Специально для читателей русского издания LAN Magazine.


ВИРТУАЛЬНАЯ РЕАЛЬНОСТЬ
БРЕМЯ ДОКАЗАТЕЛЬСТВА

Лихорадка под названием Web, коварная болезнь, поражающая исполнительных директоров, руководителей информационных отделов и администраторов сетей, получила широкое распространение. В ближайшее время можно ожидать очередной ее вспышки ввиду того, что идея замены сетей удаленного доступа на службы Internet поразила умы руководителей 1000 крупнейших компаний из списка Business Week. Однако инкубационный период этой болезни весьма продолжителен: создание защищенных каналов Internet потребует весьма серьезных усилий. Эта тенденция уже получила название: виртуальные частные сети передачи данных (ВЧСД). Концепция проста: виртуальные частные сети расширяются для передачи данных за счет Internet. Вместо того чтобы самим управлять маршрутизаторами и частными линиями, компании просто покупают интерфейс c оператором Internet (под "интерфейсом" мы понимаем в данном случае любой порт вашей частной сети). Красота такого решения состоит в том, что оно позволяет сократить расходы при резком увеличении возможностей соединения. На недавнем семинаре по удаленному доступу я провел блиц-опрос слушателей (более 1000 человек). Когда я попросил поднять руки тех, кто имеет доступ в Internet, таких оказалось 99%. Однако из них только один процент планирует заменить сети удаленного доступа на службы Internet. Более 50% участников семинара указали на защиту сетей как на основное препятствие широкому использованию Internet.

ВИРТУАЛЬНАЯ РЕАЛЬНОСТЬ

В то же время некоторые компании, приступившие к реализации ВЧСД, уже пожинают дивиденды. Digital Equipment Corp. заменила сеть удаленного доступа отдела продаж, с помощью которой 2000 работников отдела звонили по восьмисотым номерам для доступа к своим приложениям, на службы Internet. В среднем эти звонки обходились DEC ежегодно в 2 миллиона долларов (каждый сотрудник отдела продаж занимал телефонную линию в среднем 20 часов в месяц при цене 7 центов за одну минуту). Заменив эту сеть на ВЧСД - с учетом программного обеспечения и сервера, - DEC рассчитывает сократить расходы до 1,05 миллиона долларов, сэкономив таким образом 950 тысяч долларов. Причем экономия могла быть еще больше, если бы DEC пошла на замену сети с частными линиями. Обычный канал на 56 Кбит/с стоит около 500 долларов в месяц, в то время как frame relay обходится примерно в 80. Построение ВЧСД представляется целесообразным с финансовой точки зрения вне зависимости от того, какой тип доступа компания использует, если число пользователей, разбросанных по нескольким штатам или странам, превышает 50. Очевидно, что чем больше число пользователей и офисов и чем дальше они находятся друг от друга, тем больше экономия. Так почему же компании не торопятся переходить к ВЧСД? Как уже упоминалось, многие администраторы сетей обеспокоены их слабой защищенностью. Кроме того, организация защиты данных означает повышение стоимости и сложности сети. Для создания ВЧСД DEC воспользовалась собственным программным обеспечением защиты информации в Internet под названием Alta Vista Tunnel. Как следует из названия, пакет позволяет создать шифрованный "тоннель" через Internet для приложений DEC. Он осуществляет шифрование и инкапсуляцию пакетов в TCP/IP. Такое решение предполагает установку программного обеспечения как на сервере, так и на клиенте. При расчетах в DEC учли дополнительную абонентную плату оператору Internet порядка 10 долларов в месяц на одну "точку присутствия". Кроме того, компании, естественно, не надо было платить за программное обеспечение Alta Vista, цена которого составляет 99 долларов за клиента и 995 долларов за сервер. Новых серверов приобретать также было не нужно, так как туннелирующее программное обеспечение работало на имеющихся платформах. Заметим в скобках, что, хотя туннелирующее программное обеспечение не зависит по большей части от инфраструктуры сети, выполнение его приводит к общему снижению производительности. Это связано с тем, что система должна шифровать и инкапсулировать каждый пакет, размер которого может достигать 100 байт. Для решения проблемы ряд поставщиков начал предлагать специализированный набор микросхем для сжатия. Среди них Bay Networks Inc., Cisco Systems Inc., DEC, Microsoft Corp. и Novell Inc.

БРЕМЯ ДОКАЗАТЕЛЬСТВА

Защита информации ставит еще одну проблему перед администраторами сетей и операторами Internet: они должны обеспечить конфиденциальность данных при минимуме административных усилий. Это весьма и весьма трудно сделать. Многие решения по обеспечению безопасности предполагают столь сложные и неудобные административные меры, что часто становятся препятствием для их реализации. Маршрутизаторы давно имеют интеллектуальные фильтры, которые могут быть использованы для защиты, но, к сожалению, поставщики не предоставляют простого и эффективного способа управления этими фильтрами. Маета с открытыми и закрытыми ключами вызывает у многих неприятие: на деле компании распространяют ключи на дискетах через UPS или Fedex. Только представьте себе, каким кошмаром обернулось бы это для компании DEC, в которой работают тысячи людей. Отслеживание перемещений и изменений - задача еще та.

Неустойчивая производительность - еще один довод против ВЧСД. Удаленный доступ и частные линии вполне предсказуемы в этом смысле. Если администратор сети знает необходимую пропускную способность, число пользователей и схемы работы, то он может рассчитать производительность весьма точно. Это невозможно в случае ВЧСД - во всяком случае, пока. Тем не менее операторы Internet, заинтересованные в привлечении коммерческих организаций, начинают предлагать гарантированное качество услуг. Для этого они должны применить новый протокол резервирования ресурсов (Resource Reservation Protocol, RSVP), разработанный IETF. RSVP позволяет зарезервировать полосу пропускания между двумя точками сети. Поставщики маршрутизаторов планируют внедрить эту спецификацию в свои изделия уже осенью, но операторы Internet вряд ли начнут их развертывание ранее второй половины 1997 года. Вот тогда они и будут иметь конкурентоспособное предложение: гарантированная производительность при низкой цене. Так что же такое сеть в сети? Прежде всего, корпорации получают еще одну альтернативу частным линиям, при этом экономия может быть весьма заметной. Однако эта возможность станет реальностью, если операторы Internet и владельцы сетей связи внедрят некоторые из новейших технологий. Они должны также взять на себя часть груза по обеспечению защиты информации. Как только это случится, лихорадка Web примет характер эпидемии.


Николас Дж. Липпис III - президент и учредитель корпорации Strategic Networks Consulting, занимающейся консультированием по всем вопросам компьютерных сетей. Липпис - всемирно признанный авторитет в области архитектуры, реализации и управления объединенными корпоративными сетями. Он консультировал многие фирмы из числа Global 1000, в частности Barclays Bank, Sheting-Plough Research Institute, Hughes and Liberty Mutual, по вопросам организации корпоративной сети. Кроме того, в качестве одного из редакторов он ведет колонку в журнале Data Communications. Липпис входит в состав организационного комитета крупнейшей международной торговой выставки NetWorld+Interop.
С ним можно связаться через Internet по адресу: lippis@snsi.com.