Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Реальные системы для виртуальных коммутируемых частных сетей

Майк Фратто

Реализация удаленного доступа пользователей к ресурсам локальной сети предприятия связана с трудностями решения ряда технических и организационных проблем. Одна из них — установка и обслуживание модемного пула. Внедрение технологии виртуальных коммутируемых частных сетей (Virtual Dial-up Private Network — VDPN) позволит избежать этого. Дело в том, что при наличии VDPN пользователь соединяется по телефонной линии не с сервером удаленного доступа в локальной сети предприятия, а с хост-машиной местного поставщика услуг Интернет. При этом в случае удаления пользователей от ЛВС предприятия на значительные расстояния достигается большая экономия в оплате дальней связи.

Используемые в VDPN протоколы Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Forwarding (L2F) направляют трафик PPP (Point-to-Point Protocol) от сервера доступа к сети — модемного пула или узла поставщика услуг Интернет — на совместимый с PPTP и/или L2F шлюз, который находится в ЛВС назначения (корпоративный шлюз). Однако ни в одном из этих протоколов не предусмотрены шифрование данных или аутентификация пользователей — они просто "отвечают" за доставку пакетов.

Мы протестировали пять серверов удаленного доступа для VDPN, поддерживающих протоколы PPTP и/или L2F. Уделив основное внимание работе устройств с этими протоколами, мы также исследовали их возможности по регистрации сведений о туннелях (логических соединениях в среде TCP/IP, реализуемых с помощью PPTP и L2F).

Кроме того, нас интересовали поддерживаемые серверами методы авторизации пользователей и маршрутизации вызовов, а также их функции выдачи сведений о соединениях пользователей (оценивалась возможность получить какую-либо дополнительную информацию о них, кроме сведений о времени установления соединения и его разрыва). Возможности генерации отчетов и регистрации VDPN-соединений у всех серверов были примерно одинаковые. Как и ожидалось, протестированные продукты выдавали некоторую дополнительную информацию о параметрах VDPN.

Почти все протестированные устройства показали примерно одно и то же время (с разницей менее 2 с) FTP-передачи при использовании протоколов PPP и VDPN (PPTP или L2F). Лишь концентратор Total Control Enterprise Network Hub фирмы U.S. Robotics (в составе 3Com) по PPTP работал значительно медленнее, чем по PPP (FTP-передача с помощью PTPP осуществлялась медленнее почти на 8 с).

По результатам наших испытаний первое и второе места заняли устройства AS5200 Universal Access Server фирмы Cisco Systems и LanRover Access Switch фирмы Shiva соответственно. Оба продемонстрировали превосходную пропускную способность при высоких тестовых нагрузках и наличие множества функциональных возможностей. Но, пожалуй, самый широкий диапазон возможностей оказался у продукта Access Integrator фирмы Microcom (после того как эту фирму приобрела корпорация Compaq Computer, продукт Access Integrator получил новое название — Compaq Microcom 6000. — Прим. ред.). Он единственный из протестированных устройств поддерживает как PPTP, так и L2F. Последние места в нашем тестировании заняли концентратор Total Control Enterprise Network Hub фирмы U.S. Robotics и коммутатор AccessBuilder 5000 Enterprise LAN/WAN Switch фирмы 3Com. Оба они поддерживают только PPTP. Total Control Enterprise Network Hub оказался впереди благодаря своей способности динамически создавать туннель PPTP исходя из введенного имени пользователя.

В обзор не попало ни одно изделие фирмы Ascend Communications, так как на момент нашего тестирования у нее не оказалось готового продукта соответствующего класса.

AS5200 Universal Access Server фирмы Cisco Systems

Сервер AS5200 имеет широкий набор функциональных возможностей, включая поддержку службы RADIUS (Remote Authentication Dial-In User Service), протокола SNMP и системы TACACS+ (Terminal Access Controller Access Control System Plus). Кроме того, его развитые средства конфигурирования облегчают организацию удаленного доступа. Инструменты настройки сеансов связи, имеющиеся в IOS (Internetwork Operating System) фирмы Cisco, оказались весьма ценными в процессе начальной установки средств L2F и настройки серверов Access Integrator фирмы Microcom и LanRover Access Switch фирмы Shiva. Они позволяют проверять правильность работы средств передачи данных по протоколу L2F; с их же помощью нам удалось удостовериться в правильности работы средств аутентификации во всех устройствах, поддерживающих протокол L2F.

