Подключение предприятий к глобальной сети, чем регулярно приходится заниматься администраторам ИТ, — задача непростая. Между тем, соединения с глобальными коммуникационными сетями все чаще выполняют функции основной артерии предприятия. Полуторасуточный сбой сети T-Mobile весной прошлого года показал, как легко эта артерия может быть повреждена. Среднее время простоя различных сред передачи находится в диапазоне от 250 ч (ADSL) до 128 ч (выделенная линия) в год. Сбой на линиях — дело обычное, будь то одиночные подключения DSL или MPLS VPN. В корпоративной среде такой инцидент может привести к остановке работы предприятия, ведь все больше процессов нуждаются в обязательном наличии соединения по IP. Набирающее популярность перемещение приложений в «облако» (Cloud) повышает значимость таких соединений. Принимая во внимание немалую стоимость выделенных линий, невозможно найти оправдания простою продолжительностью свыше пяти дней за год, ведь каждая потерянная для производственного процесса минута стоит денег.
Сотрудники часто винят в таких сбоях именно отдел ИТ, хотя эффективность его работы практически полностью зависит от возможностей поставщиков услуг Интернета (Internet Service Provider, ISP). Зачастую остается только ждать и надеяться, задавая одни и те же вопросы: «Сколько продлится сбой? Удастся ли провайдеру устранить неполадку за отведенное время? Зачем нужны дополнительные дорогостоящие соглашения об уровне сервиса (Service Level Agreement, SLA) и резервные подключения, если соединение все равно потеряно?»
Как в такой ситуации не позавидовать тому, что происходит на рынке услуг для физических лиц, где на протяжении нескольких лет провайдеры активно борются за клиентов, снижая тарифы и повышая скорости. Однако в сфере корпоративных решений конкуренция практически отсутствует. Синхронная выделенная линия со скоростью 2 Мбит/с обходится предприятию во много раз дороже, чем обычному потребителю существенно более быстрое соединение DSL. Но отказаться от нее из-за высокой стоимости — не самое разумное решение, ведь тогда время простоя увеличится еще больше. Так есть ли способ, позволяющий предприятию взять создание корпоративной сети в свои руки и объединить лучшее из двух миров — выгодную стоимость широкополосных соединений для физических лиц и устойчивость к сбоям дорогостоящих выделенных линий?
НАСТОЯЩЕЕ ОБЪЕДИНЕНИЕ
Один из способов — воспользоваться технологией, разработанной немецким производителем маршрутизаторов Viprinet. Эта технология обеспечивает отказоустойчивость путем распределения рисков, для чего до шести подключений к Интернету объединяются в единую виртуальную выделенную линию. В результате соединения с глобальной сетью оптимизируются с помощью доступных на местах лучших и наиболее выгодных предложений без привлечения провайдеров услуг ISP и MPLS. При этом пропускная способность всех подключенных линий суммируется — то есть при наличии шести подключений ADSL со скоростью 16 Мбит/с итоговая скорость в нисходящем потоке (Downstream) достигает 96 Мбит/с.
Комбинация сред доступа и поставщиков услуг может быть произвольной — ADSL, кабельный DSL, SDSL, UMTS или ISDN. Чем больше различных провайдеров и сред объединяется, тем меньше — исходя из статистических расчетов — угроза сбоя, ведь вероятность одновременного отказа всех сетей DSL и UMTS ничтожна (см. Рисунок 1). При использовании трех различных линий ADSL в сочетании с дополнительным резервным соединением UMTS как минимум один из вариантов связи доступен 99,9% времени, что позволяет избежать простоев. При использовании лишь одной среды передачи такую высокую доступность невозможно обеспечить даже за большие деньги.
Хотя соглашения об уровне сервиса и дают некую письменную гарантию соблюдения заданного уровня доступности, последствия их невыполнения для провайдеров, как правило, ограничиваются преждевременным расторжением договора вследствие невыполнения обязательств. Претензии по поводу простоя практически не принимаются. Провайдеры услуг Интернета не хотят брать на себя подобную ответственность, ведь они прекрасно осведомлены о весьма посредственном качестве сетей на значительной части территории страны, между тем как их приходится использовать для работы все более требовательных служб.
Принцип действия представленной технологии базируется на применении специального метода построения туннелей виртуальных частных сетей (Virtual Private Network, VPN). На многоканальном VPN-маршрутизаторе система создает через каждую подключенную физическую линию зашифрованный туннель VPN к вызываемому узлу. Последний располагается на центральной магистрали Интернета или непосредственно в головном офисе предприятия и представляет собой необслуживаемое устройство — многоканальный концентратор VPN. Для построения туннеля используется нестандартизованный протокол VPN с интегрированным 256-разрядным шифрованием SSL по алгоритму AES. Маршрутизатор объединяет все туннели VPN и создает одно виртуальное широкополосное соединение.
При доступе из локальной сети такой туннель ничем не отличается от обычного одиночного подключения. IP-адреса, предоставляемые разными провайдерами физических линий, больше не используются — они невидимы и экранированы. Данные, проходящие через виртуальный туннель VPN, разделяются на части и распределяются по доступным соединениям, причем для пользователя весь процесс полностью прозрачен. На вызываемом узле система производит дешифровку данных, снова соединяет их и пересылает к конечному адресату. При объединении в сеть нескольких территориально распределенных объектов концентратор VPN, кроме прочего, отвечает за распределение зашифрованных потоков данных между филиалами.
ПРОИЗВОЛЬНЫЕ КОМБИНАЦИИ
Данная технология является удачным решением, особенно когда другие методы доступа к глобальной сети, такие как MPLS, оказываются недоступными или слишком дорогими. Подключение нескольких корпоративных филиалов, находящихся внутри и вне страны, очень часто вызывает проблемы. Так, может получиться, что интеграция отдельных, прежде всего, удаленных филиалов в сеть MPLS оказывается невозможной, поскольку местный провайдер не в состоянии гарантировать удовлетворительное соединение с Интернетом.
Еще больше трудностей возникает при подключении заграничных филиалов, поскольку там у провайдеров услуг Интернета порой просто нет доступа
к сетевым инфраструктурам, находящимся под контролем бывших государственных монополий. К тому же повсеместно отмечается недостаток гибкости: из-за больших сроков действия договоров вносить краткосрочные изменения в корпоративную сеть в связи с приобретением или продажей филиала, внедрением новых приложений с более высокими требованиями к пропускной способности или оснащением домашних рабочих мест в удаленных регионах становится все труднее и дороже.
Решение с объединением подключений оказывается более гибким, поскольку модульная конструкция маршрутизаторов позволяет быстро объединить соединения и сделать это — благодаря технологии «горячего» подключения (Hot Plug) — без разрыва связи. Для каждого местоположения можно задать свои специфичные требования к пропускной способности, которыми будет руководствоваться программа управления объединенными соединениями. Если филиалу требуется особенно высокая скорость восходящего соединения (Upload), к примеру для проведения видеоконференций или передачи потоков видео, то это обеспечивается с помощью интеграции подключений UMTS или SDSL. Когда понадобится более высокая пропускная способность нисходящего соединения (Downstream), желаемый эффект будет достигнут в результате объединения нескольких быстрых соединений ADSL. В регионах, где нет DSL, конкурентоспособное соединение возможно благодаря сочетанию нескольких подключений UMTS с доступными «облегченными» соединениями DSL (DSL-light) или радиорелейными линиями, что обеспечит преимущество по сравнению с местными предложениями.
Многоканальный VPN-маршрутиза-тор пригоден и для мобильного использования. В компактном настольном варианте, рассчитанном на три соединения, это устройство обеспечивает разнообразные сценарии применения для внештатных сотрудников, домашних офисов, организаторов презентаций (Roadshow) и других мероприятий без привязки к конкретному местоположению.
БЕЗОПАСНОСТЬ ПОСРЕДСТВОМ ШИФРОВАНИЯ
Этот метод пригоден и для защищенной пересылки важных конфиденциальных данных. Используемый стандарт шифрования не только обеспечивает надежное шифрование пересылаемых данных, но и делает их, как заявляет производитель, невидимыми для потенциальных злоумышленников. В отличие от IPSec, трафик данных с использованием SSL очень сложно отличить от остальных пакетов TCP/IP, к тому же данные распределяются по нескольким соединениям и провайдерские магистрали шифруются отдельно. В результате по туннелю VPN передаются зашифрованные раздробленные данные, которые сложно распознать.
Важным критерием для многих предприятий является эксплуатация ответного устройства, но именно здесь имеется ряд особых возможностей. Предприятия, обладающие собственным центром обработки данных, могут установить в нем многоканальный концентратор VPN и администрировать свою сеть самостоятельно. Наличие собственного ответного устройства облегчает внедрение изменений в сеть, которая теперь гибко подстраивается под меняющиеся требования предприятия, при этом вносить какие-либо изменения в ЦОД не приходится. Кроме того, особая система избыточности концентратора обеспечивает чрезвычайно высокую доступность ответного устройства, сводя к минимуму необходимость его обслуживания.
Ежемесячные расходы на эксплуатацию такой сети на основе объединенных подключений к Интернету существенно ниже, чем у решений на базе MPLS. Это достигается в результате «облагораживания» типичных рыночных предложений для физических лиц таким образом, чтобы они соответствовали высоким профессиональным требованиям. Одновременно повышается производительность и доступность соединений.
Кристоф М. Хагнади — независимый журналист.
© ITP Verlag
Рисунок 1. Увеличение количества объединенных соединений существенно снижает вероятность общего отказа.