Jednak niektóre z tych produktów są zaprojektowane w przeciętny sposób. Na przykład VPN-1 Gateway wymaga od użytkownika wejścia do bazy danych RADIUS i swojej własnej. Konieczność wchodzenia do dwóch baz nie jest zbyt dobrym pomysłem. Twórcy VPNware i VPN Concentrator Series poszli w innym kierunku. Produkty tych firm pozwalają użytkownikowi nie tylko gromadzić informacje o użytkowniku i hasło w bazie danych RADIUS, ale także mają opcję zapewniającą ładowanie do stacji użytkownika informacji z serwera RADIUS. Uznanie budził także RiverWorks RADIUS, który wymaga, ażeby serwer RADIUS wystawiał specjalną flagę umożliwiającą użytkownikowi dostęp do VPN.

Kiedy wielu użytkowników, a może nawet wszyscy, chce się połączyć z siecią, przedsiębiorstwo chciałoby śledzić ich szlaki wejściowe i wyjściowe. I tu dochodzi się do problemu ewidencjonowania. Przy ewidencjonowaniu na serwerach tunelujących najlepszym wyborem wydaje się być RADIUS. Security Management Server (Lucent Technologies) i VPN Concentrator Series (Altiga - Cisco Systems) wspierają ewidencjonowanie RADIUS, podczas gdy VPN Gateway Intela oferuje ewidencjonowanie RADIUS tylko dla klientów Shiva Smart Tunnel.

Wiele innych systemów VPN ma słabe narzędzia do śledzenia i sprawozdawczości dotyczącej zasobów sieciowych oraz do tworzenia raportów. Na przykład RiverWorks umożliwia użytkownikowi przeglądanie informacji tylko z ubiegłego dnia; nie można przeglądać informacji o wydarzeniach z rana. Nawet gorzej, raporty są składane do archiwum z interwałem dziennym, co nie ułatwia pracy. InfoExpress i Check Point dają trochę lepsze możliwości. Jednak w przypadku tej drugiej firmy trzeba zapłacić dodatkowe 1500 USD, ażeby otrzymać coś w rodzaju dziennika konsolidującego - funkcji, którą nawiasem mówiąc powinno się otrzymać w standardowym produkcie - po to, aby tworzyć słabe raporty z niekompletnymi danymi.

Jednak jeśli się spojrzy na VPNware, CIPro System i Ravlin, to zaraz przypomni się przysłowie "lepszy wróbel w garści...". Te trzy produkty albo nie dawały żadnej sprawozdawczości, albo gubiły tyle danych podczas procesu bilansowania, że efekt końcowy całego przedsięwzięcia okazywał się bezwartościowy.

Zarządzanie i monitorowanie VPN

Wprawdzie testowane produkty nie odznaczały się rewelacyjnymi narzędziami ewidencjonowania, ale w innych przestrzeniach zarządzania radziły sobie nieco lepiej. Ponad połowa produktów była w stanie przywołać w razie kłopotów określoną osobę lub wysłać do niej komunikat za pośrednictwem poczty elektronicznej. Najlepszym zarządzaniem i monitorowaniem odznaczały się produkty Lucent Technologies i Altiga-Cisco Systems. Jeśli chodzi o drugą z tych firm, a dokładniej jej Concentrator Series, to każdy aspekt dotyczący tunelu serwera może być wizualizowany w module zarządzającym. Security Management Server jest nawet silniejszy tam, gdzie to jest rzeczywiście istotne. Oferuje on wiele poziomów zarządzania, pozwalając specyfikować, kto może monitorować lub dokonywać zmian itd. Lucent włączył także prosty analizator protokołów.

Ale mogą się też podobać systemy dające ograniczone możliwości zarządzające przez wiersz poleceń. TimeStep, Intel RadGuard i VPNet oferują produkty dla tych, którzy nie chcą budować sieci VPN w przedsiębiorstwie opartej na takim wierszu. Administratorzy sieciowi planujący "ustawić i zapomnieć" konfigurację zarządzania usługami VPN mogą zadowolić się niewielkimi narzędziami zarządzającymi RedCreek oraz Intel. Jednak po zapoznaniu się z nimi widać, że jest to bolesny proces...

VTCP/Secure jest jeszcze mało przyjazny w zarządzaniu, ponieważ jest to jedyny VPN używający dla przeprowadzenia procesu konfiguracji menu w trybie ASCII w oknie MS-DOS. W systemie oferowanym przez InfoExpress trzeba stworzyć raport, ażeby zobaczyć, kto się zalogował, a jedynym sposobem na to, ażeby usunąć niepoprawnie zachowującego się użytkownika, jest pełny restart serwera VPN.

Wszystkie produkty miały pewne kłopoty w testach dotyczących czasu oczekiwania i przepływności. Generalnie każde oprogramowanie klient wykazywało dużą niestabilność w sytuacjach, kiedy musiało funkcjonować przez długi czas. Tak więc każdy z produktów miał problemy z tunelami, trwające ponad 24 godziny, chociaż wszyscy producenci zapewniali, że powinno być inaczej. I byłoby niewątpliwie inaczej, gdyby został zmieniony system operacyjny albo parametry bezpieczeństwa. Jeśli zatem administratorzy przewidują prace, w których przez długi czas będą wykorzystywane tunele, to wtedy koniecznie muszą przeprowadzić testy w swoim środowisku sieciowym i - zanim dokonają zakupu - przeanalizują starannie odpowiednie parametry decydujące o bezpieczeństwie.

W konsolach zarządzających wychwycono problemy ze stabilnością. Często GUI (Graphical User Interface) "trzeszczał" przy byle okazji, natomiast oparty na Web Java kit VPNWare tracił czasami kontakt z rzeczywistością do tego stopnia, że trzeba go było restartować. W czasie testów napotkano także inne problemy. Architektura VTCP/Secure nie wspiera wszystkich typów protokołów IP, co może spowodować niekompatybilność w niektórych środowiskach aplikacyjnych. Oprogramowanie Strategia Lucent Security Management firewall-plus-VPN powodowało pewne problemy w trakcie połączenia z serwerem FTP.

Co w takim razie kupić?

Kryteriów wyboru systemu VPN jest dosyć dużo. Całe szczęście, że dobrych produktów też nie brakuje. Rozpiętość sieci VPN, sposób połączenia z Internetem, a także nieco bardziej skomplikowane kwestie, jak chociażby to, czy stosować środowisko Windows przy zdalnych połączeniach, zaprzątają zwykle głowę niejednemu administratorowi. Jednak bogaty zestaw opcji oferowanych przez testowane produkty pozwala spać spokojnie tym wszystkim, na których ciąży obowiązek wyboru solidnego systemu VPN.

Ravlin górował nad konkurencją prostotą instalacji i operacji. Niemniej jednak nawet i ten system nie mógłby podołać, gdyby trzeba było połączyć tysiące użytkowników. Natomiast dla średniej liczby użytkowników idealnym wyborem wydaje się VPN Concentrator Series. Produkt ten charakteryzuje się czytelnym interfejsem zarządzającym i niską ceną, podobnie zresztą jak systemy Lucent i Check Point. Niemniej jednak interfejsy zarządzające (oferowane przez dwie ostatnie firmy) były znacznie bardziej skomplikowane, a na dodatek nie oferowały takiej liczby funkcji. A co dla większej liczby użytkowników? Trzeba przyjrzeć się bliżej RiverWorks i Permit Enterprise. Oba produkty oferują wsparcie 10 000 lub więcej klientów. W obydwu znaleziono wprawdzie pewne niedociągnięcia w narzędziach tworzenia raportów, ale inne mocne strony ustawiają je na liście zakupów na samej górze. Na tej krótkiej liście znajdzie się też miejsce dla minimalnie słabszych produktów Lucent, VPNet oraz Intela. Dzięki udanej architekturze powinny być brane pod uwagę w sytuacjach, kiedy zamierza się instalować dużą liczbę klientów.

Podział na małe, średnie i duże konfiguracje nie jest i nie może być fundamentalny, tym bardziej jeśli ma się już jasno określone potrzeby. Wydaje się, że w prezentowanym zestawieniu jest wiele znakomitych produktów i że jest to dobra wiadomość dla administratorów sieciowych.