Администрирование и мониторинг
Средства управления входом в систему во всех протестированных продуктах оказались явно не на высоте, однако в других областях управления дела обстоят лучше. Более чем у половины продуктов имеется возможность в случае каких-либо неполадок послать сообщение на пейджер или отправить его по электронной почте. Наилучшим образом управление и мониторинг организованы в продуктах компаний Altiga и Lucent.
В VPN Concentrator Series (Altiga) каждая "мелочь" в работе сервера туннелирования отражается на экране модуля управления. Можно даже проконтролировать число оборотов вентиляторов в сдвоенных источниках питания, если это кого-то заинтересует.
Возможности продукта Security Management Server (Lucent) еще шире. Например, в нем реализованы два уровня управления: он позволяет задать, кто должен получать данные мониторинга и кто может изменять установки. Кроме того, Lucent включила в свой продукт мини-анализатор протокола - очень симпатичная функция.
Нам понравились также системы с ограниченным числом функций управления, запускаемых из командной строки. Это продукты компаний TimeStep, Intel, RadGuard и VPNet. Конечно, вряд ли вы захотите строить виртуальную частную сеть для предприятия, вводя команды из командной строки, но подключиться к VPN-серверу, используя эмулятор терминала, чтобы изменить один параметр или проверить совместимость работы аппаратуры разных производителей, - весьма привлекательная возможность.
Администраторы сети, которые хотели бы управлять VPN, руководствуясь формулой "настрой и забудь", могут удовлетвориться ограниченными средствами управления продуктов компаний Red Creek и Intel. Хотя они и позволяют увидеть, что происходит в сети, но процесс воплощения этих возможностей весьма тягостный. В VTCP/Secure фирмы InfoExpress функции управления еще менее дружественны по отношению к пользователю: это единственный VPN-продукт, в котором конфигурирование производится с помощью меню в ASCII-кодах в сеансе MS-DOS. Если нужно посмотреть, кто зарегистрировался, необходимо запустить генерацию отчета, а единственный способ "вышвырнуть" пользователя, который "плохо себя ведет", - это перезапустить VPN-сервер целиком.
Довольно удивительно, но все протестированные нами продукты работали почти в полном соответствии с тем, что производители заявляли о них в рекламе, хотя некоторые несоответствия обнаружились в наших тестах на время задержки и пропускную способность. В основном наибольшая нестабильность наблюдалась в случае длительной работы клиентов, независимо от того, были они подключены к VPN или нет. Получить повторяемые отклонения от нормы для таких измерений достаточно сложно.
У некоторых продуктов отказ возникал, если время жизни туннеля было слишком большое (более 24 часов), хотя все, с кем мы обсуждали эту проблему, уверяли нас, что система будет работать нормально после внесения следующей серии исправлений или замены ОС, параметров защиты, времени работы ключей. Если вы действительно планируете работать с "долгоживущими" туннелями, прежде чем приобретать систему, протестируйте их работу в своей среде со своими параметрами безопасности.
Гораздо хуже обстоит дело со стабильностью работы консолей управления. Например, в RiverWorks графический интерфейс пользователя несколько раз "рушился". А в VPNWare время от времени не работали Java-средства и программу приходилось перезапускать. В некоторых случаях причина появления проблем коренилась в неудачном проектировании продукта. Так, архитектура VTCP/Secure не обеспечивала поддержку всех IP-протоколов, что может вызвать ошибки несовместимости при работе с определенными приложениями. Из-за объединения в Security Management Server (Lucent) функций VPN с брандмауэром возникали проблемы подключения к нашему FTP-серверу.
* * *
Продукты, которые мы протестировали, очень разные. Чтобы выбрать нужный, следует учесть размер вашей виртуальной частной сети, способ подключения к Internet и многие другие, более сложные, вопросы.
Продукты серии Ravlin (RedCreek) превосходят все прочие по простоте инсталляции и работы. Тем не менее Ravlin доставит вам массу хлопот, если число виртуальных пользователей будет измеряться тысячами.
Для cети со средним количеством пользователей отличным решением будет VPN Concentrator Series фирмы Altiga. У него и цена неплохая, и интерфейс управления понятный: настройка и работа с ним не вызвала затруднений. Продукты компаний Lucent и Check Point по этим позициям также получили хорошие баллы, однако интерфейсы управления у них на порядок сложнее, чем у VPN Concentrator Series, причем от этого их функциональность не возросла во столько же раз.
Если необходимо развернуть очень большую виртуальную сеть, внимательно присмотритесь к предложениям компаний Indus River и TimeStep - продуктам RiverWorks и Permit Enterprise соответственно. В этих компаниях хорошо представляют себе, как организовать виртуальную сеть для 10 тыс. и более клиентов. Хотя в обоих продуктах средства создания отчетов не лишены недостатков, высокие показатели по другим позициям дают им явное преимущество перед остальными. Можно также воспользоваться предложениями компаний Lucent, VPNet и Intel, сильной стороной которых является удачная архитектура.
Однако такое деление на продукты для малых, средних и больших систем не должно влиять на выбор, если какой-то "претендент" лучше других соответствует вашим требованиям.
