Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Совершенная сеть. Попытка номер 2

Питер Морриси

Наша гипотетическая страховая компания CradletoGrave (C2G) хочет построить сеть, которая обеспечит ей конкурентные преимущества и последующую возможность установки систем IP-телефонии, беспроводной связи и т. д. На данный момент внимание C2G привлекло дорогостоящее предложение Cisco, в первую очередь своими средствами резервирования и безопасности.

Наше первое проектное задание (RFP), предложенное от лица компании C2G, дало нам хорошее представление о том, какие фирмы способны предложить технические решения для сетевой инфраструктуры и сколько это будет стоить. В этот раз мы запросили похожую конфигурацию, но число портов увеличили в четыре раза — до 4 тыс., исходя из фантастического роста объема бизнеса нашей C2G в прошлом году (ну, компания-то ведь воображаемая). Мы также повысили требования к уровням готовности и безопасности сети, что, на наш взгляд, отражает потребности наших читателей. Нам необходима сеть с коэффициентом готовности “пять девяток” (0,99999), чтобы обеспечить бесперебойную работу критически важных бизнес-приложений, число которых неуклонно растет, в том числе и будущей системы IP-телефонии (VoIP). Еще мы просили, чтобы элементы коммутирующей и маршрутизирующей инфраструктуры имели усиленные средства безопасности.

В число наших требований также входило наличие 10-Гбит/с магистральных линий связи, каналов Fast Ethernet или Gigabit Ethernet для подключения настольных систем с поддержкой технологии PoE (подача электропитания по кабелю Ethernet), WAN-соединений по линиям OC-3 и T3. С поставленной задачей справились три поставщика: Alcatel, Cisco Systems и Nortel. Приглашения были разосланы также компаниям Enterasys Networks, Extreme Networks, Foundry Networks, Hewlett-Packard и 3Com. Последняя отклонила приглашение из-за неспособности удовлетворить требование по поддержке PoE на гигабитовых каналах. Компания Enterasys тоже заявила, что ее продукты не отвечают критериям C2G. А все прочие отказались, ссылаясь на нехватку ресурсов и/или проблемы со временем.

Разумеется, такой RFP-запрос — это всего лишь один из множества шагов, необходимых для принятия решения о покупке оборудования. Однако хорошо составленный “вопросник” поможет выявить решения, которые отвечают вашим минимальным требованиям и заслуживают дальнейшей проработки. В нашем случае такие решения предложили Nortel и Cisco. Что же касается предложения Alcatel, то и оно бы подошло, если бы C2G согласилась подождать до ноября 2004 г., т. е. до того времени, когда Alcatel наметила выпуск гигабитового продукта с поддержкой PoE для подключения настольных систем (анализ проектов проводился в октябре 2004 г. — Прим. ред.).

Готовя свой RFP-запрос, имейте в виду следующее: чем детальнее описаны ваши потребности, тем выше вероятность адекватных ответов. И не стоит рассылать такие запросы, если у вас нет серьезных намерений делать покупку. Ведь разработка подробного проекта обходится дорого компаниям-поставщикам, и вы можете подорвать свою репутацию, если все их усилия окажутся впустую.

Что нового у C2G

Как уже упоминалось выше, наш нынешний запрос для C2G несколько отличался от версии 2003 г. (см.: Сети и системы связи. 2003. № 9. С. 44). В прошлый раз, например, мы поставили поставщикам условие обеспечить два 10-Гбит/с Ethernet-порта, в этот же раз потребовали шесть 10-Гбит/с соединений со зданиями офисного комплекса. Мы снова затребовали как 100-, так и 1000-Мбит/с подключения для настольных систем, но на этот раз вместо опциональной поддержки PoE нам обязательно нужна была поддержка этой технологии для всех соединений с настольными системами (100-Мбит/с и 1-Гбит/с).

Проекты всех трех поставщиков оказались схожи в одном: все они предлагают высококлассное коммутирующее/маршрутизирующее устройство на магистрали, к которому подключаются агрегирующие коммутаторы, расположенные на цокольных этажах всех зданий комплекса. В свою очередь, к “агрегаторам” подключаются коммутаторы для настольных систем, расположенные на каждом этаже здания. Но если Alcatel и Nortel предложили по одному шасси (модульному коммутатору) и для магистрали, и для коммутаторов зданий, то Cisco предложила сдвоенное решение и для магистрали, и для коммутаторов всех 12 зданий. Дорого, но эффективно.

Все поставщики не упустили возможности воспользоваться имеющимся у C2G оптоволокном для резервирования соединений с магистралью Центра обработки данных. Это относилось к шести зданиям с 1-гигабитовыми и к шести зданиям с 10-гигабитовыми соединениями. Компания Cisco снабдила каждое свое шасси резервными источниками питания и вентиляторами, а Alcatel и Nortel включили также в свои предложения резервные платы ЦПУ и модули коммутации (switch fabric), что несколько компенсировало отсутствие полностью резервированных шасси. Мы не указывали, что конкретно нужно резервировать, но особо подчеркивали требование высокой готовности. Предложенные нам технические решения можно интерпретировать так: Cisco, вероятно, полагает, что коэффициента готовности 0,99999 можно добиться только за счет применения дорогостоящих резервных шасси, тогда как и Alcatel и Nortel уверены, что для этого достаточно зарезервировать элементы внутри коммутаторов. Впрочем, ни один поставщик не дал нам стопроцентной гарантии по коэффициенту готовности. Самым разумным в большинстве случаев, по-видимому, окажется “золотая середина”. Нашей компании C2G, как минимум, следует позаботиться о резервных магистральных коммутаторах и о запасных компонентах для всего сетевого оборудования. Впрочем, если у вас имеется резервное оборудование, находящееся в режиме высокой готовности, то вам хватит времени, чтобы заменить вышедшие из строя устройства, прежде чем сломаются их “дублеры”, поэтому в данном случае надобность в большом складе запчастей отпадает.

Все три поставщика обещали обеспечить для магистрали высокоскоростную коммутацию и маршрутизацию на базе микросхем ASIC с высокоскоростными шинами и ASIC-поддержку механизмов гарантированного качества обслуживания (QoS) на уровнях 2 и 3. И характеристики большинства предложенного оборудования показывают, что по производительности оно не слишком отличается. Единственное исключение — реализация механизма трансляции сетевых адресов (Network Address Translation — NAT): не у всех она выполняется в микросхемах ASIC.

Компании-участницы предложили, судя по всему, зрелую реализацию механизма аутентификации 802.1x, причем все они обеспечивают поддержку протокола EAP (Extensible Authentication Protocol) для клиентской стороны и сервера RADIUS для серверной. Все проекты предоставляют C2G возможность ограничить доступ зарегистрировавшегося пользователя средствами виртуальных ЛВС (VLAN) и списков контроля доступа (ACL), исходя из регистрационного имени (логина) этого пользователя. Таким образом, пользователь-гость может получить, например, доступ к Интернет, но не к внутренней сети компании, тогда как рядовой ее сотрудник получит доступ к ее внутренней сети, но не к серверам бухгалтерии. Мы признали первенство за компанией Cisco в категории “Безопасность” из-за наличия некоторых уникальных средств, встроенных в ее пограничные коммутаторы.

Все компании также хорошо справились с обеспечением средств безопасности для сетевого управления. Все они поддерживают шифрованное сетевое управление через Web, telnet и SNMP, поэтому “любопытный” пользователь не сможет получить информацию о конфигурации, или, что еще хуже, регистрационные данные, позволяющие войти в систему с правами на реконфигурирование сети.

Компании Cisco и Alcatel предоставили значительно больше информации о своих службах технической поддержки, чем Nortel, которая сообщила нам лишь крохи информации в этой области. Что заставило нас задуматься: не пытается ли Nortel удешевить свое предложение, “срезав углы” за счет технической поддержки? И что еще любопытно, отвечая на вопрос об уровне технической поддержки со стороны поставщика, наши читатели выставили максимальное число негативных оценок именно компании Nortel — 13% против 1% у Cisco и 7% у Alcatel.

Вопрос цены

Предложение Cisco, предусматривающее использование Fast Ethernet для подключения настольных систем, стоило умопомрачительно — 3 135 460 долл., а вариант с каналами Gigabit Ethernet был еще на 44% дороже — 4 525 720 долл.! Хотя за эту цену C2G получит удесятеренную полосу пропускания, но по деньгам это все же огромная разница. Правда, в свою спецификацию Cisco включила значительно больше резервного оборудования — высококлассных коммутаторов Catalyst 6500, что во многом определило столь высокую цену. Gigabit-предложение Nortel стоит 1 226 669 долл. — почти на 109 тыс. долл. меньше, чем ее же предложение с соединениями Fast Ethernet (1 335 572 долл.)! И наконец, цена решений компании Alcatel составила 679 112 (для Fast Ethernet) и 731 930 долл. (для Gigabit Ethernet, но без средств PoE).

Теперь C2G осталось протестировать все эти предложения на заявленную высокую готовность. Каждый поставщик обещал, что время преодоления сбоев будет составлять доли секунды при различных сценариях. Мы предпочли бы увидеть это собственными глазами. Даже когда решение о выборе поставщика уже принято, мы всегда тестируем средства отказоустойчивости продуктов, прежде чем их разворачивать, — важно убедиться в том, что все сконфигурировано правильно, и все системы будут функционировать в соответствии с нашими ожиданиями.

Первое место мы присудили проекту Cisco с его превосходным резервированием и уникальными средствами безопасности, но приходится признать, что цена у него просто неподъемная. Мы бы рекомендовали C2G начать следующий раунд переговоров, и как следует “допросить” Nortel о ее службе технической поддержки. Решение Alcatel на момент его рассмотрения не поддерживало технологию PoE для гигабитовых соединений, зато оно было значительно дешевле, чем решения Cisco и Nortel. Хотя Alcatel несколько поскупилась на резервирование, но при этом указала, что при необходимости может усилить его уровень.

Проект Cisco Systems

Проект Cisco, помимо главного “приза”, получил от нас награду в номинации “Война и мир” — за объемность своего ответа (более 100 страниц текста с диаграммами, без учета документации на продукты). Помимо ответов на наши вопросы, текст содержал массу дополнительных рекомендаций, что мы высоко оценили. Вот только интересно: рядовая организация со штатом 4 тыс. пользователей получила бы от Cisco столь же повышенное внимание?

В предложении Cisco перечислено столько оборудования, что его количество, наверное, приведет в экстаз любое местное представительство этой компании. Оно включало 26 модульных коммутатора Catalyst 6500 — два для магистрали и по два для каждого здания. Для зданий, требующих 10-Гбит/с подключения, Cisco предложила воспользоваться двумя парами одномодового волокна для 10-Гбит/с соединения каждого коммутатора (6500) здания с одним из коммутаторов магистрали. Для зданий, которым достаточно гигабитового подключения, Cisco решила задействовать многомодовое волокно (которое мы упомянули в своем RFP), чтобы все коммутаторы (6500) в них соединить с каждым коммутатором магистрали: итого четыре Gigabit-соединения с магистралью для каждого здания. Расстояния были слишком велики, чтобы организовать 10-Гбит/с соединения по многомодовому волокну.

Для быстрого преодоления сбоев (за доли секунды) на магистрали Cisco предложила использовать протокол маршрутизации OSPF или свой фирменный EIGRP (Enhanced Interior Gateway Routing Protocol). Это возможно, поскольку магистральные и агрегирующие маршрутизирующие коммутаторы, использующие протокол OSPF (или EIGRP), соединены напрямую. Если бы между ними находился промежуточный коммутатор второго уровня, а один из каналов вышел из строя, то оборудование на другой стороне коммутатора не сразу “почувствовало” бы аварию, и восстановление работы сети заняло бы больше времени. Вот почему столь важно обеспечить прямое соединение для каждого маршрутизирующего устройства.

Специалисты Cisco также отметили, что если выйдет из строя ЦПУ одного из устройств, то все интерфейсы сразу прекратят работу, вызвав тем самым немедленное изменение статуса каналов и последующую процедуру перемаршрутизации трафика на работающие устройства. Преимущество протокола EIGRP, по заверению инженеров Cisco, заключается в его иерархической природе, облегчающей процедуры управления.

Вариант проекта Cisco со 100-Мбит/с подключением настольных систем включал ее стековые коммутаторы Catalyst 3750, а с Gigabit-подключением — модульные коммутаторы Catalyst 4500. Обе модели (3750 и 4500) имеют средства сетевой аутентификации 802.1x, как и устройства других фирм, но вдобавок они снабжены некоторыми весьма впечатляющими дополнительными средствами безопасности, противопоставить которым конкурентам просто нечего. Например, коммутаторы Cisco обеспечивают DHCP-слежение (snooping), что ограничивает возможности “левых” (rogue) DHCP-серверов вызывать проблемы в работе сети — ответы на DHCP-запросы могут проходить только через определенные порты. DHCP-слежение позволяет также запретить использование IP-адреса, если он получен не через DHCP, а иными способами. Кроме того, Cisco предлагает функцию Dynamic ARP Inspection, которая снижает риск проведения атаки, связанной с перехватом служебной информации (man-in-the-middle).

Представители Cisco заявили, что коммутаторы 6500, установленные парами на цокольных этажах каждого здания, позволят нам обновлять их ПО, не прерывая работу сети. Они также могут быть размещены в различных частях здания, или, как минимум, использовать разные линии электропитания. Однако на практике физическое разнесение коммутаторов здания потребует прокладки дополнительного кабеля. Кроме того, установка двух шасси предполагает, что для этого должно быть достаточно места, а во многих зданиях оно в дефиците.

Для каналов подключения к территориально распределенной сети (WAN) Cisco предложила маршрутизатор 7206, соединенный с другим таким устройством (в удаленном офисе) через линию OC-3 и маршрутизатором 3845 через линию T3. Причем специалисты Cisco нас заботливо проинформировали о том, что ее новейшие устройства 3845 снабжены аппаратной поддержкой VPN и цифровыми процессорами сигналов (DSP) и что они окажутся очень кстати, если мы захотим развернуть систему IP-телефонии Cisco. Впрочем, мы предпочли бы, чтобы все маршрутизаторы для WAN-соединений были моделями 7206 — это упростило бы их обслуживание и техническую поддержку.

Проект Nortel

В свою очередь, Nortel получила награду в номинации “Короткий рассказ” за лаконичность своего ответа. Вполне солидный проект компании оказался значительно дешевле предложения Cisco, при этом он включал высококлассные модульные коммутаторы Passport 8600 (сейчас они называются Nortel Ethernet Routing Switch 8600) для магистрали и нескольких зданий. Хотя Nortel не предложила устанавливать коммутаторы парами, даже на маги-страли, зато снабдила их множеством резервных элементов. Помимо резервных блоков питания и вентиляторов, Nortel добавила полное резервирование коммутационной матрицы (switch fabric). Кроме того, компания заявила, что обновлять ПО можно поочередно для каждого ЦПУ, при этом суммарное время простоя составит менее 1 с.

Nortel выбрала устройства серии 8600 в качестве коммутаторов для тех шести зданий, которые подключены на 10-Гбит/с скорости, и свои стековые BayStack 5520 — для оставшихся шести зданий с 1-Гбит/с подключением. Она также предложила коммутаторы 5520 для Gigabit-подключения настольных систем и устройства BayStack 460-PWR для 100-Мбит/с подключения. При объединении в стек коммутаторы 5520 соединяются двумя дублирующими 40-Гбит/с соединениями.

Специалисты Nortel предложили использовать технологию агрегирования каналов 802.3ad для оптоволоконного соединения между коммутатором здания и каждым аппаратным шкафом, обслуживающим не более 45 настольных систем, а для аппаратных шкафов с большим числом портов — дополнительную пару линий Gigabit Ethernet. При агрегировании коммутаторов настольных систем на коммутаторе здания Passport 8600поставщик позаботился о том, чтобы линии Gigabit Ethernet распределялись между разными платами. Для некоторых каналов ради экономии предлагалось использовать медные соединения (где это позволяет расстояние).

Пакет ПО сетевого управления Optivity служит для мониторинга отказов, диагностики, задания правил обеспечения параметров QoS и безопасности для всей сети. Он также обеспечивает управление конфигурированием и плановые пакетные обновления ПО. Отметим, что Nortel для своего ПО Optivity предлагает средство конфигурирования компании Rendition Networks — победительницы нашего последнего обзора средств конфигурирования для мультивендорных сред. Оно позволит C2G эффективно управлять оборудованием и других фирм, а не только самой Nortel.

Нас слегка разочаровали ответы Nortel, касающиеся ее службы технической поддержки, и мы так и не избавились от сомнений, справится ли она с задачами техподдержки сети C2G. Alcatel и Cisco предоставили нам значительно более подробную информацию по своим процедурам обслуживания и решения возникающих проблем.

Вместе с тем нас порадовало, что Nortel оказалась единственной компанией, которая откликнулась на просьбу предоставить список VoIP-оборудования (помимо собственного), способного работать в проектируемой сети. В свой список она включила устройства Avaya и Cisco. Мы рассматриваем это как еще одно доказательство способности Nortel поддерживать оборудование сторонних компаний.

Что касается безопасности, то решение Nortel предоставляет все затребованные нами базовые средства, включая поддержку 802.1x и шифрование трафика управления. Как и решения других поставщиков, оно обеспечивает детальное управление сетевым доступом в зависимости от регистрационного имени пользователя. Nortel также заявляет, что ее оборудование совместимо с решениями обеспечения безопасности Sygate, проверяющими ПК на наличие на нем последних версий антивирусного ПО и заплат ОС, до того, как разрешить ему зарегистрироваться в сети. Кроме того, разработки Sygate позволяют запускать обновления автоматически, если ПК не прошел указанную проверку.

Проект Alcatel

Alcatel прислала нам вполне добротное предложение, но его итоговая оценка пострадала из-за отсутствия в нем коммутатора для настольных систем, поддерживающего PoE и Gigabit Ethernet. Впрочем, компания заверила нас, что ее новый OmniSwitch 6800, выход которого на рынок был намечен на IV квартал 2004 г., отвечает этим требованиям. Alcatel предложила высококлассный модульный коммутатор OmniSwitch 8800 для магистрали и всех зданий с 10-Гбит/с соединениями (аналогично решению Nortel). А для зданий с гигабитовыми подключениями был выделен тоже модульный коммутатор, но рангом пониже — OmniSwitch 7700.

Для настольных систем с каналами Fast Ethernet компания Alcatel предложила стековые коммутаторы OmniSwitch 6600. Но соединение между устройствами в таком стеке осуществляется на скорости лишь 1 Гбит/с, что несравнимо ниже аналогичной характеристики стеков, предложенных Cisco (32 Гбит/с) и Nortel (40 Гбит/с).

Компания Alcatel, как и Nortel, по максимуму снабдила свои магистральные коммутаторы 8800 резервным оборудованием, включая блоки питания, вентиляторы, ЦПУ и модули коммутации. Однако ее схема резервирования несколько отличалась от схемы Nortel. В коммутаторе Alcatel имеются четыре различных модуля коммутации и пятый резервный, который может заменить любой из этих четырех. В нашем запросе мы просили каждого поставщика указать время простоя при обновлении ПО для наилучшего и наихудшего сценария по каждому элементу оборудования. Alcatel указала наилучшее значение в 300 мс, а наихудшее — от 90 до 120 с, если потребуется “горячая” перезагрузка. Компания не дала нам описания этих сценариев, зато просветила насчет своей схемы Smart Continuous Switching, которая предусматривает распределение таблиц маршрутизации и коммутации по интерфейсным платам для полного исключения простоев в случае выхода из строя управляющих модулей. Alcatel также сообщила нам о своей функции автоматического возврата предыдущего образа ПО, которая вновь загружает старый образ при возникновении проблем с новым.

Alcatel предложила всего по одному каналу между магистральным и агрегирующими коммутаторами, хотя в нашем запросе мы указали на наличие дополнительного оптоволокна. Когда мы обратились за разъяснениями, специалисты Alcatel сказали, что могут с легкостью добавить новые каналы на имеющиеся порты с помощью трансиверов Xenpak, которые, кстати, позволят компании C2G “переводить” 10-Гбит/с порт, скажем, с одномодового на многомодовое волокно. Но и в этом случае по уровню избыточности (резервирования) решение Alcatel нельзя сравнить с предложением Cisco, где каждый канал подводится на свое устройство. Нас удивило, что ни Alcatel, ни Nortel не предложили использовать пару коммутаторов в ядре сети.

Средства обеспечения безопасности Alcatel отвечали всем нашим базовым требованиям и, равно как и средства Nortel, поддерживали решения Sygate. Также Alcatel упомянула, что поддерживает антивирусные системы FortiGate Antivirus Firewall компании Fortinet..





  
2 '2005
СОДЕРЖАНИЕ

бизнес

• Поддержка от производителя за разумную цену

• Рождение контакт-центра

инфраструктура

• Тестируем продукты управления сетевыми ресурсами

• Тестируем консольные серверы

• Сеть «золотого» стандарта

• Совершенная сеть. Попытка номер 2

• Когда оборудование выходит из строя

информационные системы

• Системы записи вызовов для call-центров

• Электронные социальные карты

сети связи

• Тестируем SIP-УАТС компании Interactive Intelligence

• Выбираем оборудование для видеотрансляций

кабельные системы

• Прогресс в области UTP-кабелей

• Огнезадерживающие средства развиваются

защита данных

• Восстановление систем после атак

новые продукты

• CompactLAN — СКС для малого бизнеса; Экранированная кабельная система EuroLAN; Extreme вырастила «тополя»


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх