Network World, США
Новый коммутатор Cisco Catalyst рассматривается как эффективное решение для центров обработки данных
В ходе тестирования, проведенного по заказу Network World, коммутатор Cisco Catalyst 4948-10GE продемонстрировал рекордно низкие показатели задержек и высокую пропускную способность (соответствующую номинальной скорости работы его портов). Сочетание этих достоинств с инновационными средствами обеспечения информационной безопасности и расширенным набором функций коммутации/маршрутизации позволили присвоить новому продукту Cisco награду нашей редакции Clear Choice («Безусловный выбор»).
Основные отличия
При цене 30 тыс. долл. Catalyst 4948-10GE слишком дорог для установки на каждом коммутационном узле, но прекрасно подходит для использования в центрах обработки данных. Там он обеспечит агрегацию трафика от множества серверов и его дальнейшую передачу по основной сетевой магистрали 10-Gigabit Ethernet (10GE).
Catalyst 4948-10GE оснащен 48 медными портами Gigabit Ethernet (GE) и двумя портами 10GE, что очень напоминает конфигурацию схожих продуктов компаний Extreme Networks, Force10 Networks и Foundry Networks. Однако у новой модели Cisco есть ряд существенных отличий. Так, Catalyst 4948-10GE имеет стоечный форм-фактор 1U (1,75 дюйма), а Foundry FESX448 — 1,5U. Продукт Cisco оснащен резервным источником электропитания, тогда как для резервирования энергоснабжения коммутатора S400-48t компании Extreme необходим внешний ИБП (правда, таковой может использоваться несколькими коммутаторами одновременно). Зато производительность Catalyst 4948-10GE не может быть увеличена, в отличие от скорости работы коммутатора S50 от Force10. Да и стоимость решения Cisco — выше, чем у аналогично укомплектованных конкурирующих продуктов.
Наверное, самым значительным отличием коммутатора Cisco является использование в нем передатчиков X2 для интерфейсов 10GE. Они схожи по размерам с передатчиками GE: чуть больше, чем передатчики 10GE Transceiver Package (XENPAK), и чуть меньше, чем передатчики 10 Gigabit Small Form Factor Pluggable (XFP), применяемые в последних моделях 10G-коммутаторов Force10, Foundry и Nortel. Отметим, что при одновременном использовании разных типов передатчиков возникает необходимость в их резервном запасе — при том, что стоимость одного порта достигает нескольких тысяч долларов.
Передатчики X2 функционально идентичны XENPAK, а XFP позволяют снизить нагрузку на микросхемы коммутатора при преобразовании сигналов (Serdes). Cisco утверждает, что благодаря применению портов X2 повышается надежность ее оборудования, так как при выходе из строя функции Serdes требуется заменить только передатчик, а не весь коммутатор. Однако мы не гарантируем достоверности этих заявлений: в ходе испытаний Catalyst 4948-10GE была доказана лишь корректная работа передатчиков X2 с передатчиками XENPAK и XFP при использовании однорежимного оптоволоконного кабеля.
Пиковая производительность
В ходе испытаний различные конфигурации Catalyst 4948-10GE подвергались стресс-тестам, и коммутатор с блеском их выдержал. Были опробованы настройки с коммутацией Layer 2 и Layer 3, с маршрутизацией VLAN и протоколом Open Shortest Path First (OSPF) — одновременно со всеми основными функциями агрегирующего коммутатора. Также оценивались буферизация и возможности накопления адресов локальной сети. Коммутатор нагружался трафиком, соответствующим полноценному сетевому обмену между всеми 48 портами GE, а также между двумя портами 10GE. В реально работающих сетях такие нагрузки практически исключены, но эксперименты позволили выявить предельную производительность системы.
Тестирование коммутации L2/L3 было простым — только с одним аппаратным (MAC) и/или одним IP-адресом для каждого порта. Для тестирования виртуальных локальных сетей на каждом порту GE были заданы по 28 VLAN (их общее количество составило 1344). При тестировании OSPF использовался генератор и анализатор трафика Spirent SmartBits для имитации 10 тыс. сетей с 250 узлами в каждой. Другими словами, в последнем тесте было задействовано 2,5 млн связей, что является хорошим способом узнать, как рост количества отдельных связей влияет на производительность устройства. Во всех тестах Catalyst 4948-10GE обеспечил скорость передачи, соответствующую номинальной пропускной способности, — до 101,19 млн пакетов в секунду.
Кроме того, замерялась латентность сети — время, необходимое коммутатору для передачи отдельного пакета между портами. Среднее время задержки составило примерно 4 мкс (для большинства размеров сетевых кадров), и это — минимальный результат среди протестированных нами коммутаторов. Продолжительность всех задержек, зафиксированных в ходе испытаний Catalyst 4948-10GE, практически на порядок меньше того значения, которое может сказаться на работе приложений, чувствительных к пропускной способности сети. Латентность и отклонения показателей были удивительно низкими и постоянными для интерфейсов GE.
Наконец, определялись возможности буферизации и время задержки трафика при перегрузках. При тестировании режимов «два к одному» и «десять к одному» максимальная задержка составила примерно 1,4 мс для кадров длиной 64 байта, 26 мс для кадров длиной 1518 байт и 128 мс для кадров длиной 9 Кбайт. Маловероятно, что при возникновении в работающих сетях подобных (наихудших) сценариев производительность приложений пострадает.
Представители Cisco утверждали, что Catalyst 4948-10GE может отслеживать 55 тыс. MAC-адресов без переполнения внутренних таблиц. Мы проверили это заявление, успешно загрузив 54 999 адресов, которые вместе с внутренним адресом коммутатора и дали это количество.
Обеспечение информационной безопасности
Catalyst 4948-10GE имеет полный арсенал средств защиты информации. Как и многие другие коммутаторы, он поддерживает аутентификацию пользователей по стандарту 802.1X, средства Secure Shell v2 для удаленного подключения и списки управления доступом. В коммутатор интегрированы и другие механизмы обеспечения безопасности.
Функция защиты портов позволяет устройству запоминать MAC-адреса подключенных узлов, сохраняя их даже после перезагрузки. Данный механизм предотвращает угрозу подмены адресов. Функция отслеживания DHCP позволяет выявлять запросы от посторонних DHCP-серверов и отвергать их. Это защищает как от появления в сети некорректно настроенных узлов, так и от несанкционированного перенаправления трафика. Средства отслеживания DHCP могут также ограничивать объем трафика, направляемого на разрешенные DHCP-серверы, что защищает сеть от атак типа «отказ в обслуживании».
Функция защиты IP-адреса источника основана на отслеживании DHCP. Она позволяет избежать применения злоумышленником IP-адреса легитимного пользователя для подмены перехваченного трафика. С этой целью устройство генерирует таблицу, в которой определенные IP-адреса связываются с заданными портами коммутатора. Если атакующая сторона попытается передать сетевые пакеты с IP-адресом источника, уже привязанным к другому порту, то коммутатор не станет обрабатывать такой трафик. Обе функции — отслеживания DHCP и защиты IP-адреса источника — работают с транковыми соединениями стандарта 802.1Q, транками агрегации каналов связи (так называемыми EtherChannels), частными виртуальными локальными сетями и с отдельными портами.
Встроенная в Catalyst 4948-10GE функция динамической проверки ARP (DAI — Dynamic ARP Inspection) не позволит злоумышленнику заполнить кэш протокола определения адресов (ARP — Address Resolution Protocol). Многие другие коммутаторы плохо защищены от подобных уловок хакеров. При рассылке соответствующих сообщений ARP многим коммутаторам и маршрутизаторам атакующий может перенаправить трафик, предназначенный для узла с определенным легитимным IP-адресом, например с целью перехвата пароля. DAI противодействует таким атакам, поддерживая таблицу соответствия IP-MAC и отвергая передачу трафика для тех MAC-адресов, которые отсутствуют в таблице связей.
Плюсы и минусы
Список претензий к Catalyst 4948-10GE оказался небольшим. Прежде всего, смущает относительно высокая цена нового коммутатора. К минусам также относятся невозможность расширения, потенциальная необходимость иметь в запасе несколько типов передатчиков 10G, а также отсутствие поддержки IPv6 (последнее свойство, впрочем, для многих сетевых администраторов не является критически важным). Во всех остальных отношениях продукт получился просто замечательным. В сетях уровня центров обработки данных он обеспечит передачу данных буквально со скоростью работы каналов связи и при минимальных задержках. А инновации Cisco в области информационной защиты, как всегда, актуальны. n
Дэвид Ньюман (dnewman@networktest.com) — президент независимой консультативной компании Network Test.
Как проводилось тестирование
Возможности Catalyst 4948-10GE оценивались с точек зрения производительности, информационной безопасности и полноты функций. Для тестирования пропускной способности и задержек генератор/анализатор Spirent SmartBits был настроен на создание трафика на всех 48 портах коммутатора GE по шаблону полносвязной сети. Одновременно загружались трафиком оба порта коммутатора 10GE по шаблону пары работающих портов. Замеры повторялись для девяти размеров кадров Ethernet — 64, 128, 256, 512, 1024, 1280, 1518, 9000 и 9216 байт. Во всех случаях приложение TRT Interactive 5.0 из пакета Spirent настраивалось на генерацию трафика в течение 60 с, а затем определялись пропускная способность и средние задержки.
Тесты выполнялись в конфигурациях L2 (функция сетевого моста) и L3 (коммутация IP). Затем на коммутаторе настроили 1344 VLAN-сети (28 сетей на один порт GE) и перезапустили тот же самый шаблон сетевой активности. Проводилось тестирование и с включенным протоколом OSPF. При тестировании OSPF предусматривалось наличие одной смежной области на каждом интерфейсе GE, причем коммутатор оповещался о наличии 10 тыс. сетей, и ему предоставлялись пути к 250 узлам в каждой из них (общее количество маршрутов — 2,5 млн).
Для оценки возможностей буферизации на двух GE-портах коммутатора создавались два потока трафика со скоростью работы канала, и оба направлялись на один и тот же порт. Так замерялась задержка на порте выхода. Затем аналогичный тест был проведен с перегрузкой «десять к одному». При определении емкости таблицы MAC-адресов использовалось приложение SmartWindow из пакета Spirent для передачи разного числа адресов в процессе запоминания и тестирования, как описано в стандарте RFC 2889.