Компания Juniper предложила себя в качестве альтернативы Cisco на рынке оборудования для корпоративных сетей

Вопрос о том, кто из сетевых производителей может стать реальной альтернативой Cisco, похоже, перешел в разряд риторических. Время от времени та или иная компания предпринимает агрессивную попытку сдвинуть лидера в области корпоративных сетей с занимаемых им позиций, но до сих пор это приводило лишь к обратному эффекту. Теперь за эту задачу взялась компания Juniper, которая относительно успешно конкурирует с Cisco Systems в нише магистральных маршрутизаторов.

Juniper пытается разрешить целый ряд проблем, которые, по результатам опросов корпоративных заказчиков, мешают другим вендорам приблизиться к лидеру рынка. В первую очередь, речь здесь идет о наличии в продуктовом портфеле высокоинтегрированной линейки оборудования, способного формировать добавленную стоимость, и построении двухуровневой модели дистрибуции продуктов и технической поддержки в регионах.

Особенно активно Juniper начала заниматься корпоративным сегментом после поглощения разработчика средств сетевой безопасности NetScreen (см. Сети, 2004, № 13, статья «Удачное приобретение»). Эту сделку следует рассматривать как стратегически верный шаг, позволивший сетевому вендору не только получить внушительную клиентскую базу NetScreen, но и воспользоваться ее оригинальными технологиями защиты удаленного доступа и комплексного обеспечения безопасности на основе политик. Добавление именно такой функциональности к базовому сетевому оборудованию (коммутаторам и маршрутизаторам) ждут корпоративные заказчики от поставщиков. К слову, тем же путем пошла Cisco, заявившая о выходе в свет нового семейства маршрутизаторов с интегрированными сервисами поддержки безопасности и мультимедиа.

Построение канала

Российская фирма Netwell, которая получила статус дистрибьютора Juniper, провела в конце октября в Москве первую конференцию, посвященную корпоративным решениям своего вендора. Конференция вызвала огромный интерес как у представителей крупных отечественных предприятий, так и у партнеров по дистрибуции второго уровня. Менеджер по развитию канала Juniper в Восточной Европе Ингрид Хаген рассказала о принятой в компании иерархии партнерской сети, согласно которой в ней существуют так называемые Elite-партнеры и собственно дистрибьюторы.

Первые имеют право непосредственно работать с заказчиками (операторами связи). Они изначально сертифицируются по поставкам оборудования семейства M (выше 10-й серии) и устройствам уровня ядра сети семейства S и T. Elite-партнерами Juniper в нашей стране являются компании Lucent, Ericsson, Poplar и Siemens.

Дистрибьютор, напротив, специализируется только на продвижении решений младшего уровня — линейки продуктов, унаследованной от NetScreen, всего спектра маршрутизаторов класса J и высокопроизводительных платформ доступа серий M5, M7 и M10. Представители этой категории прямых партнеров должны заниматься лишь задачами логистики, сервисной поддержки и взаимодействия с партнерами второго уровня и не имеют права делать прямые поставки заказчику.

Все бывшие прямые реселлеры NetScreen (такие как ЛАНИТ) после подтверждения сертификации были переведены в категорию партнеров второго уровня и теперь покупают соответствующее оборудование у Netwell. Таким образом, можно считать, что нынешний объем продаж этой компанией оборудования Juniper практически равен всему обороту вендора на российском рынке, связанного с корпоративным направлением. По прогнозам директора Netwell Дмитрия Коваля, от сотрудничества с Juniper его фирма получит в 2004 году выручку в размере 10 млн долл.

Вместо DMZ

Буквально накануне объявленного наступления на рынок России и СНГ в продуктовом арсенале Juniper, предназначенном для корпоративных пользователей, произошло обновление. Помимо серии J, сохранившей в себе главные достоинства маршрутизаторов старшего класса (модульную ОС Junos, разделение на аппаратном уровне функций обработки трафика, управления устройством и настройки дополнительных сервисов), была представлена новая версия операционной системы ScreenOS 5.1.

Этой ОС оснащаются все продукты, обеспечивающие защиту удаленного доступа SSL-VPN, межсетевые экраны и средства обнаружения/предотвращения атак (IDS/IPS) со встроенными антивирусными и антиспамовыми фильтрами. ScreenOS 5.1 изначально «заточена» на работу в конвергентных средах и поддержку приложений VoIP, IP/TV, IP Multicast и прочих способов обмена мультимедийными данными.

Еще будучи независимым производителем, NetScreen добилась уверенного лидерства в области решений для организации защищенного доступа к корпоративным приложениям по протоколу SSL. Это подтверждали как исследования In-Stat MDR и Frost & Sullivan в отношении объемов продаж оборудования, так и знаменитые «магические квадранты» Gartner. Сейчас, как утверждает технический эксперт Juniper Томас Дрюс, отрыв от конкурентов в этой области еще заметнее.

Шлюзы SSL-VPN (а компания предлагает пять моделей с разной производительностью) помогают избежать дорогого трудоемкого процесса построения демилитаризованных зон (DMZ), в которых, по идее, должны размещаться все наиболее ответственные корпоративные серверы (ERP, финансовых транзакций, почты, Web и т. д.). Теперь для надежной защиты критически важных ресурсов от внешних и внутренних пользователей в сети предприятия достаточно установить одно устройство SSL-VPN, которое будет формировать сквозные защищенные туннели от потребителя до сервера.

