Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

ПО сетевого управления, основанное на системной политике

Брюс Бордман

Если вы чувствуете, как ваша сеть реально влияет на ваш бизнес (или вы готовы к тому, чтобы так оно и было), мы настоятельно рекомендуем вам рассмотреть вопрос о внедрении ПО сетевого управления, основанного на правилах системной политики. И если даже ваша сеть хоть и является жизненно важной, но при этом пока не относится к центрам прибыли компаний, управление на базе системной политики будет полезным все равно. Вы можете использовать такое управление и в том случае, когда вам сулит прибыль от продажи полосы пропускания сетевых каналов связи, или если дифференцированное и оперативное предоставление каналов связи поможет вам одержать верх над вашими конкурентами. Однако, если вашей основной целью является реализация в локальных сетях вашего предприятия механизмов QoS (Quality of Service), то вряд ли вы сможете окупить свои затраты. И так будет до тех пор, пока производители инфраструктурного оборудования не реализуют полностью все необходимые стандарты.

Если мы что-либо знаем определенно, так это то, что принятие решения о внедрении ПО сетевого управления, основанного на политиках (Policy-Based Network Management - PBNM), является весьма затруднительной задачей. В статье "Для тех, кто помешан на сетевом управлении", мы рассматриваем системы PBNM с точки зрения внутреннего и коммерческого использования. Здесь же, опираясь на результаты тестирования трех приложений PBNM, проведенного нами в нашей лаборатории Real-World Labs Сиракузского университета, мы пытаемся установить, какие именно задачи могут (или не могут) выполнять продукты управления, основанные на системной политике.

В качестве критерия отбора продуктов для данного обзора мы использовали требование, согласно которому они должны позволять управлять конфигурацией маршрутизаторов и коммутаторов в гетерогенных сетях IP. В соответствии с классификацией продуктов управления, основанных на правилах системной политики, принятой нами в статье "Для тех, кто помешан на сетевом управлении", все протестированные нами продукты являются, с точки зрения функциональности, продуктами конфигурирования политики на основе правил системной политики (policy-based configuration of policy).

Мы протестировали Redcell Suite 2.1 компании Dorado Software, Formulator 2.0 компании Gold Wire Technology и Service Activator 3.0 компании Orchestream. Мы также приглашали принять участие в тестировании и компанию Syndesis, которая, однако, сочла рамки нашего обзора, ориентированного лишь на сети IP, слишком узкими для себя. И это неудивительно, если учесть то, что продукт Syndesis ориентирован скорее на совместную работу с продуктом VPNSC (VPN Solutions Center) фирмы Cisco Systems. На самом деле компания Syndesis поддерживает конфигурирование устройств многих производителей, однако только те из них, которые работают на Уровне 1 и Уровне 2 модели OSI.

Мы не стали приглашать таких производителей, как Alcatel, Cisco и Nortel Networks, продукты управления которых не поддерживают оборудование различных производителей. Тем не менее мы все-таки установили ПО EpiCenter компании Extreme Networks, возможности конфигурирования которого ограничены устройствами Cisco, однако этот продукт нельзя рассматривать как полноценное инструментальное средство управления на базе правил системной политики. Если ваша сеть содержит только устройства Cisco и Extreme, то продукт EpiCenter будет не так уж и плох.

Конечно, ни одно из этих решений не способно полностью заменить опытного, хорошо "подкованного" сетевого инженера. Чтобы воспользоваться всеми преимуществами этих продуктов, вы должны хорошо представлять себе все возможности основных компонентов вашей сетевой инфраструктуры. Однако от решений PBNM требуется также, чтобы они предоставляли информацию о том, какие параметры настраиваются в данный момент времени, и как эта настройка влияет на конкретный стандартный или фирменный метод конфигурирования сетевых устройств, используемый вами. Простое предоставление конфигурационного экрана, лишь подсказывающего, какие данные следует вводить, является недостаточным.

Скудные возможности обнаружения устройств

Возможности инвентаризации сетевых ресурсов всех трех протестированных нами продуктов оказались недостаточно зрелыми. Они позволяли классифицировать лишь незначительное число устройств, в чем явно уступали таким платформам сетевого управления, как Unicenter компании Computer Associates International, OpenView компании Hewlett-Packard и InfraTools Peregrine Systems (обзор, посвященный этим продуктам, можно найти в статье "Peregrine Perches Atop the Pack" по адресу http://www.nwc.com/1210/1210f3.html). Вместе с тем все протестированные нами решения скрупулезно указывали, какие именно устройства они поддерживают. Это вызвано тем, что они не просто читают информацию из базы MIB II, а создают объекты, называемые ими "драйверами" (drivers), которые взаимодействуют с интерфейсом CLI (Command-Line Interface) сетевой инфраструктуры и устанавливают переменные баз данных MIB SNMP. Таким образом, если ваша сеть основана на продуктах самых разных производителей, то ваши возможности будут ограниченными независимо от того, какой конкретный продукт PBNM вы выбрали.