Конфигурация туннеля L2F оказалась несложной: IOS поддерживает туннель L2F так же, как обычный телекоммуникационный или сетевой интерфейс, и предоставляет администратору соответствующий шаблон для ввода параметров настройки. В результате управление туннелями L2F и, например, интерфейсом Ethernet осуществляется примерно одинаково.

После активизации средств поддержки L2F в систему можно ввести информацию о пользователях и настроить маршрутизацию вызовов исходя из имен пользователей. Все это не вызывает больших затруднений. Как и продукт Enterprise Network Hub фирмы U.S. Robotics, AS5200 поддерживает все распространенные способы авторизации пользователей, что наряду с другими свойствами и обеспечило ему наивысшую итоговую оценку. В ходе тестирования устройства мы применяли его внутренние средства ведения списка пользователей. После инициализации модемов на входных каналах и начала процесса согласования параметров канала PPP сервер AS5200 "берет" имя пользователя из пакетов согласования PPP и на его основе определяет, как следует далее обрабатывать вызов.

В то же время мы обнаружили, что с ростом числа соединений L2F общая пропускная способность сервера AS5200 падала. Во время тестирования такого не происходило ни с Access Integrator, ни с LanRover Access Switch. При испытаниях трех этих продуктов в качестве корпоративного шлюза мы применяли одно и то же устройство — маршрутизатор Cisco AS4700.

После консультаций с техническими специалистами, хорошо знающими AS5200, мы выяснили следующее. В ходе тестирования максимальный размер блока передачи данных PPP (Maximum Transmit Unit — MTU) был определен в объеме 1500 байт. Это обычный объем для PPP. Однако при наличии дополнительной информации, связанной с протоколом L2F, объем пакета увеличивался. Такой пакет "дробился" в интерфейсе L2F корпоративного шлюза и, переданный по туннелю, "собирался" сервером доступа к сети. Как только мы уменьшили MTU на AS5200 и AS4700, средняя длительность передачи данных пришла в норму, но все равно оставалась немного большей, чем у устройств фирм Shiva и Microcom.

LanRover Access Switch фирмы Shiva

Данное устройство довольно просто конфигурировать и эксплуатировать. В нем имеются средства поддержки L2F фирмы Shiva, большинство параметров которых вводятся через командные строки или текстовый редактор графической утилиты NetManager той же фирмы. После настройки Access Switch продемонстрировал очень высокую пропускную способность, схожие результаты показал и Access Integrator фирмы Microcom. Оба продукта оказались лучшими по производительности среди протестированных устройств. Позднее Shiva встроила в LAN Rover Access Switch поддержку PPTP.

Для запуска поддержки L2F в Access Switch сначала требуется ввести ряд параметров конфигурации, а затем перезапустить его. Чтобы активизировать L2F в действующем устройстве, необходимо временно отключить от него обслуживаемых пользователей. После надлежащего конфигурирования Access Switch работает безупречно.

При настройке параметров L2F мы выполнили ряд простейших проверок связи по туннелю. Кроме посылки тестовых запросов ping, позволяющих удостовериться в активности корпоративного шлюза, мы "открывали" туннель вручную, чтобы убедиться в правильности аутентификации пользователей системой. Access Switch оказался единственным продуктом, обеспечивающим такую возможность. Кроме того, он позволяет запускать средства регистрации сбоев, что помогает в настройке данного продукта.

В ходе наших испытаний мы настраивали Access Switch на маршрутизацию вызовов, исходя из номера, набранного удаленным пользователем (вызываемого номера). Вы можете определить группы входящих номеров, соответствующих разным корпоративным шлюзам. При поступлении вызова на Access Switch он проверяет, к какой группе относится вызываемый номер, и обрабатывает вызов соответствующим образом.

Access Integrator фирмы Microcom

Поддержка данным продуктом и PPTP и L2F делает его наиболее универсальным среди всех протестированных устройств. Он очень гибок по части возможностей создания VDPN. Стратегия фирмы Microcom состоит в том, чтобы предоставлять пользователям полное решение для удаленного доступа на предприятии. Наличие поддержки обоих протоколов VDPN гарантирует возможность взаимодействия с более разнообразной сетевой средой при использовании одних и тех же средств доступа по телефонным линиям. Однако в отличие от аппаратуры фирм Cisco и Shiva, продукт Access Integrator поддерживает только маршрутизацию по вызываемому номеру.

