10Gb přístupové switche nejsou jen posunovači paketů (2.)

22. 4. 2009

Sdílet

Síťové switche pro podnikové zákazníky zdánlivě představují komoditu, ale není tomu tak. Aktuální modely jsou vybaveny celou škálou nových funkcí, z nichž alespoň některé ocení síťoví správci již dnes a ostatní možná už v blízké budoucnosti.

Dnes vám přinášíme dokončení včerejšího článku 10Gb přístupové switche nejsou jen posunovači paketů (1.)

 

Bezpečná správa
Při hodnocení správy a zabezpečení switchů jsme hledali odpověď na tři otázky: Řídí se produkty defaultně současnými nejlepšími praktikami? Mohou je uživatelé nakonfigurovat tak, aby těmto praktikám vyhovovaly? Mohou z nich být odstraněny jakékoliv citlivé informace před tím, než jsou vyřazeny z provozu?

Otázka „vyčištění“ pramení z regulatorních požadavků ve stále větším počtu odvětví. Hodnotili jsme možnosti resetování smazáním startovního konfiguračního souboru poté, co jsme provedli výkonnostní bezpečnostní testy. Pro všechny switche kromě těch od Extreme a HP to stačilo k tomu, aby byly systémy vyčištěny. HP ProCurve ukládá hesla separátně ve flash paměti, ta však mohou být smazána pomocí tlačítek na předním panelu. Procedura je zdokumentována a HP rovněž uvádí, že počítá se zahrnutím šifrovaných hesel do konfiguračního souboru přepínače. Přepínač Extreme Summit X450 udržuje hesla i po továrním resetu a kromě toho uchovává i privátní SSH klíč, který by mohl útočníkovi dovolit vydávat se za autorizované zařízení i poté, co bude switch vyřazen.

Zjišťovali jsme také, které metody správy byly defaultně povoleny a které by musely být povoleny či vypnuty síťovým správcem. Best practices zahrnují vypnutí nebezpečných metod správy, jako je telnet (podporovaný defaultně po instalaci přes IPv4 všemi přepínači), web a SSHv1. Nejlepší praktiky znamenají přistupovat k přepínači pouze pomocí bezpečných prostředků, jako je SSHv2 a/nebo Secure-HTTP, a zároveň zaznamenání událostí do logu v syslog serveru (což je požadavek mnoha podnikových bezpečnostních politik).

Cisco Catalyst 3750E byl dodržení bezpečnostních best practices nejblíže. Podporuje nicméně defaultně zmíněný telnet a kromě toho při zapnutí SSH Catalyst podporuje nedostatečnou verzi 1 tohoto protokolu (i když SSHv1 může být dodatečným příkazem vypnuto).

Management přes IPv6 obecně není tak spolehlivý či ucelený jako přes IPv4. Dva přepínače, Dell a HP, nepodporovaly správu přes IPv6 ve svých defaultních VLAN, ačkoliv HP uvádí, že v současnosti již dodává software verze 13.x, který IPv6 v defaultní VLAN podporuje. Setkali jsme se také s několika případy, kdy možnosti nabízené pro IPv4 nebyly přes IPv6 dostupné. Nebyli jsme schopni nakonfigurovat syslog přes IPv6 na produktech Cisco Catalyst nebo Extreme Summit X450. Přepínač Extreme navíc nepodporoval webový nebo na SSL založený management přes IPv6.

Podobně jako u multicastu či 802.1x je podpora IPv6 v mnoha přepínačích relativně nová a podpora všech funkcí má k úplnosti daleko. Pro správce zvažující nasazení IPv6 nestačí uvažovat o tom, zda switch pošle dál IPv6 pakety, podpora managementu přes IPv6 je stejně kritická. Bystrý čtenář si povšimnul, že jsme se nevěnovali správě přes SNMP přes IPv4 nebo IPv6 – problémy v naší testovací konfiguraci nám zabránily v dokončení verifikace SNMP. Nicméně podpoře SNMP se věnujeme v sekci funkcionality níže.

Storm control
Nástroje pro blokování DoS útoků, kdysi exkluzivní obor IDS/IPS systémů, jsou nyní obsaženy v bezpečnostním arzenálu většiny přepínačů. Ačkoliv všechny testované switche jsou schopny nějakým způsobem klasifikovat a blokovat škodlivý provoz, jsou zde rozdíly v hloubce a dosahu.

Na nejvyšší úrovni má „storm control“ dvě formy: Kontrolu rychlosti (rate-controlling) provozu a blokování specifických útoků. Kontrola rychlosti pak může být rozdělena do samostatných příkazů pro omezení (throttling) provozu unicastu, broadcastu a multicastu, i když ne všechny produkty toto podporují. Například může být žádoucí nastavit jeden práh pro zahození (drop) pro unicastový provoz (řekněme TCP SYNs pro blokování útoků SYN flood) a jiný práh pro broadcasty (třeba abyste se vyhnuli zahlcení CPU přepínače).

Všechny switche nabízejí možnost přiškrtit provoz. Kontrola rychlosti D-Linku 3650 je omezena na broadcastový a multicastový provoz, zatímco u Extreme Summit X450 se specificky zaměřuje na pakety svázané s CPU. Webové GUI Dell PowerConnect 6248 zdánlivě umožňuje kontrolu rychlosti pouze jedné třídy provozu v dané době (unicast, broadcast nebo multicast), v praxi však mohou být vydáním více příkazů definovány různé třídy s odlišnými prahy. Všechny ostatní switche (a rozhraní příkazové řádky Dellu PowerConnect) podporují jednotlivé příkazy pro omezení různých tříd provozu.

Detekce signatur útoků se mezi přepínači významně lišila. Některá zařízení – jako ta od Dellu, Extreme a Foundry – zahrnují signatury pro něco mezi dvěma (Foundry) a 29 (Extreme) dobře známými formami útoků a HP ProCurve 3500 pro zahození těchto paketů používá přístup založený na anomáliích, který nazývá jako „virus throttling“ určený pro detekci a blokování škodlivého provozu. Foundry X448 má také háčky, kterými se napojuje na externí monitoringové nástroje, jako jsou  SFlow nebo Snort IDS, jež budou zahazovat rámce, pokud provoz odpovídá dané signatuře.
Spoofing zakázán

Některé switche podporují rovněž mechanismy antispoofingu zaměřující se na DHCP, ARP a dokonce i čistý IP provoz. Všechny přepí-nače podporují DHCP snooping -(D-Link jej označuje jako DHCP server dynamic binding), který vytváří vazbu mezi IP a MAC adresami autorizovaného DHCP serveru. To pomáhá zabránit, aby klienti obdrželi falešné adresy z falešného DHCP serveru.

Produkty Cisco a Foundry podporují tzv. strážce zdroje IP (IP source gard), který je koncepčně podobný DHCP snoopingu. V tomto případě přepínač blokuje všechen provoz, dokud nenarazí na platnou DHCP konverzaci. Potom povolí provoz pouze z této vazby -IP-MAC. To pomáhá zabránit některým útokům man-in-the-middle, kdy vetřelec falšuje zdrojovou IP adresu.

Přepínače Cisco, Extreme, Foundry a HP podporují také „dynamickou ARP inspekci“, která zahodí každý paket s dříve nespatřenými vazbami IP-MAC. To je užitečné pro obranu před man-in-the-middle útoky, při nichž se útočník vydává za dříve viděnou stanici a přesměrovává provoz přes odlišný port switche s použitím nové MAC -adresy.
Použitelnost a komfort CLI

bitcoin_skoleni

Jakékoliv hodnocení použitelnosti přepínače je nutně subjektivní. Ačkoliv jsou zde některá aplikovatelná objektivní měřítka (například pokud zprovoznění SSH vyžaduje u jednoho produktu 17 kroků a u jiného pět), závěr vždy nakonec závisí na tom, co je pohodlné pro konkrétního uživatele.

Pro většinu odvětví znamená „komfort“ rozhraní příkazové řádky (CLI, Command-Line Interface), které blízce připomíná Cisco IOS (nebo jím přímo je). Konkurentům tohoto výrobce neuniklo, že na IOS je vyškoleno více inženýrů než pro jakékoliv jiné rozhraní.

V tomto testu se IOS velmi  podobala CLI Dellu, Foundry a HP. HP mu bylo patrně nejblíže a Foundry stálo těsně za ním (ačkoliv oba používají lehce odlišnou syntaxi pro odkazování na fyzická a virtuální rozhraní). CLI Dellu bylo na několika místech nekonzistentní. Některé příkazy kupříkladu odkazovaly na rozhraní s prefixem „Ethernet“ a jiné ne.

Switche D-Link a Extreme používají CLI ve vlastním stylu. Možná hraje roli naše větší obeznámenost s ním, ale XOS CLI od Extreme jsme shledali snazším k učení i k práci. Nabízí také některé užitečné monitorovací nástroje, s nimiž jsme se u jiných produktů nesetkali, například schopnost sledovat statistiky portů, a to dokonce i přes více portů, v reálném čase.

Konfigurační syntaxe CLI D-Linku 3650 je rozvláčná a zdlouhavá. Stejně jako u jiných CLI, stisknutí klávesy Tab zobrazí volby pro to, jak může být příkaz dokončen. Na rozdíl od všech ostatních však switch umístí do příkazové řádky plný řetězec, který pak uživatel musí vymazat. Tak třeba napsáním „config vlan “ se do příkazové řádky umístí řetězec „config tab “ a uživatel pak musí vymazat řetězec „vlan_name 32>“, než může pokračovat. I když je užitečné znát jméno VLAN, jež může být až 32místné, nutnost mazat části příkazů začala být po chvíli únavná.

Jednou z oblastí použitelnosti, kterou jsme nehodnotili, byl webový management. Otevřeně připouštíme náklonnost k příkazové řádce. Je jisté, že se najde mnoho příznivců grafické správy, ale v oblasti sítí má CLI stále svoji nezastupitelnou pozici.

Hojnost funkcí
Zatímco těžiště tohoto testu leželo v rozdílech souvisejících s novými funkcemi, dobrou zprávou je, že až na několik málo výjimek všechny přepínače podporují tytéž základní L2/L3 funkce.

Ve všech případech se jedná o 1U systémy se 48 10/100/1 000Mb/s porty a přinejmenším dvěma 10Gigabit Ethernet uplinky (pouze Foundry FastIron X448 je vysoký 1,5 U). Všechny nabízejí základní funkce L2 a L3 IPv4 forwardingu stejně jako plnou podporu pro VLAN, agregaci linek podle 802.3ad či kontrolní prvky pro QoS v L2 i L3. Všechny dokonce používají Diff-Serv Codepoints (DSCP), osvědčenou praktiku klasifikace provozu pro QoS. (Není ale nejlepší důvěřovat příchozím DSCP.)

Rozdíly mezi produkty se však začínají objevovat teprve nad rámec těchto základních funkcí. Tak například Foundry X448 není stohovatelný, zatímco ostatní ano (Foundry má ve své nabídce jiné stohovatelné modely, pro tento test však dodal X448). Kapacita MAC adres sahá od 8 192 u Dellu PowerConnect až k více než 64 tisícům u HP ProCurve. Switch -D-Linku zatím nepodporuje IEEE 802.1AB Link Layer Discovery Protocol -(LLDP), relativně nový standard popisující, jak si mohou partneři na lince vyměňovat informace o svých schopnostech. Ostatní produkty LLDP podporují.

Dalším diferenciátorem je Power over Ethernet (PoE), často využívaný na okraji podnikových sítí pro napájení IP telefonů a přístupových bodů WLAN. Každý výrobce zařazený v testu přepínače s podporou PoE prodává, avšak pouze Cisco, Dell, Extreme, Foundry a HP dodaly PoE modely do testu. Cisco Catalyst 3750E je jediným zařízením z testovaných schopným dodat energii do všech 48 downlink portů současně. Ostatní k tomu potřebují externí napájecí zdroj.

Podpora IPv6 se také výrazně liší. Pro většinu podniků stále ještě povětšinou nekonzistentní podpora IPv6 nehraje roli – alespoň ne dnes. Je zde ale silná a stále se zvyšující pravděpodobnost, že se tento protokol stane klíčovým ještě před tím, než tyto switche dospějí během příštích tří až pěti let na konec svého amortizačního cyklu. I pro podniky, které IPv6 zatím vůbec nevyužívají, stojí za to vzít jej v úvahu.

Každý přepínač nakonfigurovaný v L2 modu je schopen forwardovat IPv6 pakety, neboť nevidí a nestará se o L3 hlavičky. Když byly nakonfigurovány do režimu L3 forwardingu, všechny testované produkty kromě HP ProCurve byly schopny doručovat pakety IPv6 mezi subsítěmi (HP však uvádí, že současná verze jeho softwaru 13.x již IPv6 podporuje).

To však není konec příběhu o IPv6. Je důležité rozlišovat mezi forwardingem (přesouváním paketů mezi subsítěmi s použitím pří-mých nebo statických cest) a směrováním (provozováním směrovacího protokolu pro možnost dynamického určení, kam  pakety posílat). Přepínače D-Link, Extreme a HP nepodporují hlavní podnikové směrovací protokoly IPv6, OSPFv3 a RIPng. A jak bylo zmíněno, jsou zde výrazné rozdíly v metodách správy switchů přes IPv6.

Pokud jde o multicast přes IPv6, produkty Dellu a HP nepodporují žádnou verzi Multicast Listener Discovery, funkčního ekviva-lentu IPv6 k Internet Group Management Protocolu v IPv4. D-Link DGS-3650 podporuje MLDv1, ne však MLDv2.

Na závěr se zaměříme na spotřebu. Pomocí zařízení Fluke 322 a Fluke 335 jsme ji měřili u každého switche během nečinnosti i v plném zatížení. Výsledky ukázaly více než dvojnásobný rozdíl mezi energeticky nejúspornějším a nejhladovějším zařízením, většina přepínačů však spotřebovala podobné množství energie v rozmezí 128–154 wattů při plném zatížení. Extreme (128 W), D-Link (131 W) a Dell (133 W) na tom byly nejlépe, zatímco u Cisca (154 W) a HP (221 W) už hodnoty trochu vzrostly a v případě Foundry dosáhly dokonce 316 W. Při nečinnosti u něj spotřeba klesla na 255 W, zatímco u ostatních se vesměs pohybovala na podobné (jen o jednotky či maximálně o 15 W nižší) úrovni. Tento faktor se spolu s rostoucími problémy se spotřebou energie ve velkých datových centrech a nemalými účty za ni stává kritickým a je tedy nasnadě, že i u síťových zařízení by mu měli správci věnovat pozornost.