При реализации удаленного доступа скрытые затраты могут проявиться неожиданно и оказаться поистине разорительными. Предварительный анализ общей стоимости владения убережет вас от неприятных сюрпризов.
Для конечных пользователей простой и надежный удаленный доступ в корпоративную сеть — это несбыточная мечта, а для администраторов ИС — это кошмар с финансированием. Администратор должен не только оценить затраты на приобретение решения для организации удаленного доступа, но и определить общую стоимость владения и защитить свою концепцию перед руководством компании.
К счастью, последние разработки в этой области существенно облегчают его задачу. В современных сетях удаленный доступ — вопрос времени, мало кто сомневается в его необходимости.
Как следует из отчета Gartner Group под названием "Основные стратегии сокращения расходов на удаленный доступ" за 1997 год, подобные технологии используют свыше 23 млн компаний по всему миру. Составители отчета дают прогноз, что к 2000 году эта цифра возрастет до 55 млн.
ДВИЖУЩАЯСЯ ЦЕЛЬ
Несмотря на все возрастающую популярность, достоинства технологии не так-то просто точно определить. Тем не менее Майкл Говард, президент Infonetics Research, выделяет несколько ее преимуществ на основании исследования рынка, который его фирма провела в этом году. В выборке из 117 компаний из списка Fortune 1000 57% респондентов указали, что удаленный доступ позволяет увеличить доходность, 69% — отклик со стороны клиентов, 67% — корпоративные коммуникации, 62% — отдачу от труда сотрудников.
В отличие от приносимой информационными системами прибыли, затраты оценить гораздо проще. По оценкам Говарда, в 1997 году 18% общего бюджета на ИС было потрачено на реализацию и поддержку решений в области коммутируемого удаленного доступа.
Оценка окупаемости системы нередко затрудняется еще и тем, что общая стоимость владения для решений в области удаленного доступа часто недооценивается. Помимо первоначальных затрат на оборудование она включает скрытые затраты, например потенциальную судебную ответственность (например, сотрудник может обвинить компанию в том, что из-за неудовлетворительной инфраструктуры удаленного доступа компании он не может эффективно выполнять свою работу, а следовательно, получить повышение в должности и прибавку к зарплате).
Несмотря на то что судебные последствия остаются темной областью, они представляют собой еще одну переменную и должны учитываться при оценке общей стоимости владения.
Gartner Group опубликовала рассчитанную на пять лет модель общей стоимости владения для коммутируемого удаленного доступа. В соответствии с этой моделью, свыше 70% затрат относятся на счет удаленных пользователей, а не оборудования удаленного доступа в центральном узле. Между 1997 и 2002 годами затраты в расчете на среднего пользователя, который свой портативный компьютер забирает домой из офиса, составят почти 80 000 долларов за весь период. Затраты же для пользователя с являющимся собственностью компании ПК для домашнего использования выльются в сумму свыше 130 000 долларов.
Выгоды и затраты на удаленный доступ меняются, естественно, от сети к сети. В следующих разделах мы рассмотрим общую стоимость владения в зависимости от конкретных сетевых конфигураций, служб и решений.
ЗАТРАТЫ НА СВЯЗЬ
Сегодня решения в области удаленного доступа стали намного сложнее, чем их предшественники (обычно ПК снабжались пакетом удаленного управления). Более быстрые модемы и взрывообразный рост Internet сделали популярными иные решения, например на базе Point-to-Point Protocol (PPP) и конфигурации с удаленным узлом. Технологии виртуальных частных сетей у всех на слуху, а означают они удаленный доступ через туннельное соединение по Internet или общедоступную сеть на базе IP.
Одна из наиболее типичных ситуаций — организация с более-менее активным штатом мобильных работников, разъездного персонала, работающих на дому и внеурочно сотрудников, для которых доступ к вычислительным мощностям нужен постоянно — и в нерабочие часы, и в выходные дни. Традиционным решением является сервер удаленного доступа (Remote Access Server, RAS), на который такие клиенты звонят напрямую.