Access Integrator имеет шесть модемов, управляемых одним модемным модулем, который взаимодействует с остальными устройствами в составе Access Integrator, включая серверы удаленного доступа и модуль управления, через заднюю объединительную панель, фактически представляющую собой локальную IP-сеть. При установлении связи с серверами удаленного доступа туннели к корпоративным шлюзам, расположенным либо в самом Access Integrator, либо во внешней IP-сети, создает модемный модуль, а не плата управления. Данная особенность является одной из функций фирменной технологии Adaptive Switching и обеспечивает значительную гибкость туннелирования.

Если предприятие использует сетевую среду с серверами Windows NT и маршрутизаторами Cisco, то весь необходимый сервис удаленного доступа по телефонным линиям можно реализовать с помощью одного устройства Access Integrator.

О своей работе Access Integrator информирует через SNMP-извещения, которые адресуются управляющему приложению expressWATCH фирмы Microcom, входящему в его комплект поставки. Во время испытаний мы проверили работу данного механизма оповещения. В устройстве также имеются средства регистрации соединений, позволяющие получать информацию о их состоянии. Ряд функций Access Integrator настраиваются с помощью expressWATCH, но обработка и маршрутизация вызовов — через хорошо документированный (с подробными примерами настройки, что облегчает конфигурирование устройства) текстовый файл.

Реализация поддержки L2F, выполненная фирмой Microcom, отличается от соответствующих подходов фирм Shiva или Cisco. Аппаратура Shiva или Cisco создает один туннель между сервером доступа к сети и корпоративным шлюзом, а затем, по мере подключения к нему пользователей, вводит их данные в этот туннель. Таким образом, постоянно поддерживается один-единственный туннель, а каждому пользователю присваивается индивидуальный идентификатор, применяющийся для разделения потоков трафика в туннеле. Порты Access Integrator могут динамически конфигурироваться для работы по PPTP или L2F и для взаимодействия с разными корпоративными шлюзами. Каждый модем управляется как отдельный сервер доступа к сети и требует создания своего собственного туннеля.

Total Control Enterprise Network Hub фирмы U.S. Robotics

Мы не ожидали, что столкнемся с трудностями при настройке концентратора Total Control Enterprise Network Hub фирмы U.S. Robotics для работы с PPTP. Увы, в Total Control Manager (TCM) — графической утилите управления этим продуктом — отсутствует опция конфигурирования PPTP и для работы с протоколом PPTP каждый порт настраивается отдельно через командную строку, что довольно утомительно. К чести фирмы U.S. Robotics, рассматриваемый продукт поддерживает самые разные методы авторизации пользователей и создает PPTP-туннели исходя из имен пользователя и домена. Такой возможности нет у других испытанных PPTP-серверов удаленного доступа.

Соединения устанавливаются "без сучка без задоринки", если у вас есть RADIUS-сервер фирмы U.S. Robotics (модуль Total Control Security and Accounting Server). Благодаря настоящей версии микрокода в модуле Network Management Card все, что от вас требуется, — это описать ваших пользователей в базе данных сервера RADIUS. Мы использовали RADIUS-сервер фирмы U.S. Robotics, чтобы построить базу пользователей, включающую адреса корпоративных шлюзов. Total Control Network Hub также был настроен на маршрутизацию вызовов пользователей, не имеющих атрибутов PPTP, к корпоративному шлюзу по умолчанию.

Концентратор Network Hub показал невысокие результаты по производительности. Хотя мы и ожидали, что при использовании средств VDPN устройство будет работать медленнее, но разница между продолжительностью передач тестовых данных по протоколам PPP и PPTP просто изумила нас: она была неимоверно большой — 8 с. Несмотря на консультации со службой технической поддержки производителя, нам не удалось увеличить скорость при работе по PPTP. Мы начали испытания предоставленных нам устройств с Network Hub и конфигурацию нашей тестовой сети отлаживали уже в ходе его тестирования. Сначала время передачи тестового файла равнялось приблизительно 2 мин, что было в пять раз больше против ожидаемого. Проведя необходимые измерения, мы выяснили среднюю и пиковую загрузку сегмента Ethernet между маршрутизатором и корпоративным шлюзом на базе Windows NT — она составила 27 и около 40% соответственно.

