Rambler's Top100
Статьи ИКС № 11 2008
Дмитрий БЕЛОУСОВ  11 ноября 2008

WAN-сети: от традиционных маршрутизаторов к сервисным шлюзам

На рынке корпоративных территориально распределенных сетей (WAN) происходят серьезные изменения. Основные их причины – стремление компаний снизить стоимость владения такими сетями, одновременно повысив коэффициент их доступности; необходимость расширения полосы пропускания и внедрения механизмов гарантированного качества обслуживания (QoS) для нормальной работы видео- и телефонных приложений,  а также обеспечение безопасности WAN-сетей.

Исторически для построения таких сетей компании активно задействовали технологии Frame Relay и ATM, однако с появлением новых сервисов, таких как IP-телефония, стало очевидно, что построение WAN-сети на основе IP-технологии более эффективно. Эксплуатируемые сегодня WAN-сети «населены» множеством разнотипных устройств разных производителей. По мере развития своих сетей компании стремятся интегрировать функции, выполняемые разными продуктами, в одно мультисервисное устройство, что позволяет заметно сократить расходы на управление размещенным в удаленных офисах и филиалах оборудованием и его техническое обслуживание. Это важно еще и потому, что компаниям приходится решать всё более сложные сетевые задачи без расширения (а порой и в условиях сокращения) штата ИТ-отдела.

Аналитики компании Gartner предсказывают значительное снижение спроса в ближайшие несколько лет на традиционные корпоративные маршрутизаторы доступа, тогда как продажи маршрутизаторов с интегрированными функциями организации виртуальных частных сетей (VPN) и межсетевыми экранами будут расти. Эти продукты нового поколения часто называют сервисными шлюзами, и одними из его представителей являются устройства OmniAccess 700 Unified Services Gateway (USG) компании Alcatel-Lucent.

«Всё в одном»

OmniAccess 700 построены по принципу «всё в одном»: они выполняют основные сетевые функции (маршрутизация, коммутация, поддержка алгоритмов QoS), обеспечивают безопасность (встроенный межсетевой экран, организация VPN, определение и предупреждение вторжений – IDS/IPS) и работу телефонии (аналоговой и VoIP). Кроме того, они поддерживают традиционные сетевые службы (DNS, DHCP и др.), а также множество WAN-интерфейсов и протоколов.

В семейство OmniAccess 700 входят две модели: 10-слотовая OmniAccess 780 и 4-слотовая OmniAccess 740. В первой модели два слота отведены под резервирующие друг друга коммутирующие матрицы, еще два – под модули центрального процессора (каждый такой модуль имеет два встроенных порта 10/100/1000 Ethernet), в остальные шесть устанавливаются интерфейсные модули. Во второй модели два слота отведены под служебные функции и два – под интерфейсные модули. В качестве последних предлагаются, в частности, 4-портовый модуль Е1, модуль с последовательными интерфейсами (V.35, X.21, RS-232), а также модуль, представляющий собой 8-портовый коммутатор Ethernet 10/100/1000, использование которого позволяет применять устройства OmniAccess в качестве универсального решения для удаленных офисов и филиалов.

Технология одного прохода

Как уже говорилось, на границе WAN-сети выполняется множество функций – маршрутизация трафика, межсетевое экранирование, дешифрование трафика в туннелях IPSec, отслеживание возможных вторжений и т.д. При использовании традиционных технических решений все это значительно снижает скорость обработки трафика. Дело в том, что каждое специализированное устройство (или каждый сервисный модуль одного универсального устройства) разбирает пакеты для анализа их содержимого, выполняет свои задачи, а затем вновь собирает пакеты – многократное повторение этой процедуры сильно замедляет работу сети.

В шлюзах OmniAccess 700 эта проблема кардинально решена с помощью OnePass – технологии одного прохода. Эти устройства выполняют классификацию и анализ содержимого пакетов один раз – в интересах всех многочисленных сетевых сервисов. После того как пакет обследован, он направляется через конкретные сервисные модули (например, IPS/IDS), которые выполняют свою работу максимально быстро с минимальным расходом процессорной мощности. Важно и то, что алгоритм OnePass гарантирует сохранение высокой производительности устройств при добавлении новых сервисов.

Модульное построение

Еще одной характеристикой шлюзов OmniAccess 700, выгодно отличающей их от продуктов конкурентов, является модульное построение операционной системы ModuLive. Это означает, что при «падении» одного из сервисов остальные продолжат нормально функционировать. Понятно, что новые сервисы и функции могут быть добавлены в шлюзы динамически – без остановки их работы. Сетевых администраторов порадует и то, что платы могут устанавливаться в шлюзы OmniAccess 700 и извлекаться из них без остановки работы – в режиме plug & play. Кроме того, ПО ModuLive Chassis Manager автоматически отслеживает состояние каждой интерфейсной платы и уведомляет администратора при возникновении каких-либо угроз ее нормальной работе. Наконец, ModuLive является еще и открытой операционной системой, а это значит, что имеется возможность использования средств разработчика (SDK) для создания собственных расширений к этой платформе, например написания антивирусных программ и т.п.

Удаленное управление

При развертывании сетевых устройств в филиалах и удаленных офисах критически важно наличие эффективных средств удаленного управления этими устройствами. В шлюзах OmniAccess 700 реализована «идеология» управления Lifeline, которая базируется на отдельной шине управления, выделенных управляющих процессорах на каждом интерфейсном модуле и множестве различных механизмов для доступа к системе. Это, в частности, означает, что сетевой администратор может получить удаленный доступ к системе независимо от ее состояния: например, в случае отказа модуля маршрутизации и коммутации в распоряжении администратора остается все необходимое для удаленного анализа состояния устройства, его переконфигурирования и даже перезагрузки.

Технология Lifeline предоставляет ИТ-специалистам средства для удаленного выполнения всех важных задач, связанных с мониторингом системы, управлением конфигурацией, обновлением ПО и развертыванием новых сервисов. Это позволяет им централизованно управлять сетью, объединяющей большое количество удаленных филиалов, не тратя время и деньги на поездки непосредственно в места установки оборудования.

Сценарии построения сети

Поддержка сервисными шлюзами нового поколения широкого набора WAN-протоколов позволяет задействовать их в самых разных сценариях построения сети. Это может быть подключение филиалов к штаб-квартире по каналам «закрытой» сети оператора связи, при этом одни филиалы могут использовать для доступа протокол Frame Relay, другие – MLPPP, третьи вообще работать по скоростной (скажем, городской) сети Ethernet.

В последнее время все большей популярностью пользуется организация корпоративных сетей через Интернет. Развитые средства шлюзов OmniAccess 700 по организации VPN делают этот вариант достаточно надежным и безопасным. Скажем, привлечение технологии IPSec позволяет проложить закрытый туннель VPN между шлюзом OmniAccess 740 филиала и шлюзом OmniAccess 780 центрального офиса через открытую сеть общего пользования. Для повышения отказоустойчивости сети компании могут организовать полносвязную структуру VPN-туннелей между всеми своими офисами. Наконец, шлюзы OmniAccess 700 могут быть сконфигурированы для поддержки резервных линий, которые разумно подключить к разным интернет-провайдерам.

. . .


Итак, новое поколение оборудования для корпоративных WAN-сетей позволяет предприятиям от «зоопарка» разнотипных устройств перейти к мультисервисным решениям, повышающим производительность работы сети и гибкость ее построения и эксплуатации. Это надежная и экономически эффективная основа сетевой инфраструктуры для внедрения новых приложений, способных повысить конкурентоспособность компаний на рынке.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!