Лицом к лицу

Готовы ли VPN к роли лидера?
	Да, если речь идет об удаленном доступе... ...Нет, если дело касается магистралей

Дискуссия солидных экспертов в области сетей о перспективах VPN любопытна еще и потому, что после приобретения Bay Networks корпорацией Northern Telecom они представляют одну компанию

Вот уже почти год ряд крупных производителей сетевого оборудования и масса мелких компаний вовсю расхваливают преимущества виртуальных частных сетей (virtual private networks, VPN). По существу, технология VPN дает возможность создавать сети extranet и использовать Internet для построения частных каналов связи, для организации электронной торговли и налаживания взаимодействия. Давайте будем откровенны - нельзя рассчитывать на то, что в ближайшем будущем VPN вытеснят корпоративные территориально распределенные сети. Но есть ряд областей, в которых достоинства виртуальных частных сетей могли бы в полной мере проявиться уже сегодня.

В частности, весьма многообещающе выглядит реализация на базе сетей VPN системы удаленного доступа. Создание собственной сети extranet, объединяющей 1000 пользователей, поможет корпорации сэкономить до 1 млн. долл. в год. Поскольку клиенты всегда звонят местному Internet-провайдеру, отпадает необходимость в оплате доступа (в случае бесплатных телефонных звонков). Кроме того, уменьшение количества устройств в сети значительно снижает стоимость управления и капитальных затрат. Многие крупные корпорации, такие как American Airlines/Sabre Labs и 3М, уже построили собственные сети extranet. Это позволило им не только сэкономить примерно 1000 долл. в год на каждого пользователя, но и обеспечить мобильным сотрудникам, деловым партнерам и клиентам оперативный доступ к ресурсам корпоративной сети. С появлением extranet организация модемной связи может быть возложена на поставщиков услуг. Тем самым пользователи получат возможность полностью сосредоточиться на вопросах бизнеса.

Виртуальные частные сети и сети extranet обладают большей масштабируемостью по сравнению с традиционными средствами удаленного доступа. Сегодня для подключения новых удаленных пользователей приходится приобретать дополнительные модемы и добавлять каналы T-1. Это решение требует больших временных и финансовых затрат и усложняет управление.

При наличии extranet новые клиенты, в том числе и деловые партнеры, подключаются к сети очень легко, без проведения сложной и дорогостоящей модернизации оборудования.

Конечно, полный отказ корпораций от имеющейся сетевой инфраструктуры и одновременный переход от существующих средств удаленного доступа и приложений, обеспечивающих поддержку взаимодействия и электронной торговли, к технологиям Internet невозможен.

Процесс будет протекать плавно, но каждое новое приложение, работающее через Internet, позволит сэкономить дополнительные ресурсы. Управление цепочкой поставок, например, станет более эффективным при установке связей через extranet между поставщиками и покупателями. Прямые связи поставщиков с предприятиями розничной торговли обеспечат более точное управление запасами. Создав постоянные каналы связи между деловыми партнерами, сети extranet позволят вывести электронную коммерцию за пределы оперативных транзакций. Следует заметить, что сеть Internet, поддерживающая ответственные приложения электронной коммерции, - это уже не прежняя дикая и необузданная Internet, а цивилизованная информационная инфраструктура бизнес-класса. Поставщики услуг верхнего уровня, например AT&T, Concentric, MCI, Sprint и UUNet, могут предложить новый уровень качества обслуживания, который повысит спрос на деловые приложения для Internet. Сети extranet и VPN представляют собой серьезную альтернативу традиционным средствам организации удаленного доступа. Сегодня корпорации еще не готовы к немедленному переводу цепочек поставок в магистрали Internet, однако начало технологическому обновлению уже положено, и в дальнейшем мир будет двигаться в сторону более безопасных, масштабируемых и управляемых сетей extranet.

Сегодня основное внимание рынка виртуальных частных сетей обращено в сторону VPN на базе Internet. Но не будьте наивными. Популярность этих VPN объясняется в основном хорошо оплачиваемой рекламой. На самом же деле они не готовы к тому, чтобы стать IP-магистралью для ответственных приложений, предъявляющих высокие требования к устойчивости, малому времени задержки и гарантированной минимальной пропускной способности на участке между двумя узлами. Хорошо еще, что этим выбор архитектур VPN не ограничивается, поэтому давайте повнимательнее присмотримся к существующим технологиям и примем разумное и обоснованное решение.

Первый класс виртуальных частных сетей на базе Internet расширяет возможности Internet средствами IP-туннелирования. Этот подход хорош с точки зрения стоимости и возможностей соединения. Однако VPN на базе Internet не дадут никакого выигрыша, если будут применяться в качестве корпоративных магистралей IP. Причина заключается в непредсказуемости Сети и ее неспособности защитить себя от вторжения злоумышленников. То же самое относится и к самоуправляемым VPN, в которых пользователь является как владельцем, так и администратором туннельных маршрутизаторов и безопасных платформ.

Второй класс виртуальных частных сетей предусматривает IP-туннелирование через сеть поставщика услуг Internet. Эти VPN не поддерживают ни одну из форм классов обслуживания (classes of services, CoS), не гарантируют нужной пропускной способности и не обеспечивают защиты от вторжения.

Третья архитектура VPN включает различные виды туннелирования: туннелирование виртуальных каналов поверх второго уровня сетей frame relay и постоянных виртуальных каналов ATM. Данный подход позволяет добиться нужных значений параметров доступности, задержки, классов обслуживания и безопасности, но ему присущи два серьезных недостатка: отсутствие полной информации о сети и недостаточная масштабируемость. IP-туннелирование и туннелирование виртуальных каналов серьезно ограничивают возможности поставщика услуг по контролю, выявлению неисправностей и генерации отчетов для каждого пользователя, поскольку потоки информации, проходящей по туннелю, становятся видны только на его выходе. Масштабируемость по мере увеличения количества узлов снижается за счет возрастания числа близких маршрутов и необходимости управления большим количеством туннелей и соединений (по одному на каждую пару узлов).

Четвертая архитектура, VPN уровня 3, использует иерархическое построение для объединения маршрутов и для придания каждой VPN видимости в сети. Это делается путем установки в центральном офисе нескольких маршрутизаторов, по одному на каждую VPN. Однако подобная реализация усложняет систему и увеличивает ее стоимость. Наилучшим решением представляется объединение в центральном офисе коммутаторов, поддерживающих функции маршрутизации. Это позволяет определять маршрут и коммутировать трафик, поступающий из различных сетей VPN, изолируя при этом одну виртуальную частную сеть от другой. Такое решение обеспечивает высокую степень масштабируемости, устойчивости и безопасности и гарантирует выполнение соглашения об уровне обслуживания (service-level agreement, SLA).

Итак, на чем же остановиться пользователю? Перекрывающиеся VPN на базе Internet представляют собой единственную возможность максимально снизить стоимость при неизменном уровне качества. Если у вас меньше 10 узлов, обратитесь к поставщику, который специализируется на службах VPN или VPN уровня 2. Если в системе установлено более 10 узлов, оптимальным выбором станут виртуальные частные сети уровня 3 с их масштабируемостью и гарантией SLA.