Ze względu na swoją naturę sieci rozległe zawsze będą wyzwaniem dla architektów i administratorów systemów informatycznych. Dzięki coraz to nowym innowacjom niektóre z problemów można będzie wkrótce rozwiązać łatwiej niż dotychczas.

Współczesne problemy z sieciami WAN koncentrują się w dużej mierze na sprawach związanych z bezpieczeństwem. Zagadnienia, które zaprzątają sporą część czasu administratorów sieci WAN, to m.in. bezpieczeństwo zdalnego dostępu pracowników do firmowych zasobów, bezpieczeństwo wymiany danych pomiędzy centralą firmy a oddziałami terenowymi, a coraz częściej także bezpieczeństwo wymiany danych z partnerami biznesowymi.

Drugim obszarem problemów jest optymalizacja wykorzystania firmowej infrastruktury WAN, na której utrzymanie firmy wydają zazwyczaj więcej niżby sobie życzyły. W pojęciu optymalizacja mieści się wiele różnych zagadnień. Nie tylko zarządzanie pasmem i priorytetami, ale wszystkie kwestie mające wpływ na koszty, a więc architektura i sposób dystrybucji aplikacji oraz oczywiście zabezpieczanie danych.

Ku uniwersalnej platformie

Wiele problemów z komunikacją w ogóle, a później także z bezpieczeństwem sieci miało swoje źródło w ograniczonej współpracy pomiędzy poszczególnymi warstwami protokołów. Nie mogło jednak być inaczej, bo poszczególne warstwy komunikacji były zarządzane przez oddzielne aplikacje działające na oddzielnych i słabo, jeśli w ogóle, współpracujących ze sobą urządzeniach. Budowa sieci WAN dla bardziej wymagających aplikacji jest w takich warunkach utrudniona - ustalone "na sztywno" priorytety na poziomie TCP/IP niekoniecznie muszą być zgodne z priorytetami na poziomie protokołów aplikacyjnych. Potrzebna jest koordynacja.

Najlepiej nadają się wielofunkcyjne urządzenia spełniające rolę przełączników dla wszystkich warstw jednocześnie - od ramek MAC po komunikaty aplikacyjne i routing treści. Im więcej warstw urządzenie jest w stanie "inteligentnie" obsłużyć, tym większa elastyczność dla administratora i tym mniej kłopotów pojawia się podczas wdrażania w sieci kolejnych usług i aplikacji. Postęp w miniaturyzacji załatwia problem wydajności. Rozwiązania sieciowe obsługujące transmisję i sterowanie jakością usług w wielu warstwach jednocześnie oferuje coraz więcej firm i wkrótce staną się one standardem. Przy najbliższej rozbudowie sieci WAN warto sprawdzić, czy dotychczasowych kłopotów nie da się przypadkiem rozwiązać kompleksowo.

Trend, który rysuje się w dziedzinie zarządzania transmisją, widać także w dziedzinie zabezpieczeń sieciowych. Zapory działające jedynie w warstwie trzeciej odchodzą powoli w niebyt, a jeżeli są wdrażane, integrowane są z pozostałymi systemami zabezpieczeń jak systemy IDS/IPS czy zapory aplikacyjne. Nie ulega wątpliwości, że wszystkie te rozwiązania dążą do integracji w ramach jednej uniwersalnej platformy - tylko wtedy można mówić o rzeczywistych korzyściach funkcjonalnych w postaci kompleksowej analizy bezpieczeństwa - jednoczesnej analizy ramek MAC i wywołań ARP/DHCP, nagłówków protokołów TCP/IP oraz przenoszonych przez nie treści.

Komasowanie wielu rozwiązań w ramach jednej platformy sprzyja wydajności i niskim kosztom utrzymania. Takie argumenty słyszą od swoich klientów i w różnym stopniu implementują w swoich rozwiązaniach wszystkie firmy zajmujące się sprzętem i zabezpieczeniami sieciowymi.

Hybrydowe bezpieczeństwo

Dyskusja o zaletach, wadach dwóch popularnych metod bezpiecznego tunelowania ruchu sieciowego: IPsec oraz SSL/TLS trwa od wielu lat. Być może jednak wkrótce wcale nie trzeba będzie wybierać - pojawiła się bowiem firma łącząca zalety obu technologii w jednym spójnym rozwiązaniu. Dla porządku: rozwiązanie Hybrid VPN firmy Net6 nie jest złożeniem komponentów odpowiedzialnych za tunelowanie IPsec i SSL/TLS uruchamianych zamiennie - w zależności od potrzeby. Jego działanie opiera się na zachowaniu inicjacji połączeń za pośrednictwem TCP/IP, a następnie tunelowaniu ich w szyfrowanym kanale SSL. Efekty takiego połączenia są nadzwyczaj interesujące i należy oczekiwać, że podobne systemy zaprezentuje wkrótce więcej firm.

Inicjacja połączenia w warstwie TCP/IP umożliwia zdalny dostęp do dowolnej aplikacji bez konieczności wykonywania w niej jakichkolwiek zmian. Do tej pory był to jeden z koronnych argumentów na rzecz IPsec. IPsec jest jednak problematyczny - w wielu firmach, hotelach itd. sieci skonfigurowane są w taki sposób, by uniemożliwiać nawiązywanie połączeń IPsec do zdalnych sieci. Ponadto w wielu przypadkach pomiędzy klientem IPsec a serwerem VPN znajduje się zbyt wiele urządzeń, zwłaszcza zapór IP, których działanie praktycznie uniemożliwia nawiązanie stabilnego połączenia - nawet jeżeli nie jest to wbrew lokalnej polityce bezpieczeństwa. W przypadku łączenia się z sieci niegodnej zaufania oznacza to praktycznie brak poufności w komunikacji.

Hybrid VPN usuwa problemy związane z ustanawianiem połączeń VPN z dowolnego miejsca. Początkowe połączenie TCP/IP jest przechwytywane przez bramkę SSL serwera VPN i dalsza transmisja odbywa się już w tunelu SSL, który bez problemu przedostaje się przez zapory IP. Oprogramowanie Net6 tworzy przezroczysty pomost między klientem a serwerem i w rezultacie możliwe jest przesyłanie w tunelu dowolnych danych, w tym niemożliwych do uruchomienia w zwykłych rozwiązaniach opartych na SSL transmisji VoIP czy wideo. Serwer Hybrid VPN nie jest jednak klasycznym mostem sieciowym - klientowi nie są udostępniane informacje o zdalnej sieci - klient widzi jedynie lokalną podsieć i nie otrzymuje adresu ze zdalnego serwera DHCP. Ten argument jest zazwyczaj podkreślany przez dostawców rozwiązań SSL VPN, jako że brak zdalnego adresu uniemożliwia przeniesienie wirusów itp. ze zdalnej stacji roboczej do sieci firmowej.

Rozwiązanie Net6 jest interesujące z jeszcze jednego powodu - instalacja klienta (lub nowej wersji) wymaga jedynie kliknięcia na łącze URL.