Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Управление трафиком Интернет: нет - хаосу, да - порядку!

Дэвид Ньюман

Кого в наш век терабитовых сетей могут волновать какие-то "жалкие" мегабиты трафика, передаваемые по линиям Т1/Е1? Оказывается, могут, и прежде всего администраторов корпоративных сетей. В то время как полоса пропускания современных ЛВС достигает таких значений, о которых мы раньше даже не помышляли, большинство каналов корпоративных территориально распределенных сетей (ТРС) по-прежнему используют линии Т1/Е1 или более медленные. Резкое несоответствие скоростей передачи данных по разные стороны границы между ЛВС и ТРС вызывает столь же резкую головную боль у сетевых администраторов. И это не мудрено, ведь следствием любой перегрузки является потеря пакетов, длительная их задержка и даже разрыв отдельных соединений.

Облегчить участь сетевых администраторов призваны рассматриваемые в данной статье системы управления трафиком, они же менеджеры полосы пропускания. Эти системы идентифицируют потоки данных, используя разнообразные критерии для различных уровней OSI (со второго по седьмой), и приоритизируют пакеты, гарантируя тем самым, что даже в условиях перегрузки наиболее важные приложения получат требующуюся им полосу пропускания. Производители менеджеров полосы пропускания интегрируют свои продукты в разнообразные среды управления качеством обслуживания (QoS). Теоретически, это должно позволить вам сформировать правила обработки трафика для конкретного хоста, сегмента или приложения, а затем распространить их на всю сеть.

Что же, не плохая идея. Чтобы узнать, какими реальными возможностями обладают широко рекламируемые продукты, специалисты журнала Network Computing совместно с компанией Netcom Systems и независимой лабораторией Network Test, расположенной в г. Хобокен (шт. Нью-Джерси), провели крупномасштабные открытые испытания систем управления полосой пропускания, равные которым история этих продуктов вряд ли припомнит. На протяжении более чем месяца мы подвергали четыре продукта массированному “обстрелу” трафиком двух сотен одновременных Web-сеансов связи. Это почти десятикратное увеличение интенсивности трафика по сравнению с предыдущими тестами.

Итоги наших испытаний оказались весьма обнадеживающими. Хотя ни один из испытуемых продуктов так и не сумел продемонстрировать 100-% результат, все четыре устройства были близки к нему. Лидером тестирования стал продукт Cisco 7206VXR фирмы Cisco Systems: он не только наилучшим образом отработал все тесты, но и предоставляет самый богатый арсенал средств обеспечения гарантированного уровня обслуживания трафика.

Следует особо отметить и два других, в своем роде уникальных продукта. NetEnforcer AC301 фирмы Allot Communications был единственным среди протестированных нами продуктов, имеющим управляющие органы (knobs) для контроля взрывных потоков данных (bursty data) и установки верхних пределов величины задержки. Наличие этих возможностей крайне желательно при обработке большого числа параллельных потоков. Наиболее инновационным устройством оказался крошечный NetScreen-5 фирмы NetScreen Technologies - недорогой маршрутизатор для малых и домашних офисов, наделенный функциями межсетевого экрана и шлюза виртуальной частной сети (ВЧС).

Четвертый участник нашего тестирования, программный межсетевой экран GuardianPro 4.11 фирмы NetGuard, не рассчитан для работы в качестве автономного менеджера полосы пропускания. И, тем не менее, его модуль управления полосой пропускания Guidepost обеспечивает эффективное управление интенсивными потоками трафика - возможность, которая может оказаться весьма и весьма полезной при отражении атак типа "отказ в обслуживании" (denial-of-service).

Тут приступает к делу ухажер...

Менеджер полосы пропускания обычно устанавливается со стороны ЛВС и "готовит" трафик к выходу в распределенную сеть. Поскольку подобные системы размещаются на границе корпоративной сети, они могут выполнять и роль регулировщиков трафика. И действительно два испытанных нами продукта (GuardianPro и NetScreen-5) обладают функциями межсетевого экрана и/или шлюза ВЧС.

Все это указывает на существующую тенденцию наделять механизмами управления полосой пропускания сетевые устройства, выполняющие какие-либо иные функции. Продукты, ориентированные исключительно на управление полосой пропускания, были в моде лишь полтора-два года назад. Сегодня же все четыре испытанные нами продукта "тянут" двойные обязанности. NetEnforcer AC301 фирмы Allot не только управляет трафиком, но и является распределителем серверных нагрузок и кэширующим сервером-посредником. Задолго до того как стать менеджером полосы пропускания, Cisco 7206VXR был обычным маршрутизатором. Что же касается продуктов фирм NetGuard и NetScreen, то им присущи многие функции систем обеспечения сетевой безопасности.

Бросается в глаза отсутствие среди испытуемых нами устройств продукта фирмы Packeteer, выразившей сомнение в отношении соответствия конфигурации нашей тестовой среды "идеологии" ее продукта. В условиях перегрузки сети устройства Packeteer сужают полосу пропускания клиентских каналов, наши же алгоритмы тестирования могли создавать перегрузки только на серверной стороне. Так что мы полностью согласны с Packeteer в том, что наша тестовая инфраструктура вряд ли позволила бы провести полноценные испытания ее продукта.

