Linux-маршрутизаторы: вопросы и ответы от Tony Mancill

Jan Stafford, 22.07.2003, SearchEnterpriseLinux.com. Перевод - Valery V. Kachurov.

Часть первая: Гибкость решает всё.

Маршрутизаторы на базе Linux и открытых исходников являются правильным выбором любого менеджера сети, чей девиз - "Никаких ограничений". Так утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". В первой части этой статьи Mancill обьясняет преимущества использования Linux-роутеров, даёт советы по выбору правильного маршрутизатора и просто излагает свои взгляды на сетевые технологии нового поколения.

Почему вы отказалсь от использования традиционных маршрутизаторов?

Tony Mancill: Традиционные решения часто ограничивают вас - или с точки зрения поддержки новых технологий ('Нет, вы должны купить XYZ, чтобы использовать интерфейс B'), или с точки зрения программного обеспечения и характеристик ('Это устройство делает только X; купите наше новое устройство Y, если вам нужно Y'). Если рассуждать теоретически - вы просто садитесь и разрабатываете сеть, обсуждаете это с поставщиком, находите верное решение, воплощаете его в реальность и забываете про это. Тем не менее, в большинстве реальных случаев дела обстоят по-другому. Если у вас нет постоянных изменений и перестановок, то или ваш бизнес не растет, или вы просто игнорируете новые технологии. В первом случае могут возникнуть огромные нагрузки на сетевого администратора, а второе - это просто название игры. Если вам не нравятся технологические изменения - возможно, что сетевая администрация не является для вас идеальным родом занятий.

Почему Linux и роутеры - хороший признак?

Mancill: Говоря одним словом - гибкость. Linux по самой своей природе - открытая система, идущая в ногу с новыми и развивающимися технологиями, поэтому вы выбираете платформу, которая будет работать даже тогда, когда IPv6 по 48-терабитному оптоволоконному кабелю станет стандартным компонентом десктопа. Но, в то же самое время, Linux - не только система для экспериментов. Роутеры, помимо всего прочего, должны стабильно работать под постоянной нагрузкой. Тот факт, что система Linux широко используется как рабочая лошадка для сетевых и серверных платформ, означает, что её код уже многократно проверен и укреплён бесчисленными ситуациями и бесчисленными часами рабочего времени.

Другие преимущества?

Mancill: Маршрутизаторы так же должны обладать возможностями лёгкого мониторинга и управления. И мне кажется, что в этой области Linux имеет большое преимущество перед другими, более традиционными платформами для роутеров. Я знаю наилучшим образом, какие сетевые компоненты мне нужны для успеха моей компании, а так же - какой тип проверки и системы уведомления нужен службе поддержки персонала. Кому-то нужны короткие сообщения, другие хотят электронную почту, а третьи - централизованный Web-интерфейс с красивой графикой. Но я, возможно, не смогу позволить себе приобрести устройство с такой же функциональностью (например - Tivoli или HP OpenView). Или я просто не хочу ограничиваться только той функциональностью, которую они обеспечивают, и т.д. Маршрутизатор на базе Linux может работать совместно с любой внешней средой мониторинга, или обеспечивать те же услуги непосредственно. (Просто не забывайте, что кто-то всё же должен заниматься системой мониторинга.)

Говоря о стоимости - действует ли репутация Linux, как недорогой системы, применимо к маршрутизаторам?

Mancill: Конечно же, всегда есть вопрос стоимости. Linux свободен, во многих смыслах этого слова, но экономия идёт не только из-за этого. Работа вашего маршрутизатора на распространённой платформе - такой, как хороший сервер PC - означает, что вы получаете абсолютно наилучшее отношение технологии к цене, потому что вы перемещаете функции маршрутизации с проприетарного железа на наиболее распространённое и мощное оборудование. У вас есть некоторая "защита для улучшений", потому что вы всегда можете выбирать ваши аппаратные средства и поддержку для этих аппаратных средств. Общая экономия вполне может превысить экономию от использования свободной OS.

Часть 2: Функциональность маршрутизатора живёт в ядре Linux.

Итак, ваш IT-отдел решил попробовать Linux-маршрутизаторы. Возможности просто изобилуют. С чего начать? Tony Mancill, автор "Linux Routers: A Primer for Network Administrators", отвечает на этот вопрос, а так же делится своими мыслями о коммерческих маршутизаторах и обсуждает опции маршрутизации, доступные для Linux.

С какими коммерческими маршрутизаторами вы работали? Каковы достоинства и недостатки каждого из них?

Tony Mancill: Хорошо, кажется, что практически все работали с [маршрутизаторами] Cisco - раньше или позже. В основном ни у кого не возникает слишком негативных впечатлений для того, чтобы говорить о них. Компания Cisco сделала хорошую работу по формализации своих продуктов и стандартизации повседневных операций для сетевых администраторов.

Cisco предлагает согласованность и поддержку, но это отражается на стоимости. На самом деле существуют не только денежные издержки. Более важен тот факт, что в данном случае существует потеря гибкости. Вы ограничены структурой, навязанной вам инженерами из Cisco и их маркетинговым отделом.

У меня был один действительно страшный случай с другим коммерческим маршрутизатором от поставщика, который в дальнейшем был приобретен другой компанией. (Обжегшись однажды, я больше не работал с этими поставщиками). Я уверен, что большинство сетевых администраторов могут столкнуться с тем же - критическая система терпит неудачу в самое неподходящее время, а служба поддержки может дать только несколько общих советов, совершенно не соответствующих тем огромным деньгам, которые были затрачены на поддержку. Мне пришлось столкнуться и с этим, и с достаточно неудобными средствами управления, которые предоставляли очень ограниченный контроль над маршрутизатором.

Какие маршрутизаторы работали у вас достаточно хорошо?

Mancill: Наиболее полезные маршрутизаторы, с которыми я работал - это маршрутизаторы от WAN (frame relay или синхронный PPP), основанные на картах Sangoma WANPIPE. Решение: берется обыкновенный PC и одна или несколько карт Sangoma, которые могут взаимодействовать с CSU/DSU или непосредственно с цифровым носителем T1/E1. Приблизительно за половину стоимости традиционного маршрутизатора вы получаете маршрутизатор с богатыми диагностическими средствами, который так же способен выполнять и другие функции в вашей сетевой инфраструктуре.

В чём заключается основное преимущество решения от Sangoma?

Mancill: Трудно преувеличить значение таких возможностей, как полный доступ к протоколу Layer 2, когда вы создаёте новую WAN связь, или возможность создания DNS-сервера в маршрутизаторе спутникового офиса. Единственная слабость таких решений, как Sangoma - то, что вы несёте ответственность за выбор аппаратного и программного обеспечения. Вероятно, не все к этому готовы, особенно если вам нужны аппаратные средства для работы в агресивной физической среде. Так же у вас не будет централизованной службы поддержки для подобного решения. Для некоторых корпораций это - недостаток.

Тем не менее, вы можете иметь целостную поддержку и все еще оставаться в 'Linux-пространстве', выбрав такого поставщика, как ImageStream. Я ещё не использовал их оборудование в промышленной среде, но я изучил их предложение и у меня сложилось прочное впечатление, что они делают всё правильно.

Из каких основных элементов состоит Linux-маршрутизация?

Mancill: Первый и самый важный - это ядро Linux. Без разницы, сконфигурировали ли вы пару статических маршрутов, настроили динамическую маршрутизацию с демоном, запущенным с правами пользователя, или использовали такие возможности ядра, как маршрутизация по правилам - всё равно обработкой пакетов занимается именно ядро. Даже самый простой вариант Linux - например, однодискетный дистрибутив с ядром и несколькими консольными утилитами - может выполнять сложную маршрутизацию, перевод сетевых адресов, и организацию очереди пакетов на основе QoS [Quality of Service].

Какие компоненты присутствуют собственно в ядре?

Mancill: В ядре есть несколько значимых компонентов, или кирпичиков в фундаменте маршрутизации, который являются критическими и, подобно самому ядру, очень надёжными:

- Netfilter (a.k.a. iptables) обеспечивает фильтрацию пакетов, перевод сетевых адресов (NAT), port forwardind, и общие средства управления пакетами, которые могут осуществлять почти любые мыслимые операции с IP-пакетом.

- Iproute2 предоставляет как основную, так и продвинутую конфигурацию сети, включая маршрутизацию по правилам, туннелинг и QoS-классификацию пакетов.

- Чтобы запустить динамический протокол маршрутизации, подобно OSPF или BGP4, вам понадобится только open-source демон под названием Zebra. Эта программа обрабатывает протокол маршрутизации и интерфейс конфигурации, а так же - передаёт изменения маршрутизации по всем правилам ядра Linux. Многие (и я даже скажу, что таких большинство) из тех, кому нужны динамические протоколы маршрутизации на открытой платформе, используют именно Zebra - включая коммерческих поставщиков Linux-решений (таких, как ImageStream).

- С очень правильным и, возможно, даже запаздывающим акцентом на безопасность, установленным в последнее время, я рекомендую FreeS/WAN, открытую реализацию IPsec и сопутствующих ключевых средств управления. Это - основной компонент любых стандартных VPN, которые будут управляться вашим Linux-роутером. (Избегайте проприетарных стандартов везде, где это возможно).

Часть 3: Эксперт описывает оптимальную настройку Linux-маршрутизатора.

Маршрутизация Linux хорошо подходит для организации, если менеджер сети является хорошим специалистом - утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". В финальной части интервью он описывает наилучшим образом настроенную Linux-сеть. Он также даёт список важных сетевых технологий, которые появятся в будущем.

Могли бы вы описать оптимальную сетевую среду Linux?

Mancill: Ответ, конечно же, зависит от того, что вы пытаетесь сделать. Оптимальная настройка Linux - это то, что нужно для удовлетворения потребностей вашей окружающей среды! Действительно, мне трудно дать ответ на этот вопрос, потому что мне кажется, что почти все сетевые среды, работающие на основе Linux, с которыми я работал, были так или иначе оптимальными.

Оптимальные условия для меня означают, что у вас есть излишние аппаратные средства там, где это нужно - особенно это касается жестких дисков и источников питания. Так же это понятие включает в себя хорошее состояние окружающей среды в серверной комнате, а именно - стабилизация электропитания, кондиционирование воздуха, и хорошо настроенные средства мониторинга и уведомления. Так же у группы IT должны быть адекватные условия и достаточное количество времени.

Оптимальные условия - это так же и команда менеджмента, которая хочет доверять решениям своих служащих, а не красочным обещаниям каких-нибудь ABC Sales.

Вам понадобится всё это, а так же много мигающих лампочек и небольших наклеек с пингвинами, чтобы поместить их на все машины.

Какие новые сетевые технологии можно ожидать в ближайшем будущем? Как они помогут предприятиям?

Mancill: IPv6, хотя этот протокол уже не новый, до сих пор находится на подходе. Он принесёт большую пользу предприятиям, потому что он существенно упрощает потребность в управлении IP-адресами. DHCP и NAT сделали многое для увеличения полезной жизни IPv4, но они также создали и достаточное количество лишней работы администраторам, не говоря о масштабах целой индустрии. Linux, конечно же, одинаково хорошо поддерживает как существующую сетевую адресацию, так и IPv6.

VoIP (Голос по IP) - тоже не новый протокол, но он ещё не испоьзуется широко и нуждается в технологической доработке. Он станет молотом, который сокрушит "Берлинскую Стену", воздвигнутую AT&T и другими проприетарными телефонными компаниями.

Если на вашем столе есть мощный универсальный компьютер, зачем вам ещё и отдельный телефон с голосовой почтой? VoIP чувствителен к задержкам, поэтому для его работы нужны сети, которые могут распределять трафик согласно приоритетам. Такая потребность ускорит развитие сопутствующих технологий - таких, как QoS и АТМ.

Как насчёт Wi-Fi?

Mancill: Wi-Fi и другие беспроводные технологии тоже почти стали реальностью, но я думаю, что потенциал для широкомасштабного развертывания этой технологии ещё даже не начал формироваться. Каждый, кто принимает участие в создании сетей, знает, что проводка - это дорого, а перемещение проводки - в два раза дороже. Способность размещать рабочие станции везде, где доступно электропитание (телефон будет работать через VoIP), позволит предприятиям выживать и быть более гибкими.

Конфигурируем Linux-роутеры

Даже самый опытный сетевой администратор может испытывать затруднения при настройке Linux-маршрутизаторов - утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". Существуют заметные различия в процессе конфигурации Linux, Windows и Unix, и Mancill описал наиболее важные "да и нет" для настройки Linux-роутеров.

1. Оденьте шляпу Индианы Джонса и начните поиск документации.

Проблема номер 1 в настройке Linux-маршрутизаторов - недостаток качественной документации для новых характеристик и более продвинутой функциональности. Даже когда подробная документация существует, у неё может и не быть главного / канонического варианта.

На многих сайтах члены сообщества Linux и Open-Source предлагают советы по конфигурации маршрутизатора, обзоры продуктов, HOWTOs и поддержку. Да, вы испоьзуете операционную систему, которая поддерживается сообществом, но это означает, что вы можете затратить дополнительное время на то, чтобы разобраться во многочисленных архивах, документов и HOWTO и наконец-то найти то, что вы ищете. В крайних случаях мне приходилось ссылаться собственно на исходный код, чтобы точно определить, какая возможность в данном случае должна быть использована.

2. Не говорите на Windows-языке с Linux-маршрутизатором.

Не существует одного централизованного пути настройки маршрутизаторов на всех платформах. Большинство маршрутизаторов Linux конфигурируются иначе, чем их традиционные аналоги. Кроме этого, средства конфигурации сети и маршрутизации могут различаться даже в двух разных дистрибутивах Linux.

Например, может существовать много механизмов для сохранения конфигурации каждой различной подсистемы, в зависимости от используемых компонентов. Один конфигуратор может управлять WAN-интерфейсами, другой - статической маршрутизацией, а третий - правилами firewall'а.

3. Не пользуйтесь программой настройки, которую написал ваш друг TuxMan.

Используйте стабильные версии ядра и различных инструментальных средств всегда, когда это только возможно. Ими пользуется наибольшее число людей - следовательно, вероятность того, что у вас возникнут ненужные проблемы, является наименьшей.

Конечно же, вы можете пойти своим собственным путём. Но приготовьтесь к тому, что вам придётся играть в Игру Версий. Менеджеры сети, которые играют в Игру Версий, делают своих пользователей и группу поддержки IT нервными и раздражительными. Например, вам может понадобиться драйвер, который поддерживается версией ядра x.y.z, но инструментальные средства, которые вам нужны для Q, функционируют только в x.y.z-2. В этом случае вам придётся долго копаться в исходниках.

4. Всё должно быть просто - иначе вы будете выглядеть глупо.

Не нагружайте ваш Linux-маршрутизатор всякими прибамбасами. Конечно же, можно заставить компьютер c Linux делать всё, что угодно, но всё же пытайтесь контролировать себя. В конце концов, неиспользованные и лишние программы на сервере могут поставить под угрозу безопасность системы.

5. Компилируйте всё сами, если хотите, чтобы всё было сделано правильно.

Соберите собственное ядро из исходников. Ядра из дистрибутивов обычно не ориентированы на использование в качестве маршрутизатора и почти всегда содержат намного больше драйверов, чем нужно. Дополнительные драйверы уменьшают количество памяти, доступной для других компонентов ядра.

6. Не позволяйте Windows-администратору нанести вред вашему роутеру.

Безопасность начинается дома, поэтому - обратите внимание на физическую защиту роутера от окружающей среды. Например, ни о чем не подозревающий админ Win2k может подойти к вашему маршрутизатору и нажать CTRL-ALT-DEL, чтобы попытаться войти в систему. Фактически, если вы должны предоставлять доступ к вашей системной консоли с других машин, просто выключите запись 'ctrlaltdel' в /etc/inittab.

7. Используйте журналируемую файловую систему - такую, как ext3 или reiserfs.

Вы будете благодарны за спасённое время после неожиданной перезагрузки.

8. Не живите одним моментом.

Делайте планы на будущее - с учётом роста, функциональности и изменений. Маршрутизаторы часто находятся в сердце основных операций целого предприятия, поэтому бывает очень трудно выделить время для модернизации и изменений, в течении которого ваш роутер не будет работать. Постройте ваш маршрутизатор с помощью новейших технологий, учитывая совместимость с предстоящими технологиями. Попытайтесь запланировать всё на 7-12 месяцев вперёд.

9. Не верьте в свои способности мгновенного вспоминания.

Составляйте и поддерживайте подробную документацию о вашей базовой конфигурации и любых последующих изменениях конфигурации. Даже если вы - единственный администратор системы, лучше иметь хорошую документацию, чем заново изобретать колесо каждый год.

10. Уважайте законы Мерфи.

Составляйте планы для резервирования. А так же - убедитесь, что у вас в запасе есть дешевые преконфигурированные системы. Маршрутизаторы Linux часто имеют стоимость значительно ниже, чем их традиционные аналоги, поэтому их использование даёт вам преимущества и сохраняет ваш бюджет.

11. Не будьте изоляционистом. Присоединитесь к сообществу маршрутизаторов и маршрутизации.

Подпишитесь на списки рассылки, в которых обсуждаются те типы роутеров и программного обеспечения, которые вы используете. Так же подпишитесь на одну или несколько рассылок по безопасности Linux. Постоянно быть в курсе всех новостей - важно.

Потратьте немного своего времени на написание ответов на вопросы других людей, если сможете. Добрая воля - заразительна.


Ссылки на оригиналы: Часть 1, Часть 2, Часть 3, Советы по конфигурации.





Источник - LinuxBegin.ru
http://linuxbegin.ru

Адрес этой статьи:
http://linuxshop.ru/linuxbegin/article417.html