Коммутаторы и межсетевые экраны

Коммутаторы и межсетевые экраны.

Содержание:

Модульный коммутатор 3-го уровня CoreBuilder 3500

Сфера применения

Архитектура core Builder 3500

Механизмы управления трафиком

Интерфейсы CoreBuilder 3500

Корпоративные межсетевые экраны.

Безопасность или производительность.

Высокая готовность.

МЭ класса SOHO и desktop.

Модульный коммутатор 3-го уровня CoreBuilder 3500

Маршрутизирующий коммутатор CoreBuilder 3500 предназначен для применения в качестве магистрального устройства локальной сети, позволяя управлять сетевым трафиком без потери производительности. Реализованный на основе специализированных интегральных схем (ASIC) третьего поколения, данный коммутатор обеспечивает обработку трафика на втором и третьем уровне с максимально возможной скоростью. Поддержка виртуальных локальных сетей (VLAN), протоколов обработки многоадресного трафика, классов обслуживания (CoS) и качества обслуживания (QoS), RMON и RAP (Roving Analysis Port) позволяет использовать CoreBuilder 3500 для создания гибкой, функциональной и надежной сетевой инфраструктуры.

Сфера применения

Традиционно существует два подхода к построению крупных корпоративных сетей. Они отличаются способом формирования ядра сети. В первом случае основным устройством сети является коммутатор 2 уровня, обеспечивающий широкую полосу пропускания за относительно низкую цену. Второй подход подразумевает использование в центре сети маршрутизатора – устройства, работающего с информацией 3 уровня модели OSI. Во втором случае сетевая инфраструктура обладает гораздо более высокой управляемостью, однако за это приходится платить значительно более высокую, чем в первом случае, цену. Кроме этого, традиционные маршрутизаторы гораздо менее производительны, чем коммутаторы, и имеют более высокую задержку при передаче пакетов. В изменившихся условиях, которые характеризуются постоянно увеличивающейся нагрузкой и перераспределением сетевого трафика, магистрали корпоративных сетей следующего поколения уже не могут быть построены с использованием обычных коммутаторов или маршрутизаторов. На следующем шаге эволюции локальных сетей для построения магистралей необходимо будет применять новые устройства, сочетающие в себе производительность коммутации 2 уровня и функциональность традиционных маршрутизаторов – коммутаторы 3 уровня или маршрутизирующие коммутаторы. Такие коммутаторы сегодня предлагают несколько производителей, обычно ограничиваясь, однако, поддержкой сетевых технологий Ethernet, Fast Ethernet и Gigabit Ethernet и маршрутизацией только трафика IP.

Коммутатор 3 уровня CoreBuilder 3500 компании 3Com выгодно отличается от большинства аналогичного оборудования других производителей. Во-первых, кроме протокола IP поддерживается маршрутизация протоколов IPX и AppleTalk, а во-вторых, кроме поддержки технологий Ethernet, Fast Ethernet и Gigabit Ethernet, реализована поддержка для FDDI и ATM. Это является очень важным для современных гетерогенных сетей. Производительность CoreBuilder 3500 составляет 4 миллиона пакетов в секунду, что позволяет ему обрабатывать максимально возможный (“wire speed”) трафик, поступающий одновременно со всех его интерфейсов.

Архитектура core Builder 3500

CoreBuilder 3500 имеет 4 слота для установки интерфейсных модулей. Для обеспечения необходимого уровня отказоустойчивости могут использоваться резервные блоки электропитания. Блоки питания и интерфейсные модули обладают возможностью «горячей замены».

Каждый модуль CoreBuilder 3500 содержит уникальный набор специализированных микросхем (ASIC) FIRE. Сокращение FIRE (Flexible Intelligent Routing Engine) можно перевести как «гибкий интеллектуальный механизм маршрутизации». Архитектура FIRE, обеспечивающая возможность перепрограммирования, сильно отличается от архитектуры других ASIC, которые не обладают гибкостью, и работают только так как это было заложено при их производстве. ASIC FIRE содержит в себе RISC-процессор, микрокод которого может быть обновлен. Таким образом, со временем в ASIC может быть добавлена поддержка новых характеристик и изменено его поведение. Например, появление нового стандарта для протокола IP - IP версии 6 потребует только обновления микрокода, но не замены оборудования. Это обеспечивает защиту инвестиций в сетевую инфраструктуру. Устройства, в которых реализована архитектура FIRE, будут служить долгое время, всегда соответствуя самым новым сетевым стандартам. При этом за реализацию такой защиты не приходится расплачиваться производительностью.

При использовании FIRE вводится распределенная конвейерная обработка пакетов, что обеспечивает значительное увеличение производительности. В этом случае существует множество механизмов обработки пакетов, которые быстро передают их через систему. По мере прохождения пакета по конвейеру с ним выполняется следующие действия:

• проверка целостности фрейма

• сбор статистики, включая RMON и RMON 2

• определение принадлежности к виртуальным сетям

• разделение коммутируемых пакетов от маршрутизируемых пакетов

• классификация потоков данных

• применение определенной политики

• применение фильтров

• модификация заголовка пакета при маршрутизации

• применение приоритетов

• передача пакета

Внутри одного конвейера происходит обработка сразу нескольких пакетов. Такое распараллеливание позволяет обеспечить максимально возможную (“wire speed”) производительность на всех портах. При этом отпадает необходимость использования очередей входящих пакетов, что также увеличивает производительность.

Еще одной уникальной особенность FIRE является его работа с памятью. Производительность сетевого коммутирующего оборудования в значительной степени определяется архитектурой используемой подсистемы памяти. Архитектура FIRE связывает часть памяти непосредственно с каждым распределенным механизмом обработки пакетов. По мере добавления интерфейсных модулей со своими собственными механизмами передачи пакетов и памятью, общая память системы, как и ее производительность увеличивается. Архитектура FIRE делает память доступной для всех механизмов обработки пакетов, включая те, которые располагаются на других модулях. Эта физически распределенная, но совместно используемая всеми модулями система памяти обеспечивает значительное увеличение производительности устройства.

Кроме этого оптимизирована работа с буферами памяти. Обычные буферы фиксированного размера в архитектуре FIRE заменяются эластичными буферами. При этом выделяемая для буферизации пакета память соответствует его размеру. Пакет большего размера получает больше буферной памяти, а меньшего - меньше. FIRE создает буферы динамически по мере необходимости. Такое использование памяти позволяет FIRE обрабатывать трафик в сети без потери пакетов.

Автоматическая классификация данных

В локальной сети всегда один вид трафика важнее другого. Например, процесс архивирования приводит к чрезвычайно высокой нагрузке на сеть в течение длительного промежутка времени. Для того чтобы это не мешало работе основных сетевых приложений, обычно эту процедуру проводят ночью. Однако в последнее время многие организации переходят на режим работы 24 часа в сутки, семь дней в неделю. Проблема в этом случае может быть решена с помощью установки администратором приоритетов, которые обеспечат непрерывную работу основных приложений. Базируясь на приоритетах, установленных администратором, функция автоматической классификации потока инструктирует механизмы обработки пакетов о том, что в процессе работы следует классифицировать потоки данных и присоединяет каждому потоку приоритет очереди обслуживания. Это процесс не зависит от сетевой среды и имеет место как в Ethernet, так и в FDDI и АТМ. Помимо некоторых стандартных видов трафика (FTP, Telnet, TCP, IPX, AppleTalk и др.), FIRE позволяет администратору самому определить нужный тип трафика. Используя технику обслуживания очередей с учетом их приоритета (веса), FIRE обрабатывает пакеты из очередей с высоким приоритетом чаще, чем пакеты из очередей с низким приоритетом. Это обеспечивает необходимый уровень обслуживания для высокоприоритетного трафика и в тоже время не позволяет совсем обойти вниманием обычный трафик.

Механизмы управления трафиком

При использовании технологии FIRE можно управлять доступом к сети с помощью системы контроля доступа. С помощью этого свойства FIRE обеспечивается как безопасность, так и резервирование полосы пропускания. Используя возможность классификации трафика, администратор может ограничить любой определенный поток. Например, ограничить доступа к серверам или исключить нежелательное распространение какого-либо протокола. Это прорыв в области сетевых технологий - “брэндмауер“, работающий с производительностью “wire speed“. Для тех, кому нужно более глубоко анализировать пакет, FIRE обеспечивает возможность использования фильтров, которые позволяют контролировать до 64 байт во фрейме. Контроль доступа также включает возможность резервирования полосы пропускания. Для этого FIRE поддерживает сигнальный протокол RSVP (Resource Reservation Protocol). Сейчас разрабатываются и другие сигнальные протоколы, но с учетом возможности программирования FIRE, продукты 3Com, использующие этот ASIC легко могут быть адаптированы к новым технологиям.

Для контроля потоков и наличия заторов в сети FIRE использует механизм регулирования трафика (Traffic Governor). Для мониторинга потоков система динамического регулирования