Rambler's Top100
Реклама
 
Статьи
Николай НОСОВ  19 декабря 2023

Импортозамещение сетевого оборудования: успехи и пробелы

Отечественные вендоры в целом смогли заместить сетевые решения покинувших российский рынок зарубежных компаний, хотя производимые ими продукты зачастую отличают меньшая надежность, сложность в настройке, неудобство использования и ограниченный функционал.

Уход зарубежных вендоров

Несмотря на принятую еще в 2014 г. программу импортозамещения, на российском рынке сетевого оборудования долгое время доминировали зарубежные решения. Процесс импортозамещения шел медленно и часто сводился к замене решений вендоров из недружественных стран – Cisco, Juniper – на продукцию дружественной китайской Huawei, которая предлагала всю линейку сетевых устройств. 

Уход ведущих мировых вендоров после февральских событий 2022 г. стал для российских компаний серьезным вызовом (рис. 1). Надежды на китайского гиганта не оправдались: Huawei, сама находящаяся под американскими санкциями, заморозила работу на российском рынке. «Образовался некий вакуум, причем не только в оборудовании, но и в вендорском обучении, быстром R&D-процессе, технической поддержке. И самое главное – пропала коммуникационная составляющая», – констатировал на конференции IT Elements 2023 директор Центра сетевых решений компании «Инфосистемы Джет» Сергей Андронов.
Источник: «Инфосистемы Джет»
Рис. 1. Поставщики оборудования для сетей передачи данных

Сетевое оборудование мировых гигантов по-прежнему широко используется российскими компаниями, но уже появилось понимание, что вечно так продолжаться не может. Оборудование ломается, требует ремонта, стареет. Выявленные уязвимости надо устранять, обновлять ПО, что особенно важно в условиях резко возросшего числа хакерских атак. Трудно работать без привычных сопровождения и поддержки, которые сложно получить в случае параллельного импорта. Да и небезопасно эксплуатировать официально не поставляемые в страну устройства: нет гарантии, что их не отключат удаленно. Поэтому даже не испытывающие давления регуляторов компании озаботились импортозамещением.

«Белый ящик» и проблемы «железа»

Сетевое устройство – совокупность программных и аппаратных средств, главным из которых является процессор. С микроэлектроникой в стране ситуация сложная, серьезно вливать деньги в отрасль стали только с лета 2022 г. Единственный полностью отечественный процессор – «Эльбрус», корни разработки которого уходят еще в советское прошлое. Российским процессором общего назначения можно считать «Байкал», но лицензия на используемую в нем АРМ-архитектуру принадлежит зарубежным компаниям. Общее слабое место этих процессоров – зарубежное производство. По нему и ударили: тайваньская компания TSMC присоединилась к санкциям и выпуск российских процессоров прекратила. 

Гром грянул, мужик перекрестился. В 2022 г. в Зеленограде приступили к строительству фабрики, которая, по плану, будет выпускать процессоры по 28-нм техпроцессу. Так что есть надежда, что к 2030 г. технология, по которой Huawei уже сейчас производит чипы для своих сетевых устройств, будет освоена. Однако локальное производство процессоров «Эльбрус» не решит всех проблем с сетевым оборудованием – для российской платформы потребуется еще написать операционную систему.
Лучше ситуация с коммутаторами на основе открытой архитектуры. Сегодня многие производители присоединились к проекту Open Compute Project (OCP) и, поддерживая подход white box («белый ящик»), стали выпускать сетевые устройства с разделением программного и аппаратного обеспечения (рис. 2). На них можно устанавливать «отвязывающую» софт от конкретной аппаратной реализации вендора сетевую операционную систему с открытым исходным кодом (самая распространенная в настоящее время – SONiC).
Источник: «Инфосистемы Джет»
Рис. 2. Вендоры, присоединившиеся проекту OCP

Коммутаторы white box поддерживают программируемость аппаратной плоскости данных (Data plane) и контейнерное развертывание ПО. Программно определяемая логика пересылки данных позволяет быстро проводить обновления, повышать гибкость и производительность сети, что особенно удобно в случае облачных вычислений. Унификация с помощью контейнерного развертывания функций управления и эксплуатации снижает затраты на обслуживание сети. Для таких решений можно использовать ресурсы открытого сообщества ONF (Open Networking Foundation), продвигающего разработку и внедрение связанных с программно определяемыми сетями (Software Defined Network, SDN) технологий в коммутаторах white box. 

