Функциональность коммутаторов второго/третьего уровней ограничивается в основном продвижением и маршрутизацией IP-пакетов. Коммутаторы четвертого/ седьмого уровней, известные также как коммутаторы Web или коммутаторы приложений, для принятия решения о продвижении привлекают информацию о портах и приложениях из заголовка пакета и частично его содержимого. Областями применения являются обеспечение готовности приложений и задачи безопасности.

Коммутаторы приложений предлагают две группы производителей: крупные поставщики коммутаторов — Cisco, Nortel и Foundry, и нишевые производители, прежде всего F5 Networks. Свое происхождение коммутация приложений ведет от классической балансировки нагрузки между серверами (Server Load Balancing, SLB). В середине 90-х гг., наряду с F5 и Radware, пионерами в этой области были компания Alteon — с 2000 г. ее продукты вошли в портфолио Nortel, и ArrowPoint — в том же 2000 г. ее взяла под свое крыло Cisco. Если изначально задача балансировки нагрузки решалась при помощи решений на базе ПК, то постоянный рост функционального многообразия устройств заставил производителей прийти к выводу, что стандартные задачи продвижения данных следует решать на аппаратной платформе, т. е. на базе специализированных интегральных схем (Applications Specific Integrated Circuit, ASIC) и в виде специализированных коммутаторов.

Шаг в сторону коммутаторов был обусловлен растущими требованиями к скорости обработки, с которой устройства управления трафиком выполняют работу серверных систем и, частично, с которой они интерпретируют весьма детальные правила продвижения (см. врезку «Области применения»). Кроме того, все бо?льшая часть трафика корпоративных приложений использует порт HTTP 80, поэтому чистая балансировка нагрузки четвертого уровня быстро достигает своего предела. Для интеллектуального продвижения необходим анализ всего заголовка, а по возможности и содержимого пакета.

АРХИТЕКТУРЫ КОММУТАТОРОВ ПРИЛОЖЕНИЙ

Используемые для коммутации приложений архитектуры разных производителей сильно отличаются друг от друга. Так, например, F5 со своим коммутатором четвертого/ седьмого уровней делает ставку на комбинацию коммутирующих микросхем ASIC и центрального процессора для решения задач седьмого уровня. «Наша технология седьмого уровня на базе программного обеспечения гораздо более гибкая, чем полностью аппаратные аналоги, — считает генеральный директор F5 Джон МакАдам. — Кроме того, она легко переносима, что является крупным преимуществом для выхода на рынок управления серверными «лезвиями». Коммутатор приложений Big IP 5100 от F5 использует два процессора Intel Pentium для обслуживания 24 портов Fast Ethernet и четырех портов для каскадирования Gigabit Ethernet; устройство Big IP 2400 с одним процессором Intel Pentium обслуживает 16 портов Fast Ethernet и два порта для каскадирования Gigabit Ethernet. Противоположный архитектурный подход выбрала Nortel: применяемая в новых коммутаторах приложений серии 2000 архитектура виртуальной матрицы (Virtual Matrix Architecture, VMA) направляет трафик со всех портов к четырем коммутирующим процессорам, а в случае трафика протокола защищенных сокетов (Secure Sockets Layer, SSL) — на специализированный процессор приложений. Таким образом производительность процессора при максимальных нагрузках гибко распределяется между всеми портами.

Коммутаторы четвертого/седьмого уровней доступны, с одной стороны, в качестве устройств с фиксированной конфигурацией, а также в виде блоков для установки в стойку высотой 1U или 2U, а с другой — как коммутирующие «лезвия» для модульных коммутаторов. Nortel, Foundry, а также лидер на рынке Cisco выпускают и жестко сконфигурированные, и модульные варианты: модуль коммутации контента (Content Switching Module, CSM) из линейки Catalyst рассчитан на крупные серверные фермы и вычислительные центры. Преимущественно для серверных ферм предназначены недавно выпущенные коммутаторы Content Services Switch (CSS) из компактной, частично модульной серии 11500 (она является наследницей серии 11000). CSS 11501 предлагает восемь портов Fast Ethernet и один гигабитный порт для каскадирования, в то время как два его «старших брата» 11503 и 11506, благодаря наличию, соответственно, трех и шести слотов конвертера гигабитного интерфейса (Gigabit Interface Converter, GBIC), обеспечивают заметно большую гибкость. Они могут наращиваться до 32 (CSS 11503) и 80 (CSS 11506) портов Fast Ethernet и обладают двумя и четырьмя модулями SSL. Модули SSL в состоянии справиться с организацией 800 сеансов в секунду, а «лезвие» SSL для Catalyst — до 3000 сеансов. CSM работает под управлением операционной системы IOS от Cisco, устройства же CCS используют заимствованную у ArrowPoint систему Web Network Services (Web NS). Однако Cisco специально подчеркивает тот факт, что вследствие постоянного параллельного развития функциональный набор обеих продуктовых групп практически идентичен, обслуживание тоже не отличается. В качестве преимущества своей распределенной архитектуры Cisco называет коммутацию на основе потоков: если решение о продвижении уже принято, то весь поток следует по выбранному пути посредством трансляции сетевых адресов (Network Address Translation, NAT). Это снижает вычислительные издержки.

ФИЛОСОФИЯ ПРОДУКТОВ

Еще один критерий различия между производителями касается философии продуктов: Radware исповедует модульный подход и для каждой области применения добавляет новое специализированное приложение, а Cisco, F5 и Nortel делают ставку на интегрированную концепцию. Их устройства охватывают целый ряд функций и свойств — в случае Nortel, к примеру, наряду с балансированием нагрузки на сервер, еще и балансировку нагрузки на брандмауэры, VPN и систему обнаружения вторжения (Intrusion Detection System, IDS), а также интеллектуальное продвижение видеопотоков без применения дополнительных функциональных пакетов. Nortel предлагает коммутаторы Web в автономном исполнении под маркой Alteon, а также модули четвертого/седьмого уровней для магистральных маршрутизаторов Passport Core Switch. По данным производителя, функциональность обеих продуктовых линеек — как и у Cisco — идентична. Новинкой у Nortel является коммутатор приложений Alteon 2424, а также 2424 SSL с дополнительным ускорением SSL. Устройство высотой 1U с 24 портами Fast Ethernet и четырьмя портами для каскадирования Gigabit Ethernet поддерживает коммутацию седьмого уровня и до 51 тыс. сеансов в минуту. Оснащенная исключительно Gigabit Ethernet, серия 3000 должна появиться в этом году. К съемным модулям добавился ускоряющий модуль Alteon 8661 SSL, он дополняет функциональностью SSL модуль коммутации Web в Passport.

Тем самым Nortel следует тенденции оснащать магистральные коммутаторы не только управлением трафиком, но и функциями обеспечения безопасности. Управление трафиком и обеспечение безопасности сближаются все теснее, поскольку положительный побочный эффект коммутации приложений заключается в том, что полученная информация может быть использована для обеспечения безопасности сети. Коммутаторы приложений способны, например, отражать атаки на отказ в обслуживании (Denial of Service, DoS) или проверять пакеты данных на следы опасных «червей» и таким образом дополнять брандмауэры. Подобные продукты проверки содержимого имеются, в частности, у Radware, F5 и Array Network. Array позиционирует себя явным образом в нише управления безопасностью и содержимым: платформа безопасности Array Security Platform фокусируется на управлении трафиком Web и сжатии, равно как и на таких аспектах безопасности, как SSL, брандмауэры и идентификация.

Проблемы безопасности решает и Foundry со своими коммутаторами четвертого/седьмого уровней из линейки ServerIron. На выставке Supercomm в Атланте компания представила дополнения к своей технологии SYN-Guard. С этим дополнением к операционной системе Ironware сети ServerIron должны защищать от атак SYN-Flood. По данным производителя, ServerIron в состоянии противодействовать атаке SYN-Flood при поступлении более чем 2 млн пакетов/с. Противоположным путем идет Radware со своим набором узкоспециализированных точечных решений. «Продукция для обеспечения безопасности часто служит для нас входным билетом к клиенту, после чего начинается разговор об обеспечении высокой степени готовности и повышении производительности», — так поясняет тактику компании Торстен Шойерманн, региональный директор Radware в Центральной Европе. К продуктам обеспечения безопасности Radware относятся Fireproof для поддержки брандмауэров и IDS на уровне приложений, Certain T 100 для уменьшения нагрузки SSL, а также Content Inspection Director для фильтрации URL и вирусного сканирования, в то время как коммутатор приложений Radware отвечает за решение классических задач управления трафиком.

ОБСЛЕДОВАНИЕ ПАКЕТОВ

В гонку за право обладания титулом самого быстрого инспектора пакетов в начале 2003 г. Radware отправила представителей третьего поколения своих коммутаторов приложений: Application Switch III оснащен неблокирующей внутренней шиной с пропускной способностью 44 Гбит/с, и эта модель первой среди автономных устройств для коммутации четвертого/седьмого уровней была снабжена портом 10 Gigabit Ethernet. На базе собственной архитектуры Radware Synapps предлагаются стандартные функции мониторинга состояния приложения, перенаправления трафика, управления пропускной способностью и безопасности приложений.

В конце прошлого года Foundry, один из главных конкурентов, снова пополнила свое портфолио коммутаторов Web, на этот раз стековыми моделями начального уровня и модульными устройствами старшего класса. Коммутаторы серии ServerIron 100 представлены в трех фиксированных конфигурациях: с десятью портами Gigabit Ethernet (восемь медных, два волоконно-оптических), с восемью гигабитными волоконно-оптическими портами и с 24 портами на 10/100 Мбит/с, а также двумя гигабитными портами для каскадирования.

Сегодня спрос на производительность всюду настолько высок, что даже такие поставщики систем балансировки нагрузки, как Coyotе Point, всегда ориентировавшаяся на малые и средние предприятия, приступают к выпуску коммутирующих продуктов.

На провайдеров услуг хостинга нацелена компания Netscaler со своим коммутатором запросов 9000 Ion старшего класса. Устройства «все в одном» предлагают, наряду с балансировкой нагрузки на четвертом уровне и коммутацией содержимого, ускорение SSL вместе со сжатием и защиту от различных видов атак. Коммутаторы запросов от Netscaler снимают нагрузку с часто посещаемых серверов Web за счет ускорения TCP, самостоятельно терминируя соединения TCP. По данным производителя, коммутатор выдерживает до 2 млн одновременных сеансов, а также до 100 тыс. запросов или 4400 новых соединений SSL в секунду. Архитектура коммутации запросов работает со скоростью поступления пакетов и обеспечивает при атаке DoS максимальную скорость обработки незашифрованных данных до 2 Гбит/с.

Технологическим лидером Gartner Group называет компанию F5 (см. Рисунок 1). Во всех своих устройствах и коммутаторах большое внимание она уделяет обеспечению «настоящего» управления трафиком приложений. В отличие от просто коммутации Web, программное обеспечение F5 исследует не только заголовок пакета HTTP, но и его содержимое — т. е. пользовательские данные — глубиной до 16 Кбайт. Так, например, можно реализовать распределение нагрузки между базами данных Oracle, при котором запросы на чтение к другому пулу серверов баз данных проводятся в качестве доступа для записи.

В центре сегодняшней стратегии бизнеса F5 находится iControl, один из открытых интерфейсов для автоматизированной конфигурации и взаимодействия с чужими приложениями. F5 подчеркивает, что даже без его использования коммутация приложений возможна благодаря заказным приложениям. Однако при помощи iControl метод может быть еще более дифференцирован благодаря стандартной интеграции с простым протоколом доступа к объектам (Simple Object Access Protocol, SOAP) и расширенному языку разметки (Extensible Markup Language, XML). iControl можно загрузить с сайта Web F5, причем компания, специализирующаяся на управлении трафиком, поддерживает ряд партнерских отношений с крупными производителями, среди которых Microsoft, BEA, PeopleSoft и Citrix. Так, к примеру, Citrix использует iControl для управления трафиком внешних приложений (Secure Access Manager, прежде NFuse), а в серверных фермах MetaFrame делает ставку на собственные методы балансировки нагрузки.

Для управления несколькими коммутаторами приложений F5 недавно представила программное обеспечение iControl Services Manager (iSM). Продукт позволяет осуществлять групповую конфигурацию устройств F5, а благодаря дифференцированной системе передачи прав управление отдельными группами устройств может делегироваться. Более тесного взаимодействия коммутации приложений с обеспечением безопасности F5 намерена добиться за счет применения iControl в качестве интерфейса и партнерства с производителями систем безопасности.

ВЗГЛЯД В БУДУЩЕЕ

Возрастающая частота использования приложений на базе Internet, а также распространение служб Web — серьезная проблема для коммутации приложений. При использовании приложений Web через один и тот же порт 80 проходит все больше трафика, а в случае служб Web данные оказываются глубоко запрятанными в пакетах XML, также направляемых на порт 80. Если вдруг необходимость действительно глубокого анализа содержимого пакетов данных станет обыденной практикой для управления трафиком, начнут возникать осложнения с временем задержки и недостаточной производительностью.

Как можно ожидать, вопросы управления трафиком и обеспечения безопасности все теснее будут переплетаться, причем этот процесс выйдет далеко за рамки обычной уже сегодня балансировки нагрузки на брандмауэры или раздельного терминирования соединений SSL. По всей видимости, информация седьмого уровня, которую устройства управления трафиком анализируют для своих целей, найдет «вторичное применение» с точки зрения безопасности. Граница между коммутацией приложений и их безопасностью в будущем, возможно, останется лишь в теории.

Вильгельм Грайнер — редактор LANline. С ним можно связаться по адресу: wg@lanline.awi.de.


? AWi Verlag


Области применения

Коммутаторы приложений используются, во-первых, для локальной балансировки нагрузки на серверы и горизонтального масштабирования серверных ферм, а во-вторых, для глобальной балансировки нагрузки и распределения нагрузки между различными географически разделенными сайтами Web одного и того же предприятия. К коммутации четвертого/седьмого уровней относится также ряд специальных приложений: балансировка нагрузки на брандмауэры, балансировка нагрузки на VPN и распределение содержимого, т. е. распределение нагрузки с использованием кэшей. Особый случай представляет собой балансировка нагрузки на каналы в глобальную сеть к двум или более провайдерам. Для этого существуют специализированные приложения от различных производителей: Linkproof от Radware, Big IP Link Controller от F5, а также Alteon Link Optimizer от Nortel. В то время как F5 со своими решениями для специального управления трафиком нацелена на крупные предприятия международного масштаба, Cisco, Nortel и Radware обращают внимание на корпоративный сектор и провайдеров. Второй источник доходов F5, до сих пор, правда, весьма скромный, — поставка технологий для балансировки нагрузки на рынок серверных «лезвий»: практически все крупнейшие производители серверных «лезвий» — RLX, Dell, Hewlett-Packard, IBM, Fujitsu-Siemens и, в скором будущем, Sun — являются партнерами F5.


Рынок коммутации четвертого/седьмого уровней

Аналитическая компания Gartner относит коммутацию четвертого/седьмого уровней к «рынку оптимизации Web» и считает ее динамично развивающимся сегментом рынка сетевой инфраструктуры. На эту область наложили свой отпечаток длительные инновации и рост числа производителей, к которому добавились Array Networks, Netscaler и Redline. Однако в среднесрочной перспективе их количество, по убеждению Gartner, скорее всего снизится. К технологическим лидерам Gartner причисляет Cisco и F5, причем впервые с 2002 г. F5 смогла отнять желтую майку лидера у сетевого гиганта Cisco.

Dell?Oro Group в своем «Отчете о коммутации Ethernet четвертого/седьмого уровней» (за май 2003 г.) отмечает рост этого рынка с 92,9 до 98,2 млн долларов за период с IV квартала 2002 г. по I квартал 2003 г. В сегменте модульных коммутаторов четвертого/седьмого уровней Cisco с долей рынка 90% по обороту опередила основных конкурентов Foundry и Nortel. По количеству проданных портов рыночная доля Cisco составляет 75%. В области устройств с фиксированной конфигурацией распределение более равномерно: здесь Nortel и F5 обгоняют Cisco. С общей долей рынка 70% три компании оставляют еще достаточно места для прочих производителей — Foundry, Avaya, Extreme или Radware. В общей сложности Cisco, преследуемая Nortel и F5, удерживает около 50% рынка коммутаторов четвертого/седьмого уровней (см. Рисунок 2).

Источник: Dell'Oro


Рисунок 2. В то время как Cisco доминирует на рынке модульных коммутаторов приложений, большинство производителей обосновались в сегменте устройств с фиксированной конфигурацией.

Поделитесь материалом с коллегами и друзьями