Network World, США

В течение года будет предложена серия решений, обеспечивающих отказоустойчивость и защищенность локальной сети

Nortel планирует дать новое дыхание своему бизнесу корпоративных коммутаторов, представив новое решение из разряда средств защиты оконечных точек.

Коммутатор SNAS компании Nortel представляет собой сетевое устройство, подключаемое к коммутатору уровня агрегирования, и контролирует доступ в сеть через коммутаторы уровня коммутационного шкафа на границе локальной сети

Новый коммутатор Secure Network Access Switch (SNAS) взаимодействует с коммутаторами локальной сети для блокировки или перевода в режим карантина потенциально опасных устройств, не требуя при этом постоянного клиентского программного обеспечения на ПК, мобильных компьютерах или других устройствах. Аналитики считают, что подобный «не требующий клиента» подход даст Nortel конкурентоспособное решение для контроля доступа к сети, объединяющее системы различных производителей. Кроме того, предполагается, что Nortel предложит возможность осуществлять полную инспекцию пакетов с помощью сетевого экрана Check Point или системы обнаружения вторжений (Invention Detection System, IDS) Sourcefire и системы предотвращения вторжений (Invention Prevention System, IPS) на каждом порту своих базовых коммутаторов. Вместе с тем планируется реализовать восстановление после сбоев практически со скоростью SONET для коммутаторов, на базе разработанного Nortel протокола обеспечения избыточности Split Multi-Link Trunking, а также добавить поддержку SMLT в новых сериях продуктов.

Сейчас коммутатор SNAS компании Nortel проходит бета-тестирование, и его выпуск запланирован на середину февраля. Он представляет собой сетевое устройство, подключаемое к коммутатору уровня агрегирования, и контролирует доступ в сеть через коммутаторы уровня коммутационного шкафа на границе локальной сети.

Когда машина, пытающаяся подключиться к локальной сети, посылает IP-адрес с локального DHCP-сервера, соединение направляется на коммутатор SNAS, который выполняет аутентификацию устройства и временно загружает на машину Java-апплет. Это программное обеспечение удаляет себя после отключения компьютера от сети, инспектирует машину и проверяет корректность его антивирусного статуса и другие программные профили.

«Коммутатор прост в администрировании, поскольку не нужно управлять клиентами, — сказал Пат Паттерсон, директор группы корпоративных решений защиты Nortel. — Большинство решений, которые пытаются использовать подход, не требующий клиента, предполагают, что весь трафик проходит через устройство… Наш подход не препятствует прохождению чувствительного к задержкам трафика».

Nortel интегрирует технологию защиты конечных точек с помощью своих SSL-продуктов для виртуальных частных сетей, которые дают пользователям возможность сканировать и блокировать ПК и мобильные компьютеры, подключающиеся к корпоративной сети по удаленному соединению. Устройство SNAS реализует эту возможность для локальных сетей.

Некоторые из нынешних клиентов Nortel утверждют, что действительно заинтересованы в том, чтобы закрыть порты Ethernet, а потому ждут появления таких решений. Один из способов, которые они сейчас применяют для защиты сети, сводится к отключению неиспользуемых портов на коммутаторах локальной сети; однако это слишком затратный по времени и не совсем надежный способ. Любой может ошибиться, и, если отключить не тот порт, то можно создать себе немало проблем. Система, которая автоматически защищает каждый порт с учетом подключенного устройства, поможет решить эту проблему.

Один SNAS способен поддерживать до 2000 одновременно подключенных к сети устройств, таких как ПК и мобильные компьютеры, а также IP-телефоны, беспроводные точки доступа к локальной сети и сетевые принтеры.

Устройство SNAS будет конкурировать с продуктами NAC и такими системами, как технология компании 3Com на базе TippingPoint, система CrystalSec компании Alcatel, Network Admission Control компании Cisco, Trusted End-System Solution компании Enterasys, и решениями, предлагаемыми, в частности, Check Point, ConSentry и Lockdown Networks.

Нелегкий год

Всему этому предшествовал трудный для Nortel год, когда компания пережила массовые изменения в руководстве и серьезную реструктуризацию. Два топ-менеджера — директор по технологии Гери Кунис и директор по операциям Гери Дайченд — в июне внезапно ушли из компании, после чего в отставку подал генеральный директор Билл Оуэнс, который находился на этом посту чуть больше года. Его место занял президент и директор по операциям корпорации Motorola Майк Зафировски. В результате состоявшейся в сентябре 2005 года реструктуризации глава корпоративной группы Nortel Малколм Коллинз ушел с этого поста, уступив его Стиву Слеттери, когда-то возглавлявшему группу систем беспроводной связи уровня оператора.

На рынке корпоративных систем коммутации Nortel постепенно сдает позиции. Если в 2003 году она контролировала 6,3% всего рынка Ethernet, то в 2005 году этот показатель составил менее 5%.

Планируемые модернизации

Сейчас Nortel готовит модернизации, которые позволят ей предложить работающие со скоростью канала брандмауэры и возможности IPS/IDS в коммутаторе Ethernet Routing Switch (ERS) 8600, выпущенном компанией в прошлом году. Уже в марте ERS 8600 с модулем Service Delivery Module (четырехпроцессорное лезвие, которое способно исполнять приложения сторонних производителей) сможет запускать IPS-приложения компании Sourcefire. Об этом сообщил Санджив Гупта, директор подразделения Nortel Ethernet Switching Business. Благодаря лезвию, на коммутаторах ERS 8600 будет работать программное обеспечение сетевого экрана Check Point.

«Пользователи заинтересованы в том, чтобы интегрировать возможности защиты в коммутаторах Ethernet, имеющихся в центрах обработки данных. Они не хотят устанавливать множество различных устройств для сетевого экрана, IPS и других сервисов защиты», — отметил Гупта.

К концу второго квартала Nortel планирует представить модернизацию для программного обеспечения коммутатора ERS 8600, а также модернизацию для процессора и памяти, которые позволят использовать возможности Check Point и Sourcefire на каждом порту коммутатора.

Аналогичный модулям на базе приложений Cisco, F5 Networks и других производителей модуль Nortel Service Delivery Module требует, чтобы трафик, поступающий через все порты, передавался через системную плату коммутатора на лезвие для последующей обработки пакетов, пересылаемых через приложения в модуле.

Модернизация позволит физически обрабатывать приложения Service Delivery Module на отдельных портах.

Обновленное сетевое оборудование также будет включать в себя новую версию протокола SMLT компании Nortel.

Этот протокол уровня 2 позволяет создавать для коммутаторов Nortel избыточные конфигурации с большой полосой пропускания. При использовании стандартного Ethernet-протокола уровня 2, связывающего один коммутатор посредством стековых соединений с двумя отдельными коммутаторами (так называемый multi-homing), в каждый момент поддерживается только одно активное соединение. Инструмент Spanning Tree Protocol используется для того, чтобы определить, когда на одном из соединений возник сбой, и, если это произошло, то после небольшой задержки (до 30 секунд) активируется второе соединение.

В Nortel подчеркивают, что SMLT позволяет создать такую конфигурацию, при которой оба соединения в подобной структуре будут активными, обеспечивая восстановление после сбоя менее чем за одну секунду.

Благодаря усовершенствованию SMLT удалось уменьшить время на 760 мс по сравнению с предыдущей версией этой технологии. Прежнее время восстановления после сбоя составляло 830 мс и теперь сокращено до 70 мс. Оптические сети SONET в конфигурации операторов восстанавливают работу за 50 мс.