В старые добрые времена поддержка удаленного доступа сводилась к покупке энного количества модемов и терминального сервера. Но эти сказочные дни миновали. Теперь сетевым администраторам приходится думать о защите, аутентификации, кодировании, сжатии, присвоении ограниченных прав доступа к экстрасетям и управлении постоянно растущим числом удаленных клиентов. К счастью, системы удаленного доступа становятся все изощреннее, они способны эффективно справляться с нарастающими требованиями.
Сетевые администраторы должны постоянно следить за потребностями пользователей и справляться со своими задачами без перегрузок для персонала и бюджета. Например, университет Wright State University пытается избавиться от банка модемов в стоечном исполнении и перейти к концентратору удаленного доступа, говорит Лэрри Фокс, сетевой администратор колледжа в Дейтоне, шт. Огайо. Корпорация Ameritech, сервис-провайдер университета, будет направлять все обращения пользователей в единственную ISDN-магистраль с интерфейсом PRI (Primary Rate Interface).
В других районах страны PRI используется уже давно, но в Дейтоне он только теперь вводится в действие. Благодаря PRI появится возможность убрать стойки с оборудованием, заменив их единственным блоком концентратора удаленного доступа. По мнению Фокса, PRI избавит компанию от множества отдельных телефонных линий, предоставит цифровой канал с поддержкой модемной технологии на 56 кбит/с и ISDN и потенциально обеспечит на более изощренные способы защиты и управления.
Этот модульный мир
Фоксу нужны функции управления, которые позволили бы дистанционно настраивать порты. И ему нужен концентратор для поддержки шифрования, а также защита с использованием службы RADIUS (служба удаленной аутентификации пользователей по телефонным линиям). Интересующие его концентраторы являются модульными и способны подключаться к магистралям T1 или PRI для обработки вызовов через модем или ISDN. Их можно аппаратно модернизировать с помощью плат, поддерживающих новые функции. Модульность важна, потому что она защищает финансовые вложения владельцев и позволяет настраивать концентраторы на конкретные нужды пользователей.
Поставки концентраторов для серверов удаленного доступа, млн портов |
Источник IDC |
В этой области имеется много предложений, и концентратор удаленного доступа Total Control корпорации 3Com обладает множеством функций, свойственных подобным изделиям. На одиночном шасси устройства размещены следующие компоненты: DSU/CSU (модули обработки данных и обслуживания канала); оконечное устройство PRI; аналоговые и цифровые модемы; терминальный сервер; маршрутизатор с поддержкой IP, IPX и ретрансляции кадров.
Благодаря модульности шасси фирма 3Com в прошлом году повысила производительность устройства, введя новую плату цифровой обработки сигнала. Увеличив вычислительную мощность, 3Com затем добавила плату, которая переводит голосовой трафик в формат IP и обратно.
Точно так же концентратор Total Control поддерживает адаптер сервера, способный хранить часто запрашиваемые данные, тем самым снижая объем удаленного трафика, который поступает в корпоративную ЛВС. Сервер работает на платформе Windows NT корпорации Microsoft.
Другими примерами продуктов с аналогичной модульной конструкцией являются MAX400 фирмы Ascend Communications, Adapteon 8000 Access Switch фирмы Bay Networks и AS5300 фирмы Cisco Systems.
Защита данных
Поддерживая традиционные функции модемных оконечных устройств, концентраторы расширяют сферу своей деятельности. Для Кена Грина, сетевого аналитика фирмы Landis & Gyr Utilities Services, обеспечение безопасности является весьма важной областью. Перейдя от модемов и терминального сервера к серверу удаленного доступа LanRover XP16 корпорации Shiva, он выиграл в функциях защиты.
Грин приветствовал переход от аутентификации по имени и паролю пользователя к RADIUS-серверу. Такие серверы хранят аутентификационные данные , с которыми сверяется терминальный сервер, прежде чем разрешить доступ удаленному пользователю. Здесь могут также храниться сведения о ресурсах сети, к которым позволено и не позволено обращаться удаленному пользователю.
По словам Грина, RADIUS-сервер не только сделал сеть более защищенной, но и упростил аутентификацию. До применения концентраторов приходилось вводить пароли для каждого пользователя. Теперь же, связав концентратор со службой Novell Directory Services фирмы Novell, используемой в корпоративной ЛВС, можно предоставлять права доступа целому классу пользователей единым блоком. "Из одной точки я задаю группы телефонного подключения к сети извне или к внешним службам из сети. Это снижает мою рабочую нагрузку", -- говорит Грин.
Большинство платформ поддерживает также процедуры аутентификации по протоколу Password Autentication Protocol, протоколу Challenge Handshake Autentication Protocol и по системе контроля доступа через контроллер доступа к терминалу (TACACS), а также технологии с маркерным паролем.
Пришествие VPN
Многие концентраторы удаленного доступа, хорошо приспособленные для корпоративных сетей, например MAX фирмы Ascend, могут быть использованы провайдерами услуг Internet. Традиционные операторы телефонной связи признают, что устройства удаленного доступа могут применяться в их сетях для оказания услуг по удаленному доступу. Операторы работают с модемами, а клиентам от операторов передаются широкополосные пакеты.
В то же время корпоративные пользователи рассматривают Internet как недорогую магистраль для удаленных пользователей коммутируемых линий. В результате появился новый вид аппаратуры доступа (типа NOC 2000 и 4000 фирмы New Oak Communications, купленной в январе Bay Networks). Такие устройства опираются на Internet как на коммутируемую удаленную шину. Пользователи соединяются по телефону со своим местным провайдером услуг Internet и организуют защищенный туннель с помощью сервера NOC на корпоративном узле. В NOC имеются сетевая защита, шифрование и строгая аутентификация.
Сервер NOC 4000 индивидуализирует доступ для каждого пользователя, создавая то, что компании называют частной экстрасетью, т.е. ограниченный доступ к корпоративной сети на основе персональных характеристик пользователя.
Аппаратуру NOC можно применять в сетях провайдеров услуг для обслуживания виртуальных частных сетей (VPN). В этом случае пользователи связываются по телефону с модемами в сети оператора связи, проходят контроль системы защиты и подсоединяются к корпоративной сети через агрегированный широкополосный канал.
Несмотря на возможность сэкономить деньги и снизить потребность в персонале для контроля за аппаратурой удаленного доступа, некоторые пользователи не проявляют особого интереса к данной технологии. Майкл Хегевальд, руководитель административной информационной системы и телекоммуникаций в Управлении по делам спорта и выставок шт. Нью-Джерси, утверждает: "Мне нравится независимость от телефонных компаний и мне не нужно беспокоиться о том, насколько хорошо кто-то другой справляется с моим удаленным доступом".