10Gb přístupové switche nejsou jen posunovači paketů (1.)

21. 4. 2009

Sdílet

Síťové switche pro podnikové zákazníky zdánlivě představují komoditu, ale není tomu tak. Aktuální modely jsou vybaveny celou škálou nových funkcí, z nichž alespoň některé ocení síťoví správci již dnes a ostatní možná už v blízké budoucnosti.

Přitom právě v těchto nových oblastech se mohou produkty s jinak podobným výkonem a konfigurací výrazně lišit. Naše testování pěti přepínačů odhalilo zásadní rozdíly zejména v multicastovém výkonu, bezpečnosti a spravovatelnosti...

Litujte chudáky přístupové switche. Tito posunovači paketů obvykle pracují tak dobře, že jsou pouze napěchovány do propojovacích skříní a ihned zapomenuty. Paket sem, -paket tam. Konec příběhu.

Je tomu ale opravdu tak? Pokud můžeme soudit na základě svých posledních testů, měli by si síťoví manažeři pro rozhodování o nákupech vytvořit zcela nový soubor kritérií. Zjistili jsme, že přepínače příští generace jsou plné funkcí a možností, jež v mnoha předchozích modelech k dispozici nebyly – nejde jen o fyzické vlastnosti, jako jsou uplinky pro 10Gigabit Ethernet, ale také o autentizaci pro kontrolu přístupu do sítě založenou na 802.1x, lepší podporu multicastu, kontrolu broadcastu (storm control), ochranu před DoS (Denial-of-Service) nebo podporu IPv6.

Switche – které všechny obsahovaly 48 10/100/1 000Mb/s portů a dva 10Gb porty – jsme hodnotili v deseti oblastech zahrnujících unicastový a multicastový výkon na L2 a L3 IPv4, kapacitu skupin při L2 multicastu, podporu 802.1x/NAC, storm control, správu a použitelnost, spotřebu a funkce. U produktů společností Cisco, Dell, D-Link, Extreme Networks, Foundry a HP jsme se přitom setkali s velkými rozdíly v podpoře  těchto možností a ve stabilitě. Například:
■  Propustnost a latence při multicastu se široce lišila, ještě většími diferenciátory ale byly spíše základní aspekty jako kapacita skupin a dokonce i stabilita systémů. U některých výrobců bylo potřeba několika softwarových buildů, jen aby byly přepínače schopny projít standardními testy multicastu a i tak s velmi odlišnými počty skupin.
■  Ačkoliv všechny přepínače podporovaly -autentizaci přes 802.1x, byly zde velké rozdíly v granularitě kontroly přístupu. Ne každý produkt podporoval všechny běžné případy použití a dva propouštěly neautentizovaný provoz, když pracovaly v tzv. multi-auth módu, což představuje potenciální bezpečnostní problém.
■  Veškerá zařízení disponovala funkcemi „storm kontrol“, jež napomáhají zmírnit DoS útoky, ty se však opět značně lišily ve smyslu kontroly rychlosti a detekce pomocí signatur.
■  Podpora IPv6 zůstává nedokončená. Některé přepínače IPv6 plně podporují, jiné jsou schopny směrovat IPv6 pakety, ale nemo-hou být přes IPv6 spravovány a ostatní podporu směrovacích protokolů IPv6 postrádají.

Žádný přepínač neexceloval ve všech z prověřovaných oblastí, takže by bylo těžké určit jednoznačného vítěze. Většina produktů vyhoví při jednoduchém doručování unicastového provozu přes Ethernet a IPv4. Pokud jde o něj, vyberte si switch podle ceny a použitelnosti.

To bychom nicméně nedoporučovali jako obecný způsob výběru. Stále více totiž záleží i na dalších oblastech, jako jsou bezpečnost, multicast či IPv6 – a právě tam se vyskytují skutečné rozdíly mezi produkty. Cisco Catalyst 3750E je funkčně nejucelenějším zařízením z těch, jež jsme testovali, ačkoliv HP ProCurve 3500yl, Extreme Summit X450 a Foundry FastIron X448 dopadly ve většině oblastí také velmi dobře. U produktů D-Link a Dell pak můžeme zdůraznit nemalý cenový rozdíl oproti zmíněným konkurentům, takže i když některé funkce postrádají, jsou při přijatelných nákladech i tak schopny poskytnout zajímavé možnosti nad rámec toho, co je dnes považováno za běžné.

Protože přístupové switche toho umějí víc než produkty předchozí generace, prvním krokem při volbě produktu je určit, na kterých vlastnostech vám záleží nejvíce – L2 vs. L3, IPv4 vs. IPv6, unicast vs. multicast, řízený vs. neřízený, vestavěné vs. žádné zabezpečení – a poté si vyberte zařízení, které se jeví v těchto oblastech jako nejlepší.

Mezi přepínači lze najít řadu odlišností, zejména když přijde na novější funkce. To, že základní funkce již dávno získaly status komodity, neznamená, že války switchů ustaly. Dnešní situace k tomu má daleko – jak ukazuje náš test, nové možnosti jako multicast, 802.1x a bezpečnost dělají přístupové přepínání znovu zajímavým.


Výkon diferencuje multicast
Kdysi by výkonnostní testy unicastu na 2. vrstvě poskytly ty zdaleka nejdůležitější výsledky, to se však změnilo. Měření propustnosti při unicastu na všech portech, dříve považované za rozhodující test access switchů, už není žádným podstatným odlišujícím faktorem. Dokonce i nejnapjatější testovací případ – kdy generátor provozu Spirent TestCenter chrlil rámce minimální délky 64 bajtů na všechny porty přepínače – byla propustnost blízká rychlosti linky (a to u všech produktů kromě D-Linku 3650, který mírně zaostával).

Podobné výsledky jsme vypozorovali také při měření propustnosti s využitím 256- a 1 518bajtových rámců v konfiguraci jak pro 2. (přepínanou), tak pro 3. (IP forwarded) vrstvu. Propustnost zkrátka není tak významným diferenciátorem, jako dříve.


Kapacita skupin multicastu
Jestliže výkon produktů během unicastu se prakticky nelišil, výkon multicastu určitě ano. Multicast jsme hodnotili měřením kapacity skupin i propustnosti a latence multicastu na 2. a 3. vrstvě. Počty skupin multicastu se ukázaly být hlavním diferen-ciátorem, a to nejen v testech kapacity, ale i propustnosti a latence.

Cílem testů kapacity skupin bylo určit maximální počet skupin IGMPv3 multicastu, který každý z přepínačů dokázal zvládnout. To je klíčovým měřítkem škálovatelnosti multicastu: Čím více skupin je switch schopen sledovat, tím více uživatelů může multicast využívat. Protože jde o test přístupových přepínačů, nakonfigurovali jsme každé zařízení do módu pouze pro Layer 2 a povolili jsme IGMP snooping. Poté jsme nakonfigurovali generátor/analyzér provozu Spirent TestCenter, aby se napojil na nějaký počet skupin a měřili jsme, zda switch dokáže doručit provoz všem skupinám bez zahlcování.

Výsledky odhalují značné odchylky mezi produkty, neboť kapacita sahala od téměř 1 500 u HP ProCurve až k méně než 70 skupinám u Dellu PowerConnect. Pro podniky, které při provozu přepínače potřebují pouze 70 či méně multicastových skupin, to samozřejmě není důležitý rozdíl; pro ty ostatní – a mezi ně může patřit velká část středních a velkých podniků, stejně jako nejeden menší – však počty skupin hrají roli.

Test kapacity se soustředil pouze na maximální počet skupin. Když došlo na měření propustnosti a latence, byly počty skupin podporované každým přepínačem v některých případech nižší než v jiných. Rozdíl lze částečně vysvětlit konfigurací switchů. Propustnost a latenci jsme měřili na 2. vrstvě s využitím víceméně stejné topologie jako v testech kapacity skupin. V testech na 3. vrstvě jsme povolili Protocol-Independent Multicast (PIM), protokol pro směrování multicastu, takže jsme v podstatě na každém portu vytvořili router. Soudíce jen podle podporovaných počtů skupin, kde méně než polovina produktů dosáhla úrovně 500, je to pro testované zařízení mnohem náročnější.

Z grafu není zjevný fakt, že u některých výrobců bylo zapotřebí několika softwarových buildů, aby těchto výsledků dosáhli. Naše počáteční multicastové testy switchů Dell, D-Link a Foundry s 500 skupinami vedly k zablokování (lock-up) nebo rebootu. Všichni tito výrobci poskytli aktualizace softwaru, s nimiž se stabilita přepínačů zlepšila. Nicméně, jak výsledky ukazují, ne všechny mohly být testovány s 500 skupinami. Pokud switch nebyl schopen dosáhnout laťky 500 skupin, které jsme při testování propustnosti a latence používali, testovali jsme propustnost a latenci multicastu s maximální kapacitou skupin přepínače.

HP ProCurve podporoval 500 skupin, je tu však jedna drobnost: Při L3 testování mohl využívat pouze dvě virtuální LAN, IP subsítě a instance PIM routerů – ve srovnání se 49 ve všech ostatních produktech. Je jasné, že toto omezení by znemožnilo použití přepínače ProCurve v situacích, kde jsou vyžadovány více než dvě subsítě a zároveň směrovací instance pro multicasting.

Někteří výrobci vypozorovali, že jen málo zákazníků dnes na obvodu svých sítí podporuje 500 multicastových skupin. Můžeme však polemizovat o tom, že podmínky se mohou v nejbližších letech výrazně změnit. V některých odvětvích, jako jsou finanční služby, je už dnes běžné podporovat desítky až stovky předplacených multicastových skupin pro aplikace zpracovávající kurzy akcií. Škálovatelnost multicastu tedy zatím nemusí být nejvyšší prioritou při výběru síťových zařízení, pravděpodobně však bude nabývat na důležitosti.


Kolísání zpoždění
Latence, neboli doba, po kterou přepínač bufferuje každý rámec, je také klíčovou metrikou switchů, pro realtimové aplikace, jako je přenos hlasu či videa, je dokonce důležitější než propustnost. Ve skutečnosti multicastová propustnost nepředstavovala v našich testech žádný problém, neboť všechny produkty doručovaly pakety v rozmezí 0,5 % rychlosti linky.

Pro unicastový provoz byly rozdíly mezi produkty zpracovávajícími rámce střední velikosti relativně minoritní, avšak průměrná a maximální latence unicastu se široce lišila, když přepínače zpracovávaly rámce minimální a maximální délky (viz graf Latence při unicastu na straně 20). Obzvláště Foundry X448 vykázal neobvykle velká průměrná a maximální zpoždění při zpracování velkých rámců.

Latence při multicastu se lišily mnohem více – až 500násobným rozdílem mezi nejnižším a nejvyšším výsledkem (oba se vztahovaly k HP ProCurve). Velký rozdíl mezi průměrnou a maximální latencí může indikovat problém s kolísáním (jitter) nebo proměnlivostí latence, což může mít nepříznivý vliv na aplikace citlivé na zpoždění.

HP vykázalo větší kolísání mezi průměrnou a maximální latencí multicastu s rozptylem stovek až tisíců mikrosekund. Naproti tomu ostatní produkty  zadržely provoz na 1–4 mikrosekundy. HP zároveň vykázalo mnohem větší latenci pro multicast než pro unicast. Naproti tomu Foundry X448 na tom bylo z hlediska latence pro velké rámce lépe, když zpracovával multicastový provoz. Topologie provozu se v testech unicastu a multicastu trochu lišila, což činí srovnání trochu nepřesným, ale vzhledem k tomu, že switche zpracovávají unicast a multicast podobně, byli jsme překvapeni, že se vůbec nějaké rozdíly objevily.

bitcoin školení listopad 24


Podpora NAC/802.1X
Mnohé switche dnes podporují autentizaci přes 802.1x, která je základním stavebním blokem NAC. Klíčovou otázkou je, jaký druh přístupu mohou autentizovaní uživatelé očekávat. V šesti testovacích scénářích jsme proto odhalili hlavní rozdíly mezi produkty ve smyslu podmínek, za nichž poskytují přístup, a typu přístupu, který dovolí.

V prvním 802.1x scénáři je klient (nebo v terminologii 802.1x „žadatel“) úspěšně autentizován a switch jej umístí do staticky definované VLAN. Tento základní test, při němž se přepínač spojil žadatele Juniper Odyssey se serverem Juniper Steel-Belted Radius, zvládly dobře všechny produkty.

Druhý test, zahrnující tzv. multi-auth (vícenásobnou autentizaci), se už ukázal jako problematičtější, neboť se projevily nedostatky u přepínačů Cisco a Dell. V tomto scénáři je připojeno více uživatelů k jedinému portu přepínače a každý musí být autentizován, než je mu povolen přístup do dítě. Více uživatelů jsme připojili pomocí neřízeného hubu (což je běžný případ použití v mnoha firemních konferenčních místnostech, kde se nachází pouze jedna ethernetová přípojka). Mezi další příklady využití multi-auth patří IP telefony (jež někdy disponují dvouportovým switchem pro připojení PC přes telefon) či přístupové body (AP) WLAN (obzvláště tzv. tenké AP, které se připojují k přepínači/kontroléru a obsahují asociace z více bezdrátových klientů). Většina switchů vyžaduje, aby byl multi-auth režim explicitně nakonfigurován (přepínač Extreme žádnou dodatečnou konfiguraci nevyžadoval). Poté, co jsme tak učinili, switche Cisco a Dell autentizovaly prvního uživatele – avšak potom pustily provoz od druhého a následujících uživatelů do sítě bez ověření. Analogií fyzického světa je, když někdo otevře dveře kancelářské budovy pomocí svého čipu a ostatní projdou za ním, zatímco dveře zůstanou otevřeny. Dopady na bezpečnost jsou zjevné. Cisco tvrdí, že zákazníkům velmi nedoporučuje multi-auth používat jinde, než u speciálních případů, jako je IP telefon s připojeným PC, a pak doporučuje oddělit provoz do různých VLAN.

