Új kihívó
Az Európát, a Közel-Keletet és Afrikát magában foglaló régióban a hálózati eszközök, ezen belül is az Ethernet switchek piacát illetően érdekes jelenségek tanúi lehettünk az elmúlt évben.
A Gigabit Ethernet kapcsolók teljes piaci forgalma 2004 utolsó negyedében mintegy 27 százalékos növekedést mutatott a megelőző évhez képest; ezt az értéket két vállalatnak sikerült túlszárnyalnia: a Cisco Systems és a Hewlett-Packard is 30 százalék fölött teljesített. Ha megnézzük a 2004 utolsó negyede és az azt megelőző negyedév közötti különbséget, azt tapasztaljuk, hogy míg a negyedéves átlagos növekedés – a Dell’Oro Group adatai szerint – 7 százalékos volt, addig a Cisco enyhe mínuszba került, a HP-nál azonban itt is valamivel 30 százalék fölötti volt a növekedés, ami egész évre vetítve egyenletesebb teljesítményt feltételez.
A piaci részesedési adatok alapján az év végén a következő sorrend állt fel: Cisco, HP ProCurve, Nortel, Enterasys, Foundry és Extreme. A mezőnyt jelentős előnnyel vezeti a Cisco, bár 55 százalék körüli előnye kicsivel 50 százalék alá apadt. A Nortel 5-6 százalék körül stagnál, a 3Com 11 százalék körüli részesedése nagyon kicsit gyarapodott, a HP azonban az év derekához képest mintegy 5 százalékkal, 17 százalékra küzdötte fel részesedését.
A Gartner által 2004 novemberében közzétett „bűvös négyszög”, amely a telephelyi LAN-ok piacának résztvevőit kategorizálja, ugyancsak a HP számára hozta a legfontosabb előrelépést. A felmérésben a konvergencia, a biztonság, a redundancia/megbízhatóság és a mobilitás szempontjait vizsgálták. A négyszög vízszintes tengelye azt mutatja, hogy egy vállalat mennyire van tisztában a piaci igényekkel, illetve mennyire van felkészülve arra, hogy ezeket az igényeket kielégítse, míg a függőleges tengelyen azt mérik, hogy az adott cég képes-e stratégiáját átültetni a gyakorlatba.
Forrás: Gartner Research
Az adott piaci szegmensben ugyancsak a Cisco a vezető szereplő – rendelkezik jövőképpel, és megbízható módon végre is tudja hajtani. A legtöbb vállalat abban a csoportban található, amelynek tagjai egy-egy meghatározott piaci területet szolgálnak ki (niche players); a Foundry például a nagy teljesítményű, nagy portsűrűségű rendszerekre koncentrál, míg a 3Comnak a legutóbbi időkig csak a kis- és középvállalkozások igényeihez szabott, kevésbé skálázható termékei voltak. Ebből a csoportból került át a HP a kihívók kategóriájába, ami azt jelenti, hogy a megcélzott piacon mind hatékonyabban képes terjeszkedni, akár a versenytársak kárára is.
A Gartner jellemzése szerint a HP ProCurve eszközei – ha nem is minden vállalati hálózat számára jelentenek használható alternatívát – a vállalati hálózatok szükségleteinek legalább 80 százalékban megfelelnek, miközben áruk a versenytársak hasonló megoldásainál gyakran több mint 30 százalékkal alacsonyabb is lehet. A vállalat határozott útitervvel rendelkezik eszközei funkcionalitásának bővítésére, és – így az elemző – ott kell hogy legyen a lehetséges beszállítók listáján, ha ötezernél kevesebb állomásból álló helyi hálózatba akar invesztálni egy cég.
A HP ProCurve koncepciója
Cikkünkben megpróbálunk utánajárni, milyen stratégia és milyen eszközök állnak ezen tendenciák hátterében. Kiindulópontként szolgálhat egy tágabb, az ipari technológiákra általánosan érvényes modell, amely egy technológia életciklusát három szakaszra bontja.
A kibontakozás időszakában azok alkalmazzák a technológiát, akik valami ok folytán, többnyire az általa nyerhető teljesítménytöbblet érdekében hajlandók komoly összegeket áldozni magára a technológiára, illetve a járulékos költségeire, amelyek részben a gyártóspecifikus, más rendszerekkel inkompatibilis eljárásokból, részben az üzemeltetéshez szükséges, magasan képzett személyzetből adódnak.
A kezdetben kevéssé elterjedt technológia a második szakaszban erőteljes növekedésnek indul, aminek az lesz a következménye, hogy a vásárlók – szabadulni akarván az egyes gyártóktól való függőségtől – a nyílt szabványok felé fordulnak, és a teljesítmény mellett mind fontosabb szerepet játszik a költségtényező. Az üzleti projektekben immár általánosan alkalmazott technológia ugyanakkor lehetővé teszi alacsonyabb képzettségű személyzet fizetését is.
A harmadik fázisban a legtöbben már rendelkeznek az adott technológiával, illetve azok, akik úttörő szerepet játszottak, feltehetően már egy újabbat kezdenek használni. Ebben a szakaszban egyértelműen az ár a döntő, a fejlesztések inkább csak arra irányulnak, hogy az eszközöket minél kevesebb emberi beavatkozással, akár szakszemélyzet nélkül lehessen működtetni. Nem kell különösebb fantázia ahhoz, hogy ezt a modellt a hálózati technológiák, például az Ethernet különböző generációinak életútjára alkalmazzuk.
A Hewlett-Packard – melyről itthon kevesen tudják, hogy hálózati üzletága több mint 25 éves – deklaráltan a második fázisra összpontosít, ez segít abban, hogy érthetővé váljanak bizonyos üzleti gyakorlatai. Termékeit nem feltétlenül a legújabb technológiákkal teszi versenyképessé, hanem – nyílt szabványokra alapozva – lehetővé teszi a hálózatok rugalmas fejlesztését akár más gyártók eszközeivel kombinálva saját megoldásait. A gyártási költségeket speciális integrált áramkörök (ASIC) fejlesztése révén igyekszik leszorítani, amelyek több chip feladatkörét egyesítik magukban. Ehhez még hozzájön, hogy rendszerei kezelésének komplexitását is igyekszik mérsékelni, és nem utolsósorban, hogy a vevőknek csupán egyszer kell fizetniük a „dobozért” – a gyártó által rendszeresen kiadott ingyenes szoftverfrissítések sokszor olyan nagy mértékben növelik az adott eszköz funkcionalitását, amiért máshol gyakran már új hardver után kellene nézni.
Az Adaptive EDGE architektúra
A HP üzleti koncepciója után lássuk, milyen technológia áll a ProCurve mögött. Az alapprobléma az – és ezzel, amint arról a Gartner felmérése is tanúskodik, valamennyi gyártónak szembe kell néznie –, hogy sok tekintetben megváltoztak a (lokális) hálózatokkal szembeni követelmények. A nagyvállalatok immár nem választják fizikailag külön saját alkalmazottaik számára elérhető belső hálózatukat a bárki által hozzáférhető vagy az üzleti partnereik számára rendelkezésre álló hálózati erőforrásoktól, épp ellenkezőleg: pontosan az integráció teszi lehetővé az üzleti folyamatok zökkenőmentes összehangolását. Másodsorban a különféle kommunikációs formák a konvergencia jegyében egy csatornára terelődnek, melynek eredménye, hogy az adatkommunikációs hálózat lesz „a” hálózat, amely a telefon- és akár videokonferencia-hívásokat is továbbítja. Harmadrészt pedig mindinkább számolni kell a mobil munkaerővel, melynek állandóan biztosítani kell a vállalati hálózathoz való biztonságos hozzáférést, függetlenül attól, hogy Wi-Fi hozzáférési ponton, mobiltelefon-hálózaton vagy éppen egy VPN-en keresztül kíván hozzá csatlakozni.
A feladat tehát a következő: olyan hálózat kialakítása, amelynél mindenekelőtt a biztonság, a mobilitás és a konvergencia követelményeinek kell eleget tenni, ám feleljen meg olyan hagyományos elvárásoknak, mint a megfelelő sebesség, bővíthetőség és menedzselhetőség, valamint lehetőség szerint legyen költséghatékony.
Erre a kérdésre többféle válasz adható, a Cisco hálózati akadémiáin is oktatott eljárás szerint egy többrétegű modellt érdemes kialakítani. Ennek legfelső rétege (a központi réteg) egymástól távol fekvő telephelyek összeköttetését biztosítja, a középső, elosztási réteg a helyi hálózatok számára nyújt szolgáltatásokat, míg a hozzáférési réteg a felhasználók hálózati kapcsolatát teszi fizikailag is lehetővé. A LAN-ok szempontjából az utóbbi két réteg fontos, hiszen az elosztásiban érvényesítik a legfontosabb biztonsági irányelveket, míg a hozzáférési réteggel például a rendelkezésre álló sávszélesség optimális kihasználásáról lehet gondoskodni. A hierarchikus felépítés előnye többek között a könnyű megvalósítás és a rugalmas bővíthetőség, hátránya lehet ugyanakkor, hogy a biztonsági szabályok központi implementálása miatt nagy teljesítményű routerre (esetleg Layer 3+ kapcsolóra) van szükség a hálózat elosztási rétegében, azaz a helyi hálózat magjában.
Fizikailag (a kábelezés és eszközelhelyezés tekintetében) nem feltétlenül különbözik ettől a hierarchikus felépítéstől a HP megoldása, jelentős az eltérés azonban az eszközök képviselte erőforrások elrendezésében. Hogy kerülje az összetévesztést, a HP nem is faszerkezettel szemlélteti saját topológiáját, hanem a helyi hálózat magja (core) köré gyűrűként fonódó peremmel (edge). Innen a technológia elnevezése is: Adaptive EDGE Architecture. Ennek lényege, hogy számos szolgáltatást a hálózat peremére helyez ki, vagyis oda, ahol a felhasználók kapcsolódnak. A középpontban egy (vagy több) nagy áteresztőképességű, ám viszonylag „buta” routing switch foglal helyet, amelytől a biztonságot és a szolgáltatásminőséget érintő funkciók nagy részét a peremeszközök veszik át. Nem kell például a központi eszköz erőforrásait a felhasználó azonosításában igénybe venni – egy külső kapcsoló vagy vezeték nélküli hozzáférési pont az autorizációs szerver segítségével személyazonosság alapú hálózatokban is maga dönthet arról, hogy beengedi-e a hálózatba a felhasználót. A megoldás kézzelfogható előnye, hogy a peremeszközökre való aránylag kevés ráfizetéssel meg lehet spórolni egy nagy kapacitású központi routing switchet.
Adaptive EDGE architektúra
Biztonság
Az Adaptive EDGE lehetővé teszi a személyazonosság alapú menedzsmentet. A mobilitással részben összefügg a biztonság kérdése; egy vállalatnál előfordulhat, hogy egy munkaállomást többen használnak, netán rendszertelenül váltva egymást, és az is, hogy egy munkatárs több helyről akarja elérni valamely hálózati szolgáltatást. Meg kell oldani, ha egy vendégnek átmenetileg – ha csak korlátozott jogosultságokkal is – hozzá kell férnie a hálózathoz, és meg kell akadályozni, hogy a vele esetleg egy hotspotra csatlakozó hacker bejusson. Nyilvánvaló, hogy minderre nem megfelelő megoldás a statikus (például fizikai helyhez, switchporthoz kötött), vagy korlátozottan rugalmas (például MAC-címhez kötött) biztonsági szabályozás, a legjobb, ha személyre szabják a jogosítványokat, és gondoskodnak arról, hogy bárhol legyen is, mindig ugyanazok a szabályok vonatkozzanak rá.
Ebből már kitűnik, hogy a személyazonosság alapú menedzsment – s ez nemcsak a HP megoldására, hanem általában az efféle eljárásokra vonatkozik – nem pusztán biztonsági követelményeknek tesz eleget, hanem egy sor más előnye is van. Az autentikáció során azonosítják a felhasználót, a csatlakozás helyét (switchport, WLAN hozzáférési pont), a csoportbesorolását, majd a csoportjához kapcsolt erőforrásokat, jogokat és tiltásokat. Ebbe beletartozik, hogy melyik virtuális LAN-ba tartozik, milyen sávszélességet vehet igénybe, milyen szolgáltatásminőségeket (QoS) biztosít számára a hálózat, milyen időbeli és helyi korlátokkal férhet hozzá a szolgáltatásokhoz. Ezek a szokásos módon, autentikációs szerverek segítségével zajlanak, amelyek lényegében olyan adatbázisok, amelyek ezeket az információkat szolgáltatják ki a megfelelő körülmények fennállása esetén.
A HP Adaptive EDGE megoldása annyiban különbözik a konkurensekétől, hogy a lekérdezést a peremeszköz hajtja végre, és míg a felhasználó hozzá kapcsolódik, ő is gondoskodik a szabályok érvényesítéséről. A gyártó tavaly két céleszközt is bemutatott, amelyek a 802.1x/RADIUS, az LDAP és a Kerberos protokollok, illetve az NT domainek támogatásával vezeték nélküli hálózatok biztonságát is megteremtik. Egy tipikus szituáció, hogy az Access Controller 720wl érzékeli, ha egy eszköz egy hozzáférési ponton keresztül csatlakozott hozzá, ezért elküldi MAC-címét az Access Control Server 740wl számára. Ha az eszköz ismert, biztosítja számára a megfelelő jogokat akkor is, ha közben a felhasználó helyet – és hotspotot – változat (roaming). Ha nem ismerős a MAC-cím, egy autentikációs szerver segítségével sor kerül a felhasználó azonosítására, majd a fenti eljárás lép életbe, amelyen persze szigorítani is lehet. A 720wl és a 740wl egy dobozba integrálva is kapható 760wl típusjelzéssel, a 720wl pedig idén egy switchbe szerelhető modul alakjában is megjelent, ez a ProCurve Switch xl Access Controller Module nevet viseli.
Access Controller 720wl
Access Control Server 740wl
ProCurve Switch xl Access Controller Module
A hozzáférés szabályozása persze csak az egyik aspektus a biztonság kérdésében. Hogy az egész témakör mennyire fontos, jól jellemzi egy ugyancsak a Gartnertől származó adat: a biztonsági rések és a miattuk megszakadó üzletmenet 2002-ben még nem szerepelt a vállalatvezetők által legfontosabbnak tartott szempontok tízes listáján, 2003-ban már a második helyen jelentkezett, 2004-ben pedig minden mást lekörözött, köztük olyanokat, mint az innováció, az üzleti kockázatok elemzése vagy a bevételek növelése. A második helyre csúszott így a működési költségek évek óta vezető szempontja, amely mögé harmadik helyre 2004-ben felzárkózott a személyes és üzleti adatok védelme.
Ami az informatikai biztonságot illeti, szükség van tehát a hozzáférés szabályozására, az adatok, de éppígy az infrastruktúra védelmére és a rendelkezésre állás és az üzemszerű működés biztosítására. Ha mindezt figyelembe vesszük, kiderül, hogy az illetéktelen behatolóknál és az adattolvajoknál is aggasztóbbak a vírusok (pontosabban a különféle rosszindulatú programok, malware-ek) által okozott károk.
Ezen a fronton a HP viszonylag friss megoldása sorakozik fel, hiszen a Virus Throttling (’víruselfojtás’) nevű eljárás csak ez év februárjában mutatkozott be a ProCurve 5300xl sorozatú switchekben. A féreg típusú kódok (az egyszerűség kedvéért itt nem teszünk különbséget az egyes „műfajok” között) jellegzetessége, hogy magukat szaporítják az Interneten keresztül – adott esetben rendkívüli sebességgel. A vírus okozta terhelés miatt csökken a munka hatékonysága, sőt egész hálózatok eshetnek ki, s bár a vírusellenes szoftverek fejlesztői ma már általában igen gyorsan kiadják a megfelelő ellenszert, ennek elkészültéig vagy – esetleg épp a vírus által hátráltatott – telepítéséig pont elég idő van nagy számú állomás megfertőzésére és/vagy hálózati eszköz két vállra fektetésére.
A sikernek az az előfeltétele, hogy a vírus minél rövidebb idő alatt minél több állomást megvizsgáljon, akad-e rajta biztonsági rés. Ez a kapkodás azonban egyúttal a vírus gyengéje is, hiszen tevékenysége világosan különbözik a normális nethasználattól; míg a legtöbb gép gyakran egy másodpercnél is ritkábban létesít kapcsolatot valamely távoli kiszolgálóval, addig például az SQLHammer több mint 800 kapcsolattal próbálkozott másodpercenként.
A Virus Throttling épp ezt használja ki: a switch figyeli az egyes állomások által felépíteni kívánt kapcsolatokat, s ez minél inkább eltér az átlagostól, annál határozottabban véli abnormális, sőt káros, vírus okozta forgalomnak. Az eljárás persze nem piszkál bele a kliensek rendszerébe, tehát nem tekinthető vírusirtónak. Amit tesz, az pusztán annyi, hogy minél szaporább a kapcsolatfelvétel ritmusa, annál hosszabb időre tiltja el az állomást a forgalmazástól. Itt inkább csupán másodpercekről van szó, melyeket a felhasználó talán észre sem vesz (ill. nem a hálózati kapcsolatán, hanem a processzorterhelésén tűnhet fel neki valami), ám ez pont elég ahhoz, hogy egyrészt fennmaradjon a hálózat működőképessége, másrészt pedig kellően lelassuljon ahhoz a vírus terjedése, hogy a gyógyír kiadásáig globálisan ne okozzon aránytalanul nagy károkat. Nem a klienseket védi tehát a módszer, sokkal inkább magát az infrastruktúrát.
A funkció számos beállítási lehetőséget kínál, így persze lehetőség van kivételek definiálására is, hiszen például a szervereknél természetes, hogy egyszerre sok kapcsolatot tartanak fenn, de mód van manuális közbeavatkozásra is. Minthogy a Virus Throttling a switchek alapszoftverének egyik szolgáltatása, a régebbi eszközök tulajdonosai, akárcsak a többi frissítést, ezt is ingyen megkaphatják.
Hálózati eszközök
Nagyjából körvonalaztuk az Adaptive EDGE hálózati architektúráját, és szót ejtettünk néhány fontosabb szolgáltatásáról is, ám nem beszéltünk eddig magukról a hardverekről. Az alábbiakban az utóbbi idők legfontosabb termékeit mutatjuk be röviden.
A HP ProCurve termékválaszték három fő csoportra oszlik: az elsőbe tartoznak a hagyományos core switchek a tavaly decemberben bevezetett, stackelhető 6400-as és chassis rendszerű 9300-as sorozattal. Az előbbiek a második nagy csoportban, az Interconnect Fabric Switch címszó alatt is helyet kapnak – egyelőre egyedül, mert a chassis-ba épített névadó, az Interconnect Fabric csak 2005 közepén érkezik. A harmadik csoport a ProCurve eszközök eredeti terepe, hiszen itt foglalnak helyet a 2600-as, 2800-as és 4100-as EDGE switchek és a Wi-Fi hozzáférési pontok, a 3400-as és 5300-as intelligens EDGE switchek, valamint a hozzáférést szabályzó 700wl eszközök. Ezen kategória új termékcsaládjaként mutatkoztak be februárban a 7000dl routerek, amelyek szállítása nemrég kezdődött meg.
9304m és 9308m
9315m
A jelenlegi legnagyobb ProCurve eszközök a 9300-as routing switchek, melyekből három modell van piacon. A 9304m négy interfészmodulja révén 6 darab 10Gigabit Ethernet (10GbE) vagy 56 Gigabit vagy 144 darab 10/100 megabites Ethernet portot szolgál ki, persze akár kombinálva is a különböző sebességeket. A 9304m nyolc modullal bővíthető, így legfeljebb 14 darab 10GbE vagy 120 Gigabit Ethernet vagy 336 darab 10/100 Ethernet portot, illetve ezek variációit képes kezelni. A csúcsmodell a 9315m, amely már 15 modult fogad 28 darab 10GbE vagy 232 gigabites vagy 672 darab 10/100-as Ethernet-interfész használatára adva módot. A beépített Motorola PowerPC processzor rendre 128, 256 és 480 Gbps kapcsolási sebességet biztosít, a legnagyobb modell esetében elérve akár a 345 millió továbbított csomagszámot másodpercenként.
6410cl
A stackelhető routing switchek közé tartoznak a harmadik rétegbeli protokollokat is ismerő 6400-as kapcsolók, amelyek maximálisan nyolc 10GbE portot támogatnak, és 160 Gbps sebességű backplane-jüknek köszönhetően 119 Mpps kapcsolási sebességet képesek elérni. A Quality of Service (QoS) és a Class of Service (CoS) szolgáltatásokkal kapcsolatban annyit érdemes megjegyezni, hogy egészen a negyedik rétegig (vagyis akár TCP/UDP-portszámokra) lehet priorizációs szabályokat megadni.
5304xl
5308xl
Az 5300xl switchekről a Virus Throttling kapcsán már esett szó; ezek nyolc vagy négy bővítőhelyes változatban kaphatók és a Gigabit Ethernet sebességig bezárólag igen gazdag az interfészkártyák választéka, illetve a belőlük összeállítható konfiguráció. A switch fabric típustól függően 38,4 Gbps (24 Mpps) vagy 76,8 Gbps (48 Mpps) adattovábbítási sebességet biztosít.
3400cl-24G
3400cl-48G
A 3400cl szériát képviselő, 2004 novemberében piacra került kapcsolókról azért érdemes megemlékezni, mert ezek részét képezik annak a törekvésnek, hogy a Gigabit Ethernet sebességét a helyi hálózat gerincétől a felhasználókig lehessen biztosítani, mégpedig elfogadható költségek mellett. A stackelhető switchek 20 vagy 44 darab 10/10/1000 Mbps sebességű interfészt nyújtanak és négy-négy kettős természetű portot, amelyek Ethernet portként vagy mini-GBIC csatolóként működhetnek – uplinkek céljára az összes portból legfeljebb kettő használható 10GbE sebességgel. Az áteresztőképesség portszámtól függően 88 Gbps (64 Mpps) vagy 136 Gbps (99,5 Mpps).
EDGE to EDGE
Végül, de nem utolsósorban a nemrég debütált Secure Router 7000dl család tagjairól essék szó. A 7000-esek nemcsak hogy az első, kifejezetten routerfunkciókkal ellátott berendezések, de egyúttal az Adaptive EDGE technológia továbbgondolását is jelentik azáltal, hogy lehetővé teszik ezen hálózatok nagy távolságokon keresztül történő összekapcsolását. Támogatják a RIP (v1 és v2), az OSPF, a BGP4 és az IGMPv2 protokollokat, és nem hiányzik belőlük a Stateful Packet Inspection (SPI) tűzfal, a hozzáférés-vezérlési listák (ACL-ek) készítésének lehetősége, a virtuális LAN-ok, a különböző autentikációs szerverek és a virtuális magánhálózatok (VPN-ek) támogatása sem.
7102dl
7203dl
A moduláris felépítésű útválasztók kisebbik típusa, a 7102dl két 10/100 megabites Ethernet interfésszel és két kisebb bővítőhellyel rendelkezik, amelyekbe legfeljebb négy T1/E1 sebességű WAN-interfészmodul helyezhető. A 7203dl jelzést viselő eszköz a két kisebb slot mellett egy széleset is tartalmaz, a kezelt T1/E1 vonalak száma így nyolcra növekszik. Mindkettőbe illeszthető egy, a VPN-kapcsolatok titkosítására specializálódott egység, amelynek révén típustól függően 500, illetve 1000 kapcsolat egyidejű fenntartására van mód.
Hankó Péter