Находясь снаружи корпоративной сети, где-то в Internet, удаленный пользователь может общаться с запрашиваемыми серверами через «посредника», роль которого как раз и выполняет шлюз SSL-VPN. По сути, он является для пользователя конечным Web-сервером, доступ к которому возможен только по защищенному HTTPS-протоколу.

Если авторизация удаленного клиента прошла успешно, шлюз открывает сеансы связи с серверами приложений, в отношении которых уже он выступает в роли клиента. Другими словами, принцип его работы аналогичен механизму proxy-сервера. Шлюзы удаленного доступа NetScreen-RA/SA работают под управлением централизованного ПО NetScreen SA Central Manager, которое отвечает за автоматизированное конфигурирование шлюзов, формирование правил доступа для разных категорий клиентов, мониторинг и ведение отчетности.

Самый простой способ доступа (для рядового непривилегированного пользователя) — с помощью обычного Web-браузера по HTTPS. Понятно, что в этом случае права пользователя в отношении работы с корпоративными ресурсами будут сильно ограниченными. Например, он сможет просматривать Web и электронную почту, работать с файл-сервером, но ему будет отказано в праве доступа к финансовым приложениям или базам данных.

Максимальными полномочиями, конечно же, должен обладать системный администратор. С помощью специального программного клиента, устанавливаемого на удаленном ПК, он получает полный доступ к ресурсам корпоративной сети по зашифрованным туннелям IPSec. «Посередине» находятся уполномоченные сотрудники компании, которым зачастую требуется непосредственный доступ к отдельным бизнес-приложениям.

Как уже отмечалось, шлюзы SSL-VPN производства NetScreen отличаются высокой масштабируемостью, что делает их пригодными для использования на малых, средних и очень крупных предприятиях. Скажем, устройство NetScreen-RA 500 способно одновременно обслуживать от 10 до 50 защищенных туннелей, а платформы серии SA 5000 могут формировать от 100 до 2500 туннелей SSL или шифровать 25—100 параллельных Web-конференций.

Совмещая и противопоставляя

Про средства обеспечения сетевой безопасности, доставшиеся Juniper в наследство от приобретенной компании, можно рассказывать довольно долго. Но для технических специалистов описания продуктов класса IPS/IDS или Firewall/VPN вряд ли станут большим откровением, ибо стандартные методы в этих областях хорошо известны, а сама Juniper сильна разработками в иной сфере. К ним мы и перейдем.

ВВЕРХУ — маршрутизатор коорпоративного уровня J4300, внизу — система защищенного доступа SSL-VPN NetScreen SA 500

Менеджер по маркетингу продукции Juniper Пол Гейнхем подробно остановился на технических характеристиках и достоинствах маршрутизаторов серий J и M, предлагаемых корпоративным клиентам. Он считает их незаменимыми там, где существуют резкие скачки сетевой нагрузки. С увеличением нагрузки производительность маршрутизаторов Juniper не падает так же резко, как у конкурирующих устройств, что достигается за счет логического разнесения задач в обособленные защищенные области памяти. Что касается модульности ОС Junos, она позволяет осуществлять «горячую» замену вышедших из строя функциональных модулей без отключения и перезагрузки всей системы.

Новые семейства устройств Juniper сфокусированы и на обеспечении пропуска мультимедийного трафика. В частности, они могут служить для построения закрытых голосовых IPSec-туннелей между сайтами корпоративной сети. Кроме того, в них встроен механизм компрессии потоков RTP, позволяющий управлять полосой пропускания в случае высокой сетевой нагрузки. А поскольку все модели маршрутизирующих устройств Juniper поддерживают все стандартные протоколы маршрутизации, их легко вводить в действующую сеть, базирующуюся на оборудовании Cisco.

Совместимость решений Juniper и Cisco может стать «смягчающим» фактором для корпоративных пользователей, решивших, в конце концов, устранить свою полную зависимость от одного поставщика. Вместе с тем, позиционируя новые решения, представители Juniper противопоставляют каждое из них какому-либо популярному продукту Cisco. Так, Пол Гейнхем отметил, что маршрутизатор M7i сопоставим по цене с корпоративным решением верхнего класса Cisco 7200, но имеет более высокую производительность (до 17 млн пакетов в секунду). Кроме того, в маршрутизаторах серии M реализовано аппаратное ускорение (на линейных картах) функций межсетевого экрана NAT. Таким образом, процесс переадресации отделен от управления маршрутизацией и не влияет на общую пропускную способность устройств.

Продукты серии J относятся к ценовому диапазону 2—11 тыс. долл. В сущности, это — довольно обычные по возможностям маршрутизаторы, а их выпуск обусловлен желанием производителя снизить необходимые начальные вложения заказчиков в установку таких платформ. Лицензии на дополнительную функциональность продуктов могут докупаться по мере необходимости. В I квартале 2005 года маршрутизаторы семейства J должны получить возможности мониторинга параметров SLA (задержки пакетов, джиттера, отслеживание характеристик активных узлов) и коммутации по меткам (MPLS). Самую младшую модель этого семейства, J2300, вендор сопоставляет с платформой Cisco 1700, а более мощную J4300 позиционирует как альтернативу решению Cisco 2600. Серия J6300 является полным аналогом J4300 и отличается от нее только дублированием источников питания и других критичных модулей управления.

Итак, альтернатива на рынке корпоративного оборудования замаячила вновь, но последнее слово остается за конечными заказчиками.

Поделитесь материалом с коллегами и друзьями