Развитие корпоративной сети любого предприятия обуславливает повышение требований к надежности, гибкости управления, отказоустойчивости и безопасности сети. Обеспечить выполнение этих задач на должном уровне призваны интеллектуальные коммутаторы. В центре внимания нашего обзора - ряд управляемых 24-портовых коммутаторов от ведущих производителей сетевого оборудования, представленных на украинском рынке.
Разделяемая среда передачи данных Ethernet была и остается подводным камнем этой технологии из-за недостаточной стабильности и надежности. С целью устранения этих недостатков фирма Kalpana (впоследствии купленная Cisco) в 1990 году предложила технологию коммутации пакетов Ethernet, благодаря которой разделяемая среда не ограничивалась с помощью мостов и маршрутизаторов, а просто исчезала.
Это практичное и простое технологическое решение подразумевает использование параллельной обработки поступающих кадров на разных портах (мосты обрабатывают кадры последовательно, один за одним). Такая особенность - независимая передача кадров между каждой парой портов - позволила коммутаторам Kalpana реализовать идею отказа от разделяемой среды. А поскольку коммутаторы, подобно мостам, прозрачны для протоколов сетевого уровня, маршрутизаторы их "не видят", и это дает возможность решить проблему разделяемой среды, не меняя основную схему работы сетей между собой.
Соответственно, базовые свойства Ethernet как разделяемой среды передачи данных неприменимы к сети, построенной с использованием коммутаторов. Коллизии отсутствуют, нет физического обоснования понятия максимальной длины линии и максимального количества подключенных устройств.
Например, реально могут использоваться оптоволоконные линии, передающие кадры Ethernet на сотни километров, а локальные сети способны объединять множество рабочих станций или серверов.
В общем, сегодня можно с полной уверенностью сказать, что коммутаторы - это самый мощный, универсальный, удобный для ЛВС класс оборудования.
Кроме того, пользователи имеют возможность значительно улучшить качество сети с минимальными затратами: достаточно заменить работающие в сети концентраторы на коммутаторы либо добавить коммутаторы для разделения сегментов растущей сети. И что самое главное - в таком наращивании аппаратная структура сети (все ранее установленные концентраторы, маршрутизаторы, повторители и другое оборудование кабельных систем) не страдает. Это дает колоссальную экономию по сравнению с переходом на новую технологию (например, ATM).
Единственную опасность для коммутируемой сети представляют та к называемые "бродкастовые" штормы, то есть случаи перегрузки сети широковещательными (бродкастовыми) кадрами. Однако большинство управляемых коммутаторов могут решить и эту проблему за счет разделения одной большой сети на несколько виртуальных. Кроме того, все больше предприятий и бизнес-структур стремятся сохранить баланс между основными характеристиками и возможностями сети, которые, в свою очередь, существенно влияют на выполнение бизнес-требований и приложений. Среди подобных требований особо следует отметить высокую доступность сети, сочетаемую с безопасностью, высокоскоростную коммутацию пакетов, качество обслуживания пользователей. Интеллектуальные коммутаторы 2-3 уровня безукоризненно выполняют все эти функции, о чем мы и расскажем в этой статье.
Зcom SuperStack 3 switch 3226Эта модель является представителем семейства коммутаторов Super-Stack 3 switch и обеспечивает коммутацию второго-третьего уровней без блокировки. Коммутатор поддерживает функции управления и включает в себя 24 порта 10/100 Мбит/с с автоматическим выбором скорости и два порта двойного назначения для соединений 10/100/1000 Мбит/с или SFP.
Поддержка автоматического согласования режима дуплексности типа соединений MDI/MDIX позволяет избежать множества ошибок в конфигурации сети и устраняет необходимость использования специальных кабелей с перекрестной разводкой пар.
Как и большинство моделей второго уровня, 3com Superstack 3 switch 3226 поддерживает механизм прио-ритезации трафика в зависимости от приоритета класса обслуживания (CoS) IEEЕ 802.1p, портов назначения протоколов TCP и UDP, а также автоматической классификации трафика устройств сетевой телефонии 3Com NBX, что позитивно отражается на выполнении приложений реального времени (например, программ голосовой и видеосвязи) и обеспечивает оптимальную производительность. Также в данной модели реализована функция объединения каналов для исходящих соединений IEEЕ 802ad (LACP), поддержки до 255 виртуальных сетей IEEE 802.1Q, что позволяет изолировать обмен данными между членами созданной группы (VLAN) от остального сетевого трафика и дает возможность уменьшить широковещательный трафик и повысить безопасность.
Стоит упомянуть дополнительные поддерживаемые функции безопасности, как, например, механизм аутентификации IEEЕ 802.1X Network Login, который и обеспечивает защиту подключения пользователей к сети. В то же время контроль доступа проходит подуправлением центрального сервера RADIUS либо по зашифрованным соединениям при помощи клиента SSH по протоколу SSL/HTTPS, блокируя тем самым попытки несанкционированного доступа злоумышленников к коммутатору. Ограничение доступа пользователей к отдельным областям сети может задаваться при помощи списков контроля доступа (Access Control List), уменьшающих набор IP-адресов, с которыми может обмениваться данное устройство.
Следует отметить, что модель является переходной и эффективной для решения широкого круга задач коммутации второго уровня, а также представляет оптимизированное решение для разгрузки ядра сети, упрощая создание сетевой инфраструктуры третьего уровня.
Поддержка динамической маршрутизации третьего уровня (RIP), под которой подразумевается автоматическая настройка и обновление коммутатора при любых топологических изменениях в структуре сети без вмешательства администратора, позволяет избежать кропотливой ручной перенастройки параметров, что упрощает создание сетевой инфраструктуры третьего уровня. Благодаря аппаратной маршрутизации с максимальной скоростью среды передачи и поддержке до 2000 IP-маршрутов через восходящее соединение с маршрутизатором ядра, данный свитч способен разгрузить коммутатор ядра сети за счет локальной маршрутизации (поддерживает 32 IP-интерфейса слокальной маршрутизацией и до 14 маршрутов), забрав локальный трафик на себя. Коммутатор является оптимальным решением для использования на границе сети.
Управление полосой пропускания осуществляется с шагом 1 Мбит/с для портов 10/100 Мбит/с и с шагом 8 Мбит/с для гигабитных портов, реализована функция зеркалирования портов для анализатора протоколов и мониторинга, а также функция многоадресной фильтрации трафика.
Что касается управления, то его можно осуществить через встроенный вэб-интерфейс, интерфейс командной строки либо по протоколу SNMR В комплекте поставляется проверенное и легкоуправляемое ПО производителя, позволяющее удаленно управлять работой, мониторить нагрузки, протоколировать различные изменения конфигурации.
Cisco Catalyst 2950SX-24
Коммутатор является представителем линейки интеллектуальных устройств Catalyst 2950, которая предназначена для автономного решения задач управляемой коммутации второго уровня с 24 портами 10/100 Мбит/с и двумя портами фиксированной конфигурации 1000BASE-SX. Наличие двойных интегрированных SX-волоконно-оптических портов позволяет увеличить производительность системы, а также обеспечивает экономичный способ каскадирования коммутаторов и управления ими как единым кластером.
Встроенное программное обеспечение (так называемое Cisco Device Manager software), которым оснащены все модели серии Catalyst 2950, позволяет пользователям легко конфигурировать устройство для выполнения необходимых функций, в том числе мониторинга при помощи стандартного вэб-браузера. Это исключает кропотливую и более сложную процедуру настройки при помощи терминальных программ, где необходимы базовые знания работы в консольном режиме. Также нельзя не сказать о реализованной поддержке расширенных функций управления при помощи протокола SNMP.
Линейка Catalyst 2950 обеспечивает функциональность второго уровня Cisco IOS для основных сервисов передачи данных, голоса и видео на границе сети. Модель Catalyst 2950SX-24 завершает линейку продуктов Cisco, гарантирующих восходящие связи по стандарту SX. Линейка включает в себя интеллектуальные Ethernet-коммутаторы Catalyst 2950G и Catalyst 3550. Коммутатор Catalyst 2950SX-24 создан для применения на предприятиях среднего масштаба и государственных структурах, которые не требуют сервисов Intelligent Ethernet, предоставляемых коммутаторами Catalyst 2950G и Catalyst 3550.
Характерными особенностями данной модели являются безопасность, развитые средства обслуживания и высокая доступность.
Коммутатор поддерживает следующие функции: аутентификацию пользователей на серверах TACACS+ или RADIUS, где благодаря свойствам протокола IEEE 802.IX допускается динамическое назначение определенной VLAN новому пользователю вне зависимости от его места подключения; механизм создания VLAN (IEEE 802.1Q); MultiCast VLAN registration (MVR), который предназначен для приложений, требующих широкомасштабного распределения многоадресного трафика по всей сети и позволяет "закрепленному" за конкретным портом пользователю получать (или не получать) многоадресный поток данных по VLAN-сети.
В модели поддерживается транкинг нисходящих соединений (IEEE 802.1 ad), особое внимание уделяется проблемам отказоустойчивости, которая обеспечивается протоколами STP, RSTP, MSTP, PVRST+.
С целью эффективного использования ресурсов для приложений, требующих многоадресной передачи, в данной модели реализован протокол IGMP (Internet Group Management Protocol v3).
Перегрузка, неправильная кроссировка и различные "штормовые" атаки легко разрешаются благодаря эффективным защитным свойствам модели. Иными словами, функции управления трафиком реализованы на должном уровне.
Стоит упомянуть высокий уровень защиты (шифрование) управленческих действий администратора благодаря наличию механизма SSL.
Сочетание контроля доступа с сетевой безопасностью, сервисными службами и приложениями позитивно сказывается на мобильности пользователей, позволяет существенно понизить накладные расходы, связанные с предоставлением и управлением доступом к сетевым ресурсам.
Dimension ES3024 (ZyXEL)
Модель ES-3024 представляет собой управляемый стекируемый коммутатор второго уровня. Устройство обеспечивает неблокирующую коммутацию, имеет 24 порта 10/100 Мбит/с, слот расширения для установки стеки-рующего модуля и два слота расширения для магистральных модулей.
Добавленные магистральные модули позволяют реализовать интерфейсы Fast и Gigabit Ethernet, использующие витую пару, одномодовое и многомодовое оптическое волокно. Также благодаря наращиванию архитектуры коммутатора четырьмя портами по 1000 Мбит/c появляется возможность строить сети со значительно большей производительностью по сравнению с распространенными коммутаторами, имеющими архитектуру 24 порта 10/100 Мбит/с + 2 порта 1000 Мбит/c. При этом два дополнительных интерфейса Gigabit Ethernet используются для стекирования соседних коммутаторов на скорости до 2 Гбит/с в полнодуплексном режиме.
Возможность одновременной поддержки и обработки до 4095 виртуальных локальных сетей (максимальное число VLAN по стандарту 802.1q) полностью снимает ограничения на размер сети и одновременно позволяет надежно защитить трафик пользователей и абонентов. В свою очередь, управление полосой пропускания с шагом 1 Кб/с - гибкое и эффективное решение для провайдерских служб. Следовательно, такое аппаратное решение может быть оптимальным для агрегации трафика абонентов в любой операторской и провайдерской сети.
Следует отметить, что ZyXEL iStacking-технология отличается от традиционной тем, что у коммутаторов нет привязки к расположению (традиционная технология подразумевает расположение в одной стойке и аппаратную поддержку стекируемого модуля). Таким образом, появляется возможность более эффективного удаленного управления распределенным стеком ("кластерным доменом") вне зависимости от их расположения.
Хорошая производительность и высокая безопасность обеспечиваются широким набором функциональных возможностей:
- поддержка IEEE 802.1X (аутентификация);
- поддержка IEEE 802.3X (управление трафиком);
- поддержка IEEE 802.1d и IEEE 802.1s (STP, RSTP);
- объединение в один распределенный стек до 24 устройств;
- поддержка транкинга (IEEE 802.1ad) - до 8 портов;
- зеркалирование и мониторинг;
- поддержка IGMP.
Des 3226S (D-Link)
DES-3226S - это стекируемый управляемый коммутатор второго уровня, оснащенный 24-мя портами 10/100 Мбит/с, свободным слотом для установки модуля для стекирования и 1 портом Gbic. В частности, этот порт позволяет подключать по многомодо-вому или одномодовому волокну серверы, маршрутизаторы, коммутаторы или магистраль сети. При этом обеспечивается скорость 2000 Мбит/с в режиме полного дуплекса.
Коммутатор способен гарантировать довольно гибкое расширение при объединении в единый стек до шести устройств. Следует отметить, что объединение в стек реализуется только по высокоскоростной магистрали через модуль стекирования. Функции транкинга портов, построения VLAN и при-оритезации трафика позволяют эффективно развертывать производительную сеть либо интегрировать ее в сеть предприятия.
Коммутатор поддерживает функцию Asymetric VLAN, которая дает возможность включать порты Untagged в несколько VLAN.
Для минимизации потерь кадров Ethernet в канале передачи данных поддерживается управление потоком IEEE 802.3х, что обеспечивает надежную работу подключенных серверов и рабочих станций.
Ограничение доступа и безопасность сети контролируются функцией 802.1х, и таким образом предотвращаются попытки получения пользователем доступа к сети.
Усовершенствованная функция Port security позволяет ограничить число МАС-адресов, изучаемых портом для контроля количества станций, которые подключаются к каждому порту.
Коммутатор поддерживает функцию транкинга портов (IEEE 802.3ad) для создания скоростных каналов передачи данных при подключении серверов или других коммутаторов, до восьми групп транков, каждый из которых может включать до восьми портов Fast Ethernet (скорость - до 800 Мбит/с) или до шести портов Gigabit Ethernet (скорость - до 6 Гбит/с). Характерной особенностью этой модели в контексте поддержки функции IEEE 802.3ad является возможность объединения портов в транк не только с коммутаторами D-Link, но и с коммутаторами других производителей, поддерживающих протокол 802.3ad.
Среди основных функций следует отметить поддержку приоритезации потока данных в соответствии со стандартом IEEE 802.1p и многоадресные рассылки IGMP, что позволяет настраивать параметры пропускной способности портов и обеспечивает гарантированную полосу пропускания для многоадресной передачи объемных приложений, пакетной передачи голоса (VoIP) и видео. В этом процессе не последнюю роль играет протокол GMRP, отвечающий за динамическую настройку портов коммутатора для пересылки группового трафика только на те порты, с которыми связаны рабочие станции, поддерживающие многоадресные рассылки.
В случае перегрузки сети (большой "широковещательный шторм") можно использовать функцию контроля трафика, которая обеспечиваетфильтра-цию и мониторинг широковещательных пакетов по каждому порту.