Система за контрол на трафика за IP пакети

Функционалността на L2 и L3 комутаторите се ограничава основно в препращане и маршрутизация на IP пакети. Комутаторите, работещи с информация от четвърти до седми слой на OSI модела, са известни и като Web комутатори или комутатори за приложения, които вземат решения за пренасочване на базата на данни за портовете и приложенията от заглавната част на пакета и частично от неговото съдържание. Областите, където това може да се използва, са обезпечаване работоспособността на приложенията и защитни задачи. Комутаторите за приложения се предлагат от две групи производители: големите играчи като Cisco, Nortel и Foundry, както и нишови фирми, преди всичко F5 Networks. Тези устройства произлизат от класическите средства за разпределение на натоварването между сървърите (Server Load Balancing, SLB). В средата на 90-те, наред с F5 и Radware, пионери в тази област, бе и компанията Alteon — от 2000 г. нейните продукти влязоха в портфолиото на Nortel, както и ArrowPoint — също от 2000 г. е "под крилото" на Cisco. В началото задачата за балансиране на работата се решаваше на базата на PC, но по-късно непрекъснатото увеличаване на функциите и разнообразието от устройства принуди производителите да преосмислят позицията си. Така се стигна до извода, че стандартните задачи за препредаване на данни трябва да се решават от хардуерна платформа, т.е. на базата на специализирани интегрални схеми (Applications Specific Integrated Circuit, ASIC), и то вградени в специализирани комутатори. Стъпката към комутаторите бе обусловена от растящите потребности за скорост на обработката, с която устройствата за управление на трафик изпълняват работата на сървърните системи, и частично, с която те интерпретират доста по-подробните правила за предаване (вж. карето "Области на приложение"). Освен това по-голямата част от трафика, генериран от корпоративните приложения, използва порт HTTP 80, затова чистото разпределение на натоварването от четвърто ниво бързо достигна предела си. За интелигентно препредаване е необходим анализ на цялата заглавна част, а по възможност и на съдържанието на пакета. Архитектура на комутаторите за приложения Използваните за комутация на приложения архитектури, разработени от различните производители, силно се отличават помежду си. Например F5 в своите L4/L7 комутатори разчита на комбинацията от комутиращи микросхеми ASIC и централен процесор за решаване на задачите от седмо ниво. "Нашата технология от седми слой е на база програмно обезпечаване и е доста по-гъвкава от чисто хардуерните аналози — смята генералният директор на F5 Джон МакАдам. — Освен това тя лесно се пренастройва, което е голямо преимущество при излизането на пазара на средства за управление на сървъри. Комутаторът Big IP 5100 на F5 използва два процесора Intel Pentium за обслужване на 24 порта Fast Ethernet и четирите порта за свързване на Gigabit Ethernet; устройството Big IP 2400 е с един процесор Intel Pentium, който обработва потоците от 16 порта Fast Ethernet и два uplink порта Gigabit Ethernet. Противоположен архитектурен подход е избрала Nortel: вградената в новите “приложни” комутатори от серията 2000 архитектура е с виртуална матрица (Virtual Matrix Architecture, VMA). Тя пренасочва трафика от всички портове към четирите комутиращи процесора, а ако има SSL трафик – към специализиран процесор за приложения. По този начин производителността на процесора при максимално натоварване гъвкаво се разпределя между всички портове. Комутаторите от четвърто/седмо ниво се предлагат, от една страна, във вид на устройства с фиксирана конфигурация, както и като блокове за вграждане в шкаф с дебелина 1U или 2U, а от друга страна, се предлагат като комутиращи блейд платки за модулни комутатори. Nortel, Foundry и пазарният лидер Cisco пускат и твърди конфигурации, и модулни варианти: модулът за комутация на съдържание (Content Switching Module, CSM) от линията Catalyst е разработен за големи сървърни ферми и изчислителни центрове. Предимно за сървърни ферми е предназначен неотдавна представеният комутатор Content Services Switch (CSS) от компактната, частично модулна серия 11500 (тя е наследник на серията 11000). CSS 11501 предлага осем порта Fast Ethernet и един гигабитов порт за каскадно свързване, а в същото време подобно на двата си по-големи събратя 11503 и 11506, благодарение на наличието съответно на три- и шестслотов GBIC конвертор, осигурява голяма гъвкавост. Те могат да се “напълнят” с до 32 (CSS 11503) и 80 (CSS 11506) порта Fast Ethernet и имат два и четири SSL модула. Модулите SSL са в състояние да се справят с организирането на 800 сесии в секунда, а SSL блейдовете за Catalyst — с до 3000 сесии. CSM работи под управлението на операционната система на Cisco IOS, а устройствата CCS използват взаимстваната от ArrowPoint система Web Network Services (Web NS). Cisco специално подчертава факта, че вследствие паралелното развитие на функционалния набор за двете продуктови групи, обслужването им не се отличава. Преимущество на разпределената архитектурa на Cisco се изразява в комутация на базата на потоци: ако решението за препращане е вече взето, то целият поток трябва да мине по избрания път посредством транслация на мрежовите адреси (Network Address Translation, NAT). Това понижава употребата на изчислителните ресурси. Философия на продуктите Това е още eдин критерий, по който отделните производители се различават. Radware “изповядва” модулния подход и за всяка област на употреба добавя ново специализирано приложение, а Cisco, F5 и Nortel разчитат на интегрираната концепция. Техните устройства обхващат редица функции и свойства —Nortel напр., наред с балансирането на сървърното натоварване, реализира и баланс на товара на защитните стени, VPN и системата за откриване на прониквания (Intrusion Detection System, IDS), както и интелигентно препращане на видеопотоци без прилагане на допълнителни функционални пакети. Nortel предлага Web комутатори в автономно изпълнение под марката Alteon, както и L4/L7 модули за опорните маршрутизатори Passport Core Switch. По данни на производителя функционалността на двете продуктови линии— както е и при Cisco — е идентична. Новост за Nortel е комутаторът за приложения Alteon 2424, както и 2424 SSL с допълнително ускорение на SSL. Устройството с големина 1U има 24 порта Fast Ethernet и четири порта за uplink Gigabit Ethernet, поддържащи L7 комутация и до 51 000 сесии в минута. Снабдена почти само с Gigabit Ethernet, серията 3000 трябва да се появи до края на тази година. Към семейството от модули бе прибавен ускоряващият модул Alteon 8661 SSL, който добавя SSL функционалност към Web комутирщата платка в Passport. Тенденцията при Nortel е да снабдява опорните си комутатори не само с управление на трафика, а и със защитни функции. Тези две възможности са все по-тясно свързани, тъй като положителният общ ефект от комутацията на приложения се състои в това, че получената информация може да бъде използвана за осигуряване безопасността на мрежата. Комутаторите за приложения са способни например да отблъскват атаки тип “Отказ на услуги” (Denial of Service, DoS) или да проверяват пакети от данни за следи от опасни «червеи» и по този начин да допълнят защитните стени. Подобни продукти за проверка на съдържанието имат Radware, F5 и Array Network. Array се позиционира в нишата управление на сигурността и съдържанието: платформата Array Security Platform се фокусира върху управлението на Web трафика и задръстванията, както и върху други аспекти на безопасността като SSL, firewall и идентификацията. Защитни задачи решава и Foundry със своите L4/L7 комутатори от линията ServerIron. Наскоро компанията представи допълнение към своята технология SYN-Guard. С него операционната система Ironware трябва да защитава ServerIron от атаките тип SYN-Flood. По данни на производителя ServerIron е в състояние да противодейства на атаки SYN-Flood при постъпване на повече от 2 млн. пакета/секунда. По противоположен път се движи Radware със своя набор от тясноспециализирани точкови решения. “Продуктите за гарантиране на безопасността често ни служат като входен пропуск за клиента, а след това започваме разговор за обезпечаване на висока степен на отказоустойчивост и повишаване на производителността, — така пояснява тактиката на компанията Торстен Шойерман, регионален директор на Radware за Централна Европа. Към защитните решения на Radware спада и Fireproof, поддържащ firewall и IDS на ниво приложения, Certain T 100 за намаляване на SSL натоварването, и Content Inspection Director за филтрация на URL и сканиране на вируси. В същото време комутаторът за приложения Radware отговаря за решаване на класическите задачи по управление на трафика. Изследване на пакети В надпреварата за титлата “Най-бърз инспектор на пакети” в началото на 2003 г. Radware пусна представител на третото си поколение комутатори за приложения: Application Switch III, оборудван с неблокираща вътрешна шина с пропускателна способност 44 Gbps, като този модел е първият сред автономните устройства за L4/L7 комутация, снабден с портове за 10 Gigabit Ethernet. На базата на собствената архитектура Synapps Radware предлага стандартни функции за мониторинг на състоянието на приложения, препращането на трафика, управление на пропускателната способност и сигурността на приложенията. В края на миналата година Foundry, един от основните конкуренти, попълни портфолиото си от Web комутатори, този път със стекируеми модели от ниско ниво и модулни устройства от висок клас. Комутаторната серия ServerIron 100 е представена чрез три фиксирани конфигурации: с 10 порта Gigabit Ethernet (осем медни, два оптични), с осем гигабитови оптични порта и с 24 порта на 10/100 Mbps, както и с два uplink гигабитови порта. Днес необходимостта от висока производителност е много търсена във всички области и дори такива разработчици на системи за баланс на натоварването като Coyotе Point, които винаги са били ориентирани към малките и средни предприятия, се пренасочват към пускане на комутиращи продукти. Gartner Group нарече F5 технологичен лидер (вж. Фиг. 1). Във всички свои устройства и комутатори компанията обръща голямо внимание на обезпечаването на “истинско” управление на трафика от приложения. За разлика от обикновената Web комутация, програмите на F5 изследват не само заглавната част на HTTP пакета, а и неговото съдържание — т.е. потребителските данни — в дълбочина до 16 килобайт. Така напр. може да се реализира разпределение на натоварването между Oracle бази данни, при които заявките за четене към другия пул от сървъри за БД става под формата на достъп за запис. В центъра на сегашната бизнес стратегия на F5 е iControl, един от отворените интерфейси за автоматизиране на конфигурирането и взаимодействието с чужди приложения. F5 подчертава, че даже без него, комутацията на приложения е възможна благодарение на указването на приложения. Въпреки това с помощта на iControl методът може да бъде по-диференциран чрез стандартната интеграция с протокола за достъп до обекти SOAP (Simple Object Access Protocol) и разширения език за етикиране XML. iControl може да се зареди от сайта на Web F5, въпреки че компанията, специализирана в управлението на трафик, поддържа партньорски отношения с големи производители като Microsoft, BEA, PeopleSoft и Citrix. Citrix напр. използва iControl за управление на трафика от външни приложения (Secure Access Manager, преди това се казваше NFuse), а в сървърните ферми MetaFrame разчита на собствени методи за разпределение на натоварването. За управление на няколко “приложни” комутатора F5 наскоро представи софтуера iControl Services Manager (iSM). Продуктът позволява осъществяване на групова конфигурация на F5 устройства, а чрез диференцираната система за препредаване правата за управление те могат да се делегират на отделните групи устройства. По-тясно взаимодействие между комутацията на приложения и защитните функции F5 смята да реализира чрез прилагане на iControl в качеството му на интерфейс за партниране с производители на системи за сигурност. Поглед към бъдещето Нарастващият брой приложения, базирани на Интернет, както и разпространението на Web услугите е сериозен проблем за комутацията на приложения. При използването на Web приложения през един и същ порт 80 преминава все по-голям трафик, а при Web услугите данните се оказват дълбоко “законспирирани” в XML пакетите, също адресирани до порт 80. Ако необходимостта от действително задълбочен анализ на съдържанието на пакетите от данни стане всекидневна практика при управлението на трафика, ще възникнат усложнения с времената на закъснение и недостатъчната производителност. Както може да се очаква, въпросите за управление на трафика и обезпечаване на безопасността все по-тясно се преплитат, въпреки че този процес излиза далеч извън рамките на популярния и днес баланс на товара на защитните стени или разделеното терминиране на SSL връзките. По всичко личи, че информацията от седмия (приложен) слой, който устройствата за управление на трафика анализират за свои цели, ще намери и “вторично приложение“ – този път от гледна точка на сигурността. Границата между комутацията на приложения и тяхната безопасност скоро може да остане само на теория. Области на употреба Комутаторите за приложения се използват, на първо място, за локално балансиране на натоварването на сървъри и хоризонтално мащабиране на сървърни ферми, а на второ, за глобално разпределение на натоварването между различни географски отделечени Web сайтове на едно и също предприятие. Към L4/L7 комутацията се отнасят и редица специални приложения като баланс на натоварването на защитни стени, на VPN и разпределение на съдържанието, т.е. разпределение на товара чрез използване на кеш паметта. По-особен случай представлява баланс на натоварването на каналите в глобалната мрежа към два или повече доставчика. За таз цел съществуват специализирани приложения като Linkproof на Radware, Big IP Link Controller на F5, както и Alteon Link Optimizer на Nortel. Докато F5 насочва своите решения за специално управление на трафика към големите международни корпорации, Cisco, Nortel и Radware обръщат внимание на корпоративния сектор и доставчиците на услуги. Вторият източник на доходи за F5, досега наистина твърде скромен по обем, е доставката на технология за баланс на натоварването на пазара на блейд сървърите: практически всички големи производители на едноплаткови сървъри — RLX, Dell, Hewlett-Packard, IBM, Fujitsu-Siemens и Sun — са партньори на F5. -------------------------------------------------------------------------------- каре Пазарът на L4/L7 комутатори Анализаторите от Gartner класифицират L4/L7 комутацията към “пазара за Web оптимизация”» и считат, че това е динамично развиващ се сегмент от пазара на мрежовата инфраструктура. В тази област своя отпечатък са сложили дълготрайните иновации и нарастващият брой производители, към които трябва да добавим Array Networks, Netscaler и Redline. В средносрочна перспектива обаче техният брой скоро ще намалее. Към технологичните лидери Gartner причислява Cisco и F5. Dell’Oro Group в своя доклад за L4/L7 Ethernet комутацията (публикуван през май 2003 г.) отчита ръст на този пазар от $92,9 млн. за четвърто тримесечие на 2002 г. до $98,2 млн. за първата четвърт на 2003 г. В сегмента модулни комутатори от четвърто/седмо ниво Cisco държи 90% от пазара по оборот, а основните конкуренти са Foundry и Nortel. По количество продадени портове пазарният дял на Cisco е 75%. В областта на устройствата с фиксирана конфигурация разпределението е по-равномерно: тук Nortel и F5 “надбягват” Cisco. С общ дял 70% от пазар трите компании оставят достатъчно пространство за други производители — Foundry, Avaya, Extreme или Radware. Ако съберем всички цифри, Cisco, преследвана от Nortel и F5, държи около 50% от пазара на L4/L7 комутатори (вж. Фиг. 2).

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!