Чтобы сравнить цены на продукты, мы рассмотрели три различных практических сценария: единый узел, состоящий из 100 управляемых интерфейсов, узел с двойным управлением, насчитывающий 1000 управляемых интерфейсов, и узел, размещаемый в 10 пунктах и насчитывающий 10 тыс. управляемых интерфейсов. По нашим подсчетам, в каждом из сценариев потребуются, по меньшей мере, два семейства драйверов устройств (дополнительную информацию см. "Методика тестирования ПО сетевого управления, основанного на политиках").

После нескольких недель тестирования, настроек, доводок мы присудили почетный титул победителя продукту Service Activator 3.0 компании Orchestream, который не только обладает исключительно гибкой объектно-ориентированной конструкцией, но и позволяет реализовать приложения, обеспечивающие сервис-провайдерам возврат инвестиций на их внедрение. Приз за наилучшие показатели цена/качество достался продукту Formulator компании Gold Wire - не только благодаря его разумной цене, но и благодаря его безупречной работе в процессе нашего тестирования и его полезным дополнительным функциям.

Service Activator 3.0 компании Orchestream

Продукт Service Activator компании Orchestream занимается тем, что создает приложения для сетей, причем под "приложениями" в данном случае понимаются средства гарантированного качества обслуживания (QoS), сети VPN и тому подобные вещи. Наше тестирование однозначно показало, что среди трех наших продуктов Service Activator является наиболее зрелым средством сетевого управления, предоставляющим достаточно полный набор функциональных возможностей и универсальную объектно-ориентированную конструкцию, распространяющуюся, в том числе, и на его интерфейс API. Он не пытается создавать базовую конфигурацию - скорее он рассчитывает на то, что сеть должна быть уже сконфигурированной и стабильно работающей.

Service Activator конфигурирует средства QoS, сети VPN IP MPLS (Multiprotocol Label Switching) и Circuit Cross Connects компании Juniper Networks и ограничивает доступ к устройствам, манипулируя списками доступа. Его архитектура основана на объектах, основными типами которых являются роли (roles), идентификаторы доступа пользователей и групп, узлы и группы поведения PHB (Per-Hop Behavior).

В рамках архитектуры продукта Service Activator каждому устройству, интерфейсу или виртуальному интерфейсу назначается определенная роль. В процессе операции обнаружения все устройства классифицируются на основе информации, содержащейся в редактируемом текстовом файле, который подразделяет все сетевые устройства и интерфейсы на три группы: устройства доступа, шлюзы и магистральные устройства. Однако результаты классификации можно изменить-либо путем непосредственного редактирования классификационного файла, либо путем ручной переклассификации устройств посредством графического пользовательского интерфейса.

Для изменения параметров конфигурирования сетевых устройств Service Activator использует транзакции. Всякий раз, когда производится конфигурирование - путем ли "буксировки" (drag-and-drop) в графическом интерфейсе, или посредством интерфейса командной строки - транзакции, обеспечивающие выполнение конфигурационных изменений, ставятся в очередь, а затем либо запускаются в порядке очереди, либо сохраняются в памяти системы и выполняются в запланированное время. Такая процедура конфигурирования требует процесса совершения транзакции и ее подтверждения, и, таким образом, является транзакцией в прямом смысле этого слова. Все транзакции регистрируются в журнале, и менеджеры могут отменять транзакции, просто удаляя их по одной из списка. Ни один из других протестированных нами продуктов и близко не предоставлял такого высокого уровня контроля над транзакциями или столь простого употребления политик, как Service Activator.

Роли устройств

Ключевым элементом в системной политике продукта Service Activator являются роли, назначаемые устройствам. Роли по умолчанию позволяют классифицировать устройства или интерфейсы на три группы - магистральные устройства, шлюзы и устройства доступа. После завершения процедуры классификации применение правил системной политики к устройствам осуществляется на основании их ролей. Хотя отдельные системы могут иметь индивидуальные наборы правил системной политик, согласитесь, что управлять системной политикой устройств и интерфейсов посредством сокращенных наборов правил, основанных на функциях устройств, гораздо проще. Service Activator является единственным из трех протестированных нами продуктов, который определяет к какому устройству применить данную политику, исходя из ролей устройств.

Дифференциация устройств и интерфейсов необходима по той причине, что один и тот же коммутатор или маршрутизатор может играть двоякую роль: любое из этих устройств может размещаться либо на границе сети между сервис-провайдером и его клиентом, либо в сети клиента - между сервис-провайдером, с одной стороны, и внутренней сетью, с другой стороны. Такая возможность оказалась весьма полезной при тестировании конфигурирования сетей VPN MPLS, поскольку позволяла нам по-разному конфигурировать интерфейс пограничного маршрутизатора провайдера, граничащий с сетью клиента, и интерфейс того же маршрутизатора, граничащий с магистральной сетью.

Формирование групп и учетных записей является довольно стандартной платой за возможность контроля доступа к сетевым ресурсам. Учетные записи пользователей могут объединяться в группы. В Service Activator пользователю модно присвоить практически любой объект, причем владелец объекта может делегировать свои полномочия доступа другим членам и/или группам. Такая возможность не только позволяла нам устанавливать каждому пользователю детализированные ограничения доступа к устройствам, но и давала нам возможность делегировать этим пользователям полный контроль над отдельными объектами. Столь высокий уровень детализации полномочий доступа необходим тем компаниям, которые собираются предоставлять свое оборудование в аренду многим пользователям (multitenancy). В таком случае система управления, основанная на правилах системной политики, будет обеспечивать доступ конечных пользователей только к их конфигурациям и поддерживать режим автоматического конфигурирования. Однако Service Activator не поддерживает доступ к внешним справочникам сетевой информации.

Чтобы Service Activator был в состоянии создавать сети VPN MPLS, отвечающие спецификации RFC 2547, нам пришлось установить протокол маршрутизации BGP (Border Gateway Protocol). Однако Service Activator установил BGP-группы, используя одни и те же параметры системной политики как на устройствах Cisco 7200, так и на устройствах Juniper M5. Поняв, как использовать Service Activator (это оказалось не очень сложно), нам осталось раздобыть нужную версию операционной системы IOS и добиться правильной работы наших базовых протоколов маршрутизации OSPF и BGP. Это означает, что Service Activator полагается на надлежащие версии кодов маршрутизации и коммутации, установленные на оборудовании.

Интеллектуальные возможности

"Интеллектуальные способности" продукта Orchestream полностью раскрываются, когда он отправляет конфигурационные изменения в сеть. Service Activator не только проверяет синтаксис команд перед их отправкой, он также проверяет интерфейс на предмет поддержки им конфигурационных характеристик, задействованных в системной политике. Это становится возможным благодаря тому, что Orchestream заранее определяет в Service Activator функции заданного устройства. Однако правильно использовать эту возможность может только сетевой инженер. Почему? Потому что, чтобы обеспечить развязку между правилами политик и устройствами, к которым эти правила применяются, необходимо аннулировать или сделать недоступными опции, не применимые к конкретному объекту, на что продукту Orchestream просто не хватает интеллекта. Но в том случае, когда продукту Service Activator не удается применить политику к какому-нибудь устройству, система событий Orchestream просто выдает на экран значок ошибки. Раскрыв этот значок, вы обнаружите страницу свойств, соответствующую тому правилу, которое не удалось применить, однако Service Activator не указывает, какое именно свойство привело к ошибке.

Инсталлируя списки контроля доступа (Access Control Lists-ACL) на устройства Cisco, Service Activator проверяет, какие списки ACL были установлены ранее, и избегает использования ранее установленных списков, даже если они были сформированы посредством других инструментальных средств или вручную. Это означает, что вам не нужно беспокоиться о наложении новых списков ACL на уже имеющиеся в какой-либо конфигурации, даже если они и не были созданы продуктом Service Activator.

По существу, все возможности, предоставляемые интерфейсом Service Activator, свидетельствуют о его высоком интеллекте. Превосходные, удобные в использовании всплывающие при нажатии правой кнопки мыши окна и контекстно-зависимую подсказку можно встретить в любом месте экрана, чего, однако, не скажешь об графическом интерфейсе продукта Redcell Suite компании Dorado, который, несмотря на свое Java-происхождение, не продемонстрировал в ходе нашего тестирования такой развитой функциональности.

Стоимость продукта Service Activator складывается из стоимости сервера системной политики - 72 тыс. долл. и стоимости каждого семейства драйверов устройств - 12 тыс. долл. Таким образом, полный набор драйверов для устройств Cisco обходится в 12 тыс. долл. Кроме того, вам придется заплатить за каждый интерфейс пользователя, стоимость которого составляла в нашем сценарии для 100 интерфейсов 195 долл., в сценарии для 1 000 интерфейсов - 175 долл., и в сценарии для 10 000 интерфейсов - 120 долл. Приведенные здесь цифры говорят о том, что Service Activator является самым дорогим из всех протестированных нами продуктов, однако мы с полной ответственностью заявляем вам, что вы получаете ровно столько, сколько платите, и что Service Activator является единственным продуктом, на который не жалко потратить такие большие деньги.

Каждый сервер может поддерживать до 16 одновременных сеансов связи с консолями. Все процессы, протекающие на сервере и агентах-посредниках (proxy agents), являются распределенными, так что потребность в оборудовании полностью определяется конкретной реализацией решения сетевого управления. Мы без проблем выполнили наши тесты на единственной системе Microsoft Windows NT, однако специалисты Orchestream говорят, что их клиенты обычно запускают серверы и агенты-посредники на различных системах Sun Solaris, а приложение графического интерфейса-на ПК, работающих под управлением Microsoft Windows NT или Windows 2000.

