Hewlett-Packard представила новые граничные коммутаторы, обеспечивающие защиту сетей передачи данных
Без малого три года назад подразделение сетевых продуктов корпорации Hewlett-Packard обнародовало концепцию ProCurve Adaptive EDGE Architecture. Ее основой является наделение граничных коммутаторов и маршрутизаторов функциями контроля над доступом, обеспечения мобильности, защиты данных и поддержки мультисервисных приложений. Аргументы специалистов компании в пользу переноса на периферию сети значительной части функций интеллектуальной обработки пакетов были такими: наблюдаются резкий рост объемов трафика и ужесточение требований заказчиков к уровню защищенности инфраструктуры.
Разработанная HP архитектура позволяет снять часть нагрузки с коммутаторов ядра сети и тем самым уменьшить интенсивность трафика, передаваемого по магистральным каналам. Выигрыш достигается и в плане безопасности: действия злоумышленников и вредоносный трафик могут блокироваться уже на входе в магистральную сеть. Февральские анонсы компании позволяют проследить, как реализуются эти идеи.
Защищенная маршрутизация
ProCurve Secure Router 7102dl — младший представитель семейства защищенных маршрутизаторов компании Hewlett-Packard |
В продуктовом портфеле подразделения ProCurve Networking Business (PNB) появилось новое семейство защищенных модульных маршрутизаторов ProCurve Secure Router 7000dl, позволяющих распространить концепцию Adaptive EDGE на глобальные сети. Пока это семейство представлено двумя моделями — 7102dl и 7203dl. Устройства предназначены для организации защищенных соединений между головным офисом компании и удаленными филиалами малых (10-100 компьютеров) и средних (100-1000 компьютеров) размеров, а также для формирования сквозных соединений и защищенного подключения к Internet. Маршрутизатор 7102dl оснащен двумя слотами для интерфейсов глобальных сетей и способен поддерживать до четырех потоков E1. В свою очередь, 7203dl имеет дополнительное посадочное место для широкого восьмипортового dl-модуля, обеспечивает резервирование питания и поддерживает до 12 потоков E1.
Обе модели, выполненные в конструктиве 1U, оснащаются брандмауэром, средствами поддержки стандарта аутентификации 802.1X и списков контроля над доступом (ACL), шифрования данных и учетной информации пользователей, фильтрации пакетов третьего уровня модели OSI. Дополнительно поставляется плата шифрования, позволяющая формировать сети VPN на базе протокола IPSec для удаленного доступа сотрудников в корпоративную сеть.
Удобство конфигурирования и эксплуатации обеспечивается стандартным интерфейсом командной строки и встроенным графическим интерфейсом для настройки брандмауэра, ACL и VPN, возможностью дистанционной загрузки образа системы и конфигурационных файлов с внешнего носителя Compact Flash, функцией резервирования файлов ОС при их обновлении и поддержкой централизованного управления по протоколу SNMPv2. Работой маршрутизаторов можно управлять при помощи ПО ProCurve Manager, бесплатно доступного на Web-сайте компании, либо его более совершенной версии ProCurve Manager Plus.
Различные механизмы обеспечения QoS на 2-4 уровнях эталонной модели OSI, управления очередями и отслеживания процессов установления вызовов (по протоколам H.323 и SIP) обеспечивают эффективную приоритизацию смешанного трафика. Кроме того, новые устройства поддерживают все основные протоколы маршрутизации, формирование виртуальных ЛС в соответствии со стандартом 802.1Q и многоадресную рассылку IP-пакетов. Рекомендованная для региона EMEA стоимость модели 7102dl составляет 1273 евро, а устройства 7203dl — 2548 евро. Поставки новых маршрутизаторов начнутся в апреле.
Безопасность в эфире
Другая анонсированная в феврале новинка — однослотовый модуль ProCurve Switch xl Access Controller Module (ACM) — гарантирует безопасность доступа беспроводных пользователей к сетевым ресурсам через граничный коммутатор ProCurve 5300xl. С помощью этого модуля обеспечиваются контроль над доступом на основе строгой процедуры идентификации, шифрование трафика беспроводной сети и прозрачный безопасный роуминг на третьем уровне модели OSI. В точном соответствии с основной идеей архитектуры Adaptive EDGE новый модуль освобождает пользователей от установки средств идентификации на портативных терминалах и упрощает процедуру защищенного доступа в сеть. Управление ACM осуществляется централизованно с серверов доступа ProCurve Secure Access Server 740wl и устройств Integrated Access Manager 760wl.
Представители Hewlett-Packard подчеркивают, что новое изделие полностью соответствует индустриальным стандартам, а потому может использоваться в сетевой среде, базирующейся на оборудовании различных производителей. Модуль поддерживает Web-аутентификацию, управление распределением полосы пропускания и контроль над некорректно настроенными сетевыми сервисами. Таким образом, установка ACM (который стоит 3999 евро) наделяет граничные коммутаторы 5300xl функциональными возможностями контроллеров доступа ProCurve Access Controller 720wl, традиционно размещаемых между коммутаторами 5300 и беспроводными точками доступа. Теперь без них можно будет обойтись.
Душегубка для вирусов
Технологию HP Virus Throttle без преувеличения можно назвать изюминкой в череде февральских анонсов Hewlett-Packard. Речь идет о программном обеспечении, функционирующем на уровне сетевых устройств, которое распознает вирусную активность и предотвращает стремительное распространение вредоносного кода по корпоративной сети.
Как известно, борьбу с компьютерными вирусами и червями значительно осложняет высокая скорость их распространения: до инсталляции обновленной версии антивирусного ПО многие тысячи машин успевают заразиться. Например, SQLSlammer каждую секунду поражает свыше 800 компьютеров, причем обычно компьютер инициирует не более одного соединения в секунду.
Исследовательское подразделение HP Labs предложило нетрадиционный подход к решению проблемы. Вместо сканирования файлов и системного реестра на компьютерах пользователей с применением известных вирусных сигнатур ПО Virus Throttle анализирует запросы на установление сетевых соединений и выявляет случаи нетипичной сетевой активности, которые могут указывать на распространение вируса.
Характерным признаком служит неожиданный рост числа запросов на формирование соединений со стороны одного из компьютеров. В этом случае Virus Throttle автоматически снижает скорость установления таких соединений вплоть до полной блокировки порта коммутатора, к которому подключен соответствующий компьютер. Одновременно системному администратору отправляется уведомление о событии, что позволяет своевременно принять необходимые меры, в частности установить программные обновления или «заплатки». Другой вариант — отправка сообщения управляющему ПО ProCurve Manager Plus, способному при необходимости вообще отключить коммутатор, через который передается зараженный трафик.
Чем выше активность вируса, тем оперативнее реагирует Virus Throttle. Время срабатывания измеряется несколькими миллисекундами, что позволяет предотвратить массовое распространение вредоносного кода. Согласно данным HP, в тестовой среде распространение вируса W32/Nimda-D было полностью блокировано менее чем за секунду.
Функционирование ПО Virus Throttle не препятствует обычной сетевой активности и не влияет на пропускную способность сети — передача нормального трафика осуществляется с прежней скоростью. Еще одним преимуществом является минимизация последствий новых или не идентифицированных угроз.
ПО Virus Throttle пока доступно для серверов HP ProLiant и HP BladeSystem, а также для граничных коммутаторов ProCurve Switch 5300xl. В последнем случае при обнаружении признаков вирусной активности Virus Throttle буквально «душит» зараженный компьютер, не давая ему выйти в сеть. Пользователи устройств 5300xl могут установить на них VirusThrottle бесплатно.
В «магическом квадранте»
По мнению Отто Бауэра, менеджера по развитию бизнеса ProCurve в Центральной и Восточной Европе, новинки компании позволят существенно улучшить ее позиции на мировом рынке сетевых устройств. И для подобных заявлений у HP есть веские основания.
Достаточно вспомнить, что еще шесть лет назад фирма занимала 11-е место в рейтинге производителей Ethernet-коммутаторов. Сегодня ей принадлежит вторая позиция, а в планах HP — потеснить безусловного лидера этого рынка Cisco Systems и выйти на рынок оборудования операторского класса для магистральных сетей. Согласно данным Dell?Oro Group, в весьма динамичном IV квартале 2004 года бизнес PNB рос быстрее, чем рынок в целом и бизнес основных конкурентов компании (см. рисунок). Симптоматично и то, что в своем последнем отчете о рынке оборудования для кампусных сетей (декабрь 2004 года) фирма Gartner впервые поместила HP в категорию претендентов на лидерство — выше 3Com, Alcatel, Enterasys, Extreme и Nortel. Пальма первенства в очередной раз досталась Cisco.
Изменение объемов продаж управляемых коммутаторов в IV квартале по сравнению с аналогичным периодом 2003 года |
Аналитики Gartner отмечают, что HP стала единственным игроком в данном сегменте, которому в прошлом году удалось существенно улучшить свое рыночное положение. Компания добилась того, что клиенты стали чаще рассматривать ее как поставщика высококонкурентных решений. Хотя сейчас продукты HP позволяют построить не любую корпоративную сеть, они покрывают потребности по крайней мере 80% заказчиков. Агрессивно позиционируя их в качестве наилучшего выбора, сетевое подразделение HP может заметно увеличить свое рыночное присутствие.
По мнению Gartner, пользователей привлекает к продукции HP, в первую очередь, ее цена. Зачастую сетевые продукты компании на 70% дешевле предложений конкурентов. Постоянно сравнивая свою продукцию с изделиями Cisco Systems, представители HP в качестве примера приводят такие цифры: стоимость портов Gigabit Ethernet устройств ProCurve начинаются с 95 долл./порт, а у Cisco — со 170 долл./порт. Другим сильным аргументом является пожизненная гарантия на большинство изделий (в том числе 7000dl). Конкуренты HP чаще всего дают на свои сетевые устройства пятилетнюю гарантию, а у Cisco срок ее действия вообще составляет 90 дней. Росту популярности продуктов ProCurve обещает способствовать и политика бесплатного предоставления заказчикам большей части ПО.
Вклад в рыночные успехи PNB должна внести опора на собственные исследования и разработки. Как отметил на венской пресс-конференции Билл Джонсон, руководитель исследовательского подразделения HP ProCurve Lab, в последние годы расходы PNB на R&D росли быстрее, чем у основных конкурентов. В частности, в сетевых продуктах HP теперь используются специализированные микросхемы (ASIC) собственного производства.
Gartner указывает также, что на позиции PNB положительно повлияло приобретение бизнеса Riverstone Networks, связанного с производством оборудования для корпоративных сетей. В долгосрочной перспективе этот шаг позволит уменьшить зависимость HP от разработок ее давнего партнера — Foundry Networks. В любом случае Gartner рекомендует организациям, кампусные сети которых объединяют не более 5 тыс. рабочих мест, уже сегодня рассматривать Hewlett-Packard как одного из претендентов на победу в объявляемых ими тендерах.
ProCurve в России
Hewlett-Packard старается не приводить конкретных цифр, характеризующих деятельность своего сетевого подразделения, а уж тем более не публиковать его региональные «срезы». Определенное представление об успехах PNB на отечественном рынке можно составить на основе объемов поставок в натуральном выражении.
По словам Вадима Плесского, менеджера по развитию бизнеса ProCurve в России, за 2003 год компания продала в нашей стране около 110 тыс. портов Ethernet. Из них 5% пришлись на порты Gigabit Ethernet, а остальные 95% — на порты 10/100 Мбит/с. В прошлом году пропорция изменилась: доля гигабитных портов составила уже 15%, а общий объем поставок достиг 150 тыс. портов. Устройства HP с портами 10GE пока не пользуются спросом у отечественных заказчиков.
Среди крупнейших российских клиентов PNB — «Ростелеком», Сбербанк, «МегаФон», Новокузнецкий металлургический комбинат. Число организаций, располагающих 200-300 портами ProCurve, перевалило за 200, причем около 100 подобных проектов реализовано в прошлом году.