Во-вторых, серверы удаленного доступа нужны провайдерам услуг Internet. Собственно, и в корпоративных сетях эти серверы могут применяться для доступа сотрудников в Internet (например, надомный работник получает возможность воспользоваться каналом, через который его компания подключена к провайдеру).
Конечно, на первых этапах развития корпоративной сети она способна обойтись и без сервера удаленного доступа. Чаще всего организация просто устанавливает модемный пул и подключает его к маршрутизатору; в результате ее сотрудники быстро обеспечиваются средствами удаленного доступа. Данный подход характерен и для не слишком крупных российских Internet-провайдеров: на первых этапах развития своего бизнеса они предпочитают довольствоваться имеющимся оборудованием.
Традиционное решение на базе модемного пула с доступом по аналоговым линиям обладает целым рядом недостатков. Как правило, приходится поддерживать большое и сложное кабельное хозяйство. Изобилие болтающихся проводов мешает не только обслуживающему персоналу — они становятся приемниками и источниками помех. Далее, подобное решение с трудом поддается масштабированию; для увеличения емкости системы требуются серьезные усилия.
Поэтому организации, серьезно настроенные на рост объема услуг — в первую очередь, провайдеры услуг Internet, — уже начали переходить на технологии, которые больше соответствуют решаемым задачам. Интегрированные серверы доступа подключаются к АТС по цифровым каналам (обычно на базе линий E1), что позволяет значительно повысить надежность соединения. Их легче масштабировать, ими проще управлять и, наконец, они поддерживают значительное количество интеллектуальных функций. По имеющимся у нас сведениям, интегрированные серверы удаленного доступа используют московские провай- деры "2КОМ", "Демос", "ПТТ-Телепорт", "Совам Телепорт" (служба "Россия Он-Лайн"), Cityline, Cronyx/Rinet и Preshburg/ Comtel.
Как выбрать сервер удаленного доступа
Выбирая сервер удаленного доступа, нужно принимать во внимание некоторые факторы. Мы перечислим основные из них и дадим краткий комментарий.
Масштабируемость — важнейшее преимущество интегрированного решения. Необходимо учитывать, как будет использоваться сервер непосредственно после покупки и с течением времени (при развитии компании). Быстрые темпы технического прогресса заставляют сделать все возможное для увеличения срока морального устаревания оборудования. Сервер удаленного доступа должен поддерживать самые разнообразные протоколы и платформы, а соответственно — системные и прикладные программы, развертываемые пользователями. Требуется также поддержка максимально широкого спектра видов связи, что позволит применять разные аналоговые и цифровые каналы.
Одна из главных привлекательных сторон современных серверов — наличие встроенных интеллектуальных функций, значительно упрощающих эксплуатацию системы в целом. Это, например, функции аутентификации пользователей (такие как обратный вызов, поддержка протоколов RADIUS, PAP/CHAP и т. п.). Некоторые серверы оснащены встроенными функциями учета использования ресурсов, обеспечивающими автоматизированную выписку счетов пользователям. Впрочем, следует помнить, что само по себе функциональное богатство — не самоцель; возможности оборудования должны соответствовать уровню решаемых задач.
Необходимо, чтобы сервер удаленного доступа был достаточно прост в установке и эксплуатации — даже для тех, кто не обладает серьезной технической квалификацией. Хотя услуги удаленного доступа через коммутируемую сеть по самой своей природе имеют довольно высокий уровень сложности, эту сложность нужно постараться сделать "прозрачной". Пользователи должны быть избавлены от изучения сложных команд или значительных затрат времени на поддержку. Весьма важно также (особенно для Internet-провайдеров, которым часто приходится устанавливать серверы на таких точках, куда затруднен доступ персонала), чтобы как можно большее количество функций управления устройством выполнялось в удаленном режиме.
