Változó követelmények
Mára közhellyé kopott a piaci elemzők két-három éve még meglepetésszámba menő megállapítása, miszerint a vállalatvezetők az informatikai biztonsági kockázatokat nemcsak hogy felismerték, de az üzletmenet szempontjából kiemelten fontos szempontként kezdték kezelni. A biztonsági problémák részint a miattuk bekövetkező leállásoktól és bevételkieséstől való félelem miatt, részint adatvédelmi aggályok miatt biztosan ott vannak a legtöbb menedzser negatív toplistáján. Gyakran az üzletet hagyományosan közvetlenül befolyásoló tényezőkhöz hasonló súllyal esnek latba, mint amilyen a termelési költség vagy a bevételek alakulása. Másként megfogalmazva: egy vállalat célkitűzései között éppolyan fontossá vált az informatikai infrastruktúra biztonságos és hibamentes működtetése, a személyes és üzleti adatokhoz való hozzáférés megfelelő szabályozása, mint például a nyereséges gazdálkodás.
Az infobiztonságot veszélyeztető tényezők közül kettőt érdemes kiragadni, melyek általános trendként jelentkeznek. Az első, hogy az internet és az üzleti folyamatok integrált kezelésére szolgáló rendszerek révén – leegyszerűsítve – megszűntek a fizikai határok egy vállalatnak a munkatársak, a partnerek és a nagyközönség számára a hálózaton keresztül biztosított szolgáltatásai között. A biztonsági házirendeket ebből kifolyólag az alkalmazott szoftverekben és azokon a hálózati eszközökön kell érvényre juttatni, melyeken mindhárom csoport adatai keresztülfolynak. A második trend a mobil munkatársak létszámának gyarapodása, különös tekintettel a vezeték nélküli hálózatokra kapcsolódókra. Míg sok esetben a kábel mint fizikai médium önmagában jelentősen csökkenti a rosszindulatú manipuláció veszélyét, addig a falakon túl terjedő rádióhullámok sokkal szigorúbb intézkedéseket követelnek.
Elhagyva a biztonság körét még egy meghatározó trendről kell szót ejtenünk, mely ma már korántsem csak a nagyvállalatok kiváltsága, sőt, költségcsökkentő szerepe sokszor húsbavágó a kis- és középvállalkozások számára is – ez az internetes telefónia. A VoIP-hívások és videokonferenciák médiafolyamai gyakran megkövetelik a rendelkezésre álló sávszélesség növelését, mégpedig nem csupán az internetszolgáltató, illetve a WAN-kapcsolatok irányába, hanem a helyi hálózat hozzáférési rétegében is, vagyis ott, ahol a felhasználók végberendezései csatlakoznak a hálóra.
A megfelelő sávszélesség önmagában még mindig kevés az üdvösséghez, hiszen hiába mennek át például a VoIP-csomagok nagy sebességgel egyik helyről a másikra, ha késve vagy nem egyenletes ütemben érkeznek meg – a késleltetéssel, az úgynevezett késleltetésingadozással (jitter) és a tolerálható csomagvesztéssel szemben maga az ember hangfeldolgozó képessége támaszt relatíve szigorú követelményeket. A gyakorlatban ezt a szolgáltatásminőséget (Quality of Service, QoS, illetve alacsonyabb szinten Class of Service, CoS) érintő szabályok kialakításával lehet kezelni, vagyis amikor tudatjuk a hálózati eszközökkel, hogy milyen típusú forgalmat részesítsenek előnyben más adatokkal szemben.
Nyilvánvaló, hogy minél közelebb kezdjük el érvényesíteni ezeket a szabályokat a forráshoz, annál jobb minőségű kommunikációt tudunk biztosítani. Különösen igaz nagy állomásszámú, nagy belső forgalmat lebonyolító LAN-okra, hogy mire eljut a VoIP-csomag a priorizálást biztosító eszközig (routerig vagy core switchig), összeszedhet annyi késleltetést, hogy hiába kerülne az expressz sávba útja hátralévő részére, a célállomás már kénytelen lenne eldobni. Az eredmény rossz minőségű hangcsatorna, ráadásként pedig a sávszélesség felesleges pazarlása – lenne, de szerencsére egyre több megoldás van a problémára.
A forgalom prioritásának megjelölésére nem minden végkészülék alkalmas; meg lehet bízni például bizonyos IP-telefonokban, de számítógépes szoftverekre (például PC-n futó szoftkliensekre) nem szívesen hagyatkoznánk az esetleges trükközésektől tartva. Emiatt elengedhetetlen némi plusz „intelligencia” kihelyezése a hozzáférést biztosító eszközökbe, tipikusan Layer 2–4-es, netán döntésükhöz magasabb rétegbeli információkat is felhasználó switchek alakjában; ez a folyamat jól szemmel követhető az iparágban.
A ProCurve megközelítése
A HP ProCurve stratégiáját, az Adaptive EDGE modellt egy korábbi cikkünkben már bemutattuk, most csak néhány fontos jellemző ismétlésére szorítkozunk. Az architektúra két fő elvre alapoz. Az első a peremig (innen az EDGE név), vagyis a hozzáférési rétegig terjeszti ki az ellenőrzést. Ez azt jelenti, hogy a hálózati hozzáférésről, illetve ennek feltételeiről (jogosultságok, csoportbesorolás, sávszélesség stb.) már a peremeszköznek, legtöbbször egy switchnek döntenie kell, persze olyan hagyományos eszközök felhasználásával, mint egy autentikációs szerver. A második fő elv a központi irányíthatóságra vonatkozik, mely nem pusztán a hálózati eszközök egységes megfigyelését és menedzselését foglalja magában. A (biztonsági) házirend lebontható switchekre, switchportokra, és lebontható személyekre is. A személyazonosság-alapú (identity driven) menedzsment előnye, hogy egy felhasználó bárhol és bármilyen médiumon csatlakozik is a hálózatra, bármelyik peremeszköz csak saját (egy központi adatbázisból beszerzett) jogosultságai szerint engedi őt forgalmazni. Ez egyúttal lehetőséget teremt olyan kivételek kezelésére is, mint a vendégek, vezeték nélküli hálózatok között módot ad a roamingra, és segít az illetéktelen behatolás elhárításában is.
[+]
Az intelligens peremeszközök miatt azt lehetne gondolni, hogy a ProCurve megoldása drágább a korábban megszokott hálózatoknál. Hogy a gyakorlatban ez nem így van, annak több okát lehet találni. Nagyobb telephelyek kiterjesztett csillag topológiájú hálózataiban ma már egyébként is egyre közelebb kerülnek a felhasználókhoz a menedzselt, gyakran több rétegben működő kapcsolók, a CoS/QoS-képesség is egyre általánosabb követelmény. Ezekhez plusz hozzáférés-vezérlési és más funkciókat adni nem jár akkora többletköltséggel, mint amennyit a hálózat egésze profitál belőle. Ez a nyereség adódik a biztonságból, a magasabb színvonalú szolgáltatásból, a terhelés szabályozásából és abból, hogy a core switch vagy router behelyettesíthető egy egyszerűbb szolgáltatásokat, de igen nagy sebességen megvalósító szerkezettel (a HP terminológiájában interconnect fabric switch), ami összességében költségmegtakarítást eredményezhet.
További megtakarítási tényező ragadható tetten migráció esetén. A HP szerencsére – akárcsak szervereinél – itt is a nyílt szabványokat favorizálja, vagyis egy meglévő vagy fokozatos átalakulásban levő hálózatba gond nélkül beilleszthetők a ProCurve eszközök. Az ár mérséklésének egy külsőleg láthatatlan eleme is van, ugyanis a ProCurve Labs maga fejleszti alkalmazásspecifikus integrált áramköreit (ASIC), melyek komplex feladatokat látnak el, így kevesebbe kerülnek, mintha több chip kerülne a készülékekbe. Ráadásul a ProCurve eszközöknek megvan az az előnyük, hogy programozhatóak, így a firmware (ingyenes!) frissítésével olyan új funkciók birtokába juthatnak a felhasználók, melyekért sok esetben új modelleket vagy kiegészítőket kellett volna vásárolniuk. Példaként említhető a tavaly megjelent Virus Throttling szolgáltatás, mely az abnormális hálózati forgalmat figyelve a vírustámadás áldozatául esett kliens izolálásában, s így a hálózat működőképességének fenntartásában segédkezik.
Cikkünk apropóját a februárban bejelentett új termékek jelentik. Az újdonságok egy része a fent jellemzett peremeszközök közé tartozik, ilyen az Intelligent EDGE switchek 5400zl és 3500yl sorozata. A 4200vl széria a hozzáférési rétegben használatos menedzselt switchek képviselője, a 6200yl kapcsoló a hálózat belsőbb területeire kerülő aggregátorok közé sorolandó, végül pedig érkezik egy új modul az interconnect fabric switchek családjába tartozó berendezésekhez is. (A ProCurve termékpalettát rendszerező, a besorolás terminológiáját is tisztázó poszter itt érhető el, de letölthető egy teljes, műszaki leírásokat tartalmazó katalógus is.)
A gyártó elkészítette a már emlegetett ASIC-ek újabb, immár negyedik generációját. Az új ProVision chipset a hálózati hozzáférési szabályokat kábelsebességen képes érvényesíteni, a Policy Enforcement Engine hardvertámogatással elemzi az áthaladó forgalmat. Az ASIC támadások esetén is képes fenntartani a hálózat működőképességét, ugyanis úgy tervezték meg, hogy abnormális (egy hiba vagy például DoS-támadás által okozott) terhelés esetén is tovább tudjon dolgozni. A hálózati processzor programozhatósága természetesen ezúttal is fenntartja a lehetőséget későbbi, hardveralapú funkciók implemetálására a firmware frissítése révén.
Az 5400zl és 3500yl széria a közös ASIC-nek köszönhetően sok tekintetben hasonlít, ám míg az előbbi moduláris rendszerű, 6 vagy 12 bővítőhelyet kínáló modelleket, addig utóbbi 1U magas, stackelhető, 24 vagy 48 portos switcheket foglal magában. Intelligens EDGE kapcsolókról van szó, melyek a negyedik rétegig terjedő szolgáltatásokat biztosítanak, támogatják a Gigabit Ethernet, sőt a 10 Gigabit Ethernet sebességű kapcsolatokat, fogadnak mini-GBIC interfészadaptereket, és a Power over Ethernet (PoE) révén módot adnak tápellátást igénylő eszközök csatlakoztatására is.
Az 5400zl switchek moduljai, mini-GBIC-ei és – redundáns kiépítésnél – egyik tápegysége működés közben is eltávolítható vagy cserélhető. Mindkét sorozat több trönk létrehozását támogatja, és egy trönkben több portot lehet egyesíteni, az 5400-asoknál a modulhatárokra való tekintet nélkül. Több aktív redundáns link esetén a switchek képesek Layer 2 terhelésmegosztásra (switch meshing). A harmadik rétegben mód van statikus útvonalak konfigurálására; az irányító protokollok közül a RIPv1-et és RIPv2-t ismerik, az opcionális Premium EDGE licenc megvásárlásával ezenkívül az OSPFv2-re is megtaníthatók. Ugyanezen licenc beszerzése ad lehetőséget a Virtual Router Redundancy Protocol (VRRP) használatára, melynek segítségével a routerek dinamikusan helyettesíthetnek kiesett készülékeket.
A biztonsági funkciók közé tartozik az ASIC már említett önvédelmi rendszere mellett a Virus Throttling és az ICMP Throttling; az első vírustevékenységre utaló adatforgalom esetén korlátozza egy állomás hozzáférését, a második pedig például DoS-támadásokra jellemző ICMP csomagözön esetén automatikusan letiltja a protokollt az érintett portokon. Autentikációhoz igénybe vehető a standard 802.1x eljárás RADIUS szerverek közreműködésével, de böngészőből elérhető webes felületen keresztül is elvégezhető az azonosítás. Felhasználói felülettel nem vagy alig rendelkező eszközöknél (például beágyazott rendszereknél) MAC cím szerinti azonosítás is célszerű megoldás lehet. Portonként több felhasználó azonosítása is lehetséges, és amint korábban kitértünk rá, a hozzáférésvezérlési listák (ACL-ek) nemcsak Layer 3–4 adatokra épülhetnek, hanem személyazonosság szerinti szabályok is érvényesíthetők.
A QoS-szolgáltatások nyolc prioritásfokozat meghatározását teszik lehetővé TCP/UDP portszámok alapján. Bejövő irányban sávszélesség-maximumok, kimenő irányban garantált minimumok definiálhatók. A CoS 802.1p szabvány szerint címkéz IP cím, IP ToS, L3 protokoll, TCP/UDP portszám, forrásport és DiffServ alapján.
Funkcionalitásában, szolgáltatásaiban igen hasonló a 6200yl széria most megjelent első tagja, a 6200yl-24G-mGIC. Ezt az 1U magas, stackelhető kapcsolót nagyobb hálózatok elosztási rétegébe szánják, így 24 mini-GBIC slot jelenti az alapfelszereltséget, de tovább bővíthető egy darab, legfeljebb négy 10 Gigabit Ethernet porttal ellátott modullal. A switch alapára a fentiektől eltérően már a VRRP és az OSPFv2 protokollok támogatásást is magában foglalja.
