Routery i przełączniki urządzenia do wszystkiego

Zasilanie przez sieć

Technologia PoE (zasilanie urządzeń sieciowych przez skrętkę UTP) na dobre wkroczyła do przełączników. Jest to już właściwie standard w tych węzłach sieci. Jeśli jednak przełącznik nie obsługuje tej technologii, użytkownik może zainstalować między nim i klientami urządzenie PoE typu midspan. Urządzenie wymienia dane Ethernet między przełącznikiem i końcowymi stacjami sieciowymi, dodając do okablowania (połączenie Ethernet lub Fast Ethernet; pary przewodów 4/5 i 7/8) napięcie zasilające 48 VDC.

IEEE pracuje już nad kolejną wersją standardu PoE, wprowadzając istotne zmiany do starszej specyfikacji 802.3af, tak aby telefony IP, punkty dostępowe i kamery internetowe mogły pobierać więcej prądu. Grupa robocza, pracująca nad nowym standardem o nazwie 802.3at (znanym też jako PoE Plus), chce nie tylko zwiększyć moc zasilania urządzeń sieciowych, ale także umożliwić zasilanie stacji końcowych przez wszystkie cztery przewody okablowania UTP, a nie tylko przez dwa, jak przewiduje standard 802.3af.

Standard 802.3af definiuje, że maksymalna moc dostarczana urządzeniu sieciowemu nie może przekraczać 15,4 W. Dla wielu użytkowników to zdecydowanie za mało. 802.3at ma zwiększyć tę wartość co najmniej dwa razy, do poziomu 30 W.

Ochrona przed intruzami

Producenci przełączników wyposażają je w opcje, które chronią sieć LAN przed intruzami. Jedną z nich jest oprogramowanie IPS (Intrusion Prevention System - system zapobiegający włamaniom). Stosuje je np. w swoich przełącznikach 3Com. Przełączniki reagują na polecenia wysyłane przez system IPS (opracowany przez przejętą firmę TippingPoint). IPS kontroluje cały ruch kierowany do sieci, a pakiety są analizowane aż do siódmej warstwy modelu OSI, po czym podejmowana jest decyzja, czy należy je zablokować, czy też pozwolić im dotrzeć do sieci. System IPS jest zagnieżdżany na modułach, które można instalować w przełącznikach i routerach.

Przełącznik z systemem IPS może zamykać porty lub przekierowywać ruch do bezpiecznych sieci VLAN, w których kwarantannę mogą odbywać urządzenia sieciowe i całe segmenty sieci, w których wykryto robaka lub niebezpieczny kod.

Alcatel we współpracy z producentami systemów IPS opracował strategię Automated Quarantine Engine. Cisco wprowadza wspomnianą już Network Admission Control. Podobnemu rozwiązaniu kontroli dostępu Enterasys nadał nazwę Automated Security Manager, a HP lansuje Identity-Driven Management. Nortel wprowadzi wkrótce na rynek rozwiązanie, które chroni system informatyczny przed zagrożeniami, sprawdzając stan punktów końcowych (klientów) próbujących uzyskać dostęp do firmowej sieci LAN. Rozwiązanie SNAS (Secure Network Access Switch) współpracuje z przełącznikami LAN. Gdy klient chce uzyskać dostęp do sieci LAN, przełącznik zgłasza się najpierw do serwera DHCP z prośbą o przypisanie mu adresu IP. Żądanie jest wtedy przekierowywane do urządzenia SNAS, które uwierzytelnia klienta i ładuje do jego pamięci aplet Java. Aplet sprawdza stan klienta pod kątem bezpieczeństwa (bada np., czy pecet dysponuje oprogramowaniem antywirusowym oraz czy pracuje pod kontrolą odpowiedniego systemu operacyjnego zawierającego stosowne poprawki serwisowe).

Fiber to the Office

Bogata jest oferta przełączników wykorzystujących technologię FTTO (Fiber to the Office). Producenci integrują w nich infrastrukturę światłowodową z okablowaniem miedzianym obsługującym Gigabit Ethernet. Są to najczęściej przełączniki instalacyjne, przeznaczone do montowania w kanałach kablowych i systemach podpodłogowych.

Dane wychodzące z przełącznika - z łącza światłowodowego - są konwertowane i aktywnie przełączane na porty miedziane. Dlatego urządzenie pracujące po drugiej stronie nie musi być wyposażone w kosztowne światłowodowe karty sieciowe.

Dostawcy usług sieciowych mogą też kupować przełączniki, które można instalować na zewnątrz budynków. Urządzenia takie są zamknięte w specjalnej obudowie, dlatego są odporne na deszcz, śnieg, wstrząsy oraz na niskie i wysokie temperatury. Takie przemysłowe przełączniki mogą być wykorzystane do instalowania punktów dostępowych do sieci w miejscach (np. na masztach), w których standardowy switch nie zda egzaminu.

Integrowanie usług w jednej skrzynce

Routery i przełączniki urządzenia do wszystkiego

IPS - system zapobiegający włamaniom

Przełączniki LAN cały czas ewoluują. Produkowane obecnie urządzenia obsługują wiele funkcji bezpieczeństwa: filtrowanie pakietów (zapora), IDS (Intrusion-Detection System - wykrywanie włamań), IPS (Intrusion-Prevention System - zapobieganie włamaniom) czy SSL VPN. Nowe generacje przełączników zapewnią np. akcelerację WWW, pojemne bufory na dane, równoważenie obciążeń podłączonych do nich serwerów oraz mechanizmy optymalizujące zarówno ruch LAN, jak i WAN.

Te dodatkowe funkcje były dotąd domeną mniejszych firm produkujących wolno stojące rozwiązania typu appliance. Teraz trafiają one do ofert największych graczy na rynku, integrujących wszystkie usługi w jednej skrzynce i redukujących w ten sposób skomplikowanie infrastruktury.

Niewątpliwie konsolidowanie funkcji oddzielnych urządzeń w jednym przełączniku ma sens, biorąc pod uwagę zarządzanie i rozwój technologiczny. Bez wątpienia jest też logiczne z biznesowego punktu widzenia. Od pewnego czasu najwięksi producenci przełączników muszą bowiem mierzyć się z przeświadczeniem klientów, że sieci stały się towarem masowym. Ceny przełączanych portów ethernetowych (nawet gigabitowych) bardzo spadły, a na rynku coraz większą rolę odgrywają mniejsi producenci (przede wszystkim z Azji), sprzedający również urządzenia dla przedsiębiorstw. Wielkim graczom coraz trudniej jest przekonać do swojej oferty klientów, którzy są przeświadczeni, że nie trzeba płacić więcej za taką samą, standardową funkcjonalność. Obudowanie przełączników w dodatkowe usługi powinno to ułatwić.

Technologiczna konsolidacja jest wynikiem wcześniejszych fuzji biznesowych, w których wielkie firmy przejmowały mniejsze, działające w różnych rynkowych niszach, najczęściej związanych z bezpieczeństwem sieciowym. Do najbardziej znanych tego typu działań należą przejęcia TippingPoint przez 3Com, Protego Networks przez Cisco czy NetScreen przez Junipera.

Jak będą wyglądały kolejne generacje przełączników? Obecnie wielofunkcyjne przełączniki to urządzenia o konstrukcji chassis z podstawowymi modułami przełączania i zarządzania, w których można instalować wiele modułów dodatkowych, realizujących różne funkcje. Zdaniem analityków to stan przejściowy - w przyszłości dodatkowe usługi będą powszechnie dostępne po prostu na każdym porcie switcha. Jednak trzeba będzie poczekać na to kilka lat. W tej chwili taka architektura wydaje się za droga, pochłaniająca zbyt wiele mocy procesorów.

Przewiduje się, że w ciągu następnych 2-3 lat nastąpią prawdziwe zmiany wprowadzające na rynek platformy następnej generacji. Przede wszystkim wiele funkcji związanych z bezpieczeństwem, takich jak deep packet inspection (szczegółowa analiza pakietów) będzie realizowanych wprost na kartach liniowych. Nowa generacja kart, pasujących do obecnie używanych przełączników, ma oferować dużo większy wgląd w to co dzieje się w sieci, zapewniając tę funkcjonalność na każdym porcie.

Wielu dostawców sprzętu sieciowego już pracuje nad tego rodzaju konstrukcjami. Będą to urządzenia, które nie tylko odbierają pakiety, przeglądają je i odsyłają do odpowiedniego portu, ale analizują całe strumienie pakietów, zapewniając korzystającym z ich usług serwerom i aplikacjom bezpieczeństwo oraz optymalizując ich wydajność. Do świadczenia wielu usług potrzeba odpowiedniej mocy obliczeniowej. Dostarczą ją nowe specjalizowane układy ASIC oraz procesory sieciowe.

Kazimierz Osiński, Country Category Manager, HP Polska

Druga połowa 2005 r. charakteryzowała się coraz większą sprzedażą przełączników gigabitowych. Pod koniec roku zarządzalne przełączniki gigabitowe stanowiły w sprzedaży największą wartościowo grupę produktów. W zeszłym roku zaczął się sprzedawać 10GbE. Według danych IDC, HP było drugim producentem w Polsce pod względem liczby sprzedanych portów 10GbE. Obecnie koszt portu 10GbE w urządzeniach Full Layer 3 dedykowanych do budowy małego rdzenia w przeliczaniu na statystyczny port w standardzie CX4 spada do poziomu ok. 3000 zł dla klienta końcowego.


TOP 200