Другим отказником стала фирма Check Point Software, руководство которой откровенно посчитало, что наши тестовые сценарии слишком легко "расправятся" с функциями межсетевых экранов и организации ВЧС, которыми наделены ее продукты. Тем не менее, подобные опасения не остановили двух других производителей межсетевых экранов от участия в наших тестах. Компания Lucent Technologies отклонила наше приглашение, просто сославшись на нехватку людей и времени.

Несмотря на отсутствие продуктов упомянутых выше фирм, нам не пришлось сидеть сложа руки - и без них было что сравнивать. Различия между имеющимися у нас продуктами обнаруживаются сразу же, как только вы начинаете выяснять, к какому классу сетевых систем они относятся. Являются ли они мостами (как продукт фирмы Allot), маршрутизаторами (как продукты Cisco и NetScreen) или теми и другими одновременно (как продукт компании NetGuard). Отличаются продукты и с точки зрения интерфейсов, которые они поддерживают, начиная с NetScreen-5, оснащенного единственным интерфейсом Ethernet 10 Мбит/с, и кончая Cisco 7206VXR, предоставляющим выбор интерфейса практически любого типа.

Борьба классов

Куда более важным для нас было то, что системы управления полосой пропускания сильно отличаются друг от друга по критериям, которые они используют для классификации трафика. Механизмы классификации являются очень важными, поскольку именно они определяют то, какой трафик получит льготное обслуживание в условиях перегрузки сети. Например, во время перегрузок менеджер полосы пропускания может сбрасывать Web-трафик, поступающий из определенной подсети IP, и тем самым гарантировать передачу пакетов критически важных приложений, таких как TN3270.

Продукт Cisco 7206VXR предоставляет самое большое число критериев классификации трафика, начиная с MAC-адресов на втором уровне и кончая указателями URL и маркерами cookies на седьмом уровне. Устройство фирмы Allot также умеет анализировать адреса URL. И, тем не менее, ни один из производителей не изъявил желания демонстрировать в тестах на производительность механизмы классификации трафика на прикладном уровне. Это связано с тем, что указатели URL спрятаны внутри пакетов слишком глубоко, и процесс их поиска и интерпретации привносит дополнительную задержку. Общими для всех четырех продуктов были возможности классифицировать трафик на основании IP-адресов и номеров протокольных портов TCP/UDP.

Лишь устройства Allot и Cisco поддерживают два новых механизма QoS, использующих поля IP Precedence и DiffServ CodePoint (DSCP) заголовка IP-пакета. Продукты обоих этих производителей могут не только классифицировать трафик на основании ранее установленных значений этих полей, но и помечать пакеты, устанавливая новые значения битов IP Precedence и DSCP.

Рожденные измерять

Итак, как же все это работает? Чтобы выяснить это, мы подвергли продукты четырем различным видам испытаний, а именно базовому и по обеспечению заданных скоростей передачи пакетов, их задержек и приоритизации разнородного трафика.

Как и при испытании любого сетевого оборудования, мы начали с базовых измерений пропускной способности и задержек. Правила профилирования (shaping) трафика в этих тестах не задействовались. Первый набор тестов предназначался для измерения скоростей передачи и числа потерянных кадров. На входы каждого устройства мы подавали потоки пакетов, имеющих длину 64 и 1518 байтов (минимально и максимально возможная в Ethernet), и отмечали максимальную скорость передачи без потери пакетов. Использовались как однонаправленные, так и двунаправленные потоки данных. Результаты, полученные в ходе проведения данного теста, должны полностью удовлетворить пользователей, работающих по линиям со скоростями на уровне 1,5 Мбит/с (Т1): все устройства без труда обрабатывают потоки, поступающие на таких скоростях.

Устройство фирмы NetScreen работает на максимальной скорости 10 Мбит/с, а сконфигурированное специально для наших испытаний устройство компании Cisco - на скорости Т1. Продукты NetEnforcer AC301 фирмы Allot и Guidepost фирмы NetGuard поддерживают скорости до 100 Мбит/с, правда, ни один из них не мог передавать на высоких скоростях короткие пакеты. Так, NetEnforcer AC301 начинал сбрасывать их при нагрузках, составляющих 15% и 5% от максимальной (для однонаправленных и двунаправленных потоков соответственно), а Guidepost - при нагрузках 29% и 12% от максимальной. Представители компании Allot считают, что трафик, состоящий лишь из пакетов длиной 64 байта, никогда не встречается в реальных сетях, и в этом мы полностью с ними согласны: тесты с пакетами такой длины предназначаются, главным образом, чтобы выявить границы работоспособности оборудования.

В ходе выполнения второго набора базовых тестов, предназначенного для измерения задержки, вносимой устройствами при обработке трафика, были получены куда более разношерстные результаты. Для приложений реального времени, таких как видео- и аудиоприложения, задержка пакетов является критическим параметром - даже более важным, чем скорость их передачи. Требования приложений к задержкам могут составлять единицы (иногда сотни) миллисекунд, и надо иметь в виду, что этот параметр, измеренный для отдельных участков сети, обладает свойством кумулятивности. Чтобы получить точные сведения о задержках, возникающих при передаче трафика в реальной сети, необходимо учитывать задержки, вносимые всеми устройствами, расположенными между конечными узлами маршрута.

