Přepínač Cisco Catalyst 4948-10GE oslňuje výkonem

V exkluzivním testu dosáhl přepínač Cisco Catalyst 4948-10GE rekordně nízké doby odezvy a skvělé propustnosti. Ve sp...


V exkluzivním testu dosáhl přepínač Cisco Catalyst 4948-10GE rekordně nízké
doby odezvy a skvělé propustnosti. Ve spojení s pokrokovými bezpečnostními
mechanismy a s rozsáhlým rejstříkem přepínacích a směrovacích vlastností si
tento přepínač vysloužil ocenění Computerworld Excellent.


Catalyst 4948-10GE je s cenou pohybující se kolem 750 000 Kč dosti drahý, a tak
se s ním setkáte zejména v datových centrech, kde může agregovat spojení z
mnoha serverů a směrovat provoz na páteřní 10gigabitový Ethernet.
Testovaný Catalyst 4948-10GE je podobně jako konkurenční produkty od Extreme
Networks, Force10 Networks a Foundry Networks vybaven 48 gigabitovými porty a
dvěma porty 10Gb Ethernetu. Odlišuje se od nich ale v několika ohledech:
přepínač Cisco je proveden v šasi o velikosti 1 U, zatímco Foundry FESX448
zabere ve stojanu (racku) prostor o výšce 1,5 U. Cisco Catalyst 4948-10GE dále
obsahuje redundantní elektrické zdroje, ale například redundance u přepínače
Extreme S400-48t vyžaduje jeden vnější zdroj (na druhé straně tento externí
zdroj je možné sdílet pro více přepínačů). Zařízení Cisca má i nevýhody, není
rozšiřitelné (na rozdíl od S50 od Force10) a jeho doporučená cena je vyšší než
u konkurenčních produktů s podobnou konfigurací.
Dle našeho názoru největší rozdíl spočívá v tom, že Catalyst pro 10Gb
ethernetové rozhraní používá transceivery X2. Ty mají přitom zhruba stejnou
velikost jako gigabitové, což je staví na půl cesty mezi 10Gb transceivery
Xenpak a menší 10gigabitové Small Form Factor Pluggable Transceivers (XFP)
požívané v novějších 10Gb přepínačích, například u Force10, Foundry a Nortelu.
Ti, kdo chtějí využívat více typů transceiverů, musejí počítat s tím, že to
znamená mít připraveno i více typů náhradních dílů, přičemž je nutné mít na
paměti, že každý z nich přijde na tisíce dolarů.
Transceivery X2 jsou funkčně identické s těmi s označením Xenpak, zatímco
transceivery XFP přenechávají funkčnost serializace/deserializace (SerDes)
desce přepínače. Cisco tvrdí, že použití X2 zvyšuje spolehlivost, protože
selhání SerDes vyžaduje jen výměnu transceiveru a ne celého přepínače. V rámci
testu jsme ověřili, že transceivery X2 po jednovidovém optickém vláknu
spolupracují s Xenpak i XFP transceivery.

Špičkový výkon
Na Catalystu 4948-10GE jsme provedli různé zátěžové testy, a to s vynikajícími
výsledky. Testy zahrnovaly přepínání na 2. a 3. vrstvě, VLAN (virtuální LAN) a
směrování Open Shortest Path First (OSPF) - vše běžné úkoly pro agregační
přepínač.
Testy přepínání na 2. a 3. vrstvě byly jednoduché, použili jsme pouze jedinou
MAC a/nebo IP adresu na port. Pro testy VLAN jsme nadefinovali 28 VLAN na každý
z gigabitových portů, což bylo celkem 1 344 VLAN. Pro testy OSPF jsme použili
generátor a analyzátor provozu Spirent SmartBits, s jehož pomocí jsme emulovali
10 000 sítí s 250 hosty pro každou síť. Protože tento poslední test zahrnoval
2,5 milionu toků, jedná se o dobrý způsob, jak určit, zda se výkon přepínače
zhoršuje s rostoucím počtem toků.
Ve všech testech podal Catalyst 4948-10GE špičkový výkon, přičemž dokázal
přenést až 101,19 milionu rámců za sekundu (viz graf nahoře).
Měřili jsme i dobu odezvy - čas, který přepínač potřebuje k přesměrování
každého rámce při dané propustnosti (viz graf dole). Průměrná latence se u
rámců různých velikostí většinou držela v rozsahu 4 mikrosekund, což
představuje nové minimum mezi námi testovanými ethernetovými přepínači. Všechny
latence, které jsme zaznamenali jsou přinejmenším o jeden řád pod hranicí, kde
by měly vliv i na ty časově nejcitlivější aplikace. Doba odezvy a časové
kolísání (jitter) byly na gigabitová ethernetová rozhraní také pozoruhodně
nízké a stálé.
Měřili jsme také kapacitu bufferu přepínače, tzn. o kolik zpomalí provoz, pokud
je přetížen. Při přetížení 2 : 1 i 10 : 1 jsme zaznamenali maximální zdržení
kolem 1,4 milisekundy pro 64bajtové rámce; 26 milisekund pro 1 518bajtové rámce
a 128 milisekund u rámců o velikosti 9 000 bajtů. Žádné z uvedených nejhorších
dosažených výsledků pravděpodobně nezhorší výkon aplikací provozovaných v
sítích.
Podle Cisca zvládne Catalyst 4948-10GE komunikovat s 55 000 unicast MAC
adresami bez floodingu. Ověřili jsme toto tvrzení poskytnutím 54 999 adres, což
připočteno k vlastní adrese přepínače odpovídá uvedenému množství.

Bezpečnostní prvky
Catalyst 4948-10GE disponuje dobře vybaveným bezpečnostním arzenálem. Podobně
jako mnoho jiných přepínačů podporuje ověřování uživatele standardem 802.1X,
Secure Shell v2 pro vzdálený přístup a také ACL (Access Control Lists).
Přepínač nabízí i mnoho dalších bezpečnostních prvků. Například tzv. security
port umožňuje přepínači osvojit si MAC adresy připojených hostů, dokonce i přes
restart, což brání spoofingu a následně zvyšuje spolehlivost systému.
DHCP Snooping dále v přepínači dává pozor na odpovědi od podvodných DHCP
serverů a odmítá je, čímž zabraňuje útočníkovi v překonfigurování hostů a
přesměrování provozu. DHCP Snooping také omezuje míru přenosů na legitimní DHCP
servery, čímž brání útokům typu DoS (Denial of Service).
Další prvek - IP Source Guard - založený na DHCP Snoopingu má bránit útočníkovi
ve zneužití IP adresy legitimních uživatelů a vnášení fingovaných přenosů.
Zařízení vytváří tabulku, která přiřazuje IP adresy portům přepínače. Pokud se
útočník pokouší poslat zprávu, ve které udává jako svůj původ IP adresu
registrovanou již pro jiný port, přepínač tuto zprávu zahodí.
Jak DHCP Snooping, tak IP Source Guard lze uplatnit u trunků 802.1Q, 802.3ad
(nebo Cisco EtherChannels), virtuálních privátních LAN i na individuálních
portech.
Vlastnost Dynamic ARP Inspection (DAI, dynamická kontrola ARP) zase útočníkům
zabraňuje v "otrávení" cache Address Resolution Protocolu (ARP; jde o poměrně
běžný exploit, s nímž se lze v souvislosti s přepínači a směrovači setkat).
Posíláním bezdůvodných ARP zpráv na množství přepínačů a směrovačů může útočník
přesměrovat přenos z IP adres legitimních uživatelů nebo na ně, a tak lovit
hesla, e-maily, VoIP volání nebo jakékoliv jiné přenosy. DAI maří tento útok
tím, že uchovává tabulku s IP-MAC vazbami a zahazuje přenosy, které nejsou
zanesené do zmíněné tabulky.
Naše jediné výhrady vůči Catalystu 4948-10GE jsou spíše vedlejší povahy: je
relativně drahý (v rámci větších objednávek je na něj však často dávána sleva),
má nedostatečnou míru rozšiřitelnosti, může vás nutit skladovat vícero typů
10Gb transceiverů a nepodporuje IPv6 (což stejně ještě mnoha správci sítí není
vyžadováno). V každém jiném ohledu je ale tento přepínač vynikající a dodá
sítím datových center špičkovou propustnost, minimální dobu odezvy a pokrokové
bezpečnostní prvky.


Cisco Catalyst 4948-10GE
Přepínače

Ocenění Computerworld Excellent si přepínač Cisco Catalyst 4948--10GE vysloužil
za rekordně nízké doby odezvy a vynikající propustnost. Navíc nabízí
sofistikované bezpečnostní mechanismy a mnoho přepínacích a směrovacích
vlastností.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.