PC Press
O nama
O nama
Pretplata
O nama
Postanite saradnik PC-ja
Kontakt sa redakcijom
PC Press
Novi broj
Novi broj   
Pretrazivanje
Arhiva
Arhiva   
PC Online
PC Plus   
Specijalna izdanja
Hardver Hardver
PC #65 : Mart 2001

 Naslovna  Sadržaj 
Berislav Todorović  

Predstavljamo... Foundry

Za svega nekoliko meseci firma Foundry Networks je uspela da na tržište izbaci veoma kvalitetne switch-eve, ali i niz drugih mrežnih komponenti.

Glavnu reč na tržištu Ethernet switch-eva vode 3Com, Cisco, Bay/Nortel i nekoliko manjih firmi kao što su NBase, Alteon i D-Link. Dizajneri velikih lokalnih i campus računarskih mreža uglavnom su se odlučivali za neke od proizvoda pomenute velike trojke, pre svega zbog kvalitetne tehničke podrške, intuitivnog korisničkog interfejsa i/ili performansi. Slika se nedavno promenila: firma uglavnom nepoznata široj javnosti uspela je da se svojim proizvodima probije čak i na mesta kao što su AMS-IX (Amsterdam Internet Exchange) i LINX (London Internet Exchange) gde su Catalyst switch-evi donedavno bili neprikosnoveni.

„Novi igrač“ se zove Foundry Networks (www.foundrynet.com ). Naročitu popularnost Foundry switch-evi stiču u mrežama Internet provajdera, gde dobijaju raznovrsne primene, počev od izgradnje malih lokalnih mreža, serverskih „farmi“, centara za upravljanje mrežom, pa do velikih server hosting centara. Posebno ih vole inženjeri koji su godinama imali posla sa Cisco ruterima, pošto se Foundry switch-evi konfigurišu iz komandne linije, pri čemu je komandni jezik 90% kompatibilan sa Cisco IOS-om.

Ako se tu još dodaju izvrsne performanse i puna podrška Layer 2 i Layer 3 switching funkcija, gotovo svih danas poznatih protokola rutiranja i mogućnost konfigurisanja uzajamne redundanse (hot standby), jasni su razlozi za kupovinu ovih uređaja. I to nije sve! Čak i jednostavniji Foundry switch-evi imaju mogućnost manipulacije Layer 4 (TCP, UDP) paketima, dok su složeniji proizvodi ove firme (npr. Net Iron, Web Iron) u stanju da procesiraju čak i pakete aplikativnog sloja. Najzad, cena ovih uređaja je nešto niža od cene opreme slične namene iz asortimana konkurenata.

Lična karta

Proizvodi koje nudi Foundry Networks mogu se grubo podeliti u tri kategorije: desktop LAN switch-evi, fiksni (stackable) i modularni Ethernet siwtch-evi i Layer 7 uređaji raznih namena (application gateways, load balancers itd.). Odnedavno Foundry u ponudi ima i rutere koji, barem na papiru, obećavaju zanimljive performanse: switching kapacitet 115-480 Gbps, propusna moć do 170 miliona paketa u sekundi, interfejse koji pokrivaju raspon protoka od 155 Mbps do 10 Gbps (Foundry nudi OC-192/STM-64 i 10G Ethernet). Pitanje je, naravno, koliko su ove performanse realne, znajući da među velikim Internet kompanijama Foundry ruteri nisu previše popularni – Cisco i Juniper su, barem za sada, bez prave konkurencije u domenu high-end rutera. Foundry switch-evi su sasvim druga priča – konkurentni su sa ostalim proizvođačima, kako u pogledu kvaliteta, tako i u pogledu cene.

Prvu grupu uređaja čine desktop L2/L3 switch-evi fiksne konfiguracije (stackable), a tu spadaju FastIron Workgroup switch i TurboIron backbone switch. FastIron Workgroup switch korisnicima nudi 24 porta 10/100baseTX i dva Gigabit Ethernet porta (1000baseFX/SX). Memoriše do 16,000 MAC adresa, switching kapacitet mu je 4.2 Gbps i poseduje brojne opcije za kontrolu kvaliteta servisa (QoS). Svi Foundry switch-evi imaju mehanizme kontrole kvaliteta servisa, implementirane u skladu sa preporukom IEEE 802.1p.

Sve pakete koji pristižu switch-evi mogu da razvrstaju u četiri različita reda čekanja, pri čemu svaki od redova ima određeni prioritet obrade. Paketi se mogu klasifikovati ne samo u zavisnosti od izvorišnog i odredišnog porta, već i po MAC adresi, VLAN-u, protokolu mrežnog sloja (npr. moguće je uvesti različite prioritete za IP i IPX pakete)... Posebno zanimljiva opcija je razvrstavanje paketa u zavisnosti od servisa koji se koristi. Foundry switch-evi u stanju su da očitaju i parametre kao što su izvorišni i odredišni TCP/UDP port paketa, a samim tim i da razvrstaju paket u odgovarajući red čekanja.

U pogledu definisanja VLAN-ova, svi Foundry switch-evi (kako uređaji fiksne konfiguracije, tako i modularni) podržavaju mogućnost definisanja VLAN-ova u zavisnosti od porta ili MAC adrese, a unutar tako definisanih VLAN-ove moguće je kreirati virtuelne podmreže u zavisnosti od protokola mrežnog sloja, pa i IP adresa. VLAN trunking je u potpunosti podržan (802.1q standard), mada su u kombinaciji sa Cisco ruterima primećeni izvesni problemi – ruter, recimo, ne vidi VLAN tagove ispravno, mada oba proizvođača tvrde da su koristili „standardne“ opcije.

Za povezivanje servera koji imaju gigabitne Ethernet kartice, kao i koncentraciju linkova ka workgroup switch-evima vredi razmotriti TurboIron switch. TurboIron se izrađuje u varijanti sa 4, 6 ili 8 gigabitnih Ethernet portova, interni kapacitet mu je 32 Gbps a ukupno kašnjenje paketa ne prelazi pet mikrosekundi. Osim toga, TurboIron podržava i LH gigabitne Ethernet portove, namenjene povezivanju switch-eva u MAN mreže (maksimalni domet 70 km).

Već smo rekli da su FastIron Workgroup i TurboIron Layer3 switch-evi u stanju da rutiraju, filtriraju i procesiraju IP, IPX i AppleTalk pakete, a podržavaju i gotovo sve protokole rutiranja, dakle OSPF, RIPv1, RIPv2... TurboIron podržava i BGP4, dok je IS-IS za sada podržan samo u eksperimentalnim verzijama softvera. Bez obzira na sve te lepe i primamljive opcije, treba imati u vidu činjenicu da switch-evi nisu (i nikada neće biti) ruteri! Dovoljno je, na primer, pomenuti da je pri konfiguraciji (ili uklanjanju) OSPF ili BGP protokola na switch-u neophodan reboot uređaja, inače se dobijaju nepredviđeni efekti što, naravno, nije pomenuto u dokumentaciji. Srećom, restart switch-a traje svega 10-20 sekundi.

Modularni uređaji

Za korisnike koji traže ogroman broj portova i mogućnost jednostavnog proširenja uz što manje troškove, stackable switch-evi svakako ne predstavljaju pravo rešenje. Takvim korisnicima Foundry nudi svoje modularne uređaje: FastIron II i BigIron.

FastIron II podržava do osam gigabitnih i 72 10/100baseTX Ethernet portova, dok FastIron II Plus podržava do osam gigabitnih i 168 10/100baseTX portova ili 16 GE i 144 FE porta. Oba uređaja su modularna: FastIron II šasija na sebi ima četiri a FastIron II Plus osam slotova za module. Prvi slot je rezervisan za upravljački (management) modul. Na upravljačkom modulu integrisano je četiri, šest ili osam GE portova (optičkih ili Gigabit Copper) ili 16 FastEthernet (10/100) portova. Ostali slotovi mogu se slobodno popunjavati modulima, pri čemu FastIron II podržava samo 10/100 portove.

Switching kapacitet FastIron II serije je 128 Gbps (256 Gbps u slučaju Fast Iron II Plus), uz propusnu moć od 48 miliona paketa u sekundi (96 miliona u slučaju FastIron II Plus). Podržani su svi češće korišćeni protokoli rutiranja osim IS-IS-a. Nažalost, FastIron ne podržava BGP4.

BigIron serija switch-eva predstavlja okosnicu velikih mreža: switching kapacitet 480 Gbps, 178 miliona paketa u sekundi, podržano rutiranje IP i IPX paketa i svi standardni protokoli rutiranja, uključujući i BGP. BigIron se isporučuje u tri varijante: BI4000 (četiri slota), BI8000 (osam slotova), BI15000 (15 slotova tj. do 336 10/100 portova). Osim standardnih 10/100 i FE portova, BigIron nudi i WAN portove: 4×OC3/STM-1, 2×OC12/STM-4 i 2×OC48/STM-16! Foundry BigIron za nevolju može zameniti Cisco GSR ili Juniper M40 ruter, ali to ne znači da switch zaista postaje ruter.

Layer 7!

Web sajtovi koje posećuju stotine hiljada ljudi dnevno odavno se ne implementiraju na jednom serveru. HTML dokumenti, slike, CGI skriptovi i sve ostalo što čini sadržinu sajta smešta se na više servera, a saobraćaj se usmerava približno podjednako ka pojedinim računarima. Kada je Netscape prvi put primenio ovu koncepciju, bilo im je dovoljno da koriste DNS round robin mehanizam: postavili su nekoliko A/CNAME zapisa za www.netscape.com, a DNS je automatski rotirao odgovore koje je slao udaljenim resolver-ima.

Intenzivno posećivanim sajtovima ovakvi jednostavni mehanizmi nisu dovoljni, pa se primenjuju „inteligentnije“ tehnike balansiranja saobraćaja. Neki od uređaja koji rešavaju probleme višestrukih servera nose imena Cisco Distributed Director i F5 BigIP. Foundry je otišao korak dalje, a sličnu ideju je primenio i Alteon: zašto koristiti poseban load balancer umesto da se ugradi logika balansiranja saobraćaja u sam switch? Tako je nastao layer 7 switch – ServerIron.

ServerIron serija uređaja se na prvi pogled ne razlikuje od standardnih Ethernet switch-eva: 2-8 GE i 24-168 10/100 portova, uz switching kapacitet 4.2 – 256 Gbps. ServerIron pruža i nešto više, moguće ga je konfigurisati da saobraćaj za određeni servis (npr. Web), koji pristiže po određenom portu ravnopravno raspoređuje ka ostalim portovima na kojima su povezani pojedinačni serveri. Osim toga, ServerIron konstantno prati rad određenih servera, očitava njihovo relativno opterećenje i prosleđuje upite najmanje opterećenom serveru.

Serveri mogu, ali ne moraju biti lokalno povezani na ServerIron-om – XL/G je odlična zamena za Cisco Distributed Director, jer vrši istu funkciju (balansiranje saobraćaja ka više servera, raspoređenih bilo gde na Internetu), a osim toga pruža mogućnost korišćenja do osam GE portova, odnosno radi i kao standardni switch.

Koliko su sigurni?

Svet u kome živimo nije savršen – iz dana u dan javljaju se novi, sve inteligentniji recepti za gušenje servera, rutera i komunikacionih puteva, poznatiji pod zajedničkim nazivom denial-of-service. Lavina je počela pošto su smurf i fraggle objavljeni javno na www.rootshell.com i još nekoliko sličnih mesta. Efekat je bio očekivan: većina operatora iskusila je porast saobraćaja i do 40% na glavnim backbone pravcima, a uzročnici su bili smurf i fraggle. Cisco je odmah priskočio u pomoć sa svojim rate-limit rešenjem, koje omogućava selektivno limitiranje saobraćaja, ali to ne sprečava hakere da prave novije programe za izazivanje DoS napada.

Foundry switch-evi omogućavaju limitiranje ICMP saobraćaja, kao zaštitu od ping flood i smurf napada. Nažalost, fraggle koristi UDP, a softver Foundry switch-eva ne podržava nikakvo limitiranje te vrste saobraćaja. Nadajmo se da će u nekoj budućoj verziji softvera biti stavljeno na raspolaganje limitiranje UDP-a. Foundry omogućava i zaštitu od druge česte vrste napada u savremenim mrežama – TCP SYN napada, jednostavnim limitiranjem broja TCP SYN paketa koje switch sme da prihvati po određenom interfejsu.

Naravno, sve standardne mere zaštite koje se primenjuju na ruterima treba primeniti i na Foundry switch-evima: zatvoriti telnet port za javni pristup i otvoriti ga za pristup sa unapred definisanih adresa (oprezno sa ssh-om – pristup ssh portu nije adekvatno zaštićen!). Web port treba da bude otvoren, jer switch podržava konfigurisanje putem Web interfejsa – ako se Web interfejs ne koristi, port treba eksplicitno isključiti.

Zaključak

Foundry switch-evi pružaju i više nego što je potrebno domaćem tržištu u ovom trenutku i ne treba biti skeptičan. S jedne strane, konkurentna cena i kvalitet mogu biti dovoljno dobar razlog za probu Foundry Workgroup switch-eva. Nadajmo se da nije daleko dan kada će u Srbiji da nikne prvi cyber / collocation centar ili Internet exchange. Tek tada će Foundry dobiti pravu ulogu...