Hlavní navigace

Současná generace síťového hardwaru - II. Díl. Podpora VPN a přepínání na 4. Vrstvě

Sdílet

Problematiku (zavádějící termín) gigabitového ethernetu jsem v minulém čísleuzavřeli tvrzením, že podstatné navýšení přenosových rychlostí můžeme očekávat jen u serverů osaze...
Problematiku (zavádějící termín) gigabitového ethernetu jsem v minulém čísle
uzavřeli tvrzením, že podstatné navýšení přenosových rychlostí můžeme očekávat
jen u serverů osazených dlouhými (64bitů) a rychlými PCI sběrnicemi
(66-133MHz). Rád bych ale znovu zopakoval ústřední myšlenku článku že gigabit
si dříve nebo později najde cestu i k pracovním stanicím a běžným osobním
počítačům. To ostatně potvrzuje třeba i nedávné uvedení laptopu firmy Apple,
standardně osazeného právě gigaethernetovým portem! Naopak překvapuje, že se
stále naprostá většina i levných serverů prodává bez takovéhoto "standardního"
osazení.


Offloading

Je tu ale ještě druhý faktor, který jsme zmiňovali v předchozím článku, a to je
offloading převzetí výpočetně náročných operací od hlavního CPU počítače.
Převzetí je realizováno stejně jako je tomu u 3D grafiky a grafických karet.
Software určitá vrstva driveru rozpoznává typy operací se síťovými daty a
přerozděluje je mezi vhodný hardware. Jak se ale ještě zmíníme v druhé části
článku, např. v případě "IPSec offloads" (což je termín Microsoftu) je IPSec
akcelerace podporována pouze ve Windows 2000, takže smůlu mají i uživatelů
Windows NT.

Právě díky offloadingu testovaná karta 3Com 3C996 excelovala i v nižších
"rychlostních" kategoriích, kde samozřejmě byla převaha interního procesoru
optimalizovaného pro propustnost 2 Gb/s proti běžným 10a 100megabitovým kartám
markantnější... Toto není srovnávací recenze, takže by nebylo korektní uvádět
výkonnostní srovnání bez skutečně profesionálního testování, ale faktem
zůstává, že na konkrétní síti byla dvojice 3C996 skrze 100megabitový switch
(aby nepřelezly na gigabit) konzistentně o 30 % rychlejší než tchajwanské (ale
proti jiným stále ještě značkové) 100megabitové karty, které se u nás díky své
ceně hojně prodávají. Zatížení gigahertzového procesoru počítače bylo přitom
díky offloadingu o cca 5-15 % nižší, a např. rozdíl nákupní ceny 1,8a 2,0GHz
procesoru by bez problému doplatil pořízení gigaethernetové karty. Mimochodem,
abychom byli spravedliví k dispozici pro "hraní" jsme měli nový hardware firmy
3Com, to ovšem neznamená, že všechny zmiňované zajímavé funkce nalezneme
výhradně na produktech této společnosti.

Z hlediska hrubého výkonu je ještě zajímavá např. možnost změny tzv. MTU
(Maximum Transmission Unit), což je největší velikost paketů posílaných po
síti. Výchozí je pochopitelně hodnota 1 500 bytů, maximální nastavitelná na
kartě je 9 000. Tyto hodnoty musí podporovat i všechny aktivní prvky po cestě,
to ale u použitých přepínačů 4400 a 4900 nebyl problém, a pokud vás to zajímá,
rozdíl ve výkonu byl 7 %, což ale dnes ve srovnání se stovkami procent při
přechodu na 1000-TX postrádá na přitažlivosti.

Další vlastnosti, jako přímá podpora pro VLAN (seskupování prvků sítě do
logických skupin a odpovídající separace komunikace) či failover and load
balancing (práce s několika kartami pro sdružování výkonu nebo pro zálohové
spojení), už jsou orientované na náročnější serverové aplikace a jsou vlastně
implementovány formou softwarového intermediate driveru, který např. probudí ze
standby režimu kartu místo té, co selhala...


Software

Dobrá, tím se dostáváme k problematice softwaru. Stačí si vzpomenout na jisté
drivery pro Windows NT, kde jste typicky stáhli driver.exe, ten vám po spuštění
a projití několika menu pouze řekl, že archiv s driverem je třeba rozbalit do
nesmyslné cesty kamsi na c: a potom manuálně nainstalovat. (Specialitou 3Comu
byla automaticky instalovaná diagnostikační utilita, která nešla rozumně
odinstalovat a byla první, co vám pod NT předvedlo BSOD Blue Screen Of Death).

Avšak v této oblasti se toho opravdu hodně zlepšilo. Zejména instalační CD pro
současný síťový HW 3Com, o němž tu mluvíme (tj. 3C996 a 3CR990), patří dnes k
nejpohodlnější metodě instalace. Je to důležité tím spíše, že Windows 2000
(W2k) (ostatní polosystémy nebudeme uvažovat a NT žádnou plug&play detekcí
neoplývají) občas kartu NIC špatně rozpoznají, pokud se už k nim hlásí, a navíc
drivery jsou tou nejtypičtější věcí, co vám zcela shodí systém. U nového 3Com
hardwaru (podle jiných recenzí nejsem jediný, kdo oceňuje úsilí do nich
investované) je skutečně vhodnější se spolehnout na instalační CD včetně
instalace/odinstalace dodatečného softwaru a manuálu.

Nic ale není dokonalé, takže nepřistupujte paušálně k instalacím driveru na
důležitý počítač, aniž byste absolvovali testovací instalaci na pokusném
počítači. Při pokusu o instalaci softwaru pro funkci "DYNAMIC ACCESS" karet 990
(3C996 se k téhle funkci nehlásí) se driverům podařilo dvakrát dokonale
zlikvidovat softwarově i hardwarově rozdílnou instanci W2k a W2k serveru, a
hádejte, u které jediné části instalačního CD chybí funkce uninstall?Karta 3Com 3CR990-Tx

Podpora IPSEC

Ještě více než karta 3C996 demonstruje nastupující inteligenci síťového
hardwaru nová generace sítových karet s podporou technologií IPSec, nebo
dokonce personálního firewallu jak je tomu právě u karet 3CR990.

Dosud jsme u offloadingu uvažovali podporu kontrolních součtů (IP, TCP/UDP
checksum), Jumbo frames (až 9K) a případně segmentaci velkých TCP paketů, které
podporuje právě 3C996. Podstatně náročnějšími operacemi jsou ale dnes
nejrůznější bezpečnostní algoritmy, protože provádějí složité operace s každou
částí transportovaných dat a jejich výpočet může výrazněji zatížit i ten
nejvýkonnější server.

Karty 3CR990 které jsou 100megabitové, ale stojí řádově stejně jako 3C996, jsou
zajímavé právě jejich podporou, (tedy opět přesunutím výpočtu na procesor
karty). Abychom byli přesní, mezi akcelerované funkce patří TCP
segmentace/checksum, proti 3C996 chybí podpora pro extra velké rámce, ale navíc
je akcelerována prioritizace paketů a především enkryptovací operace pro IPSec
ty ovšem využívají výhradně funkce Windows 2000 "IPSec offloads", zatímco o
podpoře pro Windows NT a 9x IPSec klienty se už nějakou dobu mluví jako o
"blížící se" ale to jde o soukromou iniciativu firmy 3Com a je otázkou, kdy se
dočkáme výsledků...

Upřesněme si ale, co si představujeme pod pojmem IPSec, což je mezi managery
hodně módní téma. Obecně je IPSec (Internet Protocol Security) balík
bezpečnostních síťových služeb a protokolů založených na kryptografii. Jde o
poměrně složitou záležitost na vysvětlení i na implementaci (zejména v
kombinaci s NAT), jdoucí daleko nad rámec tohoto článku. Podstatná je
implementace IPSec ve Windows 2000 průhledným způsobem, který nevyžaduje žádné
změny v aplikacích nebo protokolech. Většinou nás zajímá použití IPSec pro
vytvoření bezpečného tunelu od klienta k serveru, nejčastěji skrze internet,
kdy všechny vyměňované pakety jsou enkryptovány. Využití akcelerace je
nezbytné, pokud chceme dosahovat plné "síťové" rychlosti, aby tedy data
nečekala, až si hlavní CPU počítače najde na ně čas, třeba protože právě
zpracovává AV data z videokonference. U serveru potom takových spojení může být
zpracováváno paralelně větší množství (3CR996 existuje mimochodem i v nepatrně
dražší "server variantě" ta však nemá výkonnější procesor 3XP, ale větší
pracovní paměť...). Ještě nedávno se mimochodem pro tyto účely prodávaly
speciální PCI akcelerátory v cenových relacích cca 14 000 USD.


Míra bezpečnosti

Při kupování IPSec vylepšených karet vás ovšem čeká ještě jedna lahůdka.
Takovou 3CR990-TX v cenících najdete ve dvou cenově shodných variantách,
3CR990-TX-95 (56bitové enkryptování) a 3CR990-TX-97 (168bitové). Rozdílem je
jak je vidět míra bezpečnosti. A proč jsou k dispozici dvě varianty? USA
povolují lepší kódování (rozuměj, to, které jim dá větší práci dekódovat) i
mezinárodním IT firmám prodávat v cizích zemích jen na extra povolení. Zkoušel
jsem (ještě před 11. zářím) standardní postup pro klienta řekněme ze
zdravotnictví který by měl mít nárok na vyšší zabezpečení dat.

To se vyplní speciální formulář, pošle se na příslušné ministerstvo, pak je
přeposlán bůhví kam do USA a po 6 týdnech by se měl vrátit s rozhodnutím, zda
si tuto kartu se softwarem a hardwarem můžete vůbec pořídit. Bohužel v mém
případě skutečné zdravotnické firmy pokus selhal hned na počátku doposud nebyl
český velkoprodejce schopen požadovaný formulář dodat. Ještě jedno mimochodem
podle mých neoficiálních informací se obě karty liší jen drivery, tedy
CD-ROMem, a zbytek si domyslete sami.


Firewall

Nic z dosud řešeného ovšem dostatečně neilustrovalo možnosti současných
síťovek. Opravdu horkou síťovou lahůdkou je implementace osobního firewallu
přímo na síťové kartě, která od září měla být v USA dostupná právě pro 3CR990.
Bohužel se ji v Evropě do uzávěrky článku nepodařilo získat. Z toho, co víme,
půjde o placený update firewallu karty v hodnotě cca 35-50 dolarů. Firewall
tedy skutečně poběží přímo na kartě, v podstatě pod libovolným operačním
systémem. Na vývoji se podílely firmy 3Com a Secure Computing, a výsledkem by
bylo podstatné zvýšení bezpečnosti pro počítače uvnitř segmentů chráněných
firewally. Ty totiž většinou vymezují čáru mezi "vnitřkem" a "vnějškem",
přičemž smutnou pravdou je, že 70-90 % bezpečnostních narušení pochází zevnitř
chráněné firemní oblasti. Možnost snadné konfigurace PC klienta či serveru, se
kterými službami komunikovat, resp. je poskytovat a s jakými síťovými adresami
umožňovat spojení, vypadá skutečně lákavě. (Mimochodem částečně tohoto můžeme
dosáhnout pomocí VLAN, které třeba 3C990 přímo podporuje bez ohledu na použité
síťové prvky). Otázkou zůstává především "Embedded Firewall Policy Server", což
má být systém pro vzdálený management softwaru a konfiguraci jednotlivých
karet. Zatím první informace o předpokládané ceně jsou mírně znepokojivé.