделий с разработками других компаний не стоит доверять безоговорочно.

Подобно своим собратьям, средства VPN четвертого уровня в сущности представляют собой шифраторы, выполняющие инкапсуляцию пакетов. Правда, продукты этой категории зачастую привязаны к единственному приложению, например электронной почте. Что же касается общераспространенных реализаций вроде, HTTP over SSL, то сегодня они присутствуют в любом браузере: наберите http:// и можете считать, что вы уже находитесь в виртуальной частной сети четвертого уровня. Тем не менее средства электронной почты с шифрованием, например SMTP over Transport Layer Security, и поддерживающие шифрование программные оболочки на базе наполовину патентованных протоколов, наподобие Secure Shell, продолжают активно распространяться.


Содержание раздела