Гигабитные шлюзы VPN — краткий обзор


Введение

В предыдущем обзоре, помимо общих принципов VPN, мы рассмотрели наиболее дешевые аппаратные решения класса SOHO, пригодные для использования при небольших сетевых нагрузках и малых объемах передаваемой информации. На другом конце линейки цен находятся устройства, предназначенные для корпоративных нужд. О наиболее мощных из таких устройств и пойдет речь в настоящей статье.

Сразу хочу оговориться. Все предлагаемые мною материалы никоим образом не претендуют на полный и всеобъемлющий анализ процессов, происходящих на рынке VPN. Вряд ли один человек в состоянии уследить за всеми новинками, течениями и тенденциями. Я не могу дать читателю исчерпывающую информацию о тех или иных продуктах, а также предлагать готовые сетевые архитектурные решения. В сетях, как и в других областях компьютерных технологий, выбор технического воплощения зависит от многих факторов: начальных условий, специфических требований, доступной технологической и аппаратной базы и даже личных пристрастий. Я ставлю перед собой лишь две скромные задачи.

Первая — сделать сложные и часто неоднозначные подходы к вопросам виртуальных частных сетей более доступными не только для сетевых специалистов, но и для обычных пользователей.

И вторая — дать специалистам в данной области возможность взглянуть на вопросы VPN чуть шире, чем того требуют их профессиональные обязанности.

Но вернемся к заявленной теме гигабитных VPN.

Кому это нужно?

Очевидно, что требования к пропускной способности шлюза VPN растут при увеличении информационных потоков. До последнего времени крупные корпорации и провайдеры интернет-услуг континентального уровня не могли в полной мере воспользоваться всеми финансовыми преимуществами VPN по одной простой причине — существующие на рынке решения часто были не в состоянии справиться с огромными потоками передаваемых данных. Несколько лет назад никто еще и не думал о том, что пропускная способность сетевых устройств может достигать гигабита в секунду.

И почему?

Прежде всего потому, что Интернет, как транспорт для передачи данных в частных виртуальных сетях, не был достаточно быстрым для крупных корпоративных клиентов. В настоящее время эта проблема отошла на задний план благодаря повсеместному использованию оптического волокна в современных кабельных сетях.

Вторая причина состоит в том, что применение VPN-технологий в условиях крупных корпоративных проектов налагает очень строгие требования как к надежности и отказоустойчивости оборудования. Чем крупнее сеть, чем больше данных передается, тем более пользователи этой сети зависят от надежности ее работы. Ни одна крупная корпорация, будь она финансовой, телекоммуникационной или любой иной, не может себе позволить прервать работу из-за аварий или неполадок в системах передачи и обработки данных. Выход из строя сети даже на несколько минут означает для такой компании огромные убытки. Поэтому отказоустойчивость и надежность устройств VPN выходит на первый план. Для создания мощных высокоскоростных частных виртуальных сетей необходимо не только "разогнать" устройство до скоростей порядка гигабита в секунду, но и позаботиться о том, чтобы оно было надежным, не давало сбоев, не требовало перерывов в работе для обслуживания и ремонта.

Но за последние два года ситуация несколько изменилась.

Тихая революция.

На рубеже 2001 и 2002 годов сразу несколько лидеров VPN-поля заявили о том, что им удалось перейти гигабитный порог пропускной способности для своих шлюзов: 1, 2, 3, 4, 5.

Такие заявления, подкрепленные появлением реальных продуктов, говорят о том, что киты VPN-решений вступили в бой за последний участок относительно свободного рынка — участок крупных корпоративных решений. И это означает только одно — в ближайшее время следует ожидать интересных и неординарных решений, технологических прорывов, и, неровен час, драматических изменений в расстановке сил крупных производителей VPN-продуктов. На наших глазах происходит тихая революция сетевых технологий.

Мы не будем рассматривать в данной статье маркетинговый потенциал гигабитных VPN. Более интересно обсудить особенности технологических решений в данной области. В силу того, что текущие разработки, еще не доведенные до продажного уровня, фирмы-производители стараются не афишировать, мы будем говорить только о готовых устройствах и комплексах устройств, предназначенных для построения сверхскоростных виртуальных частных сетей.

И тут следует оговориться. Общая гигабитная и более полоса пропускания устройства нас не интересует. Мы в данном обзоре поговорим лишь о решениях, которые позволяют обслуживать суммарный шифрованный траффик на скоростях более 500 Mbps.

Как выясняется уже в первом приближении, реальной продукции с такими характеристиками на рынке очень и очень мало, буквально по пальцам пересчитать. Оно и понятно. Указанные решения очень дороги, круг их потребителей узок (так и хочется добавить, страшно далеки они от народа), а технология совсем свежая, поэтому наработок не так много, как, скажем, в случае SOHO или VPN-решений для среднего бизнеса.

Давайте попробуем разобраться, что же реально предлагают различные крупные производители сетевых решений для случая высокоскоростных шлюзов VPN.

Cisco

Это фирму можно без преувеличения назвать безусловным лидером среди производителей сетевых устройств различного назначения. Что же предлагает Cisco в качестве высокоскоростных VPN-шлюзов?

Безусловно, это серия Cisco VPN 5000 Concentrator, скажет мне любой знаток.

Действительно, приборы этой серии имеют прекрасные характеристики: скорость шифрованного траффика до 760 Mbps, до 40,000 одновременно поддерживаемых VPN-туннелей, аппаратное ускорение шифрования и дешифрования данных, возможность объединения в кластеры и построения отказоустойчивых конфигураций.

Помимо IPSec, возможно использование L2TP — любимого фирмой Cisco VPN-протокола, с помощью которого защищенный туннель передачи данных создается не на 3-м, а на втором — канальном — уровне сетевой модели.

Однако не надо торопиться. Серия VPN 5000 снята с производства. Почему?

Вот официальный ответ на этот вопрос, полученный из российского представительства Cisco:

VPN 5000 были сняты с производства в связи с тем, что в большинстве случаев заказчики предпочитали использовать для тех же самых задач VPN 3000. Если заказчику надо реализовать на базе наших решений высокопроизводительный VPN концентратор, то в этом случае он использует одно из следующих решений:

  1. VPN 3000 и балансировка потоков между ними встроенными средствами;
  2. PIX Firewall и балансировка потоков между ними с помощью коммутаторов CSS 11000.

Сказанное требует некоторых комментариев. Прежде всего, что же такое VPN 3000 Concentrator Seria и насколько характеристики этих шлюзов отличаются от VPN 5000?

Серия VPN 3000 состоит из пяти различных сетевых устройств с индексами VPN 3005, VPN 3015, VPN 3030, VPN 3060 и VPN 3080. Наиболее высокопроизводительным в этой серии является VPN 3080. Рассмотрим чуть подробнее его технические возможности.

Cisco позиционирует VPN 3080 как шлюз для крупных корпоративных решений. Каждое такое устройство обладает пропускной способностью до 100 Mbps шифрованного VPN-траффика, имеет резервирование основных систем для защиты от возможных сбоев и неисправностей, аппаратное ускорение криптографических вычислений и возможность построения кластеров для распределения нагрузки и повышения отказоустойчивости.

Как и другие продукты Cisco для виртуальных частных сетей, шлюзы серии VPN 3000 в состоянии строить VPN с использованием как IPSsec, так и L2TP. В качестве криптографических алгоритмов для IPSec доступны DES и 3DES, а в качестве алгоритмов идентификации используются MD5 или SHA.

Остается не совсем понятным, почему намного более мощный аналог был снят с производства. Возможно, это связано с продолжающимся мировым кризисом в области высоких технологий и низким спросом на подобные сетевые решения. Возможно, Cisco продолжает считать, что время развития высокоскоростных VPN еще не пришло.

Однако другие фирмы-производители, похоже, думают по-другому.

NetScreen

Эта компания также не нуждается в представлении. Решения NetScreen в области сетевой безопасности широко известны и популярны.

15 апреля 2002 года фирма выпустила пресс-релиз, в котором вниманию клиентов представлена серия новых сетевых устройств — NetScreen-5000 Series.

Посмотрим, что представляют из себя продукты данной серии с точки зрения VPN.

Серия состоит всего из двух изделий, NetScreen-200 и NetScreen- 5400. Внешний вид "старшего" из них — NetScreen-5400 — представлен на фотографии.

Оба продукта поддерживают весь джентльменский набор стандартов и протоколов VPN: IPSec, RADIUS, MD5, SHA1, DES, 3DES, AES, IKE, X.509v3.

Пожалуй, в этом списке следует особо отметить AES. Этот алгоритм шифрования становится все более и более популярным. Дело в том, что по сравнению, например, с 3DES, он позволяет снизить вычислительные затраты при работе с ключами одинаковой длины. В нашем случае, когда идет речь о высокоскоростной обработке данных, это жизненно необходимо.

Модульная архитектура позволяет при необходимости наращивать производительность и создавать высоконадежные отказоустойчивые конфигурации.

NetScreen-5400 может иметь до 78 сетевых портов типа Gigabit или Fast Ethernet. А его скоростные характеристики просто поражают воображение — до 6 Gbps для VPN — траффика. При этом поддерживается до 25,000 независимых VPN туннелей и до одного миллиона одновременных TCP соединений.

Что и говорить, впечатляюще.

Нет сомнений, что в настоящее время серия NetScreen-5000 является лидером по пропускной способности среди VPN-шлюзов рассматриваемого класса.

RapidStream

Калифорнийская компания RapidStream не столь известна, как две предыдущие фирмы.

Она была основана в 1998 году и производит "коробочные" сетевые решения с использованием ПО одного из лидеров сетевой безопасности, компании Check Point Software.

В начале 2002 года компания представила новый продукт по имени RapidStream 11000. И, хотя по сравнению с рассмотренным выше NetScreen-5000 RapidStream 11000 выглядит чуть скромнее, на мой взгляд, этот VPN-шлюз заслуживает пристального внимания.

Сначала о цифрах. Это сетевое устройство способно обрабатывать шифрованный траффик на скорости до 1.2 Gbps. Количество одновременно обслуживаемых IPSec-туннелей достигает 20 000 при общем числе IP-сессий, достигающем 200 000. Для обеспечения такой производительности используется аппаратное ускорение криптографических вычислений.

Следует отметить, что использование в рассматриваемом устройстве нового продукта фирмы Check Point FW-1/VPN-1 Next Generation (NG) делает RapidStream 11000 весьма привлекательным для потенциальных потребителей.

Это означает, что устройство поддерживает практически все наиболее распространенные технологии и стандарты в области VPN, включая AES, о котором мы уже упоминали выше. Кроме этого, шлюз полностью совместим с другими сетевыми решениями на базе продуктов Check Point, что безусловно важно для тех компаний, которые уже работают с VPN-1 и планируют увеличить скоростные характеристики своих виртуальных частных сетей.

Bivio Networks

Калифорнийская компания из разряда start-up, Bivio Networks Inc. предлагает свое воплощение аппаратного шлюза для частных виртуальных сетей — Bivio 1000 CP/Bivio 1000 AX.

Два различных индекса означают, что одно и то же устройство может работать под управлением различных программных средств. Bivio 1000 CP использует Check Point FW-1/VPN-1, а Bivio 1000 AX — собственный программный продукт компании.

Технические характеристики шлюза и в том и в другом случае одинаковы: до 600 Gbps траффика с использованием 3DES-шифрования. Кроме этого, поддерживаются до 40 тысяч независимых VPN-туннелей. При построении кластера с использованием описываемых шлюзов пропускная способность VPN может достигать 2 Gbps.

Производитель особо подчеркивает, что стоимость самого устройства составляет всего 35 000 долларов, без стоимости программного обеспечения.

Сам маркетинговый ход, когда покупателю предлагается одна и та же коробочка с одинаковыми техническими характеристиками, но различными программными пакетами, лично мне кажется нетривиальным. Видимо, чтобы не делать из клиентов буриданова осла, производитель позиционирует различные модификации как интегрированные решения различных задач. Так, модификация Bivio 1000 CP предлагается для решения проблем компьютерной защиты и безопасности, а АХ — для обеспечения надежного доступа к данным и сетевым сервисам. Безопасность в этом случае уходит на второй план.

На этом, пожалуй, можно было бы и остановиться. Остальные производители сетевых устройств, даже такие крупные и известные, как Lucent, Nokia, Nortel и другие не дотягивают до определенного нами порога в 500 Mbps для VPN-траффика.

Создается впечатление, что, как и в случае с Cisco, эти компании пока не считают рынок высокоскоростных шлюзов VPN перспективным. Действительно, цены на подобные устройства, как правило, очень велики, и лишь немногие потребители будут готовы пойти на столь высокие затраты. Куда проще приобрести шлюз с меньшими скоростями. Если же с ростом сетевого траффика понадобится увеличить пропускную способность частной виртуальной сети, то всегда можно будет приобрести дополнительное оборудование и объединить его с уже установленным в стандартных схемах кластеров с распределенной нагрузкой (load-sharing).

Именно такое решение и предлагает Cisco своим клиентам после снятия с производства своей самой мощной серии VPN 5000.

Однако если отказаться от идеи рассматривать в качестве готовых решений только изготовленные "под ключ" "коробочные" реализации VPN-шлюзов, то можно заметить немало интересного.

Дело кластера боится

Так, CheckPoint представляет продукт под названием ClusterXL из семейства NG (Next Generation), созданный специально для построения кластерных решений с распределенной нагрузкой, способных работать с шифрованными потоками на скоростях до 1.2 Gbps.

ClusterXL поддерживает практически все традиционные для CheckPoint’а операционные системы: Windows 2000 Server, Windows NT Server 4.0, Solaris 2.7, 2.8 и Red Hat Linux.

Такое решение удобно прежде всего тем, что дает возможность потребителю создавать гибкие и легко масштабируемые конфигурации, выбирать по собственному усмотрению различные аппаратные и операционные платформы, а также наращивать скоростные арактеристики системы по мере необходимости.

Как указано в этом материале, при использовании трех машин на базе RH Linux Dual Xeon 1.7GHz и ClusterXL удается достичь 430 Mbps VPN-траффика с использованием AES и 128-битного ключа. Даже эти характеристики уже выглядят неплохо, особенно при сопоставлении с рассмотренным выше VPN 3080. Следует отметить, что речь в данном случае идет об аппаратной платформе, стоимость которой не превышает 4000 долларов за одну машину.

Не так давно сообщалось о 1 Gbps для шифрованного VPN-траффика при использовании XL Performance Pack на той же самой аппаратной платформе.

Заключение

В том, что решения для создания гигабитных шлюзов VPN существуют и успешно развиваются, сомнений нет. В настоящее время это уже не только лабораторные исследования и тесты, но и реальные продукты, представленные на рынке. Насколько востребованы такие устройства, покажет время. У самих производителей мнения на этот счет разные. Общих тенденций пока нет. В то время как Cisco отказывается от производства серии подобных устройств, другие фирмы не без успеха стремятся к лидерству в данной области.

То, что в борьбе за первенство на рынке высокоскоростных решений для частных виртуальных сетей участвуют такие фирмы, как NetScreen и Check Point, свидетельствует о том, что эта борьба будет очень динамичной и, скорее всего, принесет в сетевые технологии много интересных технических решений.

Благодарности

Автор выражает благодарности Глебу Щепащенко, Михаилу Кадеру и Андрею Гречину за помощь в подготовке материала.

Приложение

Сводные характеристики рассмотренных в обзоре продуктов:

Производитель Наименование VPN-
протоколы
Крипто-
алгоритмы
Пропускная способность VPN Примечания
Cisco VPN 5000 IPSec, L2TP DES, 3DES 760 Mbps Не производится
Cisco VPN 3000 IPSec, L2TP DES, 3DES 100 Mbps  
NetScreen NetScreen-5000 IPSec DES, 3DES, AES 6 Gbps  
RapidStream Rapidstream-11000 IPSec DES, 3DES, AES 1.2 Gbps Check Point NG FW-1/VPN-1
Bivio Networks Bivio 1000 CP/AX IPSec DES, 3DES, AES 600 Mbps Check Point NG FW-1/VPN-1 для модификации CP

 




Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.