Коммутаторы 3-го уровня.

Технический прогресс двух последних лет не разочаровал поклонников коммутируемого Fast Ethernet. После того, как производители Китая освоили массовый выпуск свитч-чипов стоимость коммутаторов упала почти до уровня упаковки. Действительно, сносный неуправляемый 8-ми портовый коммутатор можно купить дешевле $40. С хорошей упаковкой, документацией, и годовой гарантией.

Поползли вниз и цены на профессиональные управляемые модели. Все, что положено делать "классическому" коммутатору уже имеют модели дешевле $400 за 24 порта. Поэтому можно сказать, что производители коммутаторов в последние несколько лет начали своеобразную "гонку уровней" - ведь не только производителям процессоров нужны четкие и простые ориентиры (типа гигагерцев) для привлечения покупателей. (попытка сыграть на мощности матрицы коммутации провалилась с массовым выходом неблокируемых моделей).

Прогресс пошел по вполне очевидным путем - ведущие производители не захотели соревноваться ценой с устройствами "made in china", и перевели острие технологической моды на усложнение коммутаторов в области расширения их функций за счет возможностей следующих уровней по модели OSI.

И сейчас можно видеть в продаже сравнительно недорогие модели 3-го и 4-го уровней. В них видят что-то вроде универсального средства решения всех проблем сетей - от существенного увеличения производительности до обеспечения конфиденциальности трафика.

В принципе, такую постановку вопроса нельзя считать совсем неверной - хороший коммутатор L3 действительно способен кардинально изменить возможности управления сетью. Но применение теории к реальности (да еще Российской) никогда не было простым. Поэтому вопросов с уровнями выходит много…

Немного теории для тех, кто ее подзабыл. Если сузить поле применения стандартов до конкретной реальности современных бюджетных сетей (не использующих что-либо типа SDH или ATM), то уровень 2 (по семиуровневой модели OSI) соответствует кадрам Ethernet. Соответственно их передвижение происходит согласно MAC-адресам, известных CAM-таблицам коммутаторов. Свитчи, которые "не знают" ничего выше по стеку протоколов называются коммутаторами 2-го уровня.

При этом они могут производить весьма сложные операции. Например, ставить и убирать метки VLAN, распознавать приоритеты (QoS), устанавливать кадры в очереди, определять атаки, считать Ethernet-трафик, шейпить его, фильтровать по номерам портов, и т.п. Классическим типом "продвинутого" L2 можно считать несколько устаревшие на сегодня 3com SuperStack 3300 или Catalyst 2924. Следующие модели этих брендов (например 3com SuperStack 4400 или Catalyst 2950) уже имеют те или иные возможности следующих уровней.

Соединять разные сети Ethernet (т.е. реальные и виртуальные сети 2-го уровня) должны маршрутизаторы, которые обрабатывают данные на 3-м уровне (IP пакетов). При этом заголовки IP идут по сети Ethernet в поле данных, и обычным коммутаторам 2-го уровня недоступны.

Такая технология сложилась из-за того, что традиционно сети Ethernet соединялись друг с другом при помощи иной (не Ethernet) канальной средой передачи данных (WAN). Например Frame Relay, X.25, ATM, G.703, и т.п. Для преобразования данных была нужна гибкость, универсальность, сложный софт, и... хватало небольшой скорости.

Когда сети Ethernet "выросли", внедрились в "магистральные" ниши, то необходимость в таком подходе отпала, и даже более того, стала мешать (как и любая избыточность возможностей). Можно сказать, что очень к месту появились коммутаторы 3-го уровня, способные в добавление к обычным функциям маршрутизировать трафик между портами на IP-уровне. Быстро, но с весьма ограниченными возможностями (как правило нельзя подсчитать трафик, построить сложные фильтры, добавить скрипты, NAT, и т.п.). Хотя конечно есть и монстры типа Catalyst 6509...

Вроде бы почти финал длинной истории L3… Но она еще не совсем закончена. Так, сначала различали маршрутизирующую коммутацию, коммутация потоков и коммутирующую маршрутизацию. Эти термины сейчас можно считать в некотором роде анахронизмом, но корни той же MPLS растут из них, и в дальнейшем смогут сильно изменить дизайн сетей. Но это уже лежит далеко за рамками рассматриваемой темы.

Конечно, о серьезных операторских или корпоративных сетях речь не идет. Можно сказать, что там коммутаторы 3-го и последующих уровней уже прошлый день, и речь идет скорее о внедрении технологий типа MPLS. Но посмотрим, как можно применить коммутаторы 3-го уровня в небольшой или средней бюджетной сети?

Возьмем условную схему сети.

Рис. 10.6. Условная схема сети.

Собственно, большинство небольших сетей так или иначе сводятся к такой простой иллюстрации. А из нескольких подобных сегментов можно построить уже вполне крупную инфраструктуру.

Перечислим варианты установки оборудования.

1. Полностью неуправляемые коммутаторы. Вариант, разумеется, вполне реальный, но для рассмотрения не интересный. Да и перспективность его в общем сомнительна - слишком много неудобств. Достоинство только одно - сверхнизкая стоимость.
2. S7, S5, S10 - управляемые свитчи 2-го уровня, остальные неуправляемые. Такое построение не даст заметного выигрыша. Если два управляемых коммутатора 2-го уровня разделены неуправляемым (с подключенными пользователями) то не все, но большинство функций (VLAN, QoS) будет потеряно. Поэтому имеет смысл поставить мощные устройства только в точках S7 и S5 - тогда их можно будет использовать эффективно.
3. S7, S5, S10 - управляемые 3-го уровня, остальные неуправляемые. Вполне эффективное использование для разделения сегментов в точках S5, S10, но в S7, рядом с маршрутизатором, функции 3-го уровня могут быть излишни. Ну а в остальных точках контроль над сетью будет неполным.
4. Все коммутаторы управляемые 2-го уровня. Этот вариант дает возможность полностью контролировать и при необходимости маршрутизировать каждый порт сети. Для мультисервисного использования возможно соблюдение QoS, мультикастинг, и прочие функции. Как недостаток - необходим отдельный мощный маршрутизатор, через который пойдет весь междусегментный трафик.
5. S7, S5, S10 - управляемые 3-го уровня, остальные - управляемые 2-го уровня. Этот вариант на сегодня фактически стандарт для серьезных корпоративных и операторских структур, но для небольших сетей рекомендовать его несколько рано.
6. Все коммутаторы управляемые 3-го уровня. Подход возможно и неплох, но на сегодня избыточен даже для корпоративных решений. Про остальные и говорить нечего.

Из краткого перечисления вариантов видно, что при выборе стратегического направления развития можно использовать варианты 3 и 4. Кстати сказать, производители оборудования пришли (судя по продаваемым линейкам) к похожим выводам, но к этому придется вернуть после небольшого отступления.

Сначала надо ответить на вопрос - "зачем нужно разделять трафик на уровне IP?".

Когда сети строились на хабах, ответ был тривиален - нужно разделять коллизионные домены, поэтому маршрутизаторы (коммутаторы L3 обычно были непозволительной роскошью) ставились между каждыми 4 хабами (или 30-40 пользователями). Если этого не делать, то наступала быстрая деградация производительности сети.

Однако, в коммутируемой сети такого ограничения нет. И ее размер ограничивается только бродкастовым трафиком, который постепенно заполняет полосу пропускания. Считается, что "бродкастовый шторм" может наступить около 300-500 одновременно работающих пользователей. И это не предел, если в центре сети использовать оборудование с фильтрацией на 4-м уровне (т.е. по протоколам).

Много ли найдется в России сетей, в которых возможно собрать столько пользователей в помещении, не разделенными каналами WAN? Только единичные случаи, наиболее типичным размером можно считать решения в 100-200 портов. Таким образом, можно сказать что технологическая причина применения L3 в "гладкой" сети Ethernet по сути отсутствует. А традиционно узкие места типа коммутатор-сервер дешевле "расшить" недорогим гигабитом.

Для чего может быть нужно разделение на отдельные сегменты в случае 4? Подсчет локального трафика, ограничение скорости отдельных сегментов, фильтрация, построение закрытых VLAN. В остальном сеть и так полностью управляемая, в ней отдельно можно маршрутизировать каждый отдельный порт. Да и с мультисервисными сервисами проблем не возникнет.

Минусов два. Приличная стоимость управляемого железа (оно понадобится на все порты) и проведение межсегментного трафика через центральный узел, что плохо сказывается на пропускной способности основной магистрали. Собственно последнее и ограничивает размеры плоской сети Ethernet на управляемых коммутаторах 2-го уровня.

Для варианта 3 вероятные причины сегментирования иные. Подсчет трафика на недорогих коммутаторах 3-го уровня делать затруднительно (а при отсутствии финансовых проблем см. вариант 5). Закрытые VLAN то же сделать не удастся - разве что ставить управляемые свитчи во всех точках подключения "отдельных" пользователей. Так что единственный смысл решения - повысить производительность и управляемость сети в некоторых "узких" точках, локализовать неисправности, ограничить доступ пользователей друг до друга хотя бы на уровне нескольких узлов.

Наиболее полно достоинства можно видеть на примере корпоративной сети, распределенной по нескольким отдаленным территориям, которые связаны бриджами xDSL. Коммутаторы L3 позволят строить сети без установки маршрутизаторов на каждый сегмент таким образом, что низкоскоростные xDSL линии будут загружены минимально (только данными, адресованными непосредственно на другую территорию).

Можно сказать, что достоинство данного решения - не нужен выделенный маршрутизатор, нет лишнего трафика через центральные магистрали. Недостаток - из-за многократной маршрутизации на IP-уровне сильно повышается сложность сети - лишние подсети, лишние проблемы. Если сегментов будет более десятка, по неволе придется поднимать OSPF, RIP-2 или что-то подобное из арсенала операторов связи.

Сравним некоторые коммутаторы L3, например D-Link DES-3326S ($800) и Catalyst 3550-24 ($4500). Конечно не на уровне технических параметров, а по парадигме их использования. На мой взгляд, они наиболее полно характеризуют ориентацию производителя оборудования на решение по вариантам 3 и 4 соответственно.

Первый, вероятно, предназначен к использованию по варианту 3, и именно в расчете на небольшие офисные сети, не имеющие разветвленной структуры и требований по ограничению доступа между пользователями. Хорошо вписываются в подобную схему коммутаторы от с портовыми, нетегированными виланами, для которых L3 на ближайшей по топологии развилке - хорошее решение проблемы как скорости, так и безопасности.

Однако большую сеть построить таким образом будет достаточно сложно.

Ну а Cisco 3550 конечно "заточена" под варианта 5, и проходит в связке с Catalyst 2950 через пособия по дизайну сетей. Как раз один 3550 или 3550-12G, и к нему звездой - десяток-другой 2950 (2950T). Это позволяет достичь максимальной скорости передачи данных. Кстати, нет в линейке этого производителя свитчей с портовыми виланами, а вот поддержка тегированных 802.1q на маршрутизирующих портах становится принципиально необходимой...

Подведем краткие итоги.

Решений много, выбирать или комбинировать нужно в каждом конкретном случае по разному. Но на мой взгляд, даже широкое применение устройств L3 с неуправляемыми или частично управляемыми коммутаторами (без поддержки полных возможностей L2) не позволяет получить значительных преимуществ в управлении сетью (нельзя произвольно контролировать каждый отдельный порт). Но с их помощью можно добиться повышения скорости передачи данных на структуре со сложной топологией или большим "горизонтальным" трафиком.

В остальных случаях их применение будет не слишком эффективным из-за наличия недорогой альтернативы гигабитных магистралей. Т.е. пока пользователи включены на 100 мегабит, они не смогут (конечно до определенного количества) перегрузить магистраль до центрального маршрутизатора.

Возможно именно по этой причине сейчас более широкое распространение получили устройства с "возможностями" 3-го, 4-го, или даже более высоких уровней. При этом из полного спектра свойств IP-заголовка берется всего несколько наиболее полезных (например фильтрация по IP адресу). Это не слишком дорого, но уже в некотором роде позволяет принять участие в "гонке уровней".

Дальнейшее развитие ситуации спрогнозировать сложно. Если пользователи массово перейдут на гигабит, а 10-ти гигабитные магистральные линии останутся слишком дорогим удовольствием, то L3 станет более чем востребован (нельзя будет построить даже минимальную "пирамиду скорости" магистраль-пользователь).

Однако, на мой взгляд более реален другой путь. Десятигигабитные сетевые адаптеры уже существуют, и при появлении недорогой возможности перевода основных каналов на 10 гигабит сегодняшняя ситуация повторится - только уже на более высоких скоростях, и с большими "дополнительными" возможностями.

В заключение, остается добавить что есть большое количество локальных вариантов использования коммутаторов 3-го уровня, при которых L3 будет удобен, или даже незаменим. Поэтому о их наличии стоит помнить при проектировании сети. Но так же надо учитывать, что "третий уровень" совсем не волшебное средство решения всех проблем, а лишь инструмент. Который имеет смысл применять к месту и в нужных количествах. Как лекарство.