Prosty switching to za mało. Nowy sprzęt będzie oferował w sieci wiele dodatkowych usług - od bezpieczeństwa przez konwergencję do akceleracji ruchu. Przełączniki LAN czeka podobna ewolucja, jaką wcześniej przeszły routery, teraz urządzenia wielofunkcyjne

Administratorzy sieci będą musieli nabrać wprawy w stosowaniu wielu technologii dotąd nieobecnych w tych podstawowych urządzeniach sieci lokalnych. Zapory sieciowe, szyfrowanie VoIP, IPS/IDS, SSL VPN, akceleracja webowa i równoważenie obciążeń serwerów - architektura przełączników ethernetowych zmienia się, a proste przekazywanie pakietów staje się coraz bardziej wyrafinowane.

Te dodatkowe funkcje były dotąd domeną mniejszych firm produkujących wolno stojące rozwiązania typu appliance. Teraz trafiają one do ofert największych graczy na rynku, integrujących wszystkie usługi w jednej skrzynce i redukujących w ten sposób skomplikowanie infrastruktury.

Niewątpliwie konsolidowanie funkcji oddzielnych urządzeń w jednym przełączniku ma sens, biorąc pod uwagę zarządzanie i rozwój technologiczny. Bez wątpienia jest też logiczne z biznesowego punktu widzenia. Od pewnego czasu najwięksi producenci przełączników muszą bowiem mierzyć się z przeświadczeniem klientów, że sieci stały się towarem masowym. Ceny przełączanych portów ethernetowych (nawet gigabitowych) bardzo spadły, a na rynku coraz większą rolę odgrywają mniejsi producenci (przede wszystkim z Azji), sprzedający również urządzenia dla przedsiębiorstw. Wielkim graczom coraz trudniej jest przekonać do swojej oferty klientów, którzy są przeświadczeni, że nie trzeba płacić więcej za taką samą, standardową funkcjonalność. Obudowanie przełączników w dodatkowe usługi powinno to ułatwić.

Technologiczna konsolidacja jest wynikiem wcześniejszych fuzji biznesowych, w których wielkie firmy przejmowały mniejsze, działające w różnych rynkowych niszach, najczęściej związanych z bezpieczeństwem sieciowym. Do najbardziej znanych tego typu działań należą przejęcia TippingPoint przez 3Com, Protego Networks przez Cisco czy NetScreen przez Junipera.

Kilka ważnych pytań

Przełączniki następnej generacji mają mieć nie tylko wbudowane inteligentne funkcje bezpieczeństwa - takie jak zapora sieciowa, systemy IPS/IDS (Intrusion Prevention Systems/Intrusion Detection Systems), obsługa połączeń SSL VPN - ale także oferować bogate możliwości optymalizacji działania rozmaitych aplikacji, w tym akcelerację ruchu www, równoważenie obciążeń serwerów i buforowanie oraz optymalizację ruchu WAN.

Podstawowe pytania, na które będzie musiał odpowiedzieć sobie administrator wobec nowej oferty, muszą dotyczyć stopnia integracji potrzebnego w zarządzanej sieci, a przede wszystkim tego, czy nowy sprzęt będzie cechować taki stosunek ceny/wydajności, by warto było wymieniać dotąd używany?

Zanim jednak administrator stanie przed takimi dylematami, trzeba ustalić, kiedy nowy sprzęt pojawi się na rynku? Zdaniem analityków następna generacja przełączników dostępna w sprzedaży to nie jest sprawa jednego roku. Teraz trwa stan przejściowy - dodatkowe funkcjonalności są najczęściej dostarczane w postaci dodatkowego modułu montowanego w obudowie przełącznika. Aby były one powszechnie dostępne - po prostu na każdym porcie switcha - trzeba będzie poczekać kilka lat. W tej chwili taka architektura wydaje się za droga, pochłaniająca zbyt wiele mocy procesorów.

Przewiduje się jednak, że w ciągu następnych 2-3 lat nastąpią prawdziwe zmiany wprowadzające na rynek platformy następnej generacji. Przede wszystkim wiele funkcji związanych z bezpieczeństwem, takich jak deep packet inspection (szczegółowa analiza pakietów) będzie realizowanych wprost na kartach liniowych. Nowa generacja kart, pasujących do obecnie używanych przełączników, ma oferować dużo większy wgląd w to, co dzieje się w sieci, zapewniając tę funkcjonalność na każdym porcie.

Przyszłość niejedno ma imię

Ten większy wgląd oferowany przez jedno urządzenie opisuje wiele nazw, związanych z firmowymi strategiami producentów, np. Intelligent Network Control w 3Com, Application-Oriented Network w Cisco, context networking Enterasysa, Adaptive EDGE w HP czy application fluency Junipera.

Za różnymi nazwami kryją się prace nad stworzeniem przełączników nie tylko lepiej przekazujących pakiety i dostarczających ich we właściwe miejsce, ale także badających całe strumienie związanego z aplikacjami ruchu i podejmujących na podstawie takiej kontroli właściwe dla poszczególnych aplikacji działania. Kontrola nie będzie ograniczała się do zwykłego stwierdzania, czy pakiet jest właściwy, ale polegała na sprawdzeniu, czy sekwencja kolejnych pakietów pasuje do całego strumienia. Jeśli zostaną wykryte jakieś anomalie, przełącznik podejmie odpowiednie kroki naprawcze. W efekcie zwiększy się ochrona komunikacji i wydajność aplikacji.

A co z wydajnością przełączania?

Znaleźć zgrabną nazwę dla nowej firmowej architektury nie jest jednak tak trudno jak rozwiązanie jej szczegółów technicznych. Bez wątpienia bowiem upakowanie wszystkich technologii dzisiaj obsługiwanych przez specjalizowane urządzenia w jednym przełączniku musi mieć wpływ na jego wydajność.

Rzecz więc w znalezieniu złotego środka między wyposażonymi we wszelkie możliwe funkcje, a przez to wolnymi kartami liniowymi a kartami realizującymi tylko podstawowe zadanie przekazywania pakietów i przez to bardzo szybkimi.

Od jakiegoś czasu producenci przełączników oprócz bogatego wyboru dodatkowych funkcji opartych na przełączaniu pakietów pozwalają na wybór miejsca w sieci, gdzie powinny być one wdrażane.

ProCurve Networking, sieciowy dział HP, lansuje architekturę Adaptive EDGE, w której przełączniki przeznaczone do rdzenia sieci mają realizować przede wszystkim jak najbardziej wydajny przekaz pakietów. Na brzegu sieci, gdzie funkcjonują użytkownicy, aplikacje, usługi i inne elementy komunikacji, ruch jest obsługiwany w znacznie bardziej wyrafinowany sposób przy wciąż akceptowalnej wydajności. Za wydajność i inteligencję przełączników HP mają odpowiadać kolejne generacje układów scalonych ASIC (Application Specific Integrated Circuit) z programowalnym procesorem sieciowym. Najnowszy układ, nazwany ProVision, zapewnia m.in. egzekwowanie reguł polityki bezpieczeństwa z szybkością łącza (np. ustawień ACL czy QoS dla wielu różnych klientów łączących się z siecią przez pojedynczy port LAN), reagowanie na te ataki DoS czy rozprzestrzenianie się wirusów (tzw. Virus Throttling, czyli identyfikowanie przez przełączniki ruchu związanego z atakiem i dławienie go na odpowiednich portach). Programowalność układu umożliwia wprowadzanie nowych funkcji.

Podobne strategie umieszczania inteligencji na brzegu sieci z prostszym, ale bardzo wydajnym przetwarzaniem pakietów w szkielecie mają również inne firmy. Ponieważ urządzenia przeznaczone na brzeg, jak i do rdzenia wykorzystują tę samą platformę, użytkownicy mogą przenosić poszczególne funkcje w sieci z miejsca na miejsce, gdy ich potrzeby się zmienią. Takie podejście na razie opiera się najczęściej na modułach, umieszczanych w gniazdach obudowy przełącznika, a nie na wbudowanej wprost w platformę funkcjonalności. Można się jednak spodziewać, że rozwój technologiczny osadzi pewne usługi - przede wszystkim bezpieczeństwo (np. IDS/IPS i deep packet inspection) - wprost na kartach liniowych.

Taki kierunek zapowiada m.in. Cisco. Lider rynku sieciowego w swych planach zakłada, że te funkcje będą integrowane na poziomie portów przełącznika. Realizowana w ten sposób szczegółowa analiza pakietów pozwoli przełącznikom badać nagłówki HTTP i schematy XML i zgodnie z nimi odpowiednio kierować ruch. Wykorzystując routing XML, czyli języka, który w świecie komunikatów ma odegrać rolę protokołu IP, przełączniki AON będą mogły czytać komunikaty (np. zamówienia spływające do działu sprzedaży) i kierować je zgodnie z predefiniowanymi regułami (np. gdzie indziej przekazywać zamówienie na 50 USD, a gdzie indziej na 100 tys. USD). Ten mechanizm jest jednym z elementów architektury nazwanej przez Cisco Application-Oriented Network (AON).