При наличии в вашей компании мобильных пользователей, а также работающих на дому и внеурочно сотрудников, для полного анализа затрат вы должны знать, какова плата за местные телефонные звонки и сколько пользователей звонят по местным номерам. Кроме того, вы должны знать, сколько пользователей звонят из других городов и даже других стран.
При расчете общей стоимости владения для решений в области удаленного доступа вы должны учитывать еще и такие факторы, как функциональность, производительность, надежность, плотность и управляемость.
Это означает, что вы должны знать, какие типы модемов поддерживает RAS, насколько сложно их модифицировать и каким соединением RAS связан с сетью.
Узнайте, какие виды связи помимо коммутируемого доступа способно поддерживать ваше оборудование (например, ISDN), какие протоколы оно "понимает" и имеются ли избыточные источники питания. Определите, какое программное обеспечение учета и составления отчетов у вас есть. Установите, могут ли эти приложения выполняться на имеющейся платформе управления сетью, или для этого необходимо дополнительное оборудование.
Поинтересуйтесь, какие средства для контроля за расходами имеет ваша система, например поддерживает ли она тайм-ауты при запросе пропускной способности, автоматическое динамическое переключение между дешевыми и дорогими каналами связи в зависимости от требуемой пропускной способности и т. п. Обратите также внимание на наличие таких функций, как обратный звонок, сжатие и имитация соединений, так как они позволяют минимизировать плату за соединение.
Другие потенциальные затраты связаны с решениями на базе RAS, в том числе с контрактами на обслуживание, запасными серверами, необходимым уровнем администрирования, требуемым числом обслуживающего персонала. Этот последний момент подводит нас к вопросу обучения: насколько оправданно заплатить сравнительно большую сумму для обучения сразу на месте или несколько сотрудников может быть лучше отправить для прослушивания учебных курсов на базе производителя (а его учебный центр вполне может находиться в другой стране).
ПРОФИЛИ ПОРТОВ
Чтобы принять правильное решение в отношении плотности и емкости портов, вы должны предварительно оценить потребности пользователей. Традиционно многие компании считают, что чем выше отношение числа пользователей к числу портов, тем лучше; однако исследование Gartner Group свидетельствует, что основные затраты связаны с пользователями, а отнюдь не с портами.
Это исследование также показывает, что экономия быстро падает с ростом числа пользователей по сравнению с числом портов; при соотношении 10 к 1 экономия становится несущественной. Причиняемые пользователям неудобства и звонки в службу технической поддержки ввиду недоступности портов оказываются зачастую куда дороже, чем начальные инвестиции в коммуникационные порты.
Еще один вопрос состоит в том, что если коммутируемые соединения проходят через УАТС, то в этом случае количество аналоговых портов в УАТС может потребоваться увеличить. Учета требует даже такой фактор, как плохая погода, так как в пасмурный день значительная часть сотрудников может остаться работать дома и дозваниваться в офис, а это может привести к нехватке голосовых каналов.
Если вы предпочтете обойти УАТС и подключить линии напрямую к RAS, то должны быть уверены, что RAS имеет соответствующие интерфейсы (например, Е-1, BRI ISDN или PRI ISDN). Кроме того, вам следует знать, какая пропускная способность необходима. Несколько PRI и пара сотен удаленных пользователей могут запросто увеличить расходы на связь на 100 000 долларов в год.
Поинтересуйтесь, поддерживает ли местный оператор связи ISDN и, если да, имеют ли пользователи необходимый доступ на дому.
Наконец, вы должны определить, где будет располагаться оборудование для удаленного доступа — в компьютерном зале, отсеке связи, в стойке, шкафу или в отдельном помещении.
ЗАЩИТА И ИДЕНТИФИКАЦИЯ
Другие немалые затраты связаны с защитой и идентификацией. Чем лучше защита, тем дороже она обычно обходится, но эта статья расходов должна рассматриваться в свете возможных финансовых потерь в результате взлома защиты.