Производительность и надежность оборудования во многом определяет успех развертываемой системы. Ее производительность зависит от параметров не только самого сервера доступа, но и ряда других элементов цепи обмена данными — в первую очередь, используемого приложения и канала связи. Совершенно бессмысленно применять дорогой высокопроизводительный сервер, если вы располагаете каналами передачи данных с такой пропускной способностью, которая не позволит реализовать его преимущества. Надежность оборудования очень существенна для провайдеров услуг Internet: с одной стороны, они несут ответственность перед клиентами за качество предоставляемых услуг, а с другой, нередко вынуждены устанавливать серверы доступа на труднодоступных (в силу территориальной удаленности или режимных ограничений) площадках.
Оценивая стоимость решения удаленного доступа, помните, что затраты на само оборудование составляют лишь малую часть от общих вложений. Попытайтесь определить стоимость владения, в которую входят расходы на поддержку и ремонт оборудования, а также на аренду каналов связи. При создании корпоративной системы удаленного доступа последний фактор особенно важен, поскольку Internet-провайдер может переложить на клиента свои расходы на доставку данных к серверу. Впрочем, снизив эти расходы, он сумеет успешнее конкурировать с другими провайдерами.
Обратите внимание и на соответствие оборудования международным стандартам. Интероперабельность весьма значима для Internet-провайдеров; при построении корпоративной сети можно принять некий "местный" стандарт, но пользователям Internet не прикажешь обзавестись модемами одного и того же производителя.
Lucent/Livingston: серия PortMaster
Как известно, Livingston Enterprises была приобретена компанией Lucent Technologies, и теперь эти серверы доступа выпускаются под совместной торговой маркой Lucent и Livingston.
Интегрированное устройство PortMaster 2 обладает десятью последовательными портами, максимальная пропускная способность каждого из которых составляет 115,2 кбит/с. В отличие от него сервер PortMaster 2E является модульно расширяемым (количество портов — 10, 20 или 30). Если к названию добавляется индекс R (PortMaster 2R или PortMaster 2ER), это означает наличие встроенных функций маршрутизации для связи между сетями и дополнительного синхронного порта X.21/V.35. Для работы с линиями ISDN предназначены модели PortMaster 2E-10I-U и PortMaster 2E-10I-ST (с U- и S/T-портами соответственно). В базовой конфигурации они поддерживают по пять линий BRI (есть три гнезда расширения).
Более мощный сервер доступа PortMaster 3 имеет до двух интерфейсов канала E1/PRI и 10—60 цифровых модемов на базе цифровых сигнальных процессоров (DSP) производства Lucent. Доступ к устройству осуществляется по аналоговым линиям, каналам ISDN (BRI и PRI), арендованным каналам E1, а также по каналам frame relay.
Несколько серверов PortMaster 3 могут объединяться таким образом, что со стороны они будут выглядеть как одно устройство (его называют "виртуальным шасси"). Это позволяет легко наращивать конфигурацию установленной системы. Все 60 портов сервера сгруппированы в единый пул; они в любой момент доступны для обслуживания как цифровых (ISDN), так и аналоговых соединений. Распознавание типа соединения происходит автоматически. Поддерживаемые модемные протоколы — K56flex, V.34 (33,6 и 28,8 кбит/с), V.32bis (14,4 кбит/с), V.32 (9,6 и 4,8 бит/с), V.22bis (2,4 бит/с), V.42 и MNP 2-4 (с контролем ошибок), V.42bis и MNP 5 (с контролем ошибок).
Установив в устройство дополнительную плату, пользователь может обеспечить маршрутизацию сообщений непосредственно на PortMaster. При этом поддерживаются протоколы RIP, OSPF, NSSA и BGP. Кроме того, устройство поддерживает стандарт VLSM, помогающий эффективно распределять дефицитные IP-адреса.
Наибольшая емкость присуща серверу удаленного доступа PortMaster 4, который — единственный в описываемом семействе — способен автоматически поддерживать любые услуги на любом порту. Система сама определяет тип вызова (например, ISDN, K56flex, V.90) и осуществляет его обслуживание. Архитектура сервера — модульная, в его шасси имеются 10 слотов, а в максимальной конфигурации он способен поддерживать до 810 одновременных соединений (ISDN + модемные вызовы на 56 кбит/с по протоколам V.90 или K56flex). Чтобы обеспечить максимальную производительность устройства, в него встроен коммутатор АТМ общей пропускной способностью 5 Гбит/с. Каждому слоту гарантированно предоставляется внутренний канал обмена данными 155 Мбит/с. Слоту, предназначенному для установки модулей обслуживания новых скоростных технологий (в частности, xDSL), отводится внутренний канал 622 Мбит/с.
Все устройства семейства PortMaster поддерживают протокол аутентификации удаленных пользователей RADIUS, разработанный в Livingston Enterprises, а также PAP и CHAP, схему соединения с обратным звонком и статическую фильтрацию пакетов. Управление ими осуществляется как локально (через последовательный порт RS-232), так и дистанционно, через telnet-соединение по протоколу SNMP с использованием БД административной информации MIB II. Для связи с ЛВС применяется интерфейс 10BaseT Ethernet; поддерживаются протоколы IP и IPX.
Ascend: серверы MAX
Фирма Ascend Communications предлагает целое семейство серверов удаленного доступа, способных удовлетворить потребности пользователей различных масштабов — от небольшой компании, сотрудники которой работают на дому, до предприятия, поставляющего сетевые услуги. Все они рассчитаны на подключение к телефонной сети по цифровым каналам. Мы рассмотрим два сервера доступа Ascend — очень популярный среди российских провайдеров MAX 4060 и самый мощный из них MAX TNT.
MAX 4060 рассчитан на применение в коммуникационной инфраструктуре компаний — поставщиков сетевого доступа малых и средних масштабов, а также для поддержки удаленных узлов корпоративных сетей любого размера. Сервер имеет два канала E1, обслуживаемых с помощью цифровых модемов Series56 Digital Modem; общее число модемных каналов достигает 60. Функции цифровых модемов определяются "зашитым" в них ПО, что упрощает их модификацию. Поддерживаются модемные протоколы K56flex, V.34, V.FC, V.32bis, V.32, V.22, V.22bis, V.21 и интерфейс ISDN PRI.
MAX 4060 поддерживает каналы связи с магистральными сетями на базе протокола frame relay на скоростях до 8 Мбит/с. В базовый блок шасси встроен один порт Ethernet. Сервер обеспечивает маршрутизацию сообшений TCP/IP с использованием протоколов RIP2 и OSPF. Для конфигурирования устройства можно применять дружественную к пользователю утилиту на базе языка Java, а управление его работой осуществляется по протоколу SNMP.
Старшая модель, MAX TNT, — это многопротокольный коммутатор доступа в глобальную сеть. Он предназначен для компаний — поставщиков сетевых услуг и крупных Internet-провайдеров. Коммутатор позволяет подключать удаленных пользователей по различным каналам — аналоговым, ISDN, frame relay и арендованным каналам E1. На базе данного устройства можно строить сетевые инфраструктуры с поддержкой большого количества служб и возможностью организации виртуальных частных сетей.
Модульная структура коммутатора обуславливает простоту наращивания его функций; максимальное число модулей в одном шасси — 16. Шина устройства подразделяется на три составные части, служащие, соответственно, для передачи ячеек (Cell), пакетов (Packet) и для синхронной передачи данных (TDM). Обеспечиваются до 720 одновременных сеансов связи с использованием модемов, ISDN и каналов frame relay пропускной способностью 56/64 кбит/с. Кроме того, MAX TNT поддерживает до 150 каналов frame relay по арендованным каналам E1, каждый из которых может содержать до 4094 PVC.
Перечислим основные модули MAX TNT :
? Digital Modem — реализует связь с помощью аналоговых модемов на скорости до 56 кбит/с; один модуль поддерживает до 48 каналов;
? Hybrid Access — позволяет осуществлять доступ по ISDN и frame relay на 56/64 кбит/с; один модуль обеспечивает до 192 одновременных сеансов;
? FrameLine — поддерживает полные и частичные каналы E1 и frame relay по E1.
Для связи с магистральной сетью предусмотрены порты Ethernet на 10/100 Мбит/с, frame relay (либо последовательный порт V.35 на скорости до 8 Мбит/с, либо скоростной порт HSSI на скорости до 52 кбит/с) и E1. Устройство поддерживает протоколы маршрутизации RIP, RIP2, OSPF, BGP4 и способно маршрутизировать сообщения под TCP/IP, AppleTalk и IPX.
Управление работой коммутатора производится по протоколу SNMP; имеется ПО управления Navis Access. Благодаря встроенному интерфейсу системы администрирования глобальной сети допускается управление устройством с центральной консоли системы администрирования, например такой, как HP Open View, с использованием баз административной информации SNMP MIB II, T-1 MIB и Ascend Enterprise MIB.
Интегрированные серверы удаленного доступа MAX фирмы Ascend Communications представляют особый интерес потому, что распространены шире других аналогичных устройств. В Европе на их долю приходится почти половина установленных портов, в Америке — более двух третей, а в России — свыше 90%.
Cisco: семейство AS5x00
Среди устройств, выпускаемых компанией Cisco Systems, мы отобрали для рассмотрения семейство серверов удаленного доступа AS5x00. В его составе — уже "обкатанные" модели AS5100 и AS5200, а также совсем новые устройства AS5300 и AS5800.
В 17-слотовое шасси сервера AS5100 можно устанавливать как платы, поддерживающие управляемые модемные входы для аналоговых и цифровых линий (до 48) и интерфейс с каналами T1/E1, так и плату, предназначенную для управления сетью. Кроме того, выпускается плата, которая эквивалентна по функциям серверу доступа AS2511, — на ней есть 16 асинхронных портов (работают на скоростях до 115,2 кбит/с), синхронный порт и порт Ethernet на 10 Мбит/с. AS5100 обеспечивает полное решение проблемы удаленного доступа на базе одного устройства.
AS5200 — первый универсальный сервер доступа от Cisco, способный поддерживать обмен данными через асинхронные последовательные порты и по каналам ISDN. Это устройство поможет корпоративным пользователям и провайдерам услуг Internet удовлетворить запросы клиентов, имеющих в своем распоряжении и аналоговые модемы, и быстродействующие каналы связи на базе ISDN. В результате, пользователи получат в свое распоряжение простой способ плавного перехода с традиционных технологий на ISDN.
В состав семейства входят три модели — AS5201, AS5248 и AS5260. Каждая из них имеет порт Ethernet, два скоростных асинхронных порта и три слота для установки плат сетевого интерфейса. В серверы можно устанавливать двухпортовые интерфейсные платы для каналов T1/E1/PRI; они поддерживают до 60 (для AS5248 — до 48) модемных интерфейсов.
Модульная конструкция AS5100 и AS5200 обеспечивает легкое масштабирование этих устройств по мере роста сети. Серверы работают под управлением операционной системы Cisco IOS, благодаря чему способны поддерживать множество протоколов локальных и территориально-распределенных сетей, а соответственно, совместимость с установленными ранее системами. Все асинхронные порты AS5100 и AS5200 поддерживают один и тот же набор протоколов и услуг, что значительно облегчает конфигурирование устройств. Серверы осуществляют туннелирование трафика по протоколам, разработанным IBM, и реализуют технологию Data Link Switching (DLSw). Для упрощения модификации встроенного ПО устройства оснащены системой флэш-памяти, смонтированной на плате в стандарте PCMCIA.
Сервер доступа AS5300 рассчитан на провайдеров телекоммуникационных услуг среднего масштаба и на крупные предприятия. Для обработки вызовов от аналоговых модемов (на скорости до 56 кбит/с) и клиентских устройств ISDN применяется один интерфейсный модуль. Обеспечивается обслуживание сразу четырех каналов E1, что означает способность сервера "принять" до 120 вызовов от аналоговых модемов или по каналам ISDN B на один серийный входной телефонный номер. В AS5300 используется серьезная вычислительная платформа на основе RISC-процессора, на которой реализована технология Modem ISDN Channel Aggregation (MICA).
Установив в сервер доступа модуль VFC (VoIP feature card), пользователь способен превратить его в шлюз Internet-телефонии. Подключить устройство к телефонной сети общего пользования или корпоративной телефонной сети можно по тем же четырем каналам E1, а для передачи трафика в IP-сеть (территориально-распределенную или локальную) служат стандартные функции маршрутизации, заложенные в AS5300. Сервер поддерживает стандарт передачи голоса в IP-сетях H.323. Мы не будем подробно рассматривать данные функции (безусловно, весьма интересные), поскольку это увело бы нас слишком далеко от темы статьи.
AS5800 — последнее пополнение в семействе AS5x00. Устройство предназначено для крупных провайдеров телекоммуникационных услуг и обеспечивает максимально возможную плотность портов доступа для аналоговых модемных каналов и каналов на базе ISDN. Как утверждает компания Cisco Systems, сервер полностью соответствует всем американским (Bellcore) и европейским (ETSI) стандартам.
3Com: SuperStack II и Total Control
Фирма 3Com выпускает целый ряд устройств, поддерживающих удаленный доступ. Мы отобрали три из них: концентратор удаленного доступа Total Control, серверы SuperStack II 3000 и SuperStack II 1500.
Концентратор Total Control — это решение для провайдеров услуг Internet и крупных предприятий. Устройство дает возможность строить комплексные системы удаленного доступа, поддерживающие, в дополнение к традиционным функциям, передачу речи через IP-сети и построение виртуальных частных сетей.
Для шасси Total Control выпускаются встраиваемые интерфейсные платы на базе процессоров цифровой обработки сигнала (HiPer DSP cards), платы для маршрутизации сообщений (HiPer Access Router) и плата сервера EdgePro, работающая под ОС Windows NT. Максимальное число одновременно обслуживаемых вызовов составляет 420 (при подключении к телефонной сети по каналам E1), причем современная технология цифровой обработки сигнала позволяет использовать одну интерфейсную плату для поддержки модемных соединений, обработки голосового трафика и ISDN-вызовов.
Поддерживаются технология V.Everything и протокол V.90, благодаря которому можно взаимодействовать с пользовательскими модемами на скорости 56 кбит/с. При передаче голоса через IP-сети реализуется стандарт H.323, призванный обеспечить интероперабельность компьютерно-телефонных шлюзов, выпускаемых разными производителями. Конфигурирование плат DSP осуществляется и программно, что значительно упрощает администрирование системы.
Для построения корпоративных сетей удаленного доступа очень важно, что в систему Total Control можно интегрировать "свой собственный" сервер Windows NT (с помощью платы Edge Server Pro). Таким образом удается значительно сократить путь от удаленного пользователя до внутренних информационных ресурсов компании.
Надежность работы платформы повышается за счет возможности установки резервных модулей питания и резервных плат маршрутизации HiPer Access Router, "горячей" замены встраиваемых плат. Реализуется технология NEBS Level 3 (Network Equipment Building), призванная обеспечить тот уровень надежности, который необходим для критически важных участков сети.
Платформа Total Control обладает многими механизмами защиты данных. Используются функции межсетевого экрана, причем администратор сети способен конфигурировать его параметры индивидуально для каждого пользователя. Система аутентификации пользователя поддерживает протокол RADIUS.
Система управления концентратором обеспечивает сбор разнообразной статистической информации в режиме реального времени; при этом администратор сети может самостоятельно задавать те параметры сети, за изменением которых ему необходимо следить. Кроме того, ведется полный учет всех вызовов, что значительно облегчает выставление счетов клиентам (последнее особенно важно для Internet-провайдеров).
Сервер SuperStack II 3000 поддерживает от 30 до 180 модемных портов при подключении к телефонному оборудованию по цифровым каналам E1 и предназначен для средних и крупных предприятий. Устройство основано на разработанной 3Com технологии Total Control. Как и концентратор Total Control, сервер имеет модульную структуру. Он допускает "бесшовную" интеграцию в сеть под Windows NT, для чего используется специальный модуль Edge Server Pro. SuperStack II 3000 характеризуется высокой производительностью, которая достигается за счет применения быстродействующей шины на базе технологии FireWire, пропускная способность которой составляет 200 Мбит/с. Для повышения надежности устройства предусмотрена возможность "горячей" замены модулей.
Небольшим предприятиям пригодится сервер SuperStack II 1500. Как и многие другие аналогичные устройства, он объединяет в себе множество функций, необходимых для построения корпоративных сетей. Обеспечиваются сеансовый доступ удаленных пользователей, маршрутизация сообщений между локальными сетями с использованием каналов коммутируемой сети (как обычной телефонной, так и ISDN) или сети frame relay, доступ в Internet и территориально-распределенные сети. Число портов доступа — от 4 до 24. Устройство имеет модульную архитектуру, поэтому легко масштабируется по мере роста сети. Для аутентификации пользователей можно применять протокол RADIUS и встроенные средства ОС Windows NT и NetWare; допускается организация межсетевых экранов.
Bay: семейство Versalar
Наиболее мощным продуктом от Bay Networks/Nortel Networks, позволяющим строить корпоративные и провайдерские системы удаленного доступа, является коммутатор доступа Versalar 5000. Эта модульная система состоит из шасси и широкого набора модулей, реализующих доступ пользователей через модемные соединения и по каналам ISDN, а также интерфейс с сетями frame relay, FDDI, Ethernet, ATM. Versalar 5000 обеспечивает максимальную плотность каналов среди всех продуктов, рассматриваемых в данном обзоре, — до 540 одновременных модемных соединений и до 1080 одновременных соединений по каналам ISDN. Кроме того, Versalar 5000 поддерживает до 156 сегментов Ethernet, 15 путей FDDI и 48 портов АТМ.
Благодаря наличию в общем шасси портов абонентского доступа и интерфейсов с глобальными и локальными сетями удается значительно сократить "путь" клиентов к корпоративным информационным ресурсам, упростить доступ в глобальную сеть. Функции маршрутизации сообщений выполняет сам Versalar 5000. Собственно, Versalar 5000 представляет собой 14-слотовое шасси (существует и облегченная его модификация — восьмислотовый Versalar 5005).
Важнейшим встраиваемым модулем для платформы Versalar 5000 является концентратор удаленного доступа Versalar 5399, поддерживающий все модемные технологии на 56 кбит/с — x2, K56flex и V.90. Модуль Versalar 5399 реализует два интерфейса ISDN PRI и до 62 модемных соединений на каждый канал E1. Всего в шасси Versalar 5000 можно установить до 12 модулей Versalar 5399, что обеспечивает до 24 портов для подключения к глобальной сети и до 744 модемных соединений по каналам Е1.
В одной стойке устанавливаются до четырех коммутаторов Vrersalar 5000, что дает колоссальную емкость системы — 2976 модемных соединений на одну стойку. Поддержка таких соединений осуществляется с использованием процессоров цифровой обработки сигнала, поэтому вызовы от аналоговых модемов и клиентских устройств ISDN могут обрабатываться одним и тем же процессором, который, вдобавок, автоматически распознает, от какого устройства исходит данный вызов. Versalar 5399 позволяет создавать виртуальные частные сети для корпоративных пользователей на основе протокола туннелирования L2TP.
Для защиты данных служит протокол RADIUS, который дает возможность аутентифицировать пользователей; реализована система сбора статистики о работе устройства. Поддерживаются система обратного отзвона и протоколы парольной аутентификации PAP/CHAP, технологии NetWare Bindery и Kerberos, а также встроенные средства защиты системы Windows NT.
Versalar 5000 позволяет повысить управляемость сети за счет применения разработанной Bay Networks платформы Optivity. Надежности работы устройства способствует использование модулей питания, вентиляторных блоков и модулей памяти для хранения конфигурации устройства.