Самую низкую задержку обеспечивал продукт NetEnforcer AC301 фирмы Allot. Даже при обработке длинных пакетов и двунаправленных потоков он никогда не задерживал трафик более чем на 236 мкс. Эта задержка столь мала, что вряд ли найдется приложение, которое сможет ее почувствовать. Наибольшую задержку - около 4,4 мс - показал продукт Cisco 7206VXR. Для остальных испытуемых устройств максимальная задержка пакетов, передаваемых на скорости Т1, не превышала 2 мс.

Несмотря на то что разница между указанными величинами задержки (236 мкс и 4,4 мс) огромна, на самом деле она не говорит о каком-то большом преимуществе продукта фирмы Allot, и вот почему. Во-первых, вносимую сетевыми устройствами задержку обычно измеряют на максимальной скорости передачи пакетов при отсутствии их потери. NetEnforcer AC301 передает кадры длиной 1518 байтов на максимальной скорости 96 Мбит/с, т. е. на скорости, существенно превышающей значение 1,5 Мбит/с. На скорости же Т1 задержки устройств Allot и Cisco практически одинаковы. Во-вторых, как отмечалось ранее, для большинства приложений (в том числе и для чувствительных к задержкам) разница между задержками в 200 мкс и 4 мс практически не существенна.

Взрыв или удар

Результаты, полученные при базовом тестировании, показали, что все четыре продукта прекрасно функционируют, когда обрабатывают установившийся трафик и не задействуют механизмы профилирования трафика. Но как они поведут себя в условиях, когда им придется реально управлять полосой пропускания? И что будет, когда поступающий трафик будет носить взрывной характер, как это почти всегда бывает в ЛВС?

Чтобы ответить на эти вопросы, мы вместе со специалистами компании Netcom Systems разработали специальное тестовое приложение для устройств управления полосой пропускания. Это приложение, являющееся расширением программного продукта SmartTCP компании Netcom Systems, может моделировать работу 400 хостов - 200 серверов и 200 клиентов, обменивающихся информацией. Каждый такой клиент устанавливает Web-соединение и запрашивает с каждого сервера относительно небольшой объект (размером от 2 до 10 Кбайт). Мы попросили производителей настроить свои продукты так, чтобы они ограничивали скорость исходящего трафика в соответствии с пропускной способностью линии Т1.

Несмотря на довольно скромные размеры запрашиваемых объектов, эффект от использования 200 одновременно "выстреливающих" серверов может застичь врасплох любую систему - менеджера полосы пропускания. Это связано с тем, что они должны справиться не только с мощным выбросом битов, но и с многочисленными соединениями. Хотя, возможно, 200 соединений и не кажутся таким уж огромным числом, учтите, что в ходе предыдущего тестирования устройств управления полосой пропускания их использовалось гораздо меньше. Один из производителей поведал нам, что в свое время во время тестов, включающих всего 20 одновременно устанавливаемых соединений, была парализована работа компании - одного из крупнейших разработчиков ПО в мире.

Управление трафиком: коротко о главном

Возможно, каналы территориально распределенных сетей (ТРС) и становятся год от года быстрее, но, все же, для большинства узлов еще сохраняется значительное несоответствие между скоростями передачи данных в ЛВС и ТРС. Вот здесь-то и приходят на выручку системы управления трафиком (называемые еще менеджерами полосы пропускания): они размещаются по периферии ТРС и во время перегрузок регулируют прохождение трафика, обеспечивая приоритетное обслуживание наиболее важных потоков.

Чтобы выяснить, так ли хорошо работают эти системы, как декларируют их производители, мы провели их крупномасштабные испытания. В ходе тестирования были получены довольно обнадеживающие результаты. Все протестированные устройства удовлетворительно выполняли профилирование трафика, особенно в случае приоритизации пакетов данных различных классов. Продукт 7206VXR фирмы Cisco Systems предоставлял наибольшее число разнообразных средств для настройки механизмов QoS, правда, цена его "кусалась". Но те предприятия, которые все-таки решатся приобрести его, получат самые мощные средства управления трафиком, доступные на сегодняшний день.

И все же разработчикам менеджеров полосы пропускания еще есть над чем поработать. Все устройства, протестированные нами, испытывали затруднения, обрабатывая взрывной трафик, представляющий собой очень короткие нерегулярные пачки пакетов. Да и самонастраивающаяся природа протокола TCP затрудняет обеспечение точных уровней задержек. Инженерам компаний-производителей, чтобы добиться оптимальных результатов, приходилось скрупулезно настраивать и перенастраивать свои устройства - задача, с которой системам следовало бы, по-хорошему, справляться самостоятельно.

Наше тестовое приложение требовало от менеджеров полосы пропускания не только слежения за состоянием всех 200 соединений, но и обработки взрывного трафика, представляющего собой короткие интенсивные пачки пакетов - именно такой характер чаще всего и носит трафик Web-узлов. Изучение информации, хранящейся на Web-сайтах, показывает, что средний размер их объектов составляет как раз где-то 10 Кбайт. Ясно, что для эффективного профилирования потоков менеджеры полосы пропускания должны быстро обрабатывать пульсирующий трафик.

Следует отметить, что для передачи Web-потоков мы использовали протокол HTTP версии 1.0, требующий установления нового TCP-соединения для каждого передаваемого объекта. Многие Web-узлы перешли на протокол HTTP версии 1.1, что позволяет повторно использовать одно и то же соединение для передачи нескольких объектов. Возможно, потоки HTTP 1.1 и обеспечивают более "мягкий" режим работы менеджеров полосы пропускания (так как при этом им приходится отслеживать меньшее число соединений), но поскольку в наши задачи входило испытание устройств в наиболее жестких условиях, мы выбрали протокол HTTP 1.0.

Устанавливаем границы

Приложение компании Netcom мы использовали для оценки трех различных способов профилирования трафика: путем выделения трафику определенного типа строго заданной полосы пропускания, путем обеспечения ему заданной задержки и путем приоритизации разнородного трафика.

В первом случае мы решили выяснить, могут ли устройства идентифицировать потоки определенного типа, а затем установить им верхнюю границу полосы пропускания. Ограничение скорости потоков на определенном уровне предотвращает захват чересчур "жадными" приложениями (такими, как NetMeeting фирмы Microsoft) слишком большой полосы пропускания и тем самым гарантирует эффективную передачу высокоприоритетного трафика.

Мы попросили производителей сконфигурировать свои продукты таким образом, чтобы трафик, поступающий с половины тестовых серверов (а всего, напомним, их было 200), потреблял не более 512 Кбит/с пропускной способности нашего гипотетического выходного канала Т1. (Мы измеряли пропускную способность на прикладном уровне, поэтому следует иметь в виду, что 512 Кбит/с, измеренные на физическом уровне, соответствуют примерно 490 Кбит/с на прикладном уровне.) Чтобы спровоцировать перегрузку канала Т1, суммарный трафик, передаваемый по всем 200 соединениям, генерировался со скоростью чуть большей 3 Мбит/с.

Результаты теста по ограничению скорости потоков показаны на рис. 1. Ни один продукт не смог ограничивать скорость передачи контрольного трафика в точности на уровне 490 Кбит/с (или 512 Кбит/с в физическом канале). И все же, результаты, полученные для устройств Allot и NetScreen, оказались достаточно близкими к этому значению: они доставляли контрольный трафик на скорости 475 Кбит/с и 479 Кбит/с соответственно.

Если бы только можно было добиться таких хороших результатов поворотом одной-единственной ручки на нужную отметку! К сожалению, все далеко не так просто. Чтобы получить оптимальный результат, всем без исключения производителям приходилось выполнять в нашей лаборатории бесчисленное количество попыток, до боли в висках экспериментируя с разнообразными конфигурационными параметрами. Даже при настройке устройства NetEnforcer AC301 фирмы Allot, и впрямь имеющего такую ручку, пришлось изрядно попотеть.

Следует также отметить, что работу продукта NetScreen-5 фирмы NetScreen мы оценивали, установив одновременно лишь 100 сеансов связи. Это было связано с тем, что нам не удавалось добиться приемлемых результатов с 200 соединениями (именно такое их число мы использовали, тестируя другие устройства). Но данный факт ни в коем случае не умаляет достоинств продукта NetScreen-5. Дело в том, что он был разработан исключительно для малых офисов и продается с лицензией на 25 пользователей максимум.

В модуле Guidepost фирмы NetGuard отсутствуют специальные средства, которые позволяли бы ему обрабатывать трафик, имеющий взрывной характер, что не замедлило сказаться на результатах его тестирования. В одних и тех же тестах он гораздо эффективнее управлял скоростью передачи установившегося трафика, нежели скоростью передачи импульсных пачек пакетов. Справедливости ради мы должны отметить, что компания NetGuard никогда и не заявляла о том, что ее продукт может профилировать взрывной трафик. Она рекламирует возможности Guidepost по управлению полосой пропускания, в основном, в качестве дополнения к средствам сетевой безопасности своего продукта GuardianPro 4.11. В самом деле, профилирование трафика может оказать неоценимую пользу при отражении атак типа "отказ в обслуживании". Менеджер управления полосой пропускания может гарантировать выделение отдельным приложениям фиксированной полосы пропускания, обеспечивая сброс пакетов атакующего трафика.

Что касается устройства AC301 фирмы Allot, то оно предоставляет специальные средства управления, предназначенные для профилирования взрывного трафика, которыми мы не преминули воспользоваться. AC301 также имеет функцию постоянной битовой скорости (Constant Bit Rate - CBR), суть которой заключается в том, что продукт буферизирует входящие данные, а затем выдает их с постоянной скоростью. Эта функция будет особенно полезна при обработке трафика видео- и речевых приложений, чувствительных к вариации задержки (джиттеру).

Игра в ожидалочки

Инженеры Cisco как-то правильно заметили, что жесткий контроль полосы пропускания часто осуществляется за счет увеличения задержки. Нельзя сказать, что большая задержка всегда является самым большим злом. Во многих случаях единственной метрикой, которая может сказываться на эффективности работы узла (особенно использующего “жадные” приложения TCP) является именно полоса пропускания. Попробуйте, например, запустить с небольшим интервалом 10 FTP-сеансов связи между двумя узлами, и первые несколько получат гораздо большую полосу пропускания, чем последующие.

Но для многих предприятий борьба с задержками трафика действительно очень важна. Новые аудио- и видеоприложения являются не единственными источниками трафика, требующими низких и постоянных задержек. Многие унаследованные приложения, включая терминальный трафик SNA, также рассчитаны на сетевую инфраструктуру, обеспечивающую субсекундные времена отклика. Разработчики серверных комплексов для Web-узлов тоже стремятся к тому, чтобы Web-страницы доставлялись клиентам за минимально короткое время. Их цель состоит в том, чтобы считываемые страницы отображались на экране пользователя не позднее, чем через секунду. К сожалению, сам протокол TCP только мешает осуществлять контроль задержек распространения трафика. Он динамически адаптируется к возникающим в линии заторам пакетов, уменьшая скорость передачи трафика до полной ликвидации перегрузки.

Чтобы оценить, насколько эффективно менеджеры полосы пропускания контролируют задержку распространения трафика приложений TCP/IP, мы, как и раньше, нагрузили их трафиком HTTP, передаваемым между 200 клиентами и серверами. На этот раз мы попросили производителей, чтобы они "пометили" половину потоков как высокоприоритетные и гарантировали им задержку менее 500 мс. Это вдвое меньше того односекундного уровня, который стремятся обеспечить в своих сетях многие сетевые администраторы. Наш тестовый трафик создавался в результате сотен кратковременных соединений, которые могли теоретически завершиться по истечении даже 50 мс. Тем не менее, мы измеряли задержку индивидуальных пакетов.

Все производители без труда обеспечили задержку пакетов ниже 500-мс отметки (рис. 2), поэтому, что касается приложений, ориентированных на передачу данных, все испытуемые устройства, безусловно, обеспечат им нормальные условия работы. Но только продукт Cisco 7206VXR смог удержать задержку на уровне, не превышающем 50 мс, - она оказалось равной всего 30 мс! (60 мс на два последовательно включенных маршрутизатора). Для других продуктов она была значительно больше – от сотни миллисекунд и выше.

Оценивая максимально допустимую задержку трафика, следует иметь в виду следующее. Во-первых, вновь появляющиеся приложения IP-телефонии (VoIP) гораздо чувствительнее к задержкам, чем приложения, ориентированные на обработку данных. При этом качество звучания начинает страдать уже при дополнительных задержках 70-100 мс. Во-вторых, как отмечалось ранее, задержки обладают свойством кумулятивности, а это означает, что задержки, вносимые последовательно включенными сетевыми устройствами, складываются. Поэтому любая система, которая привносит задержку, скажем, 200 мс, может оказать вам медвежью услугу.

Смешайте все это!

Последний набор тестов был нацелен на то, чтобы определить, насколько хорошо испытуемые устройства могут классифицировать и контролировать разнородный трафик, состоящий из пакетов различного типа. В ходе двух предыдущих тестов они "ухаживали" только за трафиком одного типа, тогда как обработка данных других типов осуществлялась по остаточному (best-effort) принципу. В последнем же тесте устройствам приходилось уделять внимание всему проходящему через них трафику, а не только одному высокоприоритетному.

Чтобы оценить эффективность обработки разнородного трафика, мы направили на устройства управления полосой пропускания пакеты сразу трех типов. Два первых представляли собой Web-трафик и имели свои отличные IP-адреса и указатели URL. Мы определили их как потоки с высоким и средним уровнем приоритета. Третий тип, который мы определили как низкоприоритетный, представлял собой трафик, передаваемый по протоколу UDP без установления логического соединения. Объем трафика каждого типа был примерно одинаков. Общую нагрузку на устройства мы довели до 4 Мбит/с, что примерно в три раза превысило пропускную способность канала Т1. Ясно, что чем-то нужно было жертвовать.

Мы попросили производителей сконфигурировать устройства таким образом, чтобы они доставляли трафик разных типов в соотношении 3:2:1. Таким образом, мы надеялись увидеть, что скорость передачи высокоприоритетного Web-трафика окажется в три раза выше скорости низкоприоритетного UDP-трафика, тогда как трафик со средним уровнем приоритета будет передаваться в два раза быстрее последнего.

Большинство устройств показало результат, довольно хорошо вписывающийся в соотношение 3:2:1 (рис. 3). Ближе всех к цели оказался продукт фирмы Cisco: для двух типов трафика он угодил прямо в яблочко, а для третьего промахнулся всего на одну десятую. Следующим по точности попадания оказался продукт NetScreen-5: на одну десятую долю единицы он отклонился от цели и для высокоприоритетного и для среднеприоритетного потоков.

Как и в тестах по ограничению скорости передачи трафика, чтобы приблизится к заветному соотношению 3:2:1 приходилось делать многочисленные пробные прогоны. Примечательно, что продукты фирм Allot и NetGuard позволяют пользователям определять относительные уровни приоритета для разных типов трафика, но нам пришлось потратить уйму времени, пытаясь отрегулировать их для обоих устройств. Тем не менее, в обоих случаях было проще прийти к цели (соотношению 3:2:1), устанавливая строгие ограничения на полосу пропускания, нежели определяя относительные приоритеты для потоков разного типа.

Возможно, проницательный читатель уже обратил внимание на то, что суммарная скорость передачи трафика всех трех типов может превосходить пропускную способность линии Т1. Это связано с тем, что устройства буферизировали трафик, и поэтому не весь поступающий в одно и то же время трафик покидал выходной интерфейс одновременно. Безусловно, число битов, покидающих устройство в любой заданный момент времени, не могло превысить 1,5 Мбит/с.

7206VXR (с QoS Policy Manager) фирмы Cisco Systems

Ни один производитель не предоставляет столь большого числа механизмов QoS и способов управления ими, как Cisco. Этот огромный арсенал компания и задействовала в ходе нашего тестирования. Она предоставила нам не только два своих маршрутизатора серии 7200, но и продукт QoS Policy Manager (QPM) - графическое средство для регулировки полосы пропускания, задержки и джиттера, а также настройки многочисленных механизмов организации и обслуживания очередей и ряда других параметров. Менеджер QPM устанавливается на центральную управляющую консоль, с которой он позволяет определять политики QoS и загружать их на все маршрутизаторы и коммутаторы, установленные в сети. Cisco продемонстрировала нам и свой продукт QoS Device Manager (QDM) - бесплатно распространяемое Java-приложение, основанное на Web. Если менеджер QPM используется в масштабе всей сети, то QDM работает только с конкретными устройствами - с маршрутизаторами серии 7000.

Независимо от того, где политика управления полосой пропускания определяется, реализуется она только в среде IOS, под управлением которой работают все маршрутизаторы Cisco. В наших тестах компания продемонстрировала возможности своих устройств по жесткому управлению трафиком (когда определенному типу трафика выделяется строго фиксированная полоса пропускания), его профилированию (буферизация трафика при перегрузке и динамическое выделение ему всей доступной полосы после ее устранения) и маркировке полей IP Precedence и DiffServ заголовка каждого IP-пакета.

Судя по результатам нашего тестирования, все эти функции работают очень эффективно. Хотя устройства Cisco и не получили высшую оценку в тестах по жесткому ограничению скорости передачи трафика, они показали наилучший результат (всего 30 мс!) в тестах по ограничению задержки распространения индивидуальных пакетов. Ближайший конкурент - продукт NetScreen-5 - смог удержать задержку лишь на уровне 117 мс. Кроме того, продукты фирмы Cisco одержали победу в тестах по обработке разнородного трафика.

Но, как и в случае со многими другими изделиями Cisco, столь богатая функциональность и превосходная производительность ее менеджера полосы пропускания обходятся недешево: стоимость продукта 7206VXR - 22 000 долл. - является очень высокой. Руководители Cisco, однако, заявляют, что к их продукту следовало бы приклеить ярлык "бесплатно", поскольку пользователи, в конце концов, покупают маршрутизатор, а все функции QoS достаются им как бесплатное приложение к нему. Да, это так, но даже для "только" маршрутизатора это отнюдь не дешево.

NetScreen-5 фирмы NetScreen Technologies

Пусть вас не сбивают с толку небольшие размеры устройства NetScreen-5: несмотря на то что они сопоставимы с размерами дешевого романа в бумажной обложке, этот продукт наделен не только функциями управления полосой пропускания, но и полным набором функций межсетевого экрана и шлюза ВЧС. NetScreen-5 имеет не только самые малые размеры, но и самую низкую стоимость (995 долл.) среди всех протестированных нами устройств.

Компания NetScreen продает свой продукт с лицензией на 10 и 25 пользователей. Мы не смогли протестировать его путем одновременного установления соединений с 200 клиентами, как делали это при испытании других продуктов, но это вовсе не умаляет его достоинств, поскольку он предназначен для сетей малых и домашних офисов, где не бывает много пользователей.

Хотя NetScreen-5 предоставляет меньшее число органов управления полосой пропускания, чем другие испытуемые устройства, результаты его тестирования свидетельствуют о том, что с профилированием трафика он справляется очень даже неплохо. В тестах по управлению полосой пропускания он пришел к финишу первым, да и в тестах по обработке разнородного трафика не ударил в грязь лицом.

Для настройки и управления NetScreen-5 можно использовать интерфейс, основанный на Web, или интерфейс командной строки. Оба интерфейса допускают использование трех способов управления полосой пропускания: выделение трафику определенного типа гарантированной полосы пропускания, определение максимального уровня полосы пропускания и распределение полосы пропускания в соответствии с относительными уровнями приоритета. Это устройство не позволяет осуществлять явный контроль за индивидуальными соединениями в рамках заданной политики.

Одно замечание: NetScreen-5 предоставляет лишь 10-Мбит/с интерфейс, а не 10/100-Мбит/с, как того хотелось бы. Учитывая, что выходной интерфейс этого устройства будет, скорее всего, подключен к низкоскоростному соединению DSL или кабельному модему, ограничение скорости на уровне 10 Мбит/с не является такой уж серьезной проблемой. Вместе с тем на рынке имеется не так мало маршрутизаторов, коммутаторов и концентраторов, оборудованных лишь интерфейсами на 100 Мбит/с, и было бы неплохо, если бы NetScreen-5 был с ними совместим.

NetEnforcer AC301 фирмы Allot Communications

По глубине и широте функциональности средств управления полосой пропускания продукт NetEnforcer AC301 не уступает устройству компании Cisco, а его пользовательский интерфейс является даже более интуитивным, особенно в части мониторинга трафика. К сожалению, нам не удалось добиться от него столь же хороших результатов, которые показал продукт Cisco. Компания Allot связывает это, прежде всего, с особенностями нашего тестового приложения.

AC301 оснащен двумя интерфейсами 10/100 Мбит/с и работает под управлением специализированной версии ОС Linux. В отличие от других участников нашего тестирования, представляющих собой маршрутизаторы, устройство Allot является прозрачным мостом. Им можно управлять через telnet или Java-приложение, запускаемое из Web-браузера. Фирма Allot предоставляет также Java-приложение для клиентов Microsoft Windows и Sun Solaris.

Наиболее мощным средством устройства AC301 по управлению трафиком является его возможность определять правила не только для целой группы потоков ("виртуального канала"), но и для отдельных соединений, входящих в эту группу. Такая функция особенно полезна при контроле трафика тех приложений, которые позволяют нескольким первым соединениям практически монополизировать полосу пропускания. Кроме того, продукт AC301 оказался единственным среди испытуемых устройств, предоставляющим органы управления для контроля скорости передачи взрывного трафика и его задержки.

Помимо средств профилирования трафика, AC301 предоставляет также такие функции, как учет сетевых ресурсов, перенаправление трафика в кэш-сервер, балансирование серверных нагрузок и организация соединений с серверами LDAP и COPS (Common Open Policy Service). Что же касается результатов работы AC301 в наших тестах, то тут у нас остались смешанные чувства. Несмотря на то что в ходе проведения всех тестов продукт продемонстрировал приличные результаты, на его настройку у нас уходило гораздо больше времени, чем на настройку любого другого испытуемого устройства. Кроме того, параметры, которые мы в конце концов использовали, далеко не всегда соответствовали нашим целям. Например, пытаясь добиться ограничения полосы пропускания Web-трафика на уровне 512 Кбит/с, мы смогли только установить виртуальный канал, который, согласно настройкам, ограничивал трафик на уровне 300 Кбит/с.

Нет ничего удивительного в том, что фирма Allot приписывала все трудности, с которыми мы сталкивались, нашему тестовому приложению. Несомненно, в ее критике есть зерно истины: тестовое приложение не моделирует некоторые возможности протокола TCP, такие как динамическая настройка интервалов повторной передачи пакетов, а фирма Allot уверяет, что они необходимы ее устройству для точного профилирования трафика. Мы вполне согласны с Allot, что к следующему тестированию хорошо бы включить в тестовое приложение все недостающие функции. Тем не менее мы не уверены в том, что все проблемы конфигурирования ее продукта обусловлены исключительно нашим тестовом приложением: другие устройства справлялись с теми же нагрузками и показывали аналогичные (и даже более высокие) результаты, не требуя столь кропотливой настройки.

GuardianPro 4.11 (с модулем Guidepost) фирмы NetGuard

Модуль Guidepost представляет собой дополнительное приложение, интегрированное в межсетевой экран GuardianPro 4.11 фирмы NetGuard. Пакет GuardianPro включает также модули трансляции сетевых адресов (NAT) и аутентификации пользователей. Кроме того, в его состав входит ПО агента, работающее под управлением Windows NT, и управляющее приложение под Windows NT или Windows 9х. В силу того, что Guidepost является продуктом, основанным на Windows, запуск его производится исключительно из GUI-интерфейса, а опция командной строки вообще отсутствует. Пользователи службы справочника Active Directory и других применяемых в продуктах Microsoft древовидных справочников объектов будут чувствовать себя с GUI-интерфейсом как дома: он предоставляет отдельные контейнеры для правил ("стратегий"), агентов, сетей и хостов. Из того же интерфейса GUI можно запустить и межсетевой экран, и модуль NAT, и модуль аутентификации пользователей.

Чтобы сформировать политики управления полосой пропускания, пользователи определяют стратегию, которая ограничивает общую пропускную способность устройства заданной скоростью передачи трафика (по умолчанию это скорость Т1). Используя такую стратегию, пользователи могут выделять трафику определенного типа гарантированную полосу пропускания, задавая минимальный или максимальный ее уровни. Кроме того, можно устанавливать относительные приоритеты для потоков разного класса.

GUI-интерфейс продукта Guidepost требовал от нас слишком много лишних движений и не отличался логичной стройностью. Нам, например, было не ясно, почему, настраивая стратегию, отправителей и (опционно) получателей надо определять в разных окнах интерфейса. Потом, на главном экране агента отображаются отличные двумерные или трехмерные диаграммы, но на их осях отсутствует маркировка измеряемых параметров.

Тем не менее, после завершения настройки этот пакет работает довольно прилично. Если в среде Windows NT планируется развернуть межсетевой экран GuardianPro, то модуль Guidepost станет прекрасным его дополнением. Подключаясь к испытаниям, компания NetGuard откровенно предупредила нас, что, вряд ли, Guidepost обеспечит высокий уровень детализации контроля взрывных потоков трафика, формируемых нашим тестовым приложением. И действительно, тестирование показало, что Guidepost эффективно профилирует потоки, поступающие с относительно стабильной скоростью, но "пробуксовывает" при контроле взрывных потоков.

Таблица 1. Системы управления трафиком: результаты тестирования

Критерий оценки Значимость критерия, % Cisco 7206VXR фирмы Cisco NetScreen-5 фирмы NetScreen NetEnforcer AC301 фирмы Allot GuardianPro 4.11 фирмы NetGuard

Производительность

40 4 4 4 3

Конфигурирование/ управление

25 5 5 5 4

Функциональные возможности

20 5 5 5 4

Совместимость с други-ми устройствами QoS

10 5 3 4 3

Цена

5 2 5 2 4

Итоговая оценка

4,45 4,40 4,35 3,50

Примечание. Оценки выставлялись по пятибалльной системе

Таблица 2.Характеристики протестированных систем управления трафиком Интернет

Характеристика Cisco 7206VXR фирмы Cisco Systems NetScreen-5 фирмы NetScreen Technologies NetEnforcer AC301 фирмы Allot Communications GuardianPro 4.11 фирмы NetGuard

Исиользуемые режимы работы

Мост Маршрутизатор Мост/маршрутизатор2 Маршрутизатор

Поддерживаемые интерфейсы

10/100Base-T

10- и 100Base-T Ethernet; Gigabit Ethernet (оптический); Fast Ethernet ISL и Token Ring ISL; 4/16-Мбит/с Token Ring; T3 ATM и OC-3 ATM; шина и тег; для канализируемой линии Т3; Е1/Е3; Escon; FDDI; HSSI; IMA; BRI и PRI ISDN; OC-3 POS; T1/T3

Определяется системой, на которую установлен данный пакет

10/100Base-T

Использование виртуальных интерфейсов

m l l m

Возможность глобального изменения конфигурации

m m (посредством менеджера QoS Policy Manager) m m3

Время одной перезагрузки (с - секунды, мин - минуты)

48 с1 1 мин 42 с 2 мин 3 с 30 с

Критерии, используемые при классификации трафика:

MAC-/IP-адреса

m/l l/l m/l m/l

Маркировка полей DSCP/IP precedence

l/l l/l m/m m/m

Номера потов TCP/UDP

l/l l/l l/l l/l

Сигнатура приложения

m m m m

Указатель URL/маркер cookie

l/m l/l m/m m/m

Другие

Время суток; значение байта ToS (плюс возможность маркировки битов ToS); LDAP-определение Время суток; значение байта ToS (плюс возможность маркировки битов ToS); LDAP-определение; идентификаторы VoIP Отсутствуют Отсутствуют

Цена на момент тестирования (в долл.)

13 000 22 000 2495 (на 25 IP адресов) 995 (на 10 IP адресов); 1795 (на 25 IP адресов)

Примечание: l - есть, m - нет; 1 - при перезагрузке передача трафика не прерывается. 2 - маршрутизирует на локальный интерфейс

и связывает мостом с маршрутизатором доступа; может также работать только в режиме маршрутизатора (по просьбе производителя

этот режим не тестировался). 3 - требуется написание сценариев

Коротко о продуктах:

NetEnforcer AC301
Цена: 13 000 долл.
Фирма: Allot Communications
www.allot.com

Cisco 7206VXR (c NPE-300)
Цена:22 000 долл.
Cisco QoS Policy Manager 1.1

Цена: 9995 долл.
Cisco QoS Device Manager 1.0

Цена: бесплатно (в США)
Фирма: Cisco Systems
Телефон в Москве: 961-1410
www.cisco.com

GuardianPro 4.11
Цена: 2495 долл. (с лицензией на 25 пользователей)
Фирма: NetGuard
www.netguard.com

NetScreen-5
Цена: 995 долл.
Фирма: NetScreen Technologies
www.netscreen.com





  
11 '2000
СОДЕРЖАНИЕ

колонка редактора

• Реальное общение для виртуальной экономики

локальные сети

• Беспроводные сети стандарта 802.11 - в массы

• С появлением новых стандартов меняются и требования к тестированию кабельных систем

• Знание стандартов облегчает спецификацию оптоволоконных кабелей

• В поисках идеальной сетевой ОС

услуги сетей связи

• Соглашения об уровне обслуживания при аренде цифровых каналов

• Анатомия пакетной передачи речи. Часть I. Пропускная способность

• Взгляд в будущее

только на сервере

• Управление трафиком Интернет: нет - хаосу, да - порядку!

• Электронная почта Интернет

• Безопасное исполнение Java-программ

• Тестер NetTool: мал, да удал

корпоративные сети

• ПО резервного копирования в корпоративных сетях

• Увидеть слона целиком. Часть II

• Персонализируемые порталы

защита данных

• Внедрение технологий VPN в корпоративных сетях

электронная коммерция

• "Театр Кабуки"

системы учрежденческой связи

• Внутренние радиотелефонные системы

новые продукты

• Сервер телематических служб от "КБ Кроникс", Tizona v2.0 - биллинг для Интернет-провайдеров, Плинты "Элграф" - эволюция при модернизации оконечных кабельных устройств


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх