Wielki test przełączników 10 Gb/s
- David Newman,
- 09.06.2008
Przełącznik HP mógł obsługiwać 500 grup, ale nie bez problemów: podczas testu Layer-3 przełącznik mógł używać tylko dwie wirtualne sieci LAN, podsieci IP i instancje routingu PIM (Protocol Independent Multicast). Wszystkie inne przełączniki uzyskały wielokrotnie lepszy wynik (49). Dlatego przełącznika HP nie można stosować w środowiskach, w których istnieje konieczność skonfigurowania więcej niż dwóch podsieci i instancji routingu multicast.
Opóźnienie (czyli czas, jaki potrzebuje przełącznik, po odebraniu pakietu z portu wejściowego, na wyekspediowanie go do portu wyjściowego) to bardzo ważny parametr. Szczególnie istotny wtedy, gdy przełącznik obsługuje pakiety generowane przez aplikacje pracujące w czasie rzeczywistym (np. takie, które przesyłają w tym trybie obrazy wideo).
Także przy opóźnieniach ruch multicast pokazał, że między przełącznikami mogą być duże różnice (zob. rys. str. 30). W tej kategorii oceny słabo wypadł przełącznik HP (ProCurve). W przypadku tego switcha warto zwrócić uwagę na znaczne różnice występujące między maksymalnym i średnim opóźnieniem. Przekłada się to na parametr jitter (rozrzut opóźnień) i świadczy o tym, że przełącznik HP nie najlepiej nadaje się do obsługiwania aplikacji czasu rzeczywistego, czułych na opóźnienia. Także przełącznik Alcatel-Lucent uzyskał słaby wynik. Rozrzut opóźnień w przypadku tych dwóch urządzeń jest bardzo duży, inne przełączniki spisują się dużo lepiej (jitter wynosi co najwyżej od 1 do 4 mikrosekund).
Uwierzytelnianie - obsługa NAC/802.1X staje się standardem
Znakomita większość produkowanych obecnie przełączników wspiera uwierzytelnianie NAC/802.1X. Testowane urządzenia również. Pozostaje jednak pytanie, jak przełączniki sprawdzają stan klientów i wg jakich zasad pozwalają klientowi uzyskać dostęp do sieci LAN. Aby to sprawdzić, opracowano sześć scenariuszy.W pierwszym sprawdzano, czy klient jest rzeczywiście prawidłowo uwierzytelniany i przełącznik umieszcza go wtedy na definiowanej statycznie liście VLAN. Wszystkie przełączniki przeszły ten test z wynikiem pozytywnym.
W drugim scenariuszu (multi--auth) do jednego portu przełącznika podłączano wielu klientów (przez niezarządzalny koncentrator) i sprawdzano, czy przed przyznaniem im prawa dostępu do sieci każdy z nich jest zawsze uwierzytelniany.
Ze scenariuszem multi-auth mamy do czynienia np. w przypadku używania telefonów IP (w których znajduje się nieraz dwuportowy przełącznik, wykorzystywany do podłączania przez telefon komputera PC) czy punktów dostępowych WLAN (szczególnie tzw. cienkich punktów dostępowych, które są podłączane do przełączników/kontrolerów, odpowiadając za obsługę wielu bezprzewodowych klientów).
Przełączniki firm Cisco i Dell uwierzytelniały prawidłowo pierwszego klienta, ale już następnym klientom zapewniały dostęp do sieci nie sprawdzając ich, czyli nie uwierzytelniając.
Cisco poinformowało, że odradza użytkownikom stosowanie opcji multi-auth, z wyjątkiem pewnych sytuacji, takich jak użycie telefonu IP z podłączonym do niego komputerem PC (firma radzi wtedy segregowanie ruchu przez konfigurację różnych sieci VLAN).
W trzecim scenariuszu (dynamiczne sieci VLAN) sprawdzano, czy przełącznik może po uwierzytelnieniu klienta przypisywać dynamicznie port do konkretnej sieci VLAN. Jest to symulacja środowiska, w którym wielu użytkowników notebooków może podłączać się zupełnie przypadkowo do różnych portów przełącznika. Przełączniki przeszły ten test pomyślnie z wyjątkiem PowerConnect 6248 (Dell), który nie obsługuje technologii dynamicznego przypisywania portów do sieci VLAN.
W piątym scenariuszu konfigurowano klientów tak, aby nie byli uwierzytelniani. Następnie sprawdzano, czy przełącznik poddaje takiego klienta kwarantannie (umieszczając go w specjalnej, wydzielonej do tego celu sieci VLAN). Wszystkie przełączniki przeszły test z wynikiem pozytywnym.