Současná generace síťového hardwaru - II. Díl. Podpora VPN a přepínání na 4. Vrstvě

Problematiku (zavádějící termín) gigabitového ethernetu jsem v minulém čísle
uzavřeli tvrzením, že podstatné navýšení přenosových rychlostí můžeme očekávat

jen u serverů osazených dlouhými (64bitů) a rychlými PCI sběrnicemi

(66–133MHz). Rád bych ale znovu zopakoval ústřední myšlenku článku že gigabit

si dříve nebo později najde cestu i k pracovním stanicím a běžným osobním

počítačům. To ostatně potvrzuje třeba i nedávné uvedení laptopu firmy Apple,

standardně osazeného právě gigaethernetovým portem! Naopak překvapuje, že se

stále naprostá většina i levných serverů prodává bez takovéhoto „standardního“

osazení.





Offloading



Je tu ale ještě druhý faktor, který jsme zmiňovali v předchozím článku, a to je

offloading převzetí výpočetně náročných operací od hlavního CPU počítače.

Převzetí je realizováno stejně jako je tomu u 3D grafiky a grafických karet.

Software určitá vrstva driveru rozpoznává typy operací se síťovými daty a

přerozděluje je mezi vhodný hardware. Jak se ale ještě zmíníme v druhé části

článku, např. v případě „IPSec offloads“ (což je termín Microsoftu) je IPSec

akcelerace podporována pouze ve Windows 2000, takže smůlu mají i uživatelů

Windows NT.



Právě díky offloadingu testovaná karta 3Com 3C996 excelovala i v nižších

„rychlostních“ kategoriích, kde samozřejmě byla převaha interního procesoru

optimalizovaného pro propustnost 2 Gb/s proti běžným 10a 100megabitovým kartám

markantnější… Toto není srovnávací recenze, takže by nebylo korektní uvádět

výkonnostní srovnání bez skutečně profesionálního testování, ale faktem

zůstává, že na konkrétní síti byla dvojice 3C996 skrze 100megabitový switch

(aby nepřelezly na gigabit) konzistentně o 30 % rychlejší než tchajwanské (ale

proti jiným stále ještě značkové) 100megabitové karty, které se u nás díky své

ceně hojně prodávají. Zatížení gigahertzového procesoru počítače bylo přitom

díky offloadingu o cca 5–15 % nižší, a např. rozdíl nákupní ceny 1,8a 2,0GHz

procesoru by bez problému doplatil pořízení gigaethernetové karty. Mimochodem,

abychom byli spravedliví k dispozici pro „hraní“ jsme měli nový hardware firmy

3Com, to ovšem neznamená, že všechny zmiňované zajímavé funkce nalezneme

výhradně na produktech této společnosti.



Z hlediska hrubého výkonu je ještě zajímavá např. možnost změny tzv. MTU

(Maximum Transmission Unit), což je největší velikost paketů posílaných po

síti. Výchozí je pochopitelně hodnota 1 500 bytů, maximální nastavitelná na

kartě je 9 000. Tyto hodnoty musí podporovat i všechny aktivní prvky po cestě,

to ale u použitých přepínačů 4400 a 4900 nebyl problém, a pokud vás to zajímá,

rozdíl ve výkonu byl 7 %, což ale dnes ve srovnání se stovkami procent při

přechodu na 1000-TX postrádá na přitažlivosti.



Další vlastnosti, jako přímá podpora pro VLAN (seskupování prvků sítě do

logických skupin a odpovídající separace komunikace) či failover and load

balancing (práce s několika kartami pro sdružování výkonu nebo pro zálohové

spojení), už jsou orientované na náročnější serverové aplikace a jsou vlastně

implementovány formou softwarového intermediate driveru, který např. probudí ze

standby režimu kartu místo té, co selhala…





Software



Dobrá, tím se dostáváme k problematice softwaru. Stačí si vzpomenout na jisté

drivery pro Windows NT, kde jste typicky stáhli driver.exe, ten vám po spuštění

a projití několika menu pouze řekl, že archiv s driverem je třeba rozbalit do

nesmyslné cesty kamsi na c: a potom manuálně nainstalovat. (Specialitou 3Comu

byla automaticky instalovaná diagnostikační utilita, která nešla rozumně

odinstalovat a byla první, co vám pod NT předvedlo BSOD Blue Screen Of Death).



Avšak v této oblasti se toho opravdu hodně zlepšilo. Zejména instalační CD pro

současný síťový HW 3Com, o němž tu mluvíme (tj. 3C996 a 3CR990), patří dnes k

nejpohodlnější metodě instalace. Je to důležité tím spíše, že Windows 2000

(W2k) (ostatní polosystémy nebudeme uvažovat a NT žádnou plug&play detekcí

neoplývají) občas kartu NIC špatně rozpoznají, pokud se už k nim hlásí, a navíc

drivery jsou tou nejtypičtější věcí, co vám zcela shodí systém. U nového 3Com

hardwaru (podle jiných recenzí nejsem jediný, kdo oceňuje úsilí do nich

investované) je skutečně vhodnější se spolehnout na instalační CD včetně

instalace/odinstalace dodatečného softwaru a manuálu.



Nic ale není dokonalé, takže nepřistupujte paušálně k instalacím driveru na

důležitý počítač, aniž byste absolvovali testovací instalaci na pokusném

počítači. Při pokusu o instalaci softwaru pro funkci „DYNAMIC ACCESS“ karet 990

(3C996 se k téhle funkci nehlásí) se driverům podařilo dvakrát dokonale

zlikvidovat softwarově i hardwarově rozdílnou instanci W2k a W2k serveru, a

hádejte, u které jediné části instalačního CD chybí funkce uninstall?







Karta 3Com 3CR990-Tx



Podpora IPSEC



Ještě více než karta 3C996 demonstruje nastupující inteligenci síťového

hardwaru nová generace sítových karet s podporou technologií IPSec, nebo

dokonce personálního firewallu jak je tomu právě u karet 3CR990.



Dosud jsme u offloadingu uvažovali podporu kontrolních součtů (IP, TCP/UDP

checksum), Jumbo frames (až 9K) a případně segmentaci velkých TCP paketů, které

podporuje právě 3C996. Podstatně náročnějšími operacemi jsou ale dnes

nejrůznější bezpečnostní algoritmy, protože provádějí složité operace s každou

částí transportovaných dat a jejich výpočet může výrazněji zatížit i ten

nejvýkonnější server.



Karty 3CR990 které jsou 100megabitové, ale stojí řádově stejně jako 3C996, jsou

zajímavé právě jejich podporou, (tedy opět přesunutím výpočtu na procesor

karty). Abychom byli přesní, mezi akcelerované funkce patří TCP

segmentace/checksum, proti 3C996 chybí podpora pro extra velké rámce, ale navíc

je akcelerována prioritizace paketů a především enkryptovací operace pro IPSec

ty ovšem využívají výhradně funkce Windows 2000 „IPSec offloads“, zatímco o

podpoře pro Windows NT a 9× IPSec klienty se už nějakou dobu mluví jako o

„blížící se“ ale to jde o soukromou iniciativu firmy 3Com a je otázkou, kdy se

dočkáme výsledků…



Upřesněme si ale, co si představujeme pod pojmem IPSec, což je mezi managery

hodně módní téma. Obecně je IPSec (Internet Protocol Security) balík

bezpečnostních síťových služeb a protokolů založených na kryptografii. Jde o

poměrně složitou záležitost na vysvětlení i na implementaci (zejména v

kombinaci s NAT), jdoucí daleko nad rámec tohoto článku. Podstatná je

implementace IPSec ve Windows 2000 průhledným způsobem, který nevyžaduje žádné

změny v aplikacích nebo protokolech. Většinou nás zajímá použití IPSec pro

vytvoření bezpečného tunelu od klienta k serveru, nejčastěji skrze internet,

kdy všechny vyměňované pakety jsou enkryptovány. Využití akcelerace je

nezbytné, pokud chceme dosahovat plné „síťové“ rychlosti, aby tedy data

nečekala, až si hlavní CPU počítače najde na ně čas, třeba protože právě

zpracovává AV data z videokonference. U serveru potom takových spojení může být

zpracováváno paralelně větší množství (3CR996 existuje mimochodem i v nepatrně

dražší „server variantě“ ta však nemá výkonnější procesor 3XP, ale větší

pracovní paměť…). Ještě nedávno se mimochodem pro tyto účely prodávaly

speciální PCI akcelerátory v cenových relacích cca 14 000 USD.





Míra bezpečnosti



Při kupování IPSec vylepšených karet vás ovšem čeká ještě jedna lahůdka.

Takovou 3CR990-TX v cenících najdete ve dvou cenově shodných variantách,

3CR990-TX-95 (56bitové enkryptování) a 3CR990-TX-97 (168bitové). Rozdílem je

jak je vidět míra bezpečnosti. A proč jsou k dispozici dvě varianty? USA

povolují lepší kódování (rozuměj, to, které jim dá větší práci dekódovat) i

mezinárodním IT firmám prodávat v cizích zemích jen na extra povolení. Zkoušel

jsem (ještě před 11. zářím) standardní postup pro klienta řekněme ze

zdravotnictví který by měl mít nárok na vyšší zabezpečení dat.



To se vyplní speciální formulář, pošle se na příslušné ministerstvo, pak je

přeposlán bůhví kam do USA a po 6 týdnech by se měl vrátit s rozhodnutím, zda

si tuto kartu se softwarem a hardwarem můžete vůbec pořídit. Bohužel v mém

případě skutečné zdravotnické firmy pokus selhal hned na počátku doposud nebyl

český velkoprodejce schopen požadovaný formulář dodat. Ještě jedno mimochodem

podle mých neoficiálních informací se obě karty liší jen drivery, tedy

CD-ROMem, a zbytek si domyslete sami.





Firewall



Nic z dosud řešeného ovšem dostatečně neilustrovalo možnosti současných

síťovek. Opravdu horkou síťovou lahůdkou je implementace osobního firewallu

přímo na síťové kartě, která od září měla být v USA dostupná právě pro 3CR990.

Bohužel se ji v Evropě do uzávěrky článku nepodařilo získat. Z toho, co víme,

půjde o placený update firewallu karty v hodnotě cca 35–50 dolarů. Firewall

tedy skutečně poběží přímo na kartě, v podstatě pod libovolným operačním

systémem. Na vývoji se podílely firmy 3Com a Secure Computing, a výsledkem by

bylo podstatné zvýšení bezpečnosti pro počítače uvnitř segmentů chráněných

firewally. Ty totiž většinou vymezují čáru mezi „vnitřkem“ a „vnějškem“,

přičemž smutnou pravdou je, že 70–90 % bezpečnostních narušení pochází zevnitř

chráněné firemní oblasti. Možnost snadné konfigurace PC klienta či serveru, se

kterými službami komunikovat, resp. je poskytovat a s jakými síťovými adresami

umožňovat spojení, vypadá skutečně lákavě. (Mimochodem částečně tohoto můžeme

dosáhnout pomocí VLAN, které třeba 3C990 přímo podporuje bez ohledu na použité

síťové prvky). Otázkou zůstává především „Embedded Firewall Policy Server“, což

má být systém pro vzdálený management softwaru a konfiguraci jednotlivých

karet. Zatím první informace o předpokládané ceně jsou mírně znepokojivé.