Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем консольные серверы

Кертис Франклин-младший

Использование консольных серверов заметно сокращает число необходимых соединительных кабелей. Протестировав три таких продукта, мы пришли к выводу, что лучшим из них является устройство SecureLinx компании Lantronix, в котором наилучшим образом сочетаются функциональные возможности, цена и простота использования.

Вряд ли кому-нибудь из вас понравится целый день напролет оконцовывать последовательные кабели и тянуть их к коммутатору. Еще меньше вам захочется, ползая за аппаратной стойкой, подсоединять консольные кабели к редко используемым портам.

Как и переключатели KVM, консольные серверы позволяют подключать отдельные сетевые устройства к последовательным консольным портам. Однако, будучи наделенными такими функциями безопасности, как аутентификация пользователей и шифрование данных, эти серверы идут еще дальше, — с их помощью администраторы могут подключаться к консольным портам удаленно.

Полную версию данной статьи смотрите во 2-ом номере журнала за 2005 год.

В нашей лаборатории в Гейнсвилле, шт. Флорида, мы протестировали три консольных сервера — AlterPath ACS16 компании Cyclades, Digi CM16 компании Digi International и SecureLinx SLC16 компании Lantronix. Все они предоставляют не только достаточное количество последовательных выходных портов, но и один или более интерфейсов Ethernet для пользовательского доступа. Каждый сервер также имеет последовательный консольный управляющий порт, используемый исключительно в целях конфигурирования и управления сервером — его нельзя применять в качестве пользовательского порта, чтобы контролировать другие подключенные к серверу устройства. Перечисленные возможности являются настоящей находкой для сверхзагруженного сетевого администратора.

Принять участие в нашем тестировании мы приглашали и другие фирмы, в том числе Belkin, Broadax Systems, Echelon, GlobeTek, Moxa, Network Technologies, Perle, PolyWell, Sena, TEK DigiTel и Qualtech. Последняя отклонила наше предложение, сославшись на несоответствие ее продукта нашим критериям отбора. Остальные же фирмы просто проигнорировали наше приглашение. Интересно, чем оно не понравилось им?

Мы затребовали, чтобы каждое тестируемое устройство было оснащено по меньшей мере 16 портами, средствами аутентификации пользователей и шифрования трафика. Одной из ключевых возможностей протестированных нами консольных серверов было восстановление их работоспособности после внезапного отключения электропитания. Чтобы оценить эффективность такого процесса, мы инициировали сеансы связи с несколькими устройствами, а затем выдергивали шнур электропитания тестируемого консольного сервера из настенной розетки. Спустя 30 с мы снова подключали консольный сервер к электросети и ждали, пока он перезагрузится. Когда сервер был готов к работе, были сделаны попытки возобновить сеансы связи.

Все три сервера корректно завершали сеансы связи на своих собственных портах, позволяя нам повторно подключаться к устройствам. Эта новая функция отсутствует в продуктах предшествовавшего поколения. Кроме того, они предоставляют возможности по организации защищенных сеансов связи, аутентификации локальных пользователей и аутентификации удаленных пользователей посредством служб RADIUS и LDAP. Каждый из консольных серверов можно конфигурировать посредством двух интерфейсов — браузерного и командной строки (CLI). Если у вас имеется одна-две стойки с активным сетевым оборудованием и вам нужен сервер, упрощающий подключение ко всем этим устройствам, вы смело можете использовать любой из протестированных нами продуктов: все три участвовавших в тестировании производителя выпускают консольные серверы с различным числом выходных портов. Однако 16-портовый консольный сервер, с нашей точки зрения, является оптимальным для предприятий малого и среднего бизнеса и может служить в качестве компоновочного блока для крупномасштабных корпоративных инсталляций.

Основные различия

Несмотря на принципиальное сходство протестированных нами серверов, они отличаются друг от друга по своим ключевым возможностям. Например, сервер компании Digi сверхпрост в конфигурировании и использовании и предоставляет самый широкий набор методов внутренней и внешней аутентификации, но не поддерживает сложные сценарии регистрации входа в систему и маршрутизации трафика для устройств. Продукт SecureLinx SLC16 фирмы Lantronix имеет превосходные средства поддержки удаленных инсталляций, возможность конфигурирования с передней панели, резервные источники питания, простые средства конфигурирования параметров соединений и маршрутизации трафика вкупе с самым полным набором встроенных опций генерации отчетов. Однако его среда программирования и маршрутизации функционально не столь богата, как аналогичная среда Cyclades AlterPath, и он не предо-ставляет такой широкий набор методов аутентификации, как Digi. Поддерживая технологии SSH и IPsec VPN, а также широкий набор опций программирования маршрутизации и соединений, продукт Cyclades AlterPath имеет самые гибкие возможности конфигурирования, однако для того, чтобы воспользоваться всеми этими возможностями в полной мере, вы должны знать ОС Linux как свои пять пальцев.

Выбор лучшего консольного сервера из всех протестированных нами продуктов оказался далеко не простым делом, но в конце концов титул победите-ля достался продукту Lantronix SLC16 за его гибкость конфигурирования, простоту использования и встроенные возможности. В сервере SecureLinx сочетаются лучшие черты серверов Cyclades и Digi, и он предоставляет обширные возможности для программирования соединений и маршрутизации трафика, не требуя редактирования конфигурационных файлов вручную. Кроме того, стоимость этого продукта примерно равна усредненной стоимости устройств от компаний Cyclades и Digi, что обеспечивает ему явное преимущество с точки зрения соотношения цена/производительность.

SecureLinx SLC Console Manager SLC16 компании Lantronix

Продукт SLC16 выделялся на фоне других продуктов. Во-первых, это единственное устройство, обеспечивающее конфигурирование с передней панели, что немаловажно в случае удаленных или закрытых инсталляций (внутри телекоммуникационного шкафа). Во-вторых, среди всех протестированных нами устройств он единственный имеет самый полный набор встроенных возможностей администрирования и генерации отчетов.

Как и другие предоставленные нам системы, SLC16 поддерживает не только аутентификацию локальных пользователей посредством собственной БД, но и внешнюю аутентификацию посредством серверов RADIUS, LDAP, CHAP, PAP и NIS. Кроме того, мы могли шифровать входящий и исходящий трафики SLC16 с помощью протокола SSH.

Если продукты компаний Cyclades и Digi предоставляют функции и документированные примеры, ориентированные главным образом на управление консольными серверами и сетевой инфраструктурой, то меню продукта SLC16 позволяет контролировать модемы, сетевые интерфейсы и те устройства, которые содержат или используют модемы и другие коммуникационные интерфейсы (такие, как DSL или ISDN) для управления множеством других устройств и сервисов или при генерации отчетов для них. Это не означает, что эту систему нельзя применять в качестве шлюза для устанавливаемых в стойку межсетевых экранов и маршрутизаторов. Однако предоставление таких параметров, как Connect at Time (время соединения), Flow Direction (направление потока) и Dialing Instructions (команды дозвона), размещаемых на самых верхних уровнях меню, а не “спрятанных”, как это часто бывает, в дополнительных меню или конфигурационных файлах, указывает на то, что Lantronix “фокусирует свое внимание” на устройствах, имеющих множество коммуникационных интерфейсов в целях резервирования соединений или многоканального контроля и взаимодействия с себе подобными или иными устройствами. Кроме того, SLC16 является единственным протестированным нами устройством, имеющим резервный источник питания, который обеспечивает его постоянную готовность и повышает “жизнеспособность” для применения в условиях закрытых телекоммуникационных шкафов критически важных удаленных узлов.

Используя опцию Dialing Instructions главного меню, мы легко настроили сервер SLC16 на режим контроля модемов. Как и другие протестированные нами системы, он корректно разрывает соединения при внезапном отключении электропитания и быстро перезагружается после его восстановления. Однако в отличие от продуктов Cyclades и Digi сервер SLC16 предоставляет такой простой в конфигурировании параметр Web-сеанса, как лимитированное время тайм-аута, что позволяет легко адаптировать работу устройства к специфическим требованиям безопасности. Продукт компании Lantronix поддерживает также защищенный Web-доступ на основе протокола SSL.

Система Lantronix обеспечивает отправку файлов журналов регистрации на сервер syslog или NFS, уведомляя об этом с помощью сообщений SNMP или электронной почты. Сервер SLC16 допускает пять уровней детализации журнальных записей, идентифицируемых по имени порта. Кроме того, в его пользовательском интерфейсе имеются полдюжины “радиокнопок”, позволяющих генерировать отчеты по ключевым параметрам для отдельных портов, соединений, маршрутов и консольного сервера в целом. Нам понравился пользовательский интерфейс SLC16, графически отображающий само устройство и его порты. Используя это графическое изображение, можно выбирать порты для контроля их статуса и конфигурирования.

Продукт SLC16 предоставляет более полный, чем другие протестированные нами устройства, набор диагностических возможностей, включая NetStat (сетевая статистика), ARP Table (таблица разрешения адресов) и Host Lookup (поиск хоста). Возможности маршрутизации в части определения параметров соединений у сервера SLC16 аналогичны таковым у продукта Cyclades. Большие возможности по маршрутизации и диагностированию позволяют использовать продукт компании Lantronix для удаленного доступа к рассредоточенным по обширной территории системам.

Если простые базовые возможности по конфигурированию и встроенные возможности по управлению в полевых условиях являются для вас первостепенными, то сервер SLC16 — это ваш оптимальный выбор. Хотя он и не поддерживает столь широкий набор опций аутентификации пользователей и шифрования файлов, как его соперники, но удобный в использовании графический интерфейс этого продукта предоставляет превосходные возможности управления соединениями.

AlterPath ACS16 компании Cyclades

Устройство AlterPath основано на ОС Linux. Если вы знаете эту ОС достаточно глубоко, то наверняка сочтете сервер ACS16 легко конфигурируемым и гибким решением проблемы доступа к консольным портам. Если же вы не являетесь экспертом в области Linux, то многие задачи конфигурирования и управления ACS16 вы сможете решать посредством графического Web-интерфейса. Правда, чтобы использовать более продвинутые опции конфигурирования этого продукта, вам все-таки придется затратить немало усилий на изучение этой трудной в освоении ОС.

ACS16 можно применять в качестве относительно простого консольного сервера, однако в этом случае останется нераскрытым его мощный потенциал, включающий самое большое число опций безопасности и конфигурирования среди всех протестированных нами продуктов. Продукт ACS16 можно использовать не только в качестве коммуникационного средства для подключения к консольным портам, но и как сервер, посредством которого пользователи могут регистрироваться в сети, выполнять процедуру аутентификации, инкапсулировать регистрационные данные в пакеты приложений и передавать их на другие устройства.

Если два других продукта предназначены в основном для подключения к портам консольного сервера, то ACS16 функционирует как продвинутый сервер, поддерживающий возможность создания для каждого пользователя индивидуально настраиваемых меню и опций. Такие “именные” опции позволяют писать сценарии регистрации входа в систему, инициирующие соответствующие сеансы связи, опции безопасности и параметры конфигурации которых настраиваются непосредственно при запуске.

Конфигурировать устройство ACS16 мы начали с подключения к его консольному порту, затем зарегистрировались в системе и запустили программу-мастер настройки основных сетевых параметров. Остальные базовые параметры конфигурирования мы настраивали посредством графического интерфейса браузерного типа, способного работать в двух режимах — мастера и экспертном. Программа-мастер провела нас через все базовые настройки системы ACS16, тогда как работа в экспертном режиме позволила нам подстроить отдельные параметры.

Индивидуальную настройку параметров безопасности мы начали с аутентификации пользователя. Сервер ACS16 позволяет проверять аутентификационные данные пользователя на соответствие содержимому своей внутренней БД или содержимому внешних БД RADIUS, Tacacs, Kerberos или LDAP. С помощью Web-интерфейса легко создавались списки пользователей и привилегий для внутренней аутентификации. Внешняя аутентификация привязывается к индивидуальным портам, и осуществляется это либо посредством Web-интерфейса, либо при редактировании файлов параметров с помощью текстового редактора vi или программы-мастера.

Продукт ACS16 предоставляет две возможности шифрования трафика — по технологии SSH/SSH2 и технологии IPsec. Для реализации виртуальной частной сети Ipsec VPN компания Cyclades использовала свободно распространяемое ПО FreeS/WAN (http://www.freeswan.org). Активизация сети VPN была достаточно простой, однако в технической документации на систему ACS16 мы нашли-таки два опрометчивых заявления, наиболее смелым из которых является предположение о том, что на ноутбуках мобильных пользователей будет использоваться преимущественно Linux, а не Windows.

После того как с помощью алгоритма RSA мы сгенерировали открытый ключ и с помощью программы vi отредактировали пару файлов, сеть VPN была полностью сконфигурирована и работала точно так, как описано в документации. Компания Cyclades предупреждает о том, что могут возникнуть трудности, связанные с конфигурированием и эксплуатацией VPN в средах, содержащих устройства NAT или DHCP на клиентской стороне. Однако, когда в ходе нашего тестирования мы осуществляли доступ к серверу ACS16 с клиента, расположенного на другой стороне внешнего маршрутизатора NAT, то не испытали никаких проблем. Такие трудности, вероятно, могут иметь место при слишком частом обновлении клиентским DHCP-сервером пула сетевых адресов или если вы держите сеанс открытым очень долго и адрес клиента перестает соответствовать адресу, использованному при инициализации VPN.

Продукт ACS16 оснащен полнофункциональным встроенным межсетевым экраном и может применяться в качестве выделенного маршрутизирующего устройства. Если, надеясь сократить общее число сетевых компонентов, вы создаете систему для контроля серверов и устройств сетевой инфраструктуры, то система компании Cyclades удовлетворит ваши функциональные потребности лучше любой другой системы. В ходе нашего тестирования мы установили, что ACS16 аккуратно восстанавливается после внезапного отключения электропитания, блокируя при этом все свои соединения по времени и не вызывая “зависания” консольных сеансов связи. Однако единовременно зарегистрироваться в системе ACS16 может только один администратор: мы пытались сделать это для того, чтобы управлять ею со многих машин, однако неизменно получали уведомление о том, что администратор уже зарегистрирован.

По гибкости и богатству функциональных возможностей продукт Cyclades превосходит всех своих соперников, однако и у него имеются недостатки. Так, например, хотя продукт ACS16 может отсылать файлы системного журнала на центральный сервер, у него отсутствуют встроенные средства просмотра журналов или генерации отчетов. Для столь функционально богатого устройства этот факт является полной неожиданностью. Действительно, AS16 создает детальные файлы регистрации, содержащие такую информацию, как имя и адрес сгенерировавшего их хоста, название приложения, сгенерировавшего уведомление, и опции, позволяющие отправлять предупреждающие сообщения, которые генерируются различными присоединенными устройствами, на разные серверы системных журналов. Однако эти столь богатые возможности генерации журналов делают отсутствие внутреннего простого в использовании средства их просмотра еще более вопиющим недоразумением.

Многие опции конфигурирования продукта Cyclades встроены в его основанные на Web и консольном меню интерфейсы пользователя. Но, чтобы полностью использовать возможности ACS16, вам придется редактировать конфигурационные файлы вручную. Таким образом, для тех, кто хорошо знаком с текстовым редактором vi, продукт ACS16 станет исключительно функционально богатым консольным сервером.

Digi CM16 компании Digi International

Если система компании Cyclades продемонстрировала все, на что она способна, лишь после того, как мы, засучив рукава, отредактировали ее конфигурационные файлы, то продукт Digi CM16 вел себя как простая в использовании система, все функции которой практически конфигурируются и управляются посредством графического интерфейса. Сервер Digi CM16 предоставляет также основанный на текстовом меню интерфейс CLI, позволяющий манипулировать непосредственно операционной системой Hard Hat Linux компании Digi. Однако большинство пользователей никогда не будут использовать что-либо, кроме Web-интерфейса.

После того как мы сконфигурировали исходные сетевые параметры, CM16 оттранслировал адреса и номера всем своим 16 последовательным портам. Таким образом, мы могли обращаться к подключенным к нему устройствам посредством индивидуальных IP-адресов или единого IP-адреса, используя диапазон портов подключения. CM16 поддерживает методы аутентификации пользователей, основанные на Kerberos, LDAP, RADIUS, TACACS+ или списках локальных пользователей. Аутентификация RADIUS была очень простой и настраивалась с помощью опций меню. Не менее простой была и организация базы данных с информацией о локальных пользователях, привилегии которых варьировались от пользователя к пользователю и от порта к порту.

Сервер CM16 поддерживает шифрование трафика по протоколу SSHv2, а также фильтрацию пользовательского трафика на основе IP-адресов отправителей. Мы считаем, что средств аутентификации у этого продукта вполне достаточно для применения в большинстве практических случаев, а средств шифрования — для большей части сценариев управления при условии, что пользователи выберут для администрирования Web-интерфейс.

Нас буквально ошеломило обилие самых разных меню администрирования, таких, как “конфигурирование всех последовательных портов”, “конфигурирование групп последовательных портов” и “конфигурирование индивидуальных портов”. Все эти меню были логично скомпонованы, причем меню более низкого уровня хорошо просматривались среди расположенных ярусами ярлыков меню более высокого уровня.

Из наиболее интересных возможностей продукта CM16 следует отметить наличие специальной консоли администрирования (Special Administration Console) для ОС Windows 2003. На переднем плане этого графического интерфейса размещаются вызовы аварийных функций, таких, как Shutdown, Show и Kill Process, а также Show и Configure Network Interface. Мы нашли, что процесс конфигурирования этого устройства немного утомительный, но не более сложный, чем редактирование конфигурационных файлов Cyclades ACS16.

Мы смогли настроить сервер CM16 таким образом, чтобы он отправлял файлы регистрации на сервер системного журнала и уведомлял нас об этом с помощью сообщений электронной почты или SNMP. Система генерировала несколько ключевых статусных страниц, позволявших нам просматривать статус наиболее важных параметров (таких, как используемые порты, ошибки или предупреждающие сообщения и статус пользователей) посредством браузера.

Хотя система CM16 поддерживает значительно меньше опций конфигурирования хранимой в журналах информации, чем устройство компании Cyclades, ее превосходные встроенные инструментальные средства помогают скомпенсировать недостаток этих опций для многих пользователей. Например, система CM16 способна идентифицировать записи журнала регистрации не по номеру порта, а по его имени, что несколько упрощает идентификацию проблем. Если вам подозрительно поведение отдельного последовательного интерфейса, то можно переключиться в режим анализатора трафика (sniff), просмотреть весь проходящий через этот порт трафик и в случае необходимости принять соответствующие меры. Простое в использовании устройство компании Digi предоставляет не только моментальные снимки статусных страниц и интерфейс анализатора, но и надежные функции управления и администрирования.

При тестировании возможностей восстановления устройства CM16 после внезапного отключения электропитания оно не оставило на нашем тестовом оборудовании ни одного “зависшего” сеанса связи. Единственная обнаруженная нами проблема безопасности состояла в том, что управляющие Web-сеансы оставались активными в течение весьма продолжительного времени. Основанная на Web система управления сервера CM16 не предоставляет возможности, позволяющей изменить ее максимально допустимое время тайм-аута. Если при отсутствии в течение нескольких минут активности со стороны администратора система компании Cyclades требует выполнения повторной аутентификации, то систему компании Digi мы могли оставить одну достаточно продолжительное время, а вернувшись, продолжить сеанс как ни в чем не бывало.

Digi CM16 — это гибкий консольный сервер, большинство базовых функций которого легко и быстро конфигурируются. Если вы ищете недорогой, просто устроенный и легкий в освоении консольный сервер, то Digi CM16 — это тот продукт, который вам нужен..





  
2 '2005
СОДЕРЖАНИЕ

бизнес

• Поддержка от производителя за разумную цену

• Рождение контакт-центра

инфраструктура

• Тестируем продукты управления сетевыми ресурсами

• Тестируем консольные серверы

• Сеть «золотого» стандарта

• Совершенная сеть. Попытка номер 2

• Когда оборудование выходит из строя

информационные системы

• Системы записи вызовов для call-центров

• Электронные социальные карты

сети связи

• Тестируем SIP-УАТС компании Interactive Intelligence

• Выбираем оборудование для видеотрансляций

кабельные системы

• Прогресс в области UTP-кабелей

• Огнезадерживающие средства развиваются

защита данных

• Восстановление систем после атак

новые продукты

• CompactLAN — СКС для малого бизнеса; Экранированная кабельная система EuroLAN; Extreme вырастила «тополя»


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх