Słońce świeci także w sieci

Wśród kilku nowych produktów ogłoszonych ostatnio przez Sun Microsystems znalazły się przełączniki aplikacyjne.

Wśród kilku nowych produktów ogłoszonych ostatnio przez Sun Microsystems znalazły się przełączniki aplikacyjne.

Tydzień temu Sun ogłosił kilka nowych produktów. Firma wprowadziła do oferty cztero- i ośmioprocesorowe serwery z dwurdzeniowymi układami UltraSPARC IV - SunFire 490 i SunFire 890. Oprócz tego Sun ogłosił wsparcie dla nowej macierzy HDS Tagmastore, którą będzie oferować pod własną marką jako StorEdge 9990V. Firma wprowadza też do oferty macierze 6920 z funkcją wirtualizacji zasobów oparte na rozwiązaniach przejętych wraz z Pirus Networks (pisaliśmy o nich w CW 24/2004), a także urządzenia NAS. Ta ostatnia wiadomość jest nieco zaskakująca, ponieważ firma już kilka lat temu przestała poważnie traktować rynek NAS. Największą nowością jest jednak zapowiedź wprowadzenia na rynek linii przełączników aplikacyjnych.

Jest ryzyko, jest nagroda

Słońce świeci także w sieci

Przełącznik aplikacyjny N2000 oferuje podział na logiczne partycje, inspekcję warstw 4-7

Wchodząc na rynek przełączników aplikacyjnych (content switch, security switch), firma chce wykorzystać technologie, które przejęła w styczniu br. wraz z firmą Nauticus Networks. Nadzieje na dodatkowy przychód nie są być może pozbawione uzasadnienia. Budując duże, kompleksowe środowiska, Sun ma szanse sprzedać urządzenia tego rodzaju - z punktu widzenia klienta korporacyjnego jest to propozycja w sumie atrakcyjna, oznacza bowiem jedną umowę serwisową mniej.

Z drugiej strony oferowanie przełączników konkurujących bezpośrednio z produktami dotychczasowych sprzymierzeńców na rynku telekomunikacyjnym, w szczególności Cisco Systems, Nortel czy F5 Networks budzi obawy, że ostatecznie ruch ten może obrócić się przeciwko Sunowi. Do tej pory firma oferowała jedynie karty rozszerzeń zawierające akceleratory SSL i/lub równoważące obciążenie oraz serwery kompaktowe z taką funkcjonalnością. Sun nie był więc realnym konkurentem firm żyjących z produktów sieciowych.

Teraz wszystko może się zmienić. Jeśli chodzi o Cisco, firma ta zyska argument, by zamiast z Sunem współpracować bliżej z IBM, co zresztą ma miejsce od dawna. Poza tym historia pokazała, że nawet doskonały produkt nie musi zdobyć dużego udziału w rynku. Zarząd Suna musiał jednak w jakiś sposób kalkulować zyski i straty. Być może liczy, że trend związany z bezpieczeństwem danych uczyni z przełączników aplikacyjnych rozwiązanie powszechnego użytku, co jest całkiem prawdopodobne. Pytanie tylko - kiedy?

24 tys. - tyle nowych sesji SSL 3.0/TLS może w ciągu sekundy nawiązać przełącznik N2000; urządzenie może utrzymywać do 480 tys. szyfrowanych tuneli.

Priorytety po nowemu

Co można zyskać dzięki wdrożeniu przełącznika aplikacyjnego? Okazuje się, że sporo. Przede wszystkim reguły przełączania pakietów można oprzeć nie tylko na priorytetach ustalanych w warstwie TCP/IP, ale także w warstwach wyższych, z zawartością pakietu włącznie, co daje całkowicie nowe, w stosunku do przełączników działających tylko w warstwach 2-4, możliwości kształtowania ruchu. Wyższy priorytet dla pakietów głosowych względem wszystkich innych to jeszcze nic - wrażenie robi kształtowanie ruchu w różny sposób na podstawie treści plików cookie czy zawartości stron WWW - jedno nie wyklucza zresztą drugiego.

Kolejna korzyść z wdrożenia przełącznika aplikacyjnego to możliwość jednoczesnej inspekcji protokołów warstw 4-7 oraz samej treści pakietów pod kątem bezpieczeństwa w czasie rzeczywistym. Pozwala to wykrywać i uniemożliwiać całą gamę ataków, które korzystają właśnie z faktu, że do tej pory trudno było kojarzyć ze sobą informacje wynikające z zachowania się protokołów na różnych warstwach. Ataki wykorzystujące "typowe" metody, w rodzaju SYN Flood, Smurf czy Fraggle, ataki polegające na podszywaniu się pod adres IP, a nawet niektóre ataki DoS przestają być problemem.

Dzięki wydajności wynikającej ze sprzętowej akceleracji możliwe jest np. przepisanie "w locie" adresu URL lub wyrażenia SQL, co do którego istnieje podejrzenie, że może być umyślnym lub nieumyślnym zagrożeniem dla danych (np. ataki typu SQL Injection, o których sporo pisaliśmy na naszych łamach). Przełącznik aplikacyjny może ponadto szyfrować strumienie danych w obie strony. Po deszyfracji i przejrzeniu danych urządzenia N2000 może z powrotem zaszyfrować dane i przesłać je bezpiecznie do serwera docelowego. Przełącznik aplikacyjny N2000 zapewnia ponadto funkcje równoważenia obciążenia oparte nie tylko na algorytmach łańcuchowych (round robin), ale uwzględniających także ustalone a priori wagi, poziom obciążenia serwerów i inne.

Szyfrowanie to pestka

Zakładając, że Sun nie zmodyfikuje istotnie oferty Nauticus Networks, dostępne będą dwa modele przełączników N2000 różniące się liczbą portów Gigabit Ethernet (16 lub 64) oraz mocą obliczeniową przekładającą się na liczbę możliwych do zestawienia połączeń/tuneli. Model wyższy - N2040 jest w stanie obsłużyć do 300 tys. nowych nieszyfrowanych sesji warstw 4-7 na sekundę lub alternatywnie do 24 tys. nowych sesji SSL 3.0/TLS na sekundę. Urządzenia mogą równolegle obsługiwać do 2 mln połączeń nieszyfrowanych lub do 480 tys. sesji SSL 3.0/TLS. Maksymalna przepustowość ruchu szyfrowanego sięga według producenta ok. 4 Gb/s.

Wirtualne wnętrze

Oprócz wydajnego szyfrowania i deszyfrowania ruchu w obie strony oraz inspekcji protokołów i treści w czasie rzeczywistym, przełącznik N2000 oferuje możliwość podziału zasobów urządzenia na logiczne partycje. Konfiguracja środowiska sieciowego i aplikacyjnego może dzięki temu być jeszcze bardziej elastyczna. W ramach jednego urządzenia można stworzyć wiele podsieci z odrębnymi politykami kształtowania i inspekcji ruchu. Poszczególne przełączniki wirtualne mogą być ponadto niezależnie od siebie aktywowane i dezaktywowane, np. w celu aktualizacji wersji oprogramowania.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200