Компания Orchestream предполагает добавить в пакет Service Activator новые конфигурационные приложения, такие как VPN IPsec, и интегрировать поддержку большего числа продуктов третьих фирм. В том время, когда мы проводили настоящее тестирование, компания Orchestream заявила о своих планах слияния с фирмой InfoVista, которое позволит ей создавать конфигурации, основанные на соглашениях об уровне обслуживания (Service Level Agreement - SLA). InfoVista формирует отчеты, реализующие аудит и отслеживание соглашений SLA, в то время как Orchestream создает конфигурации, обеспечивающие согласованную работу сетевой инфраструктуры.

Formulator 2.0 компании Gold Wire Technology

Formulator обеспечивает высокую стабильность сетевой конфигурации. Он собирает, архивирует, сравнивает и проводит контроль конфигурационных параметров сетевой инфраструктуры, основанной на продуктах различных производителей. Системная политика управления конфигурациями устройств формируется на основе правил, определяющих, каким образом конкретные конфигурации применяются к инфраструктурным компонентам и как они проверяются.

Основанное на системной политике управление, осуществляемое продуктом Formulator, практически полностью базируется на правилах. Продукт предоставляет структурированный язык для написания правил и применяет правила к сетевым целевым объектам. Графический интерфейс предоставляет для написания правил специальный формат, однако вам потребуется знание синтаксиса и лексики среды написания сценариев. Система Formulator предоставляет ряд готовых правил, например, для организации виртуальных ЛВС (VLAN), шифрования паролей и выдачи сообщений SNMP, которые можно использовать в качестве шаблонов, однако изучение среды написания сценариев требует времени. К счастью, продавая свой продукт, Gold Wire предоставляет документацию на него и предлагает специальный курс по его изучению.

Одна вещь, которую, в отличие от Service Activator компании Orchestream, не позволяет делать использованный в Formulator подход, -- это учитывать текущий статус сети. Хотя Formulator предусматривает определение различного рода зависимостей при написании сценариев, разработчик правил должен прекрасно представлять себе организацию сети в целом (так что и здесь вам потребуются толковые сетевые инженеры). В этом смысле, правила политик являются весьма хрупкими "созданиями", поскольку подвержены косвенному влиянию сетевой топологии.

Правила системной политики имеют иерархическую структуру и по умолчанию подразделяются на секции, каждая из которых соответствует определенной категории объектов, например, маршрутизаторам, коммутаторам и средствам QoS. Каждая секция, в свою очередь, имеет листовые объекты, такие как SNMP, RIP и VLAN, называемые, согласно принятой в Formulator терминологии, целями (target). Цели соответствуют составленным на языке сценариев правилам, которые генерируют отдельные элементы конфигурации для устройств различных производителей.

Мы использовали некоторые правила системной политики по умолчанию для генерации конфигураций отдельных устройств или логических групп устройств, таких как все маршрутизаторы доступа. Каждая конфигурация сохраняется в базе данных Formulator со своим индексом и отметкой времени и даты, что обеспечивает ее уникальную идентификацию. Мы смогли сравнить конфигурации, загруженные непосредственно с устройств, с теми конфигурациями, которые были сгенерированы с помощью наших правил. Если вы хорошо разбираетесь в создании системной политики, то этот процесс будет для вас несложным. Здесь опять нужен высококвалифицированный специалист, хорошо подкованный в сетевых технологиях и знающий язык написания сценариев продукта Formulator.

Другие процессы, такие как организация и просмотр сетей VLAN, были куда более простыми и требовали лишь того, чтобы перед созданием виртуальных ЛВС мы определили порты коммутатора как доступные. Formulator поддерживает как спецификацию ISL (InterSwitch Link), так и 802.1Q. Все очень просто.

Контроль доступа

Во время тестирования продукта Formulator была добавлена функция управления связями OSPF, позволяющая запоминать порты маршрутизаторов, ближайших "соседей" и связи между виртуальными каналами. Мы надеялись, что Formulator сможет понять взаимные связи между сетевыми объектами исходя из конфигураций путем связывания схем адресации и существующих конфигураций OSPF, да не тут-то было. Нам пришлось скрупулезно, один за другим, создавать порты, логические порты, порты в областях и связи между портами. И только после того, как все это было внесено в базу данных, можно было приступить к конфигурированию сети.

Средства аутентификации Formulator поддерживают внутреннюю базу данных и протокол TACACS (Terminal Access Controller Access Control System) с учетными записями пользователей и групп. Высокий уровень контроля доступа обеспечивается здесь благодаря доступности для контроля любой прикладной функции. Определив профили полномочий доступа, включающие устройства, операции и пользовательские группы, мы создали группу системных администраторов, наделив ее полномочиями составления списков отображений и их контроля, но не размещения отображений на устройствах.

Мы создали еще одну группу операторов, наделив ее функциями составления списков отображений и их размещения на сетевых устройствах. Все устройства в рамках Formulator объединяются в группы, так что пользователи могут выполнять дозволенные им действия только над конкретными группами устройств. Система Formulator является очень гибкой и позволяет пользователям делегировать свои права доступа, правда, не в пределах различных групп пользователей, как это делает Service Activator. Было бы неплохо иметь список запрещенных операций, поскольку список разрешенных действий может оказаться достаточно большим, и поиск какого-нибудь отсутствующего в нем действия будет куда проще при наличии списка исключенных операций.

Большое внимание Formulator уделяет вопросам контроля за использованием доступа. Протокол может вестись по каждому пользователю, операции, сеансу связи или конфигурации. Уникальной возможностью Formulator является регистрация всех попыток доступа через встроенные интерфейсы командной строки сетевой инфраструктуры. Мы использовали эту функцию, войдя в среду Formulator и соединившись с целевой инфраструктурой. Конечно, эта функция не помешает кому-нибудь использовать прямое соединение telnet или SSH (Secure Shell), однако конфигурационный файл Formulator позволяет модифицировать telnet таким образом, чтобы он использовал сквозной telnet-порт TCP/IP продукта Formulator на системе Unix, благодаря чему отпадает необходимость входить в среду Formulator для того, чтобы зафиксировать изменения, сделанные непосредственно через интерфейс командной строки. К сожалению, аналогичная поддержка программы SSH в Formulator не реализована.

Продукт Formulator хранит и управляет паролями доступа к сетевой инфраструктуре через интерфейс telnet, обеспечивает изменение паролей и отслеживает все изменения паролей.

Графический интерфейс системы Formulator вполне пригоден для работы по каналам распределенной сети. Загрузка файлов помощи требует определенного времени, но не является такой уж удручающей. Как графический интерфейс, так и сам сервер Formulator, продемонстрировали в ходе нашего тестирования исключительно высокую надежность работы.

Проблемы, которых могло и не быть

Formulator предоставляет подробные отчеты , отображающие статус всех конфигурационных и системных изменений. База данных Formulator предоставляет очень гибкие опции формирования запросов, которые, к тому же, можно и сохранять. Состояние конфигурации также сохраняется в журнальной записи, так что всегда можно посмотреть различия между предыдущей и последующей конфигурациями (вкупе с установленными номерами версий конфигураций). В отличие от Service Activator, Formulator не предоставляет средства отображения событий и не поддерживает функцию автоматического "отката" сделанных изменений.

Диагностируя ошибки, мы столкнулись с рядом проблем. Кроме того, первоначально мы испытывали трудности при извлечении конфигураций для устройств Cisco и Juniper. Проблемы с устройствами Cisco были обусловлены расхождениями в символах верхнего/нижнего регистра, выявленными в некоторых версиях операционной системы IOS. В проблемах с конфигурациями маршрутизаторов Juniper всему виною были некоторые групповые операции. В обоих случаях Formulator выдавал нам сообщение об ошибке весьма обобщенного содержания, и нам ничего не оставалось делать, как звонить в службу техподдержки и редактировать журнальные файлы, крутясь как белка в колесе. Путаницу с конфигурациями для устройств Cisco нам удалось устранить, как говориться, "вися на проводе". Чтобы найти выход из проблемы вокруг конфигураций Juniper, нам понадобилось около одного дня. На то, чтобы написать заплату, устраняющую эту проблему, у нас ушло еще два дня.

Мы высоко оцениваем оперативность и гибкость, проявленные компанией Gold Wire при разрешении вышеописанных проблем, однако предпочли бы иметь более четкие диагностические сообщения, выдаваемые подпрограммой обработки ошибок, и более удобный формат журнального файла, что позволило бы нам исключить такие проблемы полностью. Все это является примером тех пустяковых проблем, которые могли бы исчезнуть сами собой, имей мы стандартизованный интерфейс. Отсутствие такого стандарта означает лишь то, что поставщики управляющего ПО, основанного на системной политике, не будут и впредь застрахованы от проблем подобного рода.

Число устройств, которое позволяет распознать функция автообнаружения продукта Formulator 2.0, возросло по сравнению с версией 1.1 этого продукта, по меньше мере, на порядок - с менее чем 100 до более чем 1000. Ближайшей задачей компании Gold Wire является не добавление новых конфигурационных приложений, а принятие мер к тому, чтобы добиться высокой стабильности сетевой конфигурации - и мы нисколько не сомневаемся в том, что эта цель будет успешно достигнута.

Цена продукта Formulator определяется числом управляемых устройств, поставляемых модулей и одновременно регистрируемых в системе пользователей, но начальная его цена составляет примерно 50 тыс. долл. Фактическая стоимость этого ПО будет всецело определяться сложностью управляемой сети. Поскольку наш сценарий ценообразования не учитывает таких факторов, то за более подробной информацией о ценах вам следует звонить непосредственно в отдел маркетинга компании Gold Wire.

Redcell Suite 2.1 компании Dorado Software

Продукт Redcell Suite компании Dorado - это нечто большее, чем просто средство управления, основанное на политиках, поскольку предоставляет средства управления отказами и производительностью. К моменту выхода статьи в свет будет разработана новая версия функции управления отказами.

Пакет Redcell запускается в среде связующего ПО Oware компании Dorado, позволяя серверу Redcell и драйверам устройств, а также базе данных и модулям управления производительностью и отказами, работать в распределенном режиме, подобном тому, в котором работает сервер Orchestream.

Версия 2.1 этого пакета позволяет определять правила системной политики QoS и доступа пользователей к устройствам. Кроме того, имеется дополнительная возможность установки битов DiffServ (класс обслуживания трафика) и IP Precedence (уровень приоритета трафика). Однако, если в случае с Service Activator мы могли легко определять в какое состояние были установлены биты IP Precedence по умолчанию, то в документации на Redcell ни словом не упоминалось о том, как нам добывать эту информацию.

Redcell имеет несколько готовых профилей системной политики, которые можно применять к целевым объектам, управляемым с помощью правил системной политики. Профили определяются отдельно от правил политики, что позволяет применять сформированные правила с условными названиями Gold, Silver и Bronze, к различным группам устройств по индивидуальным расписаниям.

Слишком запутанный графический интерфейс

Единственным ярким пятном удручающего графического интерфейса Redcell является программа Policy Wizard, которая берет на себя большую часть работы по созданию правил системной политики, заметно облегчая жизнь неопытным работникам. Однако Java-приложение графического интерфейса без остатка "проглотило" все ресурсы, которые мы ему выдели. Уже в конце нашего тестирования Dorado сообщила нам, что пересмотрела свои минимальные требования к оборудованию. Оказывается, нашей 600-МГц однопроцессорной машине, оснащенной 512-Мбайт ОЗУ, не хватало еще одного процессора и 256 Мбайт памяти. Компания выразила уверенность в том, что ее клиенты воспользуются преимуществами распределенной шины связующей среды Oware, что позволит им избежать проблем нехватки ресурсов.

Графическому интерфейсу пакета Redcell недостает также стандартных возможностей, облегчающих его использование, таких, как всплывающие при нажатии правой кнопки меню, пускатели контекстно-зависимой подсказки и разнообразные способы доступа к функциям. Кроме того, графический Java-интерфейс версии 2.1 продукта Redcell - это приложение, которое не способно исполняться в рамках браузера в качестве аплета. Представители компании Dorado сообщили нам, что функциональность и производительность графического интерфейса в версии 3.0 ее продукта были существенно улучшены. Это как раз то, что нам и нужно, ибо мы не только страдали из-за его низкой производительности, но и периодически теряли контакт с сервером и были вынуждены перезапускать всю систему заново.

Продукт Dorado поддерживает учетные записи пользователей и групп пользователей и обеспечивает весьма высокую степень детализации контроля доступа ко всем функциям всех приложений. Большей частью, доступность опций функционального меню определяется ограничениями доступа. Правда, при выборе опции появляется всплывающее окно сообщений, предупреждающее о том, что разрешение на доступ к данной функции отсутствует. В целом, все очень просто.

По заявлению Dorado, средства доступа Redcell способны обеспечивать работу сетевой инфраструктуры в режиме аренды устройств многими пользователями. Однако на деле этот продукт не позволяет ни разбивать систему на разделы, ни создавать и осуществлять доступ к подгруппам, основанным на подмножествах пользовательских объектов, таких, как устройства и каналы связи. С целью аутентификации, Redcell способен осуществлять доступ к любой LDAP-совместимой службе справочника.

Что касается функции автообнаружения устройств, то Redcell находил устройства Cisco 7200 и Juniper. Однако устройства Cisco не обнаруживались как маршрутизаторы 7200, или даже просто как маршрутизаторы. Такая ситуация с обнаружением сетевых устройств является весьма распространенной проблемой, причиной которой кроется в том, что производители не соизволили зарегистрировать все свои системные идентификаторы SNMP. Может показаться, что устройства Cisco 7200 будут иметь единый идентификатор, но это не так - тогда все было бы слишком просто. На самом деле, маршрутизаторы 7200 имеют четыре идентификатора. Dorado зарегистрировала только два из них, в то время как наши устройства имели еще два других, незарегистрированных идентификатора.

К тому времени, когда вы будете читать эту статью, Dorado уже выпустит версию 3.0 своего продукта Redcell. По существу, было технически возможно сделать это еще в декабре прошлого года, когда тестирование близилось к концу, правда, без драйверов устройств, необходимых для разработки правил системной политики. С выпуском этих самых драйверов связаны самые большие проблемы, относящиеся к сфере продуктов сетевого управления, основанных на системной политике - всякий раз, когда они выпускают новую версию своего ПО, или производители компонентов сетевой инфраструктуры выпускают новые версии своего оборудования, драйверы устройств должны проходить полное тестирование на соответствие новому ПО или оборудованию.

Так же как и для Formulator, схема ценообразования для Redcell является относительно сложной. Это объясняется тем, что Dorado выпускает ряд продуктов сетевого управления, использующих шину связующего ПО Oware. Поэтому, хотя начальная стоимость продукта является относительно высокой, когда вы покупаете дополнительные модули управления, связующее ПО у вас уже имеется в наличии. Так же как и для Service Activator, цена Redcell складывается из стоимости каждого сервера (или административного места (Administrative Seat), если следовать терминологии Dorado) и стоимости каждого драйвера устройств, используемого серверами. Здесь подразумевается, что каждому производителю устройств соответствует один драйвер. Так, все оборудование Cisco управляется одним драйвером. Dorado оценила стоимость одного сервера версии 3.0 (без драйверов) в 45 тыс. долл.

Методика тестирования ПО сетевого управления, основанного на политиках

Мы организовали тестовую сеть, состоящую из коммутаторов и маршрутизаторов Cisco Systems, Extreme Networks и Juniper Networks (см. рис. "Тестовая сеть"). Чтобы проверить, как управляющие станции всех трех производителей выполняют автообнаружение сетевых устройств, повторно конфигурируют их и устанавливают новые конфигурации, мы подключили их к нашей тестовой сети. На устройствах, поддерживаемых продуктами Dorado Software и Orchestream, мы установили параметры гарантированного качества обслуживания трафика (QoS), а для ПО Orchestream организовали еще и сеть VPN MPLS.

Мы оценивали каждый продукт с точки зрения его способности устанавливать и управлять конфигурациями, включая заполнение базы данных информацией об устройствах. При тестировании функции автообнаружения сетевых устройств мы не отключали и не добавляли новые узлы, поскольку этот процесс обычно отрабатывается приложениями сетевого управления некорректно. На что мы действительно обращали внимание, так это на то, как использовались результаты инвентаризации сети: проводилась ли классификация обнаруженных устройств и интерфейсов, и принимались ли эти данные во внимание при рассылке правил системной политики по устройствам.

Кроме того, нас интересовало наличие в продуктах средств обработки событий, способных уведомлять нас об исключительных ситуациях в сети и контролировать правила системной политики после их установки. Чем более значимыми являются изначально сконфигурированные в продуктах управления события, тем лучше. Мы также проверяли, насколько интеллектуально продукты классифицировали события по типам (информационные сообщения, предупреждающие сообщения, ошибки) и контролировали корреляцию состояний устройств между событиями. Например, после исправления ошибки текущий статус устройства должен указывать на отсутствие таковой, однако цепочка событий, связанных с возникновением этой ошибки, должна быть обязательно зафиксирована в журнале аудита.

И наконец, чтобы определить максимальные возможности пользовательского доступа к приложению и возможности совместного доступа к нему нескольких внешних и внутренних групп пользователей, мы оценивали степень детализации контроля доступа.

Чтобы сравнить схемы ценообразования, предлагаемые производителями протестированных нами продуктов, мы рассмотрели три различных практических сценария: единый узел из 100 управляемых интерфейсов, узел с двойным управлением, насчитывающий 1000 управляемых интерфейсов, и узел, распределенный в 10 пунктах и насчитывающий 10 тыс. управляемых интерфейсов. По нашим подсчетам, в каждом из сценариев потребуются, по меньшей мере, два семейства драйверов устройств. Например, мы предположили, что в этих сценариях управляемыми устройствами являются как продукты Cisco, так и продукты Juniper. Кроме того, мы не стали конкретизировать число серверов, а позволили самим разработчикам продуктов решать, нужно ли для поддержки нескольких узлов использовать несколько серверов, как это делают Gold Wire и Orchestream, или нет. Представленную информацию о ценообразовании следует рассматривать всего лишь как справочную - в ней не содержится сведений ни о скидках, ни об отказоустойчивости, ни о требуемом оборудовании, ни о затратах на реализацию продуктов.

Таблица 1.


Инструментальные средства управления, основанные на системной политике

Критерий оценки

Значимость критерия, %

Service Activator 3.0 компании Orchestream

Formulator 2.0 компании Gold Wire Technology

Redcell Suite 2.1 компании Dorado Software

Средства конфигурирования

25

4

4

3

Средства аудита

20

5

4

3

Средства обработки событий

20

5

3

4

Контроль доступа

15

5

4

4

Цена

10

2

4

4

Простота использования

10

5

4

2

Итоговая оценка

 

4,45

3,80

3,35

Примечание. Оценки выставлялись по пятибалльной системе

Таблица 2.


Характеристики ПО сетевого управления, основанного на системной политике

Характеристика

Redcell Suite 2.1 компании Dorado Software

Formulator 2.0 компании Gold Wire Technology

Service Activator 3.0 компании Orchestream

Консольная операционная среда

Microsoft Windows NT, 2000; Sun Solaris

Основанная на Web

Microsoft Windows NT, 2000; Sun Solaris

Серверная операционная среда

Microsoft Windows NT, 2000; Sun Solaris

Sun Solaris 2.6 - 2.8

Microsoft Windows NT, 2000; Sun Solaris

Поддерживаемые базы данных

Oracle, MySQL, Versant (встроенная)

Oracle 8i

Oracle, Microsoft Access (для тестирования)

Поддержка стандартных отчетов

l

l

l (частично)

Генератор отчетов

l

m

m

Обеспечение безопасного telnet-доступа к сетевым устройствам и его регистрация

m

l

m

Поддержка определяемых пользователем ролей доступа

l

l

l

Поддержка определяемых пользователем групп доступа

l

l

l

Поддержка определяемых пользователем ролей устройств

l

l

l

Автообнаружение сетевых устройств

l

m

l

Автообнаружение конфигураций

l

m

l

Планировщик обновлений конфигураций

l

l

l

Аудит запланированных конфигураций

m

l

l

Поддержка служб справочников для доступа пользователей к приложениям

l (LDAP и профессиональные службы)

l (TACACS)

m

Поддержка служб справочников для хранения конфигурационных параметров

l (LDAP и профессиональные службы)

l (TACACS)

m

Поддержка режима одновременного арендования устройств несколькими пользователями (multitenancy)

m

m

l

Наличие средств регистрации производительности

l

m

m

Мониторинг соглашений SLA

l

m

m

Применение конфигураций, основанных на соглашениях SLA

l

m

l

Планирование аудита конфигураций

m

l

l

Поддержка средств QoS/технологии и стандарты QoS

l/DiffServ, IP Precedence

m

l/DiffServ, обработка очередей на основе классов PHB (per-hop behavior, все стандартные механизмы, включая профилирование трафика Frame Relay и ATM), маркировка заголовков пакетов IP и MPLS, определение политик, ограничение скорости, стандарты, поддерживаемые многими производителями

Возможность конфигурирования VLAN

m

l

l (посредством CDK или функции Juniper CCC (Circuit Cross Connect), представляющей собой обобщенную модель политик VLAN версии 3.1 Service Activator)

Возможность конфигурирования VPN IPsec

m

m

l (посредством CDK)

Возможность конфигурирования VPN MPLS

m

m

l

Контроль автоматически сгенерированных конфигураций устройств на соответствие политикам

m

m

l

Поддержка обновлений паролей доступа к устройствам

m

l

l (посредством CDK)

Наличие других приложений, основанных на политиках

Модуль MetaPolicy является наращиваемым

Н/д

Приложения обеспечения безопасности, приложения управления списками ACL сетевого уровня

Поддержка интерфейса API

Oware Creation Center (пакет разработки API)

CORBA, PERL

OSS Integraion Manager (OIM); все функции продукта запускались в поточном автоматическом режиме (или режиме пользовательской самоактивации услуг) через интерфейс API

Примерная цена продукта, способного поддерживать 100 интерфейсов узла, расположенного в одном месте, тыс. долл.

125

50

115,5

Примерная цена продукта, способного поддерживать 1000 интерфейсов узла, расположенного в двух пунктах, тыс. долл.

135

100

271

Примерная цена продукта, способного поддерживать 10000 интерфейсов узла, расположенного в десяти пунктах, тыс. долл.

155

275

1 296

Стоимость профессиональных услуг включается в цену продукта

m

l (услуги по обучению персонала и инсталляции продукта)

l (услуги по обучению персонала и инсталляции продукта)

Гарантийный срок обслуживания

1 год

1 год

1 год

Стоимость ежегодного технического обслуживания продукта в процентах от его цены

20% (стандартное обслуживание), 25% (с дополнительным обслуживанием)

15-22%

20%

Примечание. l -- да, m -- нет, Н/д -- нет данных

Коротко о продуктах


Redcell Suite 2.1
Фирма: Dorado Software
http://www.doradsoftware.com

Formulator 2.0
Фирма: Gold Wire Technology
http://www.goldwiretech.com

Service Activator 3.0
Фирма: Orchestream
http://www.orchestream.com





  
6 '2002
СОДЕРЖАНИЕ

колонка редактора

• Большие надежды мобильной телефонии

бизнес

• Metro глазами Cisco

локальные сети

• Кабель с повышенной сопротивляемостью горению делает пленумные полости более безопасными

• Как предотвратить отказы в оптоволоконной сети

• Умный дом

корпоративные сети

• Сети SAN: разумный подход важен как никогда

• SANavigator побеждает

• Для тех, кто помешан на сетевом управлении

• Нет стандартов - нет управления на базе системной политики

• Интрасеть от А до Я

• Тестируем инструментальные средства коллективной работы

услуги сетей связи

• Технологии больших городов

• IP-маршрутизация: RIP и OSPF

• Простота как основа качества обслуживания

• NetIQ предлагает лучшее средство анализа Web-трафика

• Сжимаем видео, или Как работают видеокодеки

• "Клирингхауз" - новое слово в отечественном VoIP-строительстве

защита данных

• PKI: Время принимать решение

• Выявление краденых кредитных карт требует старания и терпения

новые продукты

• Весенние новинки RAD; Lucent исполняет желания

только на сервере

• Корпоративные межсетевые экраны. Руководство покупателя

• ПО сетевого управления, основанное на системной политике


• Калейдоскоп



 Copyright © 1997-2005 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх