Michał BYŁAK, Dariusz LASKOWSKI Instytut Telekomunikacji, Wydział Elektroniki, Wojskowa Akademia Techniczna E mail: michal.bylak@gmail.com, dlaskowski71@gmail.com Testowanie open source owych rozwiązań trasowania pakietów w dedykowanych sieciach o stosie TCP/IP 1. Wstęp Sieci komputerowe (SK), będące komponentem sieci telekomunikacyjnych, stanowią szkielet powszechnie oferowanych usług telekomunikacyjnych. Wzrostu mocy obliczeniowej procesorów implementowanych w stacjach sieciowych jest stymulatorem zwiększania zbioru różnego rodzaju punktów dostępowych do ogólnie dostępnych zasobów sieci rozległej. Tworzy to otwartość środowiska sieci na ewolucyjność w procesie realizacji usług telekomunikacyjnych. Usługi te wymagają wielodrożnego transportu pakietów danych w zdefiniowanych łańcuchach telekomunikacyjnych (multimedialne relacje end-to-end). W dzisiejszej dobie wzrastających wymagań odnośnie zapewnienia wystarczającej przepływności do oferowania szerokiej palety konwergentnych usług, ograniczeniem stają się wysokie koszty komponentów sieciowych odpowiedzialnych za trasowanie pakietów. Alternatywą dla komercyjnych routerów (tj. Cisco Systems, Juniper) są open source owe rozwiązania sterowania ruchem w sieci. Przykładem dynamicznie rozwijającego się środowiska otwartego programowania Linux są liczne i darmowe rozwiązania, jednym z tego zbioru jest oparta na pakiecie Quagga dystrybucja Vyatta. 2. Charakterystyka urządzeń trasujących w sieciach IP Router jest komponentem sieciowym służącym do przesyłania pakietów między wydzielonymi podsieciami czy sieciami komputerowymi. Głównym zadaniem routera jest trasowanie, czyli dostarczanie pakietów przez różne sieci w odpowiednie miejsceadekwatnie do zadeklarowanej metryki (np. w jak najkrótszym czasie). Proces ten nazywany jest również routing iem. Efektywność komunikacji między sieciami w dużej mierze zależy od tego, czy router efektywnie przekazuje pakiety przy zmiennych uwarunkowaniach ruchu sieciowego. 3. Routery firmy Cisco Jedną z najbardziej popularnych firm produkujących routery oraz zajmującą się doskonaleniem procesu routing u jest Cisco Systems. W produktach tej firmy poprzez dołączanie modułów do routera uzyskujemy możliwość rozbudowy urządzenia i jedno-
20 Michał Byłak, Dariusz Laskowski cześnie istnieje potencjał do skalowania architektury sieci oraz poszerzania usług. Ponadto liczba funkcji routera rośnie z każdą wersją sieciowego systemu operacyjnego IOS (ang. Internetwork Operating System) a obecnie oferowane urządzenia to złożone platformy sprzętowo-programowe integrujące mechanizmy sterowania i analizy ruchu z mechanizmami bezpieczeństwa. Na rysunku 1 przedstawiono jeden z routerów usług zintegrowanych (ang. Integrated Service Router, ISR) firmy Cisco serii 2811 przeznaczony do zastosowań w małych i średnich biurach korporacyjnych. Rys. 1. Router zintegrowanych usług ISR 2811 firmy Cisco Fig. 1. Integrated Services Router - ISR 2811 Cisco 4. Platformy Vyatta Vyatta jest open-source ową dystrybucją linuksową, której źródłem jest Linux Debianwrazz pakietem emulującym algorytm pracy routera oraz ściany ogniowej (ang. firewall) częściowo wykorzystany ze środowiska Quagga. Rozbudowując średniej klasy komputer PC o kilka kart sieciowych i dedykowane oprogramowanie uzyskać można router o zbliżonych funkcjonalnościach. Komercyjnie dostępne są już rozwiązania szybkich stacji sieciowych wykorzystujących środowisko maszyn wirtualnych (np. produkcji VMWare) i spełniają, dzięki takim dystrybucjom jak Vyatta, rolę wysoko wydajnych routerów wraz z usługami, których na próżno szukać w standardowych rozwiązaniach routerów przeznaczonych dla małych i średnich firm. Realizacja przesyłania danych przy spełnieniu uwarunkowań poufności, integralności i uwierzytelnienia zdefiniowanych w polityce bezpieczeństwajest identyczna - zarówno dla środowiska wirtualnego jak i rzeczywistego. Rozwiązania programowego routing'u z zastosowaniem dystrybucji Vyatta posiadają niepodważalną zaletę, której sprzęt takich marek jak Cisco czy Juniper nie posiada. Sieciowy system operacyjny Vyatta jest zoptymalizowany do działania w środowiskach wirtualnych. Oznacza to, że system można przenieść na hypervisor i tanim kosztem zapewnić redundancję, migrować "na żywo" pomiędzy serwerami czy też skalować wraz ze wzrostem obciążenia. W wypadku środowiska Vyatta najodpowiedniejszy jest bezpłatny hypervisor CitrixXenServer. Umożliwia on poprzez zintegrowane narzędzia dla XenServer zwiększenie wydajności systemu a użycie technologii VMotion Live Migration pozwala na automatyczną migrację wirtualnych maszyn Vyatta. Warto również zaznaczyć, że konfiguracja w środowisku Vyatta niczym nie różni się od konfiguracji w środowisku systemu JunOS, który dostępny jest w routerach firmy Juniper, należącej po Cisco do najpopularniejszych producentów urządzeń sieciowych. Zatem zaznajomienie z konfiguracją Vyatt y pozwoli dodatkowo nabyć umiejętności konfiguracji routerów konkurencyjnej marki, które nieraz okazują się tańszą alternatywą.
Test open source owych rozwiązań trasowania pakietów 21 Ciekawostką jest również możliwość uruchomienia na routerze Vyatta usługi opartych o https pozwalających na zdalne konfigurowanie ustawień przez graficzny interfejs GUI z poziomu przeglądarki stron WWW. 5. Testbed środowiska sieciowego TCP/IP Integracja technologii oraz konwergencja sieci stały się stymulatorem ewolucji usług w sieciach IP z podziałem na usługi użytkowe (relacji end-to-end, e2e) i utrzymania sieci w zadanej funkcjonalności. Wieloaspektowość zachodzących zjawisk sieciowych wymusza konieczność przeprowadzenia badań niezbędnych do identyfikacji zdolności open source owego oprogramowania. Założenia metodyki badawczej pogrupowano w poniżej wymienionych zbiorach zagadnień tj.: Procedury pomiarowe: - pomiar osiągalności interfejsów urządzeń sieciowych, - pomiar przepustowości w funkcji czasu dla zadanych wartości rozmiaru i liczby pakietów IPv4 dla akceptowalnego czasu odpowiedzi na pakiet testowy. Plan testowania obejmuje weryfikację zdolności funkcjonalnej: - dla komponentów sprzętowo-programowych, - przy stałej strukturze badawczej. Narzędzia obiektywnego pomiaru wybranych parametrów sieciowych: - proste (ping, arp, itp.), - dedykowana aplikacja (IxChariot70 EA, Wireshark 1.6.). Wiarygodność wyników (liczność pomiarów, powtarzalność otrzymanych wyników). Forma wyników: dane. Dokonanie analizy porównawczej wymagało przyjęcia założeń wejściowych: - wykorzystanie stosu protokołów TCP/IPv4, usługi przesyłu danych (FTP), - liczbę 4 autonomicznych systemów (w tym szkielet sieci i farma serwe-rów), - dostępną liczbę routerów (4 szkieletowe, 3 brzegowe) i 2 przełączników, - wykorzystane protokoły: BGPv4, OSPFv2, uruchomienie polityki routing u, - dokonanie pomiaru podstawowych parametrów sieci: przepływności w trybie half i full duplex. 6. Sieć oparta na platformievyatta Wstępne prace nad wprowadzeniem konfiguracji sieci w środowisku Vyatta obejmowały zestawienie testbedu i uruchomienie oprogramowania maszyny wirtualnej pozwalającej w łatwy sposób uruchomienie kilku systemów wirtualnych wraz z wirtualnymi kartami sieciowymi VMWare Workstation. Następnie zastosowano standardową adresację IPv4. Zbudowanie założonej architektury sieci o stosie TCP/IP z wykorzystaniem dostępnych komputerów wymagało zamontowania dodatkowych kart sieciowych w liczbie 3 sztuk o interfejsach PCI Express. Czyli każdy terminal posiadał 4 karty sieciowe (1 kartę
22 Michał Byłak, Dariusz Laskowski zintegrowaną z płytą główną i 3 dodatkowe) umożliwiające wykonanie szkieletu sieci z pominięciem niewykorzystywanych łącz między routerami: VR1 VR2 oraz VR3 VR4. Następnie zastosowano kable z przeplotem (ang. crossover) w celu wykonania połączeń między kartami sieciowymi i wgrano pliki konfiguracyjne (conf.boot). Poniżej przedstawiono topologię zestawionej sieci za pomocą platform Vyatta wraz z wyróżnieniem odpowiednich komponentów sprzętowo-programowych (Rys. 2). Podsieć A20 182001.0/24 Podsieć B20 182002.0/24 Podsieć C20 182007.0/24 AS 20 SW2 VBR2 4.4.4.4/32 3.3.3.3/32 Farma serwerów 162005.0/24 AS 50 VBR_Serv 1/32 16200.0/30 16200.0/30 VR4 VR1 Szkielet sieci 19268.7.0/30 19268.6.0/30 VR3 VR2 AS 100 2/32 Procesor Intel Core 2 Quad Q8200 2,33 GHz AS 10 SW1 VBR1 Pamięć DDR 2 GB Podsieć A10 172001.0/24 Rys. 2. Topologia utworzonej sieci w laboratorium opartej na platformach Vyatta Fig. 2. The topology of the network which was created by Vyattaplatforms 7. Proces konfiguracji Podsieć B10 172002.0/24 Podsieć C10 172005.0/24 Baseline Switch 2226 Plus W dalszej części w celu analizy porównawczej z rozwiązaniami sprzętowymi przedstawiono konfigurację tego samego komponentu w środowisku programowego trasowania. Należy mieć na uwadze fakt, że samo wpisywanie komend do skonfigurowania w dystrybucji Vyatta różni się od zawartości pliku konfiguracyjnego. Przykładowe komendy z porównaniem składni systemu IOS podano w tabeli 1.
Test open source owych rozwiązań trasowania pakietów 23 Tab. 1. Porównanie konfiguracji routerów Cisco i Vyatta Tab. 1. Comparison of configuration routers Cisco and Vyatta Konfiguracja routera Cisco (R1) Router(config)# configure terminal Router(config)# hostname R1 R1(config)# enable secret 5 wat R1(config)#line vty 0 4 R1(config-line)#password wat R1(config-line)#login R1(config-line)#transport input telnet R1(config)# interface Loopback1 R1(config-if)#ip address 1 255555555 interface FastEthernet0/0 description R1-BR1 ip address 17200 255555552 no shutdown router ospf 10 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 log-adjacency-changes network 1 0.0.0.0 area 0 network 16200.0.0 0.05555 area 0 network 17200.0.0 0.05555 area 0 network 19268.0.0 0.05555 area 0 router bgp 100 bgp log-neighbor-changes neighbor tranzyt peer-group neighbor tranzyt remote-as 100 neighbor tranzyt update-source Loopback1 neighbor tranzyt next-hop-self neighbor 2 peer-group tranzyt neighbor 3.3.3.3 peer-group tranzyt neighbor 4.4.4.4 peer-group tranzyt neighbor 16200 remote-as 50 neighbor 16200 ebgp-multihop 2 neighbor 16200 update-source Loopback1 neighbor 17200 remote-as 10 neighbor 17200 ebgp-multihop 2 neighbor 17200 update-source Loopback1 Router(config-router)#exit Router#copy running-config startup config Konfiguracja dystrybucji Vyatta (VR1) vyatta@vyatta:~$ configure vyatta@vr1# set system host-name VR1 vyatta@vr1# set service telnet vyatta@vr1#set interfaces vyatta@vr1#edit interfaces [edit interfaces] vyatta@vr1#set loopback lo address 1/32 set ethernet eth0 address 17200/30 set ethernet eth0 description R1-BR1 exit set protocols ospf edit protocols ospf [edit protocols ospf] set log-adjacency-changes set area 10 network 1/32 set area 10 network 16200.0.0/16 set area 10 network 17200.0.0/16 set area 10 network 19268.0.0/16 set protocols bgp 100 edit protocols bgp 100 [edit protocols bgp 100] set parameters log-neighbor-changes set peer-group tranzyt remote-as 100 set peer-group tranzyt update-source 1 set peer-group tranzytnexthop-self set neighbor 2 peer-group tranzyt set neighbor 3.3.3.3 peer-group tranzyt set neighbor 4.4.4.4 peer-group tranzyt set neighbor 16200 remote-as 50 set neighbor 16200 ebgp-multihop 2 set neighbor 16200 update-source 1 set neighbor 17200 remote-as 10 set neighbor 17200 ebgp-multihop 2 set neighbor 17200 update-source 1 vyatta@vr1#commit vyatta@vr1#save
24 Michał Byłak, Dariusz Laskowski Istotną różnicą w samym procesie konfiguracji od routerów Cisco jest to, że dopiero po wpisaniu komendy commit wpisane polecenia zostaną uaktywnione. Natomiast wpisanie frazy save spowoduje zapisanie na dysku wcześniej podanych poleceń do pliku konfiguracyjnego, przez co po restarcie systemu zmiany zostaną zachowane. Jak można łatwo zauważyć, słowa kluczowe są podobne do tych stosowanych w routerach Cisco, jednak sama składnia komend jest bardzo specyficzna. Warto tu wyróżnić takie frazy jak: set, edit, service, interfaces czy protocols. System pomocy zawarty w klawiszu [Tab] oraz znaku zapytania [?] ma podobne zastosowane jak w routerach Cisco i bardzo przydaje się podczas poznawania składni oraz znaczenia poszczególnych ustawień. 8. Badania wydajnościowe Testowanie wydajnościowe polegało na uruchomieniu programu Iperf na dwóch komputerach podłączonych do różnych autonomicznych systemów. Jeden z nich funkcjonował w roli serwera, natomiast drugi jako klient. Przeprowadzono testy polegające na zmierzeniu wartości maksymalnej przepływności (ang. bandwidth), procentu utraconych pakietów (ang. packetlost) oraz przepływności równoczesnej w oba kierunki (ang. simultaneous bidirectional bandwidth). Dodatkowo sprawdzono w obu szkieletach jak szybko zostanie przetransmitowany plik o rozmiarze 100 MB. Na komputerze pełniącym rolę serwera obsługiwano program Jperf, czyli Iperf w wersji z nakładką GUI w celu szybkiej weryfikacji wyników na generowanych wykresach oraz zapisu wyników w formacie txt. Zależnie od badanego parametru sieci na serwerze dokonywano zmian w ustawieniach dotyczących rodzaju protokołu w warstwie transportu. Przy badaniu przepływności ustawiano w zakładce Transport layeroptions opcję TCP. Po stronie klienta ważne było również dokonanie odpowiednich zmian w poleceniach, aby test przebiegł prawidłowo. Wynikiem były zmierzone wartości przepływności w każdej sekundzie. 9. Analiza porównawcza pod względem kosztów Poza wydajnością oraz funkcjonalnością należy wziąć również pod uwagę wkład finansowy w uruchomienie poszczególnych rozwiązań sprzętowego czy programowego routing u. Przykładowo uwzględniono wydatki na pojedynczy komponent w szkielecie sieci.
Test open source owych rozwiązań trasowania pakietów 25 przepływność [Mb/s] 57 56 56 55 55 54 54 Przepływność dla szkieletu routerów Cisco 0 1 2 3 4 5 6 7 8 9 czas [s] przepływność [Mb/s] 80 78 76 74 72 70 68 66 64 62 60 Przepływność dla szkieletu platformy Vyatta 0 1 2 3 4 5 6 7 8 9 czas [s] Rys. 3. Wykresy z badań przepływności dla obu sieci Fig. 3. Charts from the benchmark of throughput for both network Koszt routera Cisco serii ISR 2811 mieści się w granicach 5000 zł, natomiast przykładowy zestaw serwerowy firmy HP posiadający wystarczające wymagania dla dystrybucji Vyatta to wydatek ok. 1700 zł. Istnieje, więc znaczna różnica w kosztach pomiędzy dwoma rozwiązaniami. Dotyczy to również modułów rozszerzających interfejsy routera. Przykładowo karta sieciowa obsługująca standard FastEthernet a nawet GigabitEthernet (100/1000 Mb/s) przeznaczona dla komputera czy serwera kosztuje około 50 zł. Cisco natomiast wycenia moduł FastEthernetowy na poziomie około 14000 zł (moduł HWIC-1 FE). Różnica jest znaczna, jednak należy wziąć pod uwagę to, że płyty główne mają ograniczoną liczbę portów PCI Express do montowania kart sieciowych. Zwiększenie pamięci w routerach brzegowych korzystających z globalnych tablic BGP jest czasem nieuniknione. Zakup pamięci DDR o wielkości 1 GB dla serwera z dystry-
26 Michał Byłak, Dariusz Laskowski bucją Vyatta w takim wypadku kosztuje około 100 zł. Natomiast do poszerzenia pamięci o tę samą ilość dla routera z serii ISR 28xx trzeba wydać aż 8000 zł.należy także wziąć pod uwagę fakt, że komponenty do komputerów i serwerów są ogólnie dostępnew przeciwieństwie do modułów, które należy specjalnie zamawiać u producenta bądź dystrybutora. 10. Wnioski Wykonane badania wykazały elastyczność i skalowalność platformyvyatta, która umożliwia podobne funkcjonalności z możliwością uruchomienia sieci w pełnym standardzie Gigabit Ethernet. Po zestawieniu drugiej sieci opartej na dystrybucji Vyatta, można dojść do wniosku, że proces konfiguracji tych komponentów jest ze sobą ściśle powiązany a różnice w składni poleceń są łatwe do opanowania. Wystarczy zapoznać się z kluczowymi komendami oraz innym zapisem interfejsów. Oznacza to, że znajomość systemu IOS i wiedza o działaniu protokołów routing'u, jest wystarczająca dla poprawnej konfiguracji zasadniczych funkcji bezpłatnych rozwiązań programowego trasowania. Ponadto protokoły routing'u uruchomione na obu systemach posiadają te same domyślne wartości parametrów, zatem w efekcie ich działania nie zauważono różnic. Za pomocą badań przesyłu strumienia danych dokonano porównania obu sieci pod względem wydajności. Okazało się, że platformy Vyatta zapewniają minimalnie szybszy transfer plików przy zachowaniu pozostałych parametrów na tym samym poziomie. Przeprowadzenie testu przesyłu 100 MB pliku dowiodło, że plik dotarł do celu w sieci opartej na routerach Cisco później (15,9 s) niż w sieci zestawionej z dystrybucji Vyatta (11,4 s). Wynika to z zastosowanych w routerach Cisco mniej wydajnych interfejsów modułu HWIC-4ESW. Należy zauważyć jednak, że jest to o wiele tańsze rozwiązanie w porównaniu z modułami Fast Ethernetowymi. Skrętka miedziana UTP kategorii 5e pozwala na zastosowanie standardu Gigabit Ethernet. Poprzednia technologia Fast Ethernet nie jest obecnie wystarczająca, aby zapewnić odpowiednią przepustowość w szkielecie sieci dla gwarancji usług. W terminalach z zainstalowaną Vyattą dostępne są Gigabit owe karty sieciowe. Zatem jeśli pozostałe komponenty sieci, takie jak przełączniki, obsługiwałyby na wszystkich portach ten standard, możliwe byłoby osiągnięcie przepływności znacznie przewyższających poziom 100 Mb/s. Należy wziąć pod uwagę to, że jedna z kart sieciowych w komputerach jest zintegrowaną kartą Fast Ethernetową, która również powoduje powstawanie "wąskich gardeł" w szkielecie sieci. Podsumowując, przy niezbyt dużym nakładzie kosztów, możliwe byłoby uruchomienie sieci o tej samej architekturze funkcjonującej w standardzie Gigabit Ethernet, co przy routerach Cisco wymagałoby znaczących wysokich nakładów finansowych na zakup kolejnych (nowszych) modeli routerów. Rozwiązania programowego trasowania umożliwiają, w porównaniu z routerami specjalistycznymi, obniżyć koszty lub przeznaczyć je na dalszą skalowalność sieci. Należy zauważyć, że poza uruchomieniem dystrybucji Vyatta na komputerach klasy PC możliwy jest zakup dedykowanych stacji w postaci serwerów w architekturze x86.
Test open source owych rozwiązań trasowania pakietów 27 Przedstawiony, w ogólnym zarysie, model testbedu sieci teleinformatycznej, może zostać zastosowany do prowadzenia kolejnych eksperymentów naukowo-badawczych ukierunkowanych np. na oszacowanie poziomu bezpieczeństwem protokołu komunikacyjnego. Następnym etapem przedsięwzięć badawczych może być walidacja otrzymanych rezultatów w środowisku IPv6 z wybranymi mechanizmami poufności i integralności danych. Pod uwagę bierze się również możliwość rozbudowy modelu o komponenty niezbędne do realizacji specyficznych eksperymentów dla dedykowanych usług sieciowych. Powszechnie bowiem wiadomo, że z dnia na dzień powstają nowe, coraz to bardziej wyrafinowane, metody ataku na bezpieczeństwo technologii internetowych, których wcześniej nie można było przewidzieć. Literatura 1. Amanowicz M., Pencak Z.: Symulacja systemów łączności; WAT, Warszawa 1987r. 2. Pencak Z.: Inżynieria sieci telekomunikacyjnych;wsisiz, Warszawa 2002r. 3. Bajda A., Laskowski D., Wrażeń M.: Symulacyjny testbed diagnostyczny infrastruktury IT; XXXVI Diagnostyka Maszyn 2009r. 4. Hunt C.: TCP/IP Administracja Sieci, Wydawnictwo RM; Warszawa 2003r. 5. Bartell M., Zhang R.: BGP Design and Implementation; Indianapolis 2004 r. 6. Empson S.: CCNA: pełny przegląd poleceń; PWN, Warszawa 2009r. 7. Graziani R., Johnson A.: Akademia sieci Cisco CCNA Exploration: protokoły i koncepcje routingu; PWN, Warszawa 2008r. 8. Sosna Ł.: Linux. Komendy i polecenia. Wydanie II; Helion, Gliwice 2006r. 9. Praca zbiorcza: Vademecum Teleinformatyka III; IDG Poland SA, Warszawa 2004r. 10. Orebaugh A., Ramirez G.: Wireshark&Ethereal Network Protocol Analyzer Toolkit. 11. Vyatta Corp.,Vyatta Open Networking Replacement Guide for Cisco Integrated Services Routers & Adaptive Security AppliancesVyatta, 2011 r. 12. RFC 4271: A Border Gateway Protocol 4 (BGPv4). 13. RFC 2328: OSPF Version 2. 14. http://www.vyatta.org/documentation, dostępna do 31.03012r. Streszczenie Artykuł porusza tematykę zastąpienia komercyjnych routerów rozwiązaniami open source owymi opartymi np. na dystrybucji Linuks'owej Vyatta z zachowaniem funkcjonalności środowiska sieciowego. W celu przedstawienia możliwości uruchomienia sieci nie tylko według ścieżki uwarunkowanej na routerach komercyjnych postanowiono dokonać badania założonej sieci. Szczegółowa analiza obejmuje takie aspekty jak: przebieg procesu konfiguracji, badania wydajnościowe oraz koszty poszczególnych komponentów sieciowych. Ważnym aspektem poruszonym w artykule jest możliwość wirtualizacji mechanizmów routing u programowego.
28 Michał Byłak, Dariusz Laskowski Testing open source solution for routing of packets in dedicated networks for TCP/IP stack Summary The article refers to the replacement of routers Cisco by routing software solutions based on Linux system. An example of a rapidly expanding environment-based package Quagga is distribution of Vyatta. In order to provide the possibility of launching a network not only by the path of the commercial network components it was decided to test network with software routers. Detailed benchmarking covers such aspects as: process configuration, test the performance and costs of the individual components of the network. An important aspect in the article is the possibility of virtualization routing mechanisms.