Учитывая упомянутую потенциальную опасность, вам следует определить, насколько удовлетворительна встроенная защита сетевой операционной системы и сервера удаленного доступа и какие меры потребуется принять для укрепления защиты. Кроме того, введение дополнительной защиты системы не должно чрезмерно затруднять работу с ней пользователей.
Многие организации пришли к необходимости отдельной системы идентификации, но не все они установили сервер идентификации. Другие требующие рассмотрения моменты — потребность в резервных серверах, а также выбор операционной системы для выполнения программного обеспечения сервера.
Способы идентификации клиентов могут быть как программными, так и аппаратными. Электронные ключи работают обычно с самыми разными клиентскими платформами, но это — еще одно устройство, которое пользователю придется носить с собой (причем он может его потерять или сломать). Кроме того, для них необходим источник питания.
Программные ключи доставляют минимум неудобств пользователю, но они зачастую привязаны к конкретной платформе. Такие ключи требуется компилировать, в результате их отзыв и реконфигурация могут обернуться сущим кошмаром.
Зачастую одного ключа оказывается недостаточно. Например, некоторые пользователи хотели бы иметь программные ключи как для своих портативных, так и для настольных ПК. Лицензионные отчисления могут запросто возрасти вдвое, если все такие просьбы будут удовлетворены.
Повседневные административные задачи также разумно спланировать заранее. Кроме того, вы должны установить, какими службами RAS и идентификации можно управлять централизованно; какую базу данных использует система идентификации — в частности Novell NDS, — или ей требуется отдельная база данных о пользователях; какие дополнительные записи понадобится ввести в базу данных — например о пользователях с несколькими ключами или о тех, кто имеет право как на аналоговый, так и на ISDN-доступ.
Для оценки желательного уровня защиты системы вы должны знать, что сервер удаленного доступа умеет делать, например фильтровать IP-адреса. Вам также надо предвидеть заранее необходимость фильтрации приложений по портам UDP или TCP.
Во многих случаях производители RAS не обеспечивают надлежащий уровень защиты, так что вам может потребоваться дополнить серию продуктами других производителей, например NetRanger компании Cisco Systems, NetRecon компании Axent или CyberCop компании Network Associates. Кроме того, вам может также понадобится установить между сервером удаленного управления и корпоративной сетью маршрутизатор с функциями фильтрации.
Управляющий инструментарий для учета и составления отчетов поможет контролировать расходы на идентификацию. Дополнительную информацию на эту тему можно прочесть во врезке "Учет удаленного доступа".
VPN ВОЗВРАЩАЕТ АВАНСЫ
Виртуальные частные сети активно обсуждаются в прессе, а их апологеты утверждают, что эта технология способна произвести настоящую революцию в удаленном доступе благодаря тому, что она предоставляет недорогой защищенный туннель через Internet для передачи данных. Говард из Infonetics сообщает, что согласно опросу 1998 года 15% компаний заявили, что они планируют реализовать удаленный доступ с помощью VPN до 1999 года, а кроме того, к 2001 году 27% всех удаленных пользователей будут использовать для удаленного доступа VPN.
Исследование Infonetics показывает, что снижение затрат на телефонную связь и поддержку RAS рассматривается как основное преимущество VPN. По оценкам Говарда, организации с большим числом удаленных пользователей, звонящих по междугородным или международным линиям, вернут вложенные в VPN средства в течение года.
Гэри Уайт, директор по ИС в Reliant General Insurance Services, выбрал VPN в качестве стратегического направления. Как он говорит, его компания тратит от 10 000 до 12 000 долларов в месяц на оплату звонков при всего лишь 10 удаленных пользователях. В той местности, где располагается офис компании, оператор связи ввел свои достаточно высокие тарифы на местные звонки. "Всякий, кто находится на расстоянии более 5—10 миль от офиса, не может позвонить нам по местному номеру (без дополнительной платы)", — рассказывает Уайт.
Уайт решил заменить сервер удаленного доступа на соединение с Internet по линии T-1 и программное обеспечение удаленного доступа PowerVPN компании Axent. Затем он приобрел для удаленных пользователей бюджеты у местного провайдера Internet. Каковы расценки? Сорок долларов в месяц. Теперь, как утверждает Уайт, "мы тратим 2500 долларов в месяц, что почти на 80% меньше, чем когда мы платили фактически за междугородние звонки". Он рассчитывает, что затраты на VPN окупятся в течение трех месяцев.
Одной из главных причин, почему реализованное Reliant General решение оказалось столь удачным, состоит в том, что по VPN пользователи обращаются главным образом к приложению эмуляции терминала, а оно не так загружает сеть, как любое графическое клиент-серверное приложение. Для компаний с более требовательными приложениями решения удаленного доступа на базе Internet могут не дать столь же заметного положительного результата.
Так, The Gartner Group рекомендует компаниям воздержаться в 1998 году от организации виртуальных частных сетей на базе Internet. В отчете, озаглавленном "Самые популярные технологии удаленного доступа в 1998 году", его составители утверждают: "Многие полагают, что Internet и сотрудничество с несколькими региональными провайдерами Internet позволит им сэкономить деньги, но они забывают о неизбежном для недорогих соединений низком качестве услуг (например, о непредсказуемом отклике, занятости линий и ограниченной поддержке)".
ЦЕЛЬ В СРЕДСТВАХ
Другим потенциальным недостатком подхода на базе VPN является трудность контроля трафика через сети нескольких операторов связи. Оператор связи не в состоянии диагностировать и решить проблему в сети другого оператора, а тем более гарантировать требуемые характеристики соединения и передачи.
Ценность VPN представляется также весьма спорной для организаций с большим числом местных пользователей. Экономия на коммутируемой связи может быстро сойти на нет, когда местные звонки преобладают, а месячная плата фиксирована. С учетом этого многие из тех компаний, что собираются реализовать VPN, планируют также продолжать использование своих традиционных платформ на базе серверов удаленного доступа.
Shiva — один из тех производителей, кто предлагает как продукты для RAS, так и решения для VPN и рекомендует сочетание обоих подходов.
Shiva пропагандирует гипотетическую ценовую модель для своих решений в области удаленного доступа. В соответствии с этой моделью 750 удаленных пользователей разбиты на категории в зависимости от того, как часто они звонят по местным номерам (с фиксированной месячной платой) в сравнении с междугородними линиями. Компания выделяет четыре категории: 80 к 20 — для работающих на дому; 20 к 80 — для мобильных сотрудников, 80 к 20 — для работающих сверхурочно и 0 к 100 — для филиалов.
Исходя из платы 852 доллара в месяц за линию T-1 и 0,08 доллара в минуту, за телефонные звонки, общие ежемесячные затраты, если все звонят напрямую серверу RAS, составляют 38 000 долларов. Однако смешанное решение с применением как RAS, так и VPN обойдется заметно дешевле — в 21 500 долларов. При таком сценарии пользователи в других городах будут обращаться в сеть по VPN, в то время как местные пользователи будут продолжать звонить напрямую.
ОБУЗДАНИЕ ХАОСА
Управление компьютерами удаленных пользователей не менее важно, чем управление оборудованием удаленного доступа. Исследование Gartner Group показывает, что затраты на оборудование доступа составляют приблизительно 27% от общего за пятилетний период объема инвестиций в новую инфраструктуру. До 2001 года свыше 70% затрат будет связано с различными видами поддержки пользователей.
Согласно исследованию International Data Corp. под названием "Общая ситуация с управлением удаленными и мобильными системами" за 1998 год, инвестиция в управление системами удаленных пользователей может дать "заметную отдачу как с точки зрения снижения нагрузки на сотрудников отдела ИС, так и повышения продуктивности пользователей".
К сожалению, инструментарий управления типа System Management Server компании Microsoft, LANDesk компании Intel, TME компании Tivoli Systems, Unicenter TNG компании Computer Associates не рассчитан на поддержку удаленных и мобильных пользователей. Однако продукт Remote-
Ware от XcelleNet предназначен специально для этих целей и представляет собой оптимизированное для большого числа удаленных и мобильных пользователей приложение управления системами. Стив Роб, менеджер по маркетингу продуктов в XcelleNet, утверждает, что реализация решения обойдется в 88 000 долларов при 100 пользователях, при этом данная цифра учитывает 20-процентные текущие ежегодные расходы и заработную плату 1-2 специалистов по поддержке.
Несмотря на то что решения, подобные предлагаемому XcelleNet, стоят недешево, они окупаются достаточно быстро. Как следует из вышеупомянутого исследования IDC, затраты на управление удаленными системами окупаются за полтора месяца, а ежегодная экономия составляет 7000 долларов на одного удаленного пользователя.
Некоторые организации могут избежать некоторых затрат на эти продукты за счет управления с помощью средств удаленного контроля. Например, клиент-серверное программное обеспечение WinFrame компании Citrix Systems позволяет открывать удаленные сеансы на сервере Windows NT, и при этом они контролируются клиентом. Между удаленной системой и сервером передаются только изображения экрана. Единственное программное обеспечение, которое удаленная система должна иметь, — это клиент коммутируемого доступа и клиент WinFrame. Все прикладное программное обеспечение поддерживается централизованно на сервере WinFrame.
Технология Citrix может также пригодится тем компаниям, где до сих пор используется такая платформа, как DOS, или где рабочие станции имеют старые процессоры, неспособные эффективно выполнять программы Windows.
НА ОТКУП
Многие компании предпочитают нанимать для реализации своих программ удаленного доступа сторонние организации. Infonetics утверждает, что 44% фирм, решивших сделать ставку на VPN, собираются привлечь себе в помощь сторонние организации.
С увеличением числа компаний, которым поддержка внутренних систем удаленного доступа становится не по силам, операторы связи и провайдеры Internet не замедлили предложить свои услуги. Многие из крупных операторов уже объявили либо развернули те или иные службы VPN поверх Internet. Gartner Group предсказывает, что операторы попытаются первоначально привлечь клиентов недорогими контрактами по организации VPN поверх Internet, а затем продать услуги бизнес-класса тем пользователям, кого обеспечиваемое ими низкое качество не устраивает.
В конце 1997 года AT&T объявила о начале предоставления услуги WorldNet Virtual Private Network Service в качестве альтернативы VPN поверх Internet. По утверждению компании, альтернативная сеть охватывает 42 страны и гарантирует высокое качество, потому что трафик передается по принадлежащей AT&T магистрали IP.
Услуги WorldNet VPN могут быть разными. AT&T предлагает и решение из конца в конец, и только транспорт. Однако AT&T заявляет, что 40% клиентов приобретают ее услуги в пакете.
Ко времени публикации статьи служба AT&T еще не включала протоколов защиты типа Internet Protocol Security (IPSec). Дениз Грей, директор по маркетингу решений для VPN в AT&T, утверждает, что виртуальные соединения предоставляются клиентам с использованием эксклюзивного блока адресов, а также фильтрации пакетов на маршрутизаторах.
Локальный коммутируемый доступ в WorldNet обходится в 3 доллара в час в случае покупки полного пакета услуг. Ежемесячная плата за доступ при выделенных соединениях между магистралью AT&T и центром обработки данных клиента зависит от пропускной способности канала. Компания приводит в качестве ориентира сумму в 2366 долларов для управляемого соединения на 1,024 Кбит/с (без учета платы местному оператору связи).
ВМЕСТО ЗАКЛЮЧЕНИЯ
Связанных с удаленным доступом затрат множество, причем самых разных. Некоторые из них легко идентифицировать, другие оказываются скрытыми. Администраторы ИС должны проанализировать общую стоимость владения для предполагаемого решения, прежде чем они остановятся на подходе не только экономичном, но и стратегическом.
Шеннон Го — администратор ИС в крупной промышленной компании.С ним можно связаться по адресу: gawws@mindspring.com.
ПОДСЧЕТ РАСХОДОВ НА УДАЛЕННЫЙ ДОСТУП
Учет удаленного доступа
Неважно, какую выгодную сделку вы заключили по реализации решения для удаленного доступа, текущие расходы могут быстро выйти из-под контроля. К счастью, некоторые производители предлагают системы управления для составления отчетов и учета, чтобы администраторы ИС могли определить, куда уходят деньги.
Многие из этих систем базируются на службе идентификации удаленных пользователей (Remote Authentification Dial-In User Service, RADIUS), стандартном отраслевом протоколе для идентификации удаленных пользователей, широко используемом в серверах удаленного доступа и в серверах идентификации, авторизации и учета (Authentication, Authorization, and Accounting, AAA). RADIUS позволяет централизовать администрирование и управление удаленным доступом за счет синхронизации серверов удаленного доступа с серверами AAA в целях создания единой точки доступа. (Дополнительную информацию об идентификации и RADIUS смотри в статье А. Карве "Удаленный мир: старые заботы, новые задачи" в майском номере LAN за этот год.)
Боб Гроховски, менеджер по передаче данных в BMI, некоммерческой организации, объединяющей свыше 200 000 поэтов-песенников, композиторов и музыкальных издателей, рассматривает AAA — в особенности учет — как наиболее важный компонент решения его компании в области удаленного доступа. Гроховски недавно перевел компанию с управляемой оператором связи сети удаленного доступа на управляемый собственными силами сервер удаленного доступа. Ему приходится поддерживать около 100 пользователей, в том числе агентов по продажам по всему миру.
Гроховски приобрел TRU Radius Accountant компании Telco Research, с помощью которого он может контролировать использование сервера удаленного доступа и предъявлять соответствующие счета пользователям. Ему приходится сталкиваться со значительными ежемесячными расходами на междугороднюю связь, и поэтому пакет учета необходим для документального подтверждения и обоснования расходов перед его начальством. "У меня нет сотрудников на то, чтобы они целыми днями занимались составлением отчетов, а этот продукт запрашивает у моего сервера RADIUS данные о звонках и составляет простые исчерпывающие отчеты об использовании", — говорит Гроховски.
Так, учет позволил выявить такие связанные с местными удаленными пользователями скрытые расходы, как звонки по дорогостоящим номерам вместо местных номеров. Если оператор поддерживает автоматическую идентификацию номеров (Automatic Number Identification, ANI) или Caller ID, то учет дает возможность выявить и самих "проштрафившихся" пользователей, так что им могут быть даны соответствующие инструкции и номера.
Ресурсы Internet
Исследование IDC "Общая ситуация с управлением удаленными и мобильными системами" можно получить по адресу: www.idc.com.
Анализ оборудования удаленного доступа имеется на узле Web компании Infonetics Research по адресу: www.infonetics.com.
Рисунок 1. Распространение технологии VPN (и затрачиваемые на нее суммы) должно заметно возрасти уже в ближайшие год-два. Затраты должны окупиться за счет сокращения платы за междугородние звонки и экономии на поддержке RAS. Однако будьте осторожны, так как потенциальные проблемы с качеством услуг в виртуальных частных сетях могут привести к разочарованию в данной технологии.
Рисунок 2. Здесь мы приводим количество часов за месяц, которые администраторы тратят на диагностирование и восстановление до и после введения управления удаленными системами в расчете на 100 пользователей. Такие вопросы, как восстановление защиты и противодействие вирусам, отнимают на удивление мало времени, в то время как поддержка пользователей требует гораздо больше усилий.