Впрочем, результаты последнего тестирования устройств Alcatel-Lucent, Cisco, Dell, D-Link, Extreme, Foundry и HP недвусмысленно указывают на то, что сетевым менеджерам пора привыкать к совершенно новой терминологии при выборе продуктов. Доставшиеся нам семь коммутаторов нового поколения имеют функции, которых не было в большинстве предыдущих моделей. Речь идет не только о 10-гигабитных портах Ethernet для формирования восходящих соединений, но и о средствах аутентификации для контроля над сетевым доступом по протоколу 802.1X, о расширенной поддержке многоадресных рассылок, функциях контроля над резкими всплесками интенсивности трафика, средствах защиты от DoS-атак и совместимости с протоколом IPv6.

Все коммутаторы оснащены 48 портами 10/100/1000 Мбит/с, минимум двумя 10-гигабитными портами и имеют высоту 1U (исключение составляет FastIron X448 производства Foundry высотой 1,5U). Мы проверяли производительность на втором и третьем уровнях модели OSI при передаче одно- и многоадресного трафика IPv4, возможности групповой рассылки на втором уровне, поддержку протокола 802.1X при контроле над сетевым доступом, контроль над взрывообразным ростом сетевого трафика, средства управления, удобство работы, энергопотребление, функциональные возможности. В ряде случаев различия между устройствами оказались весьма существенными.

  • Пропускная способность и задержка при передаче многоадресного трафика изменялись значительно, но еще большие различия отмечены в базовых параметрах — числе поддерживаемых групп при многоадресной рассылке и стабильности работы. Порой нам приходилось по несколько раз настраивать ПО, чтобы протестировать возможности многоадресной рассылки в соответствии с индустриальными стандартами, да и то для сильно различавшихся по размерам групп устройств-адресатов.
  • Хотя все коммутаторы поддерживают аутентификацию по протоколу 802.1X, уровень детализации при контроле над сетевым доступом изменялся очень сильно. Не каждый продукт поддерживает все базовые варианты использования, а две модели, работая в режиме групповой аутентификации, пропускают трафик без идентификации источника, что порождает серьезные проблемы защиты.
  • Все устройства наделены функцией отслеживания резкого роста сетевой активности, обеспечивающей противодействие DoS-атакам. Однако реализации этой функции сильно различались в отношении контроля над интенсивностью трафика и возможностей анализа сигнатур.
  • Поддержка протокола IPv6 требует дальнейшего совершенствования. В одних устройствах она реализована полностью, в других имеются лишь средства маршрутизации пакетов IPv6 без инструментов управления в соответствии с этим протоколом, третьи не поддерживают даже маршрутизацию.

Ни один из коммутаторов не получил высших оценок сразу во всех номинациях, что сильно затрудняет выявление победителя. Большинство устройств прекрасно проявили себя при простой передаче одноадресного трафика Ethernet и IPv4. Если это — единственная функция, которая вас интересует, при выборе модели ориентируйтесь только на стоимость и удобство эксплуатации. Однако мы не советуем ими ограничиваться. Все большее значение получают дополнительные возможности защиты, многоадресной рассылки и поддержки протокола IPv6, и именно они различают продукты разных производителей. То, что базовые функции коммутаторов давно стали «общим местом», еще не означает, что конкурентные баталии между поставщиками утихли. Скажем, Catalyst 3750E производства Cisco имеет максимальную функциональность, хотя HP ProCurve 3500yl, Extreme Summit X450 и Foundry FastIron X448 также неплохо себя показали в большинстве испытаний.

Особенности многоадресной рассылки

Когда-то пользователей, в первую очередь, интересовали показатели производительности при одноадресной передаче пакетов второго уровня, но те времена давно ушли в прошлое. Измерение пропускной способности одновременно на всех портах рассматривалось как самый проблемный тест, но он вряд ли поможет вам отличить одно устройство от другого. Даже в самых напряженных условиях, когда генератор Spirent TestCenter бомбардировал короткими 64-байтовыми пакетами сразу все порты коммутатора, пропускная способность оставалась на уровне показателей физической среды передачи либо вплотную приближалась к ним; исключение составила модель 3650 компании D-Link. Похожие результаты получены при передаче 256- и 1518-байтовых пакетов, причем как на втором уровне (коммутация), так и на третьем (передача по IP) модели OSI.

По окончании тестирования представители D-Link оспорили нашу методологию тестирования как не отражающую ситуацию в реальных корпоративных сетях. Отчасти это справедливо: вряд ли сетевые менеджеры будут эксплуатировать сети в условиях 99-процентной нагрузки. Но никто и не утверждает, что в общепринятых процедурах тестирования используются образцы трафика, циркулирующего в реальных сетях (которые к тому же сильно отличаются друг от друга). Основная задача испытаний — выявление предельных значений производительности коммутаторов.

Возможности многоадресной рассылки. Мы измеряли число групп, пропускную способность и задержки при передаче многоадресных пакетов второго и третьего уровней.

В первой группе тестов определялось максимальное число групп протокола IGMPv3 (Internet Group Management Protocol v3), поддерживаемых коммутатором. Это — ключевой показатель масштабируемости средств многоадресной рассылки. Чем больше число поддерживаемых групп, тем большее число пользователей можно охватить рассылкой.

Мы сконфигурировали каждое устройство для работы только на втором уровне модели OSI, активировав функции IGMP. Затем мы включили генератор/анализатор Spirent TestCenter в состав некоторых групп и определяли, передает ли коммутатор трафик всем сформированным группам, не порождая лавинную рассылку.

Результаты нас несколько удивили. Групповая «емкость» коммутаторов изменялась от 70 (PowerConnect фирмы Dell) до 1500 (устройство ProCurve 3500yl корпорации HP). Для организаций, в которых число групп многоадресной рассылки за время эксплуатации коммутатора вряд ли превысит 70, обнаруженные различия несущественны. Зато для остальных, прежде всего крупных и средних предприятий и даже некоторых небольших, число поддерживаемых групп немаловажно (рис. 1).

При измерении пропускной способности и задержки число поддерживаемых групп иногда оказывалось меньшим максимального значения, что отчасти объясняется конфигурацией коммутаторов. Пропускная способность и задержки измерялись на втором уровне модели OSI примерно в той же сетевой топологии, что в тестах на групповую емкость. На третьем уровне мы разрешили использование протокола PIM (Protocol-Independent Multicast), эквивалентное наличию функции маршрутизации на каждом порте коммутатора. Это — более жесткий режим тестирования, и на сей раз менее половины устройств смогли обслужить 500 групп.

В ряде случаев результаты, отображенные на рис. 1, были получены после неоднократных настроек ПО. В первых испытаниях с многоадресной рассылкой коммутаторов Alcatel-Lucent, Dell, D-Link и Foundry использование 500 групп приводило к зависанию или перезагрузке. Каждая компания предоставила нам ПО, которое сделало работу коммутаторов более стабильной, но не все изделия сумели одолеть планку 500 групп. Модели, для которых это значение было слишком велико, тестировались при их максимальных значениях групповой емкости.

Коммутатор HP поддерживает 500 групп, но лишь благодаря определенной уловке. На третьем уровне модели OSI устройство поддерживает только две виртуальные ЛС, IP-подсети и экземпляра PIM, тогда как показатель остальных продуктов — 49. Очевидно, это не позволит использовать ProCurve 3500yl в тех организациях, которым требуется более двух подсетей либо экземпляров маршрутизатора многоадресного трафика.

Несколько компаний указали, что в сегодняшних корпоративных сетях потребность в поддержке 500 групп многоадресной рассылки возникает крайне редко. Это верно, но ситуация может измениться. Скажем, кредитным учреждениям уже сейчас приходится обслуживать сотни групп подписчиков, нуждающихся в информации о биржевых котировках.

Флуктуации задержки. Задержка передачи, или время, на которое коммутатор помещает каждый пакет в буфер, также является ключевым показателем. Он даже важнее пропускной способности, если речь идет о приложениях реального времени. Более того, в наших тестах пропускная способность многоадресной рассылки всякий раз лишь на 0,5% уступала пропускной способности физической среды передачи.

При одноадресной рассылке различия между продуктами, передававшими пакеты среднего размера, были минимальными. Но стоило запустить в сеть очень короткие либо очень длинные пакеты, как средние и максимальные значения задержек заметно изменились. Так, коммутатор FastIron X448 с завидным постоянством демонстрировал неправдоподобно высокие значения средней и максимальной задержек при обработке длинных пакетов. Производитель сообщил, что в собственных испытаниях он такого эффекта не наблюдал.

Задержки многоадресной передачи варьировались еще сильнее, причем различие между минимальным и максимальным значениями (оба отмечены у коммутатора ProCurve) оказалось 500-кратным. Столь сильный разброс указывает на проблемы с флуктуациями задержки, которые могут негативно повлиять на работу голосовых и видеоприложений. В целом, вариабельность задержки оказалась максимальной у продуктов HP и Alcatel-Lucent; разница между максимальным и средним значениями составляла сотни и даже тысячи миллисекунд. У остальных моделей задержки не превышали 1–4 мс.

У коммутаторов HP и Alcatel-Lucent задержки передачи многоадресного трафика были особенно большими по сравнению с «одноадресными». И наоборот, коммутатор FastIron X448 фирмы Foundry гораздо лучше справлялся с длинными пакетами именно при многоадресной рассылке. К сожалению, сетевые топологии в одно- и многоадресных тестах были разными, что не позволяет непосредственно сравнить полученные результаты. Обработка обоих видов трафика реализована аппаратно, поэтому значительные различия в величинах задержки вызывают удивление.

Контроль над сетевым доступом и поддержка 802.1X

Многие современные коммутаторы поддерживают аутентификацию по протоколу 802.1X — базовому компоненту системы контроля над сетевым доступом (NAC). В шести тестах, специально разработанных для проверки функций NAC, мы обнаружили значительные различия между продуктами: это условия, при которых они разрешают доступ к сети, и виды такого доступа.

В первом тесте на поддержку протокола 802.1X клиент Juniper Odyssey успешно проходил аутентификацию на RADIUS-сервере Steel-Belted производства той же Juniper и помещался коммутатором в статическую VLAN. Этот тест прошли все коммутаторы.

Второй тест, включавший в себя аутентификацию нескольких пользователей, оказался более сложным для коммутаторов: продукты Cisco и Dell потерпели неудачу. Несколько пользователей через неуправляемый концентратор подключались к одному порту коммутатора, и каждый должен был пройти аутентификацию перед получением доступа в сеть. В большинстве устройств (за исключением изделия Extreme) функцию групповой аутентификации приходилось конфигурировать вручную. Но даже после этого продукты Cisco и Dell, аутентифицировав первого пользователя, пропускали в сеть трафик второго и всех последующих без аутентификации. Реакция Cisco свелась к следующему: корпорация настоятельно не рекомендует применять групповую аутентификацию (за исключением таких случаев, как подключение ПК через IP-телефон) и настаивает на разнесении трафика по разным виртуальным ЛС.

Групповая аутентификация востребована во многих случаях, поэтому производители обычно обеспечивают ее поддержку. К сожалению, у администратора может возникнуть иллюзия высокой степени защищенности сети, тогда как на практике активизация функции 802.1X вовсе не гарантирует аутентификации всего трафика.

Третий тест подразумевал моделирование сетей, в которых множество мобильных сотрудников могут подключать свои ноутбуки к случайно выбираемым портам коммутатора, а последний должен динамически приписывать порт к корректной VLAN после аутентификации клиента. Этот тест прошли все устройства, кроме PowerConnect 6248 фирмы Dell, который вообще не поддерживает динамическое отнесение клиентов к VLAN. А коммутатор X450 производства Extreme способен даже приписывать идентифицированного пользователя сразу к нескольким виртуальным ЛС, не имеющим меток.

В четвертом тесте определялась способность коммутаторов динамически активизировать список контроля над доступом (ACL) после успешной аутентификации. Подобно функции динамического отнесения клиентов к VLAN, динамические ACL полезны для поддержки мобильных сотрудников, которым требуется доступ к корпоративным ресурсам вне зависимости от их местонахождения. Такую возможность поддерживают коммутаторы Cisco, Extreme, Foundry и HP. Для обеспечения работы с динамическими ACL коммутатора HP нам пришлось обратиться к недокументированному синтаксису команд, но компания заверила, что в текущую версию ПО уже внесены коррективы. Продукты Alcatel-Lucent, D-Link и Dell не поддерживают динамических ACL.

В пятом тесте мы сымитировали ситуацию неудачной аутентификации с целью выяснить, куда в этом случае коммутатор поместит клиента — в гостевую или в служебную VLAN. Это существенно для сотрудников, неверно набравших пароль, для гостей и работающих по контракту лиц, не имеющих учетных записей. Все коммутаторы безошибочно помещали клиентов в гостевую VLAN.

Наконец, в шестом тесте нас интересовала способность коммутаторов одновременно поддерживать клиентские устройства, не располагающие ПО 802.1X и имеющие такие программы. Протокол 802.1X пока не распространен повсеместно: для множества сетевых устройств, например принтеров, ПО 802.1X не поставляется. В таких случаях полезна опция, которую в Cisco именуют «возвратом к обычной MAC-аутентификации». За исключением изделий D-Link и Dell, протестированные коммутаторы обеспечивают «возврат» для клиентов, не поддерживающих 802.1X. Устройство DGS-3650 фирмы D-Link поддерживает MAC-аутентификацию, но не одновременно с протоколом 802.1X. Коммутатор PowerConnect 6248 компании Dell вообще не поддерживает MAC-аутентификацию, хотя и позволяет ограничить доступ заданными пользователем MAC-адресами.

В продукте Catalyst 3750E производства Cisco предусмотрены три сценария работы по протоколу 802.1X. Не поддерживающие его клиенты помещаются в специальную служебную VLAN. Она отличается от гостевой VLAN, которая предназначена для клиентов, не прошедших аутентификацию средствами 802.1X. Предусмотрен автоматический возврат к MAC-аутентификации, если аутентификация по протоколу 802.1X не состоялась в течение заданного временного интервала. Наконец, возможна аутентификация нескольких устройств на одном порту коммутатора, после чего они могут быть отнесены к разным виртуальным ЛС (а не к одной, как при групповой аутентификации).

Функциональный портрет

Все тестировавшиеся коммутаторы обеспечивают базовые средства коммутации на втором и третьем (по протоколу IPv4) уровнях модели OSI, полную поддержку виртуальных ЛС, агрегацию каналов в соответствии со стандартом 802.3ad, контроль над QoS при передаче трафика второго и третьего уровней. В них реализована даже перемаркировка кодов протокола DiffServ (DSCP) — оптимальный способ классификации трафика для последующей передачи в соответствии со схемой QoS.

Но стоит выйти за рамки базовой функциональности, и различия проявляются в полной мере. Например, в отличие от остальных изделий, коммутатор FastIron X448 не является каскадируемым (у Foundry есть каскадируемая модель, но для тестирования фирма предоставила именно X448). Число поддерживаемых MAC-адресов изменяется от 8192 у PowerConnect 6248 до более чем 64 тыс. у ProCurve Switch 3500yl. А продукты Alcatel-Lucent и D-Link пока не поддерживают протокол Link Layer Discovery Protocol (LLDP) — относительно новый стандарт, регламентирующий обмен сведениями о технических возможностях между взаимодействующими сетевыми устройствами.

Технология электропитания сетевого оборудования через Ethernet (PoE), часто используемая на периферии корпоративных сетей для IP-телефонов и беспроводных точек доступа, также реализована по-разному. Коммутаторы с поддержкой PoE на рынок выпускают все семь производителей, но для испытаний нам их предоставили лишь Cisco, Dell, Extreme, Foundry и HP. Catalyst 3750E фирмы Cisco оказался единственным устройством, в котором электропитание по сети Ethernet подавалось сразу на все 48 «нисходящих» портов.

Не одинаковы и уровни поддержки протокола IPv6. Пока для большинства предприятий наличие такой поддержки не критично, но весьма вероятно, что ситуация изменится прежде, чем нынешние коммутаторы будут заменены новыми (через 3–5 лет). Будучи сконфигурирован на коммутацию второго уровня, любой коммутатор может передавать пакеты IPv6, поскольку он ничего не знает об их заголовках. После настройки на коммутацию третьего уровня все устройства, за исключением ProCurve Switch 3500yl, пересылали пакеты IPv6 между подсетями (HP реализовала поддержку этой функции только в версии 13.x программного обеспечения своих коммутаторов).

На этом различия не заканчиваются. Не следует путать пересылку пакетов между подсетями по статическим маршрутам с истинной маршрутизацией, при которой коммутатор всякий раз динамически определяет путь передачи пакетов. Устройства D-Link, Extreme и HP не поддерживают маршрутизацию трафика IPv6 по протоколам OSPFv3 и RIPng, наиболее распространенным в сегодняшних корпоративных сетях. Да и методы управления работой коммутаторов по протоколу IPv6 сильно различаются от продукта к продукту.

В случае многоадресной рассылки по протоколу IPv6 устройства Dell и HP не поддерживают протокол распознавания адресатов такой рассылки (Multicast Listener Discovery, MLD), который в сетях IPv6 является функциональным эквивалентом более привычного IGMP. В коммутаторе DGS-3650 производства D-Link реализована поддержка MLDv1, но не MLDv2.


Таблица. Результаты тестирования

Рис. 2. Энергопотребление коммутаторов доступа

Таблица. 10-гигабитные коммутаторы доступа: «за» и «против»


Взламывая стандарты

В процессе тестирования, проводимого журналом Network World, часто вскрываются недочеты отдельных индустриальных стандартов. На сей раз они выявлены в протоколе аутентификации IEEE 802.1X и спецификации IETF RFC 3918, регламентирующей измерение пропускной способности при многоадресной рассылке.

В первом случае проблемы обнаружились в конфигурации, в которой несколько пользователей подключались к одному и тому же порту коммутатора и должны были пройти процедуру аутентификации перед получением доступа в сеть. Потребность в групповой аутентификации возникает всякий раз, когда к порту коммутатора подключается больше одного компьютера — через концентратор в переговорной комнате, IP-телефон с двумя портами для подсоединения ПК, беспроводную точку доступа.

Строго говоря, аутентификация нескольких пользователей противоречит стандарту 802.1X. Предусмотренная в нем функция контроля над доступом на уровне MAC-адресов (Port Access Entity, PAE) является конечным автоматом, т.е. либо пропускает, либо блокирует весь трафик, проходящий через данный порт коммутатора. Промежуточный вариант селективного включения/выключения, в котором пакеты от аутентифицированного пользователя пропускаются в сеть, а остальные блокируются, стандартом не регламентирован. Другими словами, групповая аутентификация является нарушением протокола 802.1X. Для обхода этого несоответствия некоторые производители реализовали схему с несколькими конечными автоматами — по одному для каждого MAC-адреса. Другие избрали более простой путь: авторизовать первого пользователя и пропускать весь последующий трафик независимо от его происхождения. Второе решение вряд ли можно признать удовлетворительным, ведь связанные с ним риски аналогичны опасности проникновения в офис посторонних лиц через дверь, которая не успела закрыться за сотрудником.

Логическое противоречие со спецификацией RFC 3918 обнаружилось при измерении групповой емкости коммутаторов. Тест считался пройденным при приеме хотя бы одного пакета от каждой из групп, подписанных на многоадресную рассылку. Однако если пользователи приписаны к большему числу групп, чем способен обслужить коммутатор, он просто пересылает весь многоадресный трафик на все порты независимо от того, к каким из них подключены какие-либо пользователи (лавинная рассылка). Следуя букве документа RFC 3918, успешной следует признать любую итерацию теста, даже ту, которая порождает «лавинную» рассылку.

Чтобы избежать этого противоречия, совместно с компанией Spirent Communications мы разработали альтернативный метод тестирования, в котором вводится один или несколько «шпионских» портов для выявления лавинных рассылок. Соответствующее предложение уже направлено в профильную рабочую группу консорциума IETF.


«Зеленые» цвета коммутаторов

В крупных американских ЦОДах ежемесячные счета за электричество уже превышают 1 млн долл., поэтому интерес к уровню энергопотребления сетевых устройств — далеко не праздный. При помощи тестеров Fluke 322 и 355 мы измеряли мощность, потребляемую отдельными коммутаторами в ненагруженном режиме и при полной нагрузке (рис. 2).

В ходе тестирования обнаружилась трехкратная разница в энергопотреблении между самыми экономными и самыми расточительными моделями, хотя большинство изделий при полной нагрузке потребляли практически одинаковую мощность (128–154 Вт). В ненагруженном режиме наилучший результат продемонстрировал продукт OmniSwitch 6850 компании Alcatel-Lucent (79 Вт), а при полной нагрузке — Summit X450 производства Extreme (128 Вт). На другом конце спектра разместилось устройство FastIron X448 фирмы Foundry: 255 Вт в ненагруженном режиме и 316 Вт при максимальной нагрузке.