ProCurve 5406zl-48G és 5412zl-96G
| Típus | 5406zl Intelligent EDGE |
5406zl-48G Intelligent EDGE |
5412zl Intelligent EDGE |
5412zl-96G Intelligent EDGE |
| Piacra kerülés | április | április | nyár | nyár |
| Nettó listaár | 1699 EUR | 5169 EUR | 3329 EUR | 10299 EUR |
| Tartozékok | - | - 2 db 24 portos ProCurve 5400zl 10/100/1000 Mbps PoE-switchmodul; - 1 db 875 wattos ProCurve Switch zl tápegység |
- | - 4 db 24 portos ProCurve 5400zl 10/100/1000 Mbps PoE-switchmodul; - 2 db 875 wattos ProCurve Switch zl tápegység |
| Portok | - 6 szabad slot; - 1 x RS-232C konzolport |
- 4 szabad slot; - 48 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport |
- 12 szabad slot; - 1 x RS-232C konzolport |
- 8 szabad slot; - 96 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport |
| Portok maximális száma | - 24 x 10 GbE vagy - 144 x 10/100/1000 Mbps vagy - 144 mini-GBIC |
- 16 x 10 GbE vagy - 144 x 10/100/1000 Mbps vagy - 96 mini-GBIC |
- 48 x 10 GbE vagy - 288 x 10/100/1000 Mbps vagy - 288 mini-GBIC |
- 32 x 10 GbE vagy - 288 x 10/100/1000 Mbps vagy - 192 mini-GBIC |
| Áteresztőképesség (64 bájtos csomagok) | 214 Mpps | 214 Mpps | 428 Mpps | 428 Mpps |
| Routolási/kapcsolási teljesítmény | 288 Gbps | 288 Gbps | 576 Gbps | 576 Gbps |
| Switch fabric sebessége | 346 Gbps | 346 Gbps | 692 Gbps | 692 Gbps |
| Routing tábla mérete | 10 000 bejegyzés | 10 000 bejegyzés | 10 000 bejegyzés | 10 000 bejegyzés |
ProCurve 3500yl-24G-PWR és 3500yl-48G-PWR
ProCurve 6200yl-24G-mGBIC
| Típus | 3500yl-24G-PWR Intelligent EDGE |
3500yl-48G-PWR Intelligent EDGE |
6200yl-24G-mGBIC Premium EDGE |
| Piacra kerülés | április | április | ősz |
| Nettó listaár | 2949 EUR | 5299 EUR | 5499 EUR |
| Portok | - 1 szabad slot; - 20 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport; - 4 x dual personality port (10/100/1000 Mbps vagy mini-GBIC) |
- 1 szabad slot; - 44 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport; - 4 x dual personality port (10/100/1000 Mbps vagy mini-GBIC) |
- 24 db mini-GBIC slot; - 1 bővítőhely max. négyportos 10GbE modul számára |
| Áteresztőképesség (64 bájtos csomagok) | 74 Mpps | 110 Mpps | 74 Mpps |
| Routolási/kapcsolási teljesítmény | 101 Gbps | 148 Gbps | 101 Gbps |
| Switch fabric sebessége | 115 Gbps | 173 Gbps | 115 Gbps |
| Routing tábla mérete | 10 000 bejegyzés | 10 000 bejegyzés | 10 000 bejegyzés |
Chassis rendszerű a számos változatban piacra kerülő 4200vl switch, mely nagy lokális hálózatok peremeszköze lehet, de kisebb LAN-okban akár az elosztási rétegben is használható. A modellvariációk viszonylag nagy, s a jövőben várhatóan tovább gyarapodó száma abból adódik, hogy a kapcsolók különféle típusú és számú fix portokat kapnak, ám ezek mellett modulokkal is bővíthetők. A modulok között vannak 10/100 Mbps Ethernet, 10/100/1000 Mbps Ethernet portokat és mini-GBIC slotokat tartalmazók is. A típustól függően 3U vagy 5U magas eszközökbe eleve redundáns tápegység kerül.
ProCurve 4202vl-48G és 4202vl-72
ProCurve 4208vl-64G és 4208vl-96
A legfeljebb 76,8 Gbps áteresztőképességű switch fabric kábelsebességű adattovábbítást biztosít. Virtuális LAN-ok megkülönböztetéséhez a többi ProCurve termékhez hasonlóan a 802.1q címkézést használja, ám míg az előzőekben röviden bemutatott eszközök egyszerre akár 2048 VLAN-t képesek kiszolgálni, addig a 4200-asok esetében 256 a maximum. A 4200-as eszközök korlátozott útválasztó képességekkel rendelkeznek: a kapcsolódó VLAN-ok között tudják továbbítani az adatokat, illetve 16 statikus – közülük egy alapértelmezett – útvonal állítható be.
Az autentikációs szolgáltatások nem szenvednek hiányt, azaz itt is megtaláljuk a 802.1x/RADIUS módszert, a webalapú és a MAC cím szerinti azonosítást. A 802.1p szabványt követő priorizálás legfeljebb nyolcfokozatú skálán megkülönböztetett forgalmat tud három várakozási sorba rendezni; a döntés alapját magasabb szintű (Layer 3–4) protokollok is képezhetik. A menedzsmenttel kapcsolatban említést érdemel, hogy legfeljebb 16 darab, akár különböző típusú (ProCurve 2500, 2600, 2800, 3400cl, 6108, 6400cl, 4100gl vagy 4200vl sorozatú) switch egy virtuális, egyetlen IP címen elérhető stackbe is rendezhető.
| Típus | 4204vl | 4202vl-48G | 4202vl-72 | 4208vl | 4208vl-64G | 4208vl-96 |
| Piacra kerülés | március | március | március | március | március | március |
| Nettó listaár | 1109 EUR | 3179 EUR | 2699 EUR | 1619 EUR | 4199 EUR | 3549 EUR |
| Tartozékok | - 1 db redundáns ProCurve Switch gl/xl/vl tápegység | - 3 db 16 portos ProCurve Switch vl Gig-T modul; - 1 db redundáns ProCurve Switch gl/xl/vl tápegység |
- 3 db 24 portos ProCurve Switch vl 10/100-TX modul; - 1 db redundáns ProCurve Switch gl/xl/vl tápegység |
- 1 db redundáns ProCurve Switch gl/xl/vl tápegység | - 4 db 16 portos ProCurve Switch vl Gig-T modul; - 1 db redundáns ProCurve Switch gl/xl/vl tápegység |
- 4 db 24 portos ProCurve Switch vl 10/100-TX modul; - 1 db redundáns ProCurve Switch gl/xl/vl tápegység |
| Portok | - 4 szabad slot; - 1 x RS-232C konzolport |
- 2 szabad slot; - 48 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport |
- 2 szabad slot; - 72 x 10/100 Mbps port; - 1 x RS-232C konzolport |
- 8 szabad slot; - 1 x RS-232C konzolport |
- 4 szabad slot; - 64 x 10/100/1000 Mbps port; - 1 x RS-232C konzolport |
- 4 szabad slot; - 96 x 10/100 Mbps port; - 1 x RS-232C konzolport |
| Portok maximális száma | - 96 x 10/100 Mbps vagy - 64 x 10/100/1000 Mbps vagy - 16 mini-GBIC |
- 48 x 10/100 Mbps vagy - 80 x 10/100/1000 Mbps vagy - 8 mini-GBIC |
- 120 x 10/100 Mbps vagy - 32 x 10/100/1000 Mbps vagy - 8 mini-GBIC |
- 192 x 10/100 Mbps vagy - 128 x 10/100/1000 Mbps vagy - 32 mini-GBIC |
- 96 x 10/100 Mbps vagy - 128 x 10/100/1000 Mbps vagy - 16 mini-GBIC |
- 192 x 10/100 Mbps vagy - 64 x 10/100/1000 Mbps vagy - 16 mini-GBIC |
| Áteresztő- képesség | 24 Mpps | 24 Mpps | 24 Mpps | 48 Mpps | 24 Mpps | 24 Mpps |
| Switch fabric sebessége | 38 Gbps | 38 Gbps | 38 Gbps | 76 Gbps | 76 Gbps | 76 Gbps |
Végezetül a tavaly ősszel piacra került 8100fl sorozatú interconnect fabric switchekhez jelenik meg márciusban egy új kiegészítő, a 10GbE X2 interfészmodul. A 10 Gigabit Ethernet kártyán egyetlen aljzat található, mely többféle médiumhoz illő adó-vevők (LR, ER, SR vagy CX4) csatlakoztatására ad lehetőséget, monomódusú száloptikával így legfeljebb 10 km távolság hidalható át két telephely között.
Az új ProCurve switchek ismerik a szabványos monitorozó protokollokat (sFlow, RMON, XRMON, LLDP) és a ProCurve Manager szoftverrel együtt érkeznek. Ezeken kívül természetesen mód van a ProCurve Manager Plus vagy HP OpenView rendszerekbe való integrálásukra is. A switchekre a HP élettartam-garanciát vállal; a táblázatokban közölt árak tájékoztatú jellegűek.
Hankó Péter