При этом подходе российские компании получают возможность легально покупать качественное «железо», такое же, как у лидеров мирового рынка, и устанавливать на него открытое ПО, по сути то же, что у компаний с известными брендами. На аппаратном уровне остается закрытый код, но в целом контроль за устройством повышается, что важно для служб информационной безопасности.

Российские вендоры аппаратных сетевых решений

Минусы white box в том, что продукты с открытым исходным кодом надо «уметь готовить»: иметь экспертизу и квалифицированных специалистов, способных «допиливать» софт под конкретный проект. Бизнесу проще взять готовый продукт с поддержкой вендора, и такие вендоры на российском рынке есть.
Источник: «Инфосистемы Джет»
Рис. 3. Архитектура типовой корпоративной сети

На решениях российских вендоров уже можно построить типовую корпоративную сеть (рис. 3). Для этого есть все необходимое: обеспечивающие соединение с провайдером маршрутизаторы; предназначенные для подключения конечных пользователей коммутаторы доступа; управляющие потоками данных в центре сети коммутаторы ядра; осуществляющие балансировку и оптимизацию трафика сети коммутаторы распределения; контроллеры и точки доступа Wi-Fi.

Так, «Ростелеком», по словам Владимира Каплина, начальника отдела системной архитектуры этой компании, еще до февральских событий начал использовать сетевое оборудование российского производителя «Элтекс». Из-за часто меняющейся у вендора элементной базы приходится тщательно тестировать каждую модификацию сетевого устройства, но работать можно. Главный плюс российских вендоров – хорошая техподдержка, оперативная доработка прошивки и быстрая реакция на выявленные проблемы.

У «Элтекса» есть производственные линии в Новосибирске, на которых сетевые устройства собирают из закупаемых за рубежом микросхем, а не меняют наклейки на коробках китайских производителей. В предлагаемую компанией номенклатуру входят маршрутизаторы, беспроводные точки доступа, шлюзы, IP-АТС, оптические трансиверы, коммутаторы, в том числе коммутаторы для ЦОДов, на которых можно стоить сетевые фабрики. В ведущийся Минпромторгом реестр телекоммуникационного оборудования, произведенного на территории РФ, также входят коммутаторы компаний «Информтехника и Связь», НПП «Полигон» и Qtech. Кроме того, в числе российских производителей сетевого оборудования – компании «Вектор-Т», «Натекс», Fplus, N3COM, Utinet. 

Линейки российских производителей сетевого оборудования расширяются, но отставание от мировых лидеров сохраняется. Нередко отечественные устройства менее надежны и менее удобны в использовании, сложнее в настройке и имеют ограниченный функционал. Есть и проблемы сопровождения – не всегда его можно осуществить удаленно и тогда требуется выезд специалиста на зачастую далеко расположенный объект.

Сетевая безопасность

Передача данных по внешним каналам сопряжена с рисками утечки информации и атак на внутреннюю инфраструктуру организации через точку подключения к внешней сети. Для защиты от вторжений используются межсетевые экраны. Наиболее надежную защиту обеспечивают межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), сочетающие в себе функциональность межсетевого экрана, VPN, антивируса, системы защиты от вторжений, спам- и контент-фильтров. На смену продукции мировых лидеров – Fortinet, Palo Alto Networks, Check Point Software Technologies, Cisco – идут отечественные решения. Среди российских лидеров: компании «Код безопасности», UserGate, «ИнфоТеКС» и «Айдеко». В последнее время в борьбу за рынок NGFW активно включились Positive Technologies и «Солар».

Лучшая защита от утечек – шифрование передаваемых данных, в частности, с использованием криптошлюзов. Импульс внедрению российских криптошлюзов в бизнес дало принятие еще в 2006 г. закона «О персональных данных», после чего на российскую криптографию стали массово переходить банки. В настоящее время для защиты передаваемых по внешним каналам данных широко применяются аппаратно-программные криптошлюзы российских вендоров, например, «ИнфоТеКС» и «C-Терра СиЭсПи». 

SDN и виртуализация сетевых фабрик

Виртуализация вычислительных средств повышает эффективность их использования, гибкость и масштабируемость. Это справедливо и для программно определяемых сетей, в которых слой «железа» отделяется от слоя управления (Control plane). 

Но в импортозамещении решений для программно определяемых сетей успехи пока невелики, особенно в случае аппаратной виртуализации, т.е. виртуализации специализированных физических сетевых устройств. При аппаратной виртуализации централизованное управление и программную настройку сетевых коммутаторов и маршрутизаторов осуществляют программно-аппаратные SDN-контроллеры, взаимодействующие с сетевыми устройствами через открытые интерфейсы и протоколы. Программная виртуализация сетей работает на обычных серверах и, как правило, является частью платформы их виртуализации.

«Программная виртуализация обычно интегрирована с системой виртуализации и имеет собственные средства для создания наложенной сетевой связности. Для построения топологии и обработки трафика используется функционал туннелей и виртуальных функций. Сети достаточно поддерживать функционал IP-фабрики, предоставляющей базовую L3-связность, которая позволит компонентам решения на различных серверах взаимодействовать между собой.

Аппаратная виртуализация сети ЦОДа означает создание сетевой фабрики  на базе коммутаторов, поддерживающих технологию EVPN/VXLAN. На российском рынке есть продукты, в которых заявлен данный функционал, но примеров построения продуктивных EVPN-фабрик на этих продуктах мало. Чаще всего опыт ограничивается тестированием оборудования. В каждом конкретном случае стоит продумать дизайн и проверить соответствие между предполагаемым дизайном и поддерживаемым функционалом.

Также можно рассмотреть коммутаторы white box, предоставляющие возможность выбора ПО. Но в этом случае придется решать проблемы взаимодействия «железа» и ПО разных производителей. В целом в сфере аппаратной виртуализации сети не стоит ожидать быстрых готовых ответов и проверенных решений. Процесс еще в стадии становления», – дал комментарий нашему изданию Александр Гуляев, главный архитектор по сетевым технологиям компании «Инфосистемы Джет».

Его дополняет коллега, Илья Фурцев, начальник отдела поддержки продаж сетевых решений той же компании. «Российских вендоров SDN-решений для ЦОДов и кампусных сетей (не считая SD-WAN) сегодня нет. Основная задача российских производителей – охватить всю линейку зарубежных вендоров. Для создания полноценного отечественного SDN-решения может потребоваться около пяти лет», – считает он. «Нет и пока не планируется», – ряд представителей российских поставщиков аппаратных сетевых решений подтвердили вывод эксперта.

В Едином реестре российских программ для ЭВМ и баз данных (ЕРРП) в 2022 г. зарегистрирован контроллер RunOS – продукт для программно конфигурируемых сетей от «РанСДН» (RunSDN), стартапа Центра прикладных исследований компьютерных сетей, резидента «Сколково». Контроллер RunOS был создан еще в 2014 г., а в 2016 г. было анонсировано его пилотное внедрение на сети «Ростелекома» в одном из регионов России. На сайте компании решение аттестуется как самое быстрое из всех существующих в мире программно конфигурируемых контроллеров и заявляется, что подтверждена его совместимость с устройствами производителей Arista, Juniper, Extreme Networks, NEC, IBM и Huawei. Однако подтверждающих документов на сайте нет, на запросы редакции компания не ответила.

Наложенные сети

C импортозамещением программной виртуализации сети дело обстоит лучше. Можно использовать продукты open source, например, плагины сетевой виртуализации OpenStack – OVN (Open Virtual Network), что и делают сейчас многие российские облачные провайдеры, решившие отказаться от зарубежных проприетарных продуктов. Заменить весь функционал VMware NSX можно с помощью дополнительных open source-компонентов, например, виртуальных межсетевых экранов, роутеров. Но это все не коробочные, а проектные решения. Для каждой задачи нужно выбрать релиз и версию OpenStack.

Чтобы использовать open source-решения в рабочей версии продукта, нужно иметь в штате квалифицированных программистов. Это могут позволить себе в основном крупные компании – бизнес непрофильный, да и специалистов найти непросто. Проще прибегнуть к помощи интеграторов, разворачивающих решения, например, облачные, на платформах российских вендоров. Конечно, интеграторы будут опираться на open sourcе-продукты, но обеспечат их работоспособность и смогут внести необходимые корректировки.

Российские решения программной виртуализации сети предлагаются не как отдельный продукт, а как часть платформы виртуализации. Так, по словам ITglobal.com, разработчика гиперконвергентной платформы vStack, весь код используемой SDN (разворачивается на каждом узле – физическом сервере гиперконвергентной системы) написан программистами компании.

Работу программной виртуализации можно показать на примере российской программно определяемой сети компании «Орион» (Orion soft), входящей в платформу серверной виртуализации zVirt. В компании рассказали, что хосты виртуализации при установке формируют между собой туннели типа «точка – точка». Таким образом организуется оверлейная сеть, работающая поверх физической. Весь SDN-трафик при необходимости покинуть область работы гипервизора будет передаваться по ней. Далее формируются логические сети – аналог VLAN. Для соединения логических сетей между собой используется виртуальный маршрутизатор.

Для подключения виртуальной сети к физической используются два механизма. В первом случае, на уровне L3, логический маршрутизатор подключается к заданному uplink-порту физического коммутатора и выглядит как обычный порт со своим IP-адресом. Во втором, при подключении на уровне L2, виртуальная машина из сети SDN подключается к существующей VLAN и работает так, как будто в ней находится. 

Поскольку сеть программно управляемая, в ней легко реализовать микросегментацию. На порт виртуальной машины можно установить МСЭ, причем заданные правила будут выполняться вне зависимости от конфигурации виртуальной машины.

Виртуализация глобальных сетей

Для виртуализаци глобальных сетей используется технология SD-WAN. С помощью SD-WAN организации могут использовать комбинацию частных и общедоступных сетевых подключений, в проводных и беспроводных сетях для установления безопасных и надежных соединений между своими филиалами, ЦОДами и облачными службами. Отделяя сетевое оборудование от уровня управления, SD-WAN в реальном времени анализирует перегрузку каналов, задержки, качество соединения и маршрутизирует сетевой трафик, обеспечивая оптимальную производительность и надежность.

Одним из пионером на российском рынке SD-WAN стала МТС, начавшая в 2020 г. использовать решения Fortinet. В 2021 г. появилось первое российское решение SD-WAN, выпущенное компанией BI.ZONE. Купив разработчика систем управления сетями передачи данных Brain4Net, в 2022 г. вывела на рынок свое SD-WAN решение «Лаборатория Касперского». В ЕРРП также зарегистрирована основанная на технологии программно определяемых сетей система «Богатка» московского производителя сетевого оборудования Network Systems Group. 

В 2023 г. список входящих в ЕРРП решений SD-WAN пополнился продуктом Reasonance от разработчика систем автоматизации НПП «Бизнес Связь Холдинг» (бренд Manticore). Его основное отличие от решений конкурентов в том, что на площадке заказчика необязательно устанавливать дополнительное оборудование. Продукт может интегрироваться в существующую сетевую архитектуру и управлять уже действующим оборудованием клиента. «Опыт работы с заказчиками показал, что не все готовы менять имеющуюся сеть. Мы осуществляем поддержку гибридных мультивендорных сетей, в которых новые локации можно подключать по новой схеме на новом оборудовании с более широкими функциями автоматизации, и при этом не спешить с заменой оборудования на существующих локациях, где будут реализованы ключевые функции для управления», – пояснила заместитель генерального директора НПП «Бизнес Связь Холдинг» Ксения Тольман. Правда, Reasonance не коробочное решение, для интеграции его в уже существующую сеть понадобится дополнительное время на доработку конфигурационных файлов сетевых устройств конкретного вендора. 

«Бизнес Связь Холдинг» создала веб-платформу, работающую с сетевым оборудованием компаний Cisco, MikroTik, Fortinet. В ближайшее время появится возможность управлять устройствами китайской Huawei и российской Qtech. Управление осуществляется по защищенным каналам из облака Manticore либо оркестратор разворачивается на ресурсах заказчика. В результате заказчик может сам управлять сетью SD-WAN, например, переключать критичные для бизнеса сервисы на наиболее надежный канал, диагностировать состояние и управлять функциями одновременно большого количества сетевых объектов. Компания планирует в следующем году предложить и аппаратное решение для заказчиков, готовых к замене парка оборудования.

Не хочется, но придется

Сеть – кровеносная система бизнеса, без которой трудно представить даже небольшие предприятия. «Работает – не трогай», – жизненная мудрость, которой придерживаются опытные сисадмины. Не хочется без крайней необходимости отказываться от сетевого оборудования зарубежных вендоров, которое по-прежнему широко используется российским бизнесом. Жаль инвестиции в «железо» и экспертизу, накопленный опыт эксплуатации. Однако риски применения этого оборудования возросли, стало понятно, что поддержки не будет и параллельный импорт не спасет.

Замена на российские решения идет медленно и не всегда возможна без потерь. Трудно требовать от российских вендоров такого же качества и надежности продукции, как у имеющих значительно больший опыт, экспертизу и финансовые возможности мировых лидеров, но вариантов мало. Процессы импортозамещения резко ускорились, дело за российскими производителями.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!