С целью улучшения производительности тестовой сети мы установили сетевые интерфейсы c пропускной способностью 100 Мбит/с в маршрутизатор и корпоративный шлюз, а также подключили Network Hub и другой интерфейс маршрутизатора к коммутатору с портами 10/100 Мбит/с. Такое изменение сети уменьшило загрузку ее каналов до 10%, и Network Hub показал более высокие результаты.

AccessBuilder 5000 Enterprise LAN/WAN Switch фирмы 3Com

Достоинством данного устройства является хорошая масштабируемость, а недостатком — отсутствие в нем ряда полезных средств управления туннелями, аналогичных имеющимся в IOS фирмы Cisco. Его пропускная способность соответствует пропускной способности AS5200. Результаты их тестирования по этому параметру были приблизительно одинаковыми и при увеличении числа поддерживаемых портов изменялись слабо.

AccessBuilder 5000 и Access Integrator очень схожи между собой, поскольку построены на базе одного и того же шасси фирмы Microcom, общими компонентами этих серверов являются также модемы и средства управления ими той же фирмы. Однако AccessBuilder не поддерживает L2F, что делает его менее универсальным по сравнению с Access Integrator.

AccessBuilder "общается" с модемными модулями через заднюю объединительную панель, используя протокол PPTP. Входящие вызовы направляются корпоративным шлюзам согласно правилам, описанным в конфигурационных файлах модемов. Как уже говорилось, модемы и средства управления ими — это продукты фирмы Microcom, поэтому настройка маршрутизации вызовов в AccessBuilder осуществляется так же, как в Access Integrator. Маршрут PPTP-вызова определяется только на основании вызываемых номеров, а это снижает привлекательность продукта.

При работе с AccessBuilder инсталляция и конфигурирование PPTP-туннелей осуществляются с помощью управляющего приложения Transcend AccessBuilder Manager (TABM) фирмы 3Com. TABM позволяет контролировать и конфигурировать лишь те туннели, которые заканчиваются на AccessBuilder (туннели между модемными модулями и корпоративными шлюзами на базе Windows NT не поддерживаются). В случаях, когда модемное оборудование централизовано, а серверы удаленного доступа распределены по различным сетям, персонал этих сетей, даже не слишком квалифицированный, с помощью TABM будет легко устанавливать туннели и управлять ими. Модемные модули конфигурируются управляющей программой expressWATCH фирмы Microcom. В среде TABM можно подстраивать параметры управления потоком данных каждого устройства AccessBuilder системы доступа





  
11 '1997
СОДЕРЖАНИЕ

колонка редактора

• Нарушитель конвенции

локальные сети

• Коннектор - "узкое" место кабельной системы

• Коммутируемый Ethernet или разделяемый Fast Ethernet

• Когда не помогает хороший пинок

• Волоконно-оптический кабель - что это и зачем он нужен

• Удаленная загрузка - ваша "палочка-выручалочка"

корпоративные сети

• IP-коммутация: сражение за сетевые высоты

• Надоедливый "писк"

• Связующее ПО: на сцене статисты

• Качество обслуживания, или Как добиться неравенства в мире равноправия

• Системы управления уровня рабочей группы

• Грядет РИФ'98...

услуги сетей связи

• Услуги цифровой связи E1

• Рефлектометры для медных кабелей

• Телефонные гарнитуры: в серьезном бизнесе нет мелочей

• Технологии доступа. Делайте ваши ставки

• Руководство покупателя модемов формата Pc Card

интернет и интрасети

• Интернет для среднего офиса

• Мультимедиа в Интернет

защита данных

• Реальные системы для виртуальных коммутируемых частных сетей

новые продукты

• Три новинки Lucent Technologies, Парад новинок от HP, Что нам стоит сеть построить..., Быстрый и многофункциональный коммутатор от 3Com

только на сервере

• Интернет от... IBM

• Фирменное ПО управления сетевыми устройствами

• Исследуем производительность JDBC - интерфейсов

• В поисках унифицированной почтовой архитектуры



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх