Вслед за недавним анонсом нового семейства неуправляемых коммутаторов ProCurve Switch 1400 и расширением серии веб-управляемых коммутаторов ProCurve Switch 1700 компания Hewlett-Packard объявила еще несколько новых сетевых продуктов и провела ряд усовершенствований в существующих линейках с целью упрощения для заказчиков перехода на перспективные технологии 1/10 Gigabit Ethernet. Изменения затронули и сопутствующее ПО из состава решений превентивной безопасности для корпоративных сетей ProActive Defense. Обе темы стали лейтмотивом для партнерского семинара сетевого подразделения ProCurve Networking by HP, проходившего на борту самого крупного экспоната Государственного музея авиации — пассажирского авиалайнера Ил-86.
ProCurve Switch 1700-8G |
Технологии в новом формате
По данным ProCurve, в Украине рост ее бизнеса опережает средние показатели по рынку и составляет 57%. Наибольший объем продаж в количественном выражении в нашей стране обеспечивают коммутаторы базового третьего уровня (с возможностью только статической маршрутизации), за которыми с заметным отрывом следуют коммутаторы второго уровня. В денежном выражении ситуация противоположная, причем вклад устройств базового и полного третьего уровня примерно соизмерим с незначительным преимуществом в пользу менее дорогих моделей.
По скорости передачи данных по-прежнему лидируют коммутаторы с портами 10/100 Мбит/с. Однако их доля медленно продолжает снижаться в угоду набирающим популярность устройствам с поддержкой скорости 1 Гбит/с. Значительные обороты по деньгам дают коммутаторы с портами 10 Гбит/с — к ним все чаще проявляют интерес заказчики с прицелом на будущее, ведь средний срок жизни сетевого оборудования обычно составляет 8 лет.
Функционал коммутаторов ProCurve определяет набор специализированных интегральных микросхем ProVision ASIC, который лежит в основе моделей с портами 1/10 Гбит/c. Производительность ASIC последнего поколения составляет 691 Гбит/c против 1 Гбит/с первой разработки, появившейся в 1996 году. При этом в настоящий момент задействованы только два конвейера процессора из четырех доступных. Применение процессора открывает целый ряд новых возможностей для коммутаторов — поддержку транкинга нисходящих соединений по стандарту 802.1ad (Q-over-Q), технологии Virus Throttling не только в устройствах третьего, но и второго уровня, PoE (Power over Ethernet) на аппаратном уровне. В последнем случае, например, для перехода на IP-телефонию в организации остается приобрести лишь недостающие блоки питания.
ProCurve Switch 1700-24G |
Как показывают исследования Dell’Oro Group почти двухгодичной давности, число неуправляемых коммутаторов на рынке продолжает стремительно сокращаться. Причина этого растущая популярность соизмеримых по стоимости веб-управляемых продуктов без поддержки интерфейса командной строки CLI (Command Line Interface). К их числу относятся представленные в конце прошлого года семейства коммутаторов серий 1800 и 1700, недавно пополнившиеся новыми моделями (см. PCWeek/UE №7(51), 2007 год, с. 40). Они позволяют организовать приоритезацию трафика за счет тегов 802.1р, сегментацию сети с использованием до 64 VLAN и обнаружение подключенных аппаратов в небольшой сети IP-телефонии по протоколу LLDP (Link Layer Discovery Protocol).
Для упрощения перехода к технологии Gigabit Ethernet компания НР дополнительно представила специально разработанный с учетом сбережения инвестиций модуль трансивера 100-FX mini-GBIC. Он делает возможным использование менее дорогой многомодовой среды для организации полнодуплексных 100-мегабитных соединеий с дальностью свыше установленного лимита в 550 м вплоть до 2 км. Устройство совместимо с коммутаторами серий ProCurve Switch 2510, 2800, 2810, 2900, 3500yl, 4200vl, 5400zl, 6200yl.
ProCurve ProActive Defense
ProCurve Switch 4204vl-48GS |
Бесплатная версия ProCurve Manager поставляется с каждым коммутатором. Она же является пробной 30-дневной версией ProCurve Manager Plus |
ProCurve Manager Plus обладает расширенными возможностями управления сетью, однако требует лицензирования |
Единая целостная система безопасности ProActive Defense представляет собой надежную сетевую инфраструктуру с централизованным управлением средствами на границе, которая способна эффективно выполнять три взаимосвязанные между собой задачи:
• защиты (ограничение доступа несанкционированных пользователей, предотвращение перехвата данных, блокирование неавторизованного внедрения устройств и приложений);
• обнаружения (определение внешних и внутренних угроз, обнаружение атак даже во время нарушений в работе);
• реагирования (учет угроз и динамическое реагирование с целью наилучшей защиты от атак).
Ключевая особенность стратегии ProActive Defense состоит в сочетании на границе сети элементов нападения и защиты. В первом случае речь идет о контроле доступа всех типов пользователей и устройств, во втором — о самоидентификации и проверке подлинности сетевой инфраструктуры. Эти возможности являются следствием основных принципов, на которые опирается ProActive Defense, — контроля доступа, сетевого иммунитета и безопасной инфраструктуры.
ProCurve Switch 4208vl-72GS |
ProCurve Manager
Простота управления сетью имеет решающее значение в обеспечении ее безопасности. Идеальная система должна самостоятельно вести мониторинг и контроль трафика на всех устройствах, облегчая системному администратору принятие решений. Поддержка открытых стандартов позволит ей эффективно работать в сетях, построенных с использованием оборудования различных вендоров. По данным проведенного в 2005 году исследования Gartner, затраты на поддержание функционирования инфраструктуры составляют 70% бюджета, и только оставшиеся 30% идут на ее модернизацию и совершенствование.
В настоящее время наибольшее распространение получили две технологии мониторинга трафика — NetFlow и sFlow. Первая уходит корнями в появившийся в 1991 году стандарт RMON, ее продолжает активно поддерживать компания Cisco. Вторую предложила НР. Она основана на случайной выборке трафика вместо передачи его фрагмента на рабочую станцию коллектор. Соответствующий агент находится непосредственно на коммутаторе и инкапсулирует предназначенные для анализа данные в рабочие протоколы IP, UDP, Ethernet. Описанный механизм реализован в новом поколении ASIC и соответствующих устройствах на их основе.
Несмотря на применение уникального механизма мониторинга трафика, интерфейс командной строки коммутаторов ProCurve во многом совпадает с аналогом в распространенных на рынке устройствах Cisco. Традиционно присутствует возможность управления через веб и с помощью соответствующего ПО. В комплекте с каждым коммутатором идет исходный файл бесплатной версии ProCurve Manager (РСМ), одновременно являющийся 30-дневной пробной полнофункциональной версией Manager Plus (РСМ+). Последняя поддерживает специфические для крупных сетей функции создания групповых конфигураций, шаблонов и их применения к новым устройствам, автоматическое обновление ПО, защищенную версию обмена по протоколу SNMP3, подключения дополнительных плагинов.
РСМ представляет собой комплексную платформу для управления всеми аспектами сетевой безопасности, включая расширенные контроль устройств и трафика на основе политик. Она входит в состав архитектуры АЕА и нацелена на снижение сложности и повышение эффективности менеджмента сети, проверки подлинности и аутентификации МАС (Media Access Control). Стоимость лицензии РСМ+ на 50 устройств составляет 1999 евро, на каждые 100 последующих — 2199 евро и на неограниченное число — 7299 евро. Однако в любом случае программа рассчитана не более чем на 2 тыс. коммутаторов в сети. Это ПО работает как с управляемыми и веб-управляемыми коммутаторами ProCurve, так и с оборудованием сторонних производителей.
Сразу после установки РСМ обнаруживает присутствующие в сети устройства и создает карту доступных соединений. Последняя версия приложения 2.2 стала более информативной и удобной в использовании. Появилась возможность просматривать типы и степень загрузки линков, топологию сети на третьем уровне, отслеживать направление трафика и количество событий с нарушениями безопасности. Специальный монитор позволяет осуществлять контроль пяти различных параметров трафика на отдельно взятом порту коммутатора. В числе прочих функций — автоматизация применения политик, группировка устройств и, как следствие, управление зеркалированным трафиком.
ProCurve Identity Driven Manager
ProCurve Switch vl 24-Port Gig-T Module |
Действие этого ПО не заканчивается на этапе упреждающего контроля доступа к сети. Как только пользователь получил в свое распоряжение разрешенные для него ресурсы, IDM продолжает следить за его действиями в сети и при необходимости применяет ограничения. По результатам установленных администраторами политик безопасности и производительности программа помогает составить отчеты о соответствии нормам.
Основными нововведениями в IDM 2.2 стали автоматическая синхронизация с Active Directory и поддержка беспроводных устройств. При синхронизации из аутентификационной базы данных программа отображает группу пользователей в рамках политик доступа APG. Если информация о пользователях размещена в несовместимом с LDAP хранилище, IDM может ее считать из XML-файла. Остальные изменения не столь значительны и носят преимущественно косметический характер. Полный функционал последней версии 2.2 поддерживают только коммутаторы ProCurve на основе самого современного ProVision ASIC. Минимальная лицензия для IDM дает право обслуживать 500 пользователей, дополнительная рассчитана на 2 тыс. пользователей.
ProCurve Network Immunity Manager
Вывод на рынок первой версии Network Immunity Manager (NIM) стал ответной реакцией со стороны ProCurve на складывающуюся в мире ситуацию с распространением вирусов и сетевых атак, число и масштабы которых растут угрожающими темпами. Достаточно вспомнить побивший все рекорды по скорости распространения в 2003 году червь Slammer, в течение 10 минут заразивший 75 тыс. компьютеров. По данным совместного исследования ЦРУ и ФБР, более половины респондентов хотя бы один раз подвергались атаке, при этом 98% из них для защиты применяли межсетевые экраны и антивирусное ПО.
ProCurve Manager Plus с подключенным плагином Network Immunity Manager для предотвращения сетевых атак |
Новые модели коммутаторов ProCurve имеют описанную выше возможность, и для ее использования не нужны дополнительные инвестиции. Однако для контроля беспроводных и проводных соединений на наличие внутренних угроз в крупных сетях, задания политик безопасности и своевременного реагирования нужен специализированный инструмент, в роли которого выступает еще один плагин к РСМ+ — NIM. Его лицензия на 50 устройств ориентировочно обойдется в 4 тыс. долл., а на неограниченное число — в 20 тыс. долл. Прямых конкурентов этой системе в настоящий момент нет.
Аналогичные задачи призваны решать системы IDS/IPS, но чрезвычайно высокая стоимость существенно сужает область их применения. Как правило, они защищают только критически важные промежуточные линки сетей, в то время как все остальные по-прежнему подвержены угрозам. Действие NIM основано на технологии мониторинга трафика sFlow — этот плагин работает централизованно, позволяет закрыть отдельный порт или зазеркалировать трафик и направить его на устройства IDS/IPS. Одновременно NIM может контролировать до 500 портов из 2 тыс. присутствующих в сети.
Защита на практике
В рамках партнерского семинара Родион Ковальчук, технический консультант по продуктам ProCurve, продемонстрировал в действии новые возможности PCM 2.2 и NIM 1.0. Тестовая система состояла из двух ноутбуков НР, один из которых выполнял роль клиента, другой — сервера, а также коммутатора ProCurve Switch 3500yl. Для управления моделью сети с компьютера клиента использовалась 30-дневная пробная версия PCM+ 2.2.
В числе наиболее полезных для системных администраторов нововведений в PCM+ стоит отметить файл Audit Logging для хранения информации обо всех изменениях, происходящих в коммутаторе. Он также ведет учет их инициаторов и времени событий. Существенно улучшились механизмы обнаруживания устройств в сети, в том числе в VLAN. Поскольку в крупных сетях обычно генерируется огромное количество событий с предупреждениями различного рода, в PCM+ 2.2 появилась возможность намеренно игнорировать некоторые из них. При необходимости для коммутатора можно задать несколько групп, например, “Студенты” и “Администраторы”. Претерпел ряд изменений и Policy Manager.
Для демонстрации работы NIM г-н Ковальчук создал искусственную атаку, предварительно задав профиль ее обнаружения. Коммутатор оперативно отреагировал на ее появление и закрыл соответствующий порт. В свою очередь PCM+ сохранил отчет о произошедших событиях.
В погоне за лидерством
Hewlett-Packard является единственной глобальной ИТ-компанией, которая имеет в своем составе успешную структурную единицу, предлагающую сетевые решения для открытого рынка. Ее подразделение ProCurve Networking by HP в рамках корпоративной структуры наделено широкими полномочиями и мало связано с остальными направлениями бизнеса, что позволяет ему в определенной степени сохранять свою самостоятельность и успешно конкурировать на специфическом рынке сетевого оборудования. По данным Dell’Oro Group, в настоящий момент компания занимает второе место в мире после Cisco Systems в сегменте коммутаторов для локальных вычислительных сетей.
В последние годы ProCurve планомерно улучшала свое положение на рынке. В 2004 году она впервые заняла в известном магическом квадранте Gartner положение претендента на лидерство, предварительно оставив позади ближайшего конкурента — 3Com. Последний, как известно, занимается исключительно сетевым оборудованием и казалось бы должен иметь больше шансов на успех. Еще большей сенсацией стал выход последней версии квадратнта Gartner за 2006 год (в 2005 году исследование не проводилось), по результатам которой ProCurve еще заметнее улучшила свое положение, а Cisco, наоборот, ухудшила. По словам Андрея Асташова, регионального менеджера ProCurve Networking by HP в странах СНГ, в текущем году его компания рассчитывает попасть уже в число лидеров.
За выдающимися результатами деятельности ProCurve стоит мощная технологическая база подразделения HP Labs. Оно является четвертым по величине в США держателем патентов, число которых насчитывает 35 тыс. Среди них патенты на известные во всем мире стандарты безопасности 802.1х, Ethernet по витой паре, медный 10 Gigabit Ethernet. Примечательно, что НР в своих продуктах сводит к минимуму количество проприетарных технологий, позволяя их лицензировать сторонним компаниям и, в результате, создавать эффективные кросс-вендорные решения.
При создании и проектировании готовых продуктов ProCurve ориентируется на зрелые, хорошо апробированные технологии, переживающие в настоящий момент период роста. В результате компания получает возможность предлагать клиентам оптимальные по стоимости и надежности решения с полной пожизненной гарантией, накрывающей все без исключения компоненты. В качестве ее крупнейшего заказчика выступает Европейская организация по ядерным исследованиям CERN, занимающаяся строительством ускорителя элементарных частиц LHC (Large Hadron Collider). В проекте задействованы тысячи ПК и сотни коммутаторов ProCurve для анализа и обработки около 15 Пб информации в режиме реального времени. Требования к надежности сетевого оборудования очень высоки, поскольку его простой даже в течение нескольких секунд неизбежно влечет за собой потерю нескольких месяцев на повторную подготовку установки к проведению научного эксперимента.
Еще одно важное конкурентное преимущество ProCurve состоит в оказании бесплатной помощи в дизайне сетей. Это особенно полезно для партнеров компании при поставках оборудования для заказчиков в рамках сложных проектов. Партнеру достаточно обратиться в Euro Network Design Center и изложить суть задачи, после чего он получит готовые схемы в формате Visio, точные наименования необходимых моделей коммутаторов и их стоимость. Все исправления и обновления ПО ProCurve распространяет абсолютно бесплатно.