Striktně vzato, multi-auth ve skutečnosti znamená porušení standardu IEEE 802.1x. Funkce MAC relay této specifikace (entita přístupu k portu) zahrnuje logický přepínač, který je buďto zapnutý, nebo vypnutý. Neexistuje opatření pro stav „selektivního zapnutí/vypnutí“, který povolí některé rámce a ostatní odmítne. I tak je ale multi-auth, jelikož pro něj existuje řada běžných použití, široce podporován. Jak ukazuje náš test, je zde nebezpečí, že budou síťoví správci ukolébáni falešným pocitem bezpečí a mylně uvěří, že zapnutí 802.1x povede k autentizaci veškerého provozu.

Třetí scénář, zahrnující dynamické VLAN, byl mnohem přímočařejší. Modeloval sítě, ve kterých se „pohyblivá“ skupina uživatelů notebooků může náhodně připojovat k jakémukoliv portu switche. Cílem bylo, aby přepínač po úspěšné autentizaci dynamicky přidělil port do dané VLAN. Všechny produkty kromě jednoho testem prošly. Osamocenou výjimkou byl Dell PowerConnect 6248, který nepodporuje přidělování dynamických VLAN. Extreme X450 jde opačnou cestou: Nejenže ve scénáři uspěl, ale zároveň dovolil, aby byl žadatel umístěn do více neoznačených VLAN.

Ve čtvrtém testu jsme určili, zda switch může dynamicky povolit přístupový seznam (Access Control List, ACL) po úspěšné autentizaci, přičemž řídí, kam klient může a nemůže přistupovat. Podobně jako u dynamické alokace VLAN mohou být dynamické ACL užitečné pro mobilní zaměstnance, kdy daný pracovník může získat přístup ke specifickým zdrojům bez ohledu na lokalitu.

Přepínače Cisco, Extreme, Foundry a HP tuto funkci podporují. Abychom přinutili dynamické ACL fungovat se switchem HP, museli jsme použít nezdokumentovanou syntaxi, výrobce ale uvádí, že to v současnosti dodávaném softwaru bylo opraveno. Produkty -D-Linku a Dell tuto funkci nepodporovaly.

Až dosud všechny scénáře zaměřené na 802.1x pokrývaly situace, kdy byla autentizace úspěšná. V tom pátém jsme ji vědomě provedli neúspěšně, abychom určili, zda switche klienta umístí do hostující (guest), nebo omezené VLAN. To je běžný požadavek nejen pro podnikové zaměstnance, kteří špatně napíší heslo, ale také pro návštěvníky a obchodní partnery, kteří nemají autentizační oprávnění. Všechny přepínače nabídly bez problému možnost hostované LAN.

V posledním testu jsme zjišťovali, zda přepínač dokáže současně podporovat klienty využívající 802.1x i ty bez jeho podpory. Ať chceme, nebo ne, 802.1x ještě není úplně všudypřítomný, neboť stále existuje velký počet síťových zařízení, např. tiskáren, která nedisponují softwarem využívajícím 802.1x. Pro ta je ideální mít funkci, kterou Cisco označuje jako „MAC authentication bypass“.

Všechny modely, jež jsme testovali, kromě dvou (od Dellu a D-Linku), dovolují vrátit se k MAC autentizaci, pokud klient 802.1x nepodporuje. D-Link 3650 MAC autentizaci podporuje, ne však zároveň s 802.1x. Dell PowerConnect 6248 MAC autentizaci nepodporuje, může však omezit přístup na uživatelsky definovaný počet MAC adres.

Cisco Catalyst 3750E podporuje rovněž další tři 802.1x scénáře, jež jsme netestovali. Může umístit klienty nevyužívající 802.1x do speciální omezené VLAN, odlišné od hostitelské VLAN pro neautorizované nebo nezáplatované/neaktualizované 802.1x klienty. Může se automaticky vrátit k webové autentizaci, pokud k ověření přes 802.1x nedojde v daném časovém rámci. Navíc je schopen autentizovat více zařízení na portu a umístit každé do jiné VLAN (jde ale o odlišný případ než zmíněný multi-auth režim, kde všechna zařízení vstupují do téže VLAN).

Pokračování článku vám přineseme zítra...