Specyfikacje urządzeń sieciowych dostarczają kluczowych informacji o ich fizycznych i technicznych właściwościach. Przykłady takich informacji to ilość i typ portów, pobór mocy, czy możliwości przetwarzania danych. W tym artykule omówimy, jak czytać dane zawarte w specyfikacjach urządzeń sieciowych. 

Fizyczna charakterystyka urządzeń sieciowych 

Fizyczna charakterystyka urządzeń sieciowych obejmuje informacje na temat rozmiarów, wagi, ilości i typów portów, a także poboru mocy. Znajomość tych danych jest niezbędna do planowania i wdrażania infrastruktury sieciowej. Specyfikacje zawierają informacje na temat ilości dostępnych portów oraz ich typów. Znajdziemy zatem informację, jakiego typu porty Ethernet znajdziemy w urządzeniach (na przykład porty10/100/1000 Mbps), informacje o możliwości podłączenia SFP (Small Form-factor Pluggable) dla modułów optycznych lub QSFP (Quad Small Form-factor Pluggable) dla modułów optycznych o większej przepustowości. Innym ważnym parametrem jest informacja o poborze mocy. To istotny parametr, który należy uwzględnić przy projektowaniu infrastruktury sieciowej, zwłaszcza jeśli istnieją ograniczenia energetyczne. Specyfikacje podają maksymalny pobór mocy w watach (W) lub miliamperach (mA). 

Funkcjonalność urządzenia 

Oprócz informacji dotyczących fizycznych cech urządzeń sieciowych, specyfikacje zawierają także informacje na temat ich możliwości technicznych oraz protokołów obsługiwanych przez urządzenie. Jakie dane możemy znaleźć w dokumentach datasheets? 

• Przepustowość – to maksymalna ilość danych, jaką urządzenie jest w stanie przetworzyć w określonym czasie. W specyfikacjach producentów, takich jak Cisco, Juniper, Palo Alto czy Fortinet, przepustowość podawana jest zwykle w kilobitach na sekundę (Kbps), megabitach na sekundę (Mbps) lub gigabitach na sekundę (Gbps). 
• Maksymalna liczba równoczesnych sesji – Urządzenia sieciowe obsługują wiele równoczesnych sesji komunikacji pomiędzy klientami i serwerami. W specyfikacji możemy znaleźć informacje na temat maksymalnej liczby wspieranych sesji. 
• Obsługiwane protokoły – warto zaznaczyć, że czasem to jakie protokoły obsługuje urządzenie uzależnione jest od modułów lub kart liniowych, jakie w nim zainstalujemy (w przypadku urządzeń o modularnej budowie) oraz wersji oprogramowania. 
• Funkcje bezpieczeństwa – Specyfikacje urządzeń sieciowych, szczególnie tych przeznaczonych do poprawy bezpieczeństwa naszej infrastruktury, zawierają informacje na temat wspieranych funkcji zabezpieczających takich jak filtrowanie pakietów (packet filtering), kontrola dostępu na podstawie adresów IP czy portów (ACL), ochrona przed atakami DDoS (Distributed Denial of Service), realizacja sieci VPN (Virtual Private Network) do tworzenia bezpiecznych tuneli komunikacyjnych czy opis systemy wykrywania i zapobiegania włamaniom (IDS/IPS), które w danym urządzeniu zostały zaimplementowane. 
• Zarządzanie urządzeniem – W specyfikacji urządzeń sieciowych znajdziemy również informacje na temat dostępnych interfejsów zarządzania, które umożliwiają konfigurację i monitorowanie urządzenia takich jak porty konsoli, wspierane protokoły zdalnego dostępu, dostęp do graficznego interfejsu pozwalającego na zarządzanie urządzeniem, możliwość konfiguracji za pomocą API czy integracji ze scentralizowanymi systemami zarządzania konfiguracją. 

Wydajność urządzeń sieciowych w specyfikacjach 

Przy ocenie wydajności urządzeń sieciowych warto zwrócić uwagę na kilka kluczowych parametrów opisanych w specyfikacji. Wydajność może być opisywana przez producentów na różne sposoby, a testowanie może odbywać się na różnych rodzajach pakietów i ramkach.  

Przepustowość to jedno z podstawowych kryteriów wydajności urządzeń sieciowych. Wyrażana jest zwykle w kilobitach na sekundę (Kbps), megabitach na sekundę (Mbps) lub gigabitach na sekundę (Gbps) i opisuje, jaką ilość danych urządzenie może przetworzyć w określonym czasie. W specyfikacjach może być podana jako przepustowość teoretyczna, mierzone przy maksymalnych, optymalnych warunkach, lub przepustowość rzeczywista, osiągana w realnych scenariuszach. 

Wydajność urządzeń sieciowych może być również opisywana jako liczba pakietów, które mogą być przetworzone w ciągu jednej sekundy (PPS). Wartość ta jest istotna szczególnie dla routerów i przełączników, które muszą przekazywać dużą liczbę pakietów w krótkim czasie. 

Skąd biorą się wartości podawane przez producentów w dokumentacji? Oczywiście pochodzą one z testów. Dlaczego zatem użytkownicy często skarżą się, że osiągane przez nich w sieci maksymalne wydajności urządzeń są niezgodne z danymi zawartymi w dokumentacji? Dzieje się tak dlatego, że testy przeprowadzane są w kontrolowanym środowisku, w którym ruch wygenerowany do testów jest ściśle określony przez producenta. Informacje o tym, dla jakiego rozmiaru pakietów czy ramek powinna znajdować się w dokumencie, ale bardzo często jest ona przez osoby dobierając sprzęt pomijana – czasem przez nieuwagę, czasem ze względu na to, że jest ona napisana małym druczkiem lub w przypisach, a czasem wynika to ze zwykłej niewiedzy czytającego. 

W zależności od ustalonej próbki wydajność urządzenia może być różna. Jeżeli producent testował swoje urządzenie na pakietach o długości 1500 bajtów to przedstawione wyniki odnoszą się do procesowania pakietów jedynie o takiej długości. Można powiedzieć, że sieć, w której występują pakiety bądź ramki tylko o stałej długości stanowi bardzo specyficzny rodzaj sieci. Zazwyczaj będą one miały różną wielkość, dodatkowo może jeszcze następować fragmentację pakietu ze względu na to, że poszczególne segmenty mają inne wartości MTU. W takiej sytuacji dane zawarte w dokumentach datasheets a wyniki uzyskane przez nas w czasie testów będą się różnić. 

Ruch IMIX (Internet MIX) to metoda testowania wydajności urządzeń sieciowych, która uwzględnia różnorodność wielkości pakietów występujących w rzeczywistym ruchu internetowym. W teście IMIX symuluje się ruch sieciowy złożony z różnych rozmiarów pakietów, co pozwala na bardziej realistyczne oszacowanie wydajności urządzenia. Przykładem takiego testu może być kombinacja pakietów o rozmiarach 64570 i 1518 bajtów. 

Wpływ funkcji bezpieczeństwa na wydajność 

Wydajność urządzeń sieciowych może być istotnie zmieniona w zależności od włączonych lub wyłączonych funkcji bezpieczeństwa. Włączenie firewalla wprowadza dodatkowe reguły filtrowania pakietów, co może prowadzić do spadku wydajności. Niektóre zabezpieczenia, takie jak proste listy ACL filtrujące ruch na podstawie adresów IP czy portów, mogą mieć znikomy wpływ na wydajność, podczas gdy bardziej zaawansowane funkcje, takie jak klasyfikacja aplikacji, mogą wpłynąć na wydajność w większym stopniu. Szyfrowanie i deszyfrowanie danych także mogą wpłynąć na wydajność urządzenia sieciowego. Proces szyfrowania danych wymaga dodatkowej mocy obliczeniowej, co może prowadzić do spadku przepustowości i wydłużenia opóźnień w transmisji danych. Warto zwrócić uwagę na parametry takie jak przepustowość VPN (wyrażoną w Mbps) oraz liczbę równoczesnych tuneli VPN wspieranych przez urządzenie. Co prawda większość funkcji związanych z szyfrowaniem oraz deszyfrowaniem danych odbywa się w dedykowanych do tego układach scalonych to wybór algorytmu szyfrowania i długość klucza będą miały nadal znaczenie. Wydajność systemów IDS/IPS, podobnie jak samego firewalla, ściśle uzależniona jest od tego, jakie funkcje bezpieczeństwa skonfigurujemy. Szczególnie negatywny wpływ na wydajność będą miały wszystkie funkcjonalności, które działają w czasie rzeczywistym.

Jak dokładnie muszę znać budowę urządzenia? 

Im bardziej zaawansowane urządzenie tym niestety bardziej musimy poznać, w jaki sposób jest ono zbudowane i w jaki sposób realizuje ono powierzone mu funkcję. Przyjrzyjmy się temu na konkretnym przykładzie. Platforma Cisco Catalyst 9400 to modułowa rodzina przełączników, która oferuje wysoką wydajność, elastyczność i skalowalność. W ramach tej serii, możliwe jest zastosowanie różnych supervisorów, na przykład tych serii pierwszej takich jak 1, 1XL i 1XL-Y, które odpowiadają za zarządzanie działaniem przełącznika i jego modułów. Wybór odpowiedniego supervisora wpływa na dostępne funkcje, wydajność oraz sposób, w jaki porty są aktywowane lub dezaktywowane. 

Supervisor pełni kluczową rolę w modułowych przełącznikach. Jego zadaniem jest zarządzanie działaniem przełącznika oraz modułami wejścia/wyjścia (I/O). Supervisor kontroluje działanie systemu operacyjnego, zarządza protokołami routingu, monitoruje stan przełącznika oraz jego zasoby. Sam też jest na wspomnianej platformie wyposażony w porty przeznaczone do transmisji danych. Kluczową rolę odgrywają w transmisji układy ASIC (Application-Specific Integrated Circuit). Są to układy scalone zaprojektowany specjalnie do wykonywania konkretnych zadań. W kontekście przełączników sieciowych, ASIC-y są używane do przetwarzania i przekierowywania pakietów danych. Dzięki zastosowaniu ASIC, przełączniki mogą osiągać wysoką wydajność i niskie opóźnienia, które są kluczowe dla efektywnego funkcjonowania sieci. W przypadku supervisorów 1, 1XL i 1XL-Y w serii Cisco Catalyst 9400, porty są połączone w grupy, aby zoptymalizować wykorzystanie zasobów ASIC. Każda grupa portów współdzieli zasoby ASIC, co pozwala na elastyczne zarządzanie przepustowością i funkcjami dla poszczególnych portów.  

Ale jest też negatywna strona takiego podejścia – niektóre porty mogą być aktywne z pełną przepustowością, podczas gdy inne mogą być dezaktywowane, aby oszczędzić zasoby. Różne kombinacje portów umożliwiają administratorom sieci elastyczne zarządzanie wydajnością przełącznika oraz dostosowanie go do zmieniających się wymagań sieci. Dzięki temu możliwe jest optymalne wykorzystanie zasobów oraz osiągnięcie wysokiej wydajności, nawet w przypadku rozbudowanych i złożonych sieci. 

Powyższy obrazek pochodzi z dokumentu (https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9400-series-switches/nb-06-cat9400-architecture-cte-en.html) i pokazuje możliwe kombinacje dla supervisorów 1/1XL/1XL-Y. Porty podzielone są na grupy, aby uzyskać maksymalną wydajność układów ASIC. Stąd producent w dokumentacji podaje możliwe kombinacje konfiguracji urządzenia oraz wskazuje, do których portów należy zainstalować odpowiednie moduły SFP+ czy QFP. 

Przytoczony dokument zawiera bardzo dużo technicznych informacji także tak szczegółowych, jak opis przetwarzania pakietów w czasie transmisji pomiędzy kartami liniowymi czy szczegółowe informacje na temat układów ASIC. W przypadku sieci o wysokich wydajności czy centrów przetwarzania danych odpowiednie rozlokowanie połączeń pomiędzy interfejsami znajdującymi się w danym urządzeniu może mieć znaczący wpływ na to, jaka jest wydajność naszej infrastruktury oraz gdzie potencjalnie tworzyć będą się zatory. Dlatego, aby odpowiednio projektować tego typu instalacje potrzebna jest bardzo dobra wiedza na temat budowy i sposobu działania urządzeń, które chcemy wykorzystać.