Привет habr! На сайте нашей компании мы ведём раздел «Вопросы и ответы» (FAQ). Недавно мы обратили внимание, что вопрос «Чем отличается LAN Lite от LAN Base для коммутаторов серии Cisco 2960» просматривают часто. В данной статье попробую более подробно остановиться на отличиях Lan Lite и Lan Base, например, расписать, что скрывается под словами «расширенные функции безопасности», «расширенные функции QoS» и т.д., которые фигурируют во многих сравнительных таблицах Cisco Systems.
Перед тем, как перейти непосредственно к рассмотрению отличий Lan Lite и Lan Base, очень кратко посмотрим, какие модели коммутаторов 2960 бывают (а их очень много), какие у них самые существенные отличия, и какие из моделей 2960 актуальны на момент написания статьи. Самый наглядный вариант – в виде таблицы. Зелёным отметим актуальные модели. Светло-зелёным отметим актуальные модели, но с единственным вариантом набор функций: 2960-CX бывают только Lan Base, 2960-XR бывают только IP Lite.
*см UPD в конце статьи
В данной статье различия между Lan Lite и Lan Base будем рассматривать только для актуальных моделей, то есть, для 2960-C, 2960-Plus и 2960-X.
Какой коммутатор Cisco 2960 выбрать: Lan Lite или Lan Base? Этот вопрос необходимо решить перед покупкой оборудования раз и навсегда, потому что перейти от Lan Lite к Lan Base и обратно невозможно: коммутаторы Lan Lite отличаются от Lan Base аппаратной частью. Для коммутаторов 2960-X cтоимость Lan Lite ниже стоимости Lan Base примерно на 20%. Для коммутаторов 2960-Plus разница в цене может доходить до 40% в зависимости от конкретных моделей. Для того, чтобы сделать правильные выбор, нужно точно понимать, как коммутатор будет использоваться, и какой функционал коммутатора может потребоваться.
Часто происходит путаница, когда говорят о Lan Lite и Lan Base для коммутаторов Cisco 2960, как о лицензии. Очевидно, путаница происходит, потому что у более старших моделей современных коммутаторов Cisco, таких как 3560X, 3750X, 3650, 3850, Lan Base обозначает именно лицензию. Другие лицензии для перечисленных коммутаторов IP Base и IP Services. Данные лицензии открывают дополнительный более расширенный функционал по сравнению с Lan Base. Lan Lite для перечисленных коммутаторов отсутствует. В случае с Cisco 2960 Lan Lite и Lan Base — это не лицензия.
Также часто встречается мнение, что для Lan Lite и Lan Base – это версия программного обеспечения для коммутаторов Cisco 2960. Здесь можно сказать и да, и нет. Для устаревших моделей коммутаторов Cisco 2960, Cisco 2960G, а также, для современных коммутаторов Cisco 2960-Plus, действительно, модели Lan Lite требуют установку образа программного обеспечения Lan Lite, а модели Lan Base требуют образ Lan Base соответственно. Устанавливать образ ПО Lan Base на коммутатор Lan Lite и наоборот нельзя. Кстати, интересно, что на сайте cisco.com в разделе download для коммутаторов Cisco 2960-Plus есть возможность скачать «неверный» софт для коммутатора. Т.е., для Lan Base коммутатора можно, например, скачать софт Lan Lite:
Для других коммутаторов (Cisco 2960, Cisco 2960G) скачать «неверный» софт с cisco.com не получится. Для более современных коммутаторов Cisco 2960-C, Cisco 2960-CX, Cisco 2960-S, Cisco 2960-SF, Cisco 2960-X и Cisco 2960-XR существует единый универсальный образ ПО. Например, для коммутаторов Cisco 2960-X софт c2960x-universalk9-mz.152-2.E3.bin можно установить как на Lan Lite, так и на Lan Base коммутатор. Набор поддерживаемых функций в этом случае будет определять исключительно моделью коммутатора. Установленное универсальное ПО автоматически конфигурирует набор поддерживаемых функций в зависимости от аппаратной платформы. Стоит заметить, коммутаторы Cisco 2960-XR стоят особняком. Набор функций для данных коммутаторов именуется IP Lite (не путать с Lan Lite), так как данные коммутаторы более богаты по функционалу по сравнению с Lan Base коммутаторами. В частности, Cisco 2960-XR поддерживают протоколы динамической маршрутизации на начальном уровне (OSPF for Routed Access, EIGRP Stub) и прочие дополнительные функции (Policy Based Routing, HSRP и т.д.). Также, стоит отметить модель Cisco 2960-CX. Для этой модели версия Lan Lite не существует. Единственный вариант – Lan Base.
Таким образом, понятия Lan Lite и Lan Base обозначают набор функций, или как это называется в официальной документации производителя Cisco Systems – IOS Feature Set.
Итак, перейдём непосредственно к отличиям коммутаторов Lan Lite и Lan Base. Отличия будем рассматривать только для актуальных моделей коммутаторов, так как выбор Lan Lite или Lan Base наиболее актуален в момент заказа нового коммутатора (в нашем FAQ уже есть краткий перечень отличий для всего модельного ряда). Из актуальных моделей вычёркиваем Cisco 2960-CX (у него только Lan Base) и Cisco 2960-XR (у него только IP Lite). Остаётся к рассмотрению Cisco 2960-C (Compact), Cisco 2960-Plus и Cisco 2960-X.
Отличия в аппаратной части
Коммутаторы Cisco 2960-С
Модель Lan Lite представлена единственным коммутатором Catalyst 2960C-8TC-S Switch.
Внешние отличия – отсутствуют.
Отличия заключаются исключительно в списке поддерживаемых SFP-трансиверов. Lan Lite коммутатор поддерживает только GLC-SX-MM, GLC-SX-MMD, GLC-LH-SM, GLC-LH-SMD. Lan Base коммутатор поддерживает полный перечень 1 ГБ трансиверов (включая Long-Reach Single-Mode Fibers, Extended Long-Reach Single-Mode Fibers и трансиверы для одножильной оптики).
Коммутаторы Cisco 2960-Plus
Внешние отличия… вот:
Слева Lan Base, справа Lan Lite. И ещё в правом верхнем углу на Lan Lite написано «Catalyst 2960 Plus Series SI», на Lan Base написано «Catalyst 2960-Plus Series».
Отличия:
- Список поддерживаемых трансиверов. Lan Lite поддерживают только GLC-SX-MM, GLC-SX-MMD, GLC-LH-SM, GLC-LH-SMD, а Lan Base полный список.
- Поддержка системы резервного питания Cisco Redundant power system (RPS) 2300.
Коммутаторы Cisco 2960-X
Модель Lan Lite представлена двумя коммутаторами: WS-C2960X-24TS-LL и WS-C2960X-48TS-LL.
Внешние отличия.
На передней панели коммутатора явно указан набор функций:
На задней панели коммутатора Lan Base имеет слот для установки стекового модуля. Lan Lite коммутатор не поддерживает стекирование, соответственно, слот для установки модуля отсутствует. На фото задняя панель Lan Base коммутатора с уже установленным стековым модулем:
Также, для коммутаторов 2960-X, в отличие от других коммутаторов 2960, можно узнать набор функций из командной строки командной show license.
Отличия:
- Поддержка стекирования. Как уже было отмечено, Lan Lite модели не могут быть объединены/добавлены в стек.
- Список поддерживаемых трансиверов SFP. Lan Lite поддерживают только GLC-SX-MM, GLC-SX-MMD, GLC-LH-SM, GLC-LH-SMD, GLC-EX-SMD, а Lan Base полный список.
- Поддержка трансиверов SFP+. Модели Lan Lite не поддерживает SFP+.
- Поддержка системы резервного питания Cisco Redundant power system (RPS) 2300. Здесь стоит заметить, только Lan Base модели поддерживают внешний RPS. Lan lite модели не поддерживают, IP Lite модели также не поддерживают, но могут быть оснащены собственным резервным блоком питания.
- Поддержка PoE/PoE+. В отличие от 2960-Plus, модели Lan Lite коммутаторов 2960-X с поддержкой PoE отсутствуют.
- Оперативная память. Модели Lan Lite оснащены 256 МБ DRAM, модели Lan Base – 512 МБ DRAM.
- Флеш память. Модели Lan Lite оснащены 64 МБ DRAM, модели Lan Base – 128 МБ DRAM.
- Производительность коммутационной фабрики. Модели Lan Lite – 50 Гбит/с, модели Lan Base – 108 Гбит/с.
Отличия в программной части
Вне зависимости от моделей коммутаторов 2960 существуют общие отличия Lan Lite от Lan Base в программной части. Основополагающее отличие: коммутаторы Lan Lite являются сетевыми устройствами второго уровня модели OSI (L2-устройства), в то время как коммутаторы Lan Base являются устройствами третьего уровня модели OSI (L3-устройства). Другими словами, Lan Lite коммутаторы передают пакеты исключительно на канальном уровне (L2), в то время как Lan Base коммутаторы умеют работать с заголовками L3 и L4 для передачи и обработки пакетов. Прочие отличия в функциональных возможностях Lan Lite и Lan Base, в основном, являются следствиями данного факта. Чтобы определить, будет ли тот или иной функционал работать на коммутаторе Lan Lite, во многих случаях достаточно понять, требуется ли для реализации функционала анализ/обработка IP-заголовка передаваемого пакета. Рассмотрим данное утверждение более подробно на конкретных примерах.
При сравнении Lan Lite и Lan Base наборы функций обычно разделяют на следующие группы:
- Уровень 2;
- Уровень 3;
- Безопасность;
- Качество обслуживания (QoS);
- Управляемость;
Рассмотрим отличия по каждой группе детально.
Уровень 2
Lan Lite коммутаторы предоставляет базовые функции канального уровня:
- 802.1Q;
- STP и расширения;
- CDP;
- LLDP
- DTP;
- UDLD;
- VTP v2;
- PAgP/LACP;
- Storm Control;
Lan Base коммутаторы предоставляют следующие дополнительные функции:
- FlexLink;
- LLDP MED;
- VTP v3.
На данной группе подробно останавливаться не будем, перечисленные отличия никак не зависят от возможности обработки L3/L4 заголовков.
Уровень 3
Это основополагающее отличие. Lan Base коммутаторы поддерживают обработку L3/L4 заголовков и выполняют функцию межсетевой маршрутизации. Поддерживается только статическая маршрутизация. Могут быть настроены до 16 статических маршрутов.
Безопасность
Функционал коммутаторов Lan Base предоставляет следующие дополнительные функции безопасности:
- DHCP snooping;
- IP source guard;
- Dynamic ARP inspection (DAI);
- Port Access Lists (pACL);
- Доп. средства 802.1X и интеграция с Cisco ISE.
DHCP snooping позволяет отслеживать все DHCP-запросы в рамках широковещательного домена и блокировать DHCP-ответы на тех портах, к которым может быть подключен не доверенный DHCP-сервер. Таким образом DHCP snooping позволяет предотвращать подключение к сети вражеского DHCP сервера. Кроме того, DHCP snooping составляет базу данных соответствия mac-адреса клиента, выданного IP-адреса, время аренды и т.д. Протокол DHCP для передачи своих пакетов использует уровень L4 модели OSI, следовательно, коммутатор должен уметь разбирать L3/L4 заголовки для реализации данного функционала. Поэтому, DHCP-snooping работает только на Lan Base коммутаторах.
IP source guard позволяет бороться с атаками подмены IP-адреса источника. Для этого, IP source guard использует базу данных, полученную при использовании DHCP snooping. Конечно, данную базу можно дополнять статическими записями вручную. Безусловно, для реализации IP source guard коммутатор должен уметь работать с L3/L4 заголовками, поэтому данный функционал может быть реализован только на Lan Base коммутаторах.
Dynamic ARP inspection (DAI) позволяет бороться с атаками типа ARP poisoning или ARP spoofing при которых злоумышленник пытается подделать ARP-ответы, чтобы перенаправить трафик от легитимных устройств на собственный шлюз. При включённом DAI при появлении ARP-ответа на не доверенном порту коммутатор инспектирует ARP-пакет и сопоставляет данные с имеющейся базой из DHCP snooping и статических записей. Хотя ARP протокол работает на канальном уровне, для полноценной реализации DAI необходимо включить DHCP snooping. Поэтому, полноценный DAI может работать только на Lan Base коммутаторах.
Port Access Lists. Думаю, тут не требуется дополнительных пояснений, почему pACL может быть реализован только на Lan Base коммутаторах. Хочу заметить только один нюанс: pACL можно применять только во входящем направлении. В направлении out pACL работать не будет, хотя настроить данную конструкцию (ввести команду) на порту коммутатора, как правило, можно.
Доп. средства 802.1X и интеграция с Cisco ISE. Данный вопрос рассмотреть в полном объёме достаточно тяжело, и не думаю, что в рамках данной статьи имеет смысл сильно углубляться. Однако, стоит отметить, некоторые функции будут работать на Lan Lite коммутаторах. Например, на коммутаторах Lan Lite можно реализовать 802.1Х гостевой Vlan. Данный функционал помогает в том случае, если конечное устройство не имеет установленного 802.1X клиента и не может пройти аутентификацию и авторизацию на 802.1Х порту коммутатора. В таком случае, устройство может быть временно помещено в карантин-VLAN (или гостевой VLAN) с ограниченным доступом в локальную сеть. Однако, если планируется полноценная интеграция с Cisco ISE с включением различных функций и реализацией относительно сложной логики авторизации клиентских устройств, я бы рекомендовал использовать Lan Base коммутатор. Только на Lan Base коммутаторе получится реализовать такие функции как Web-аутентификация или загружаемые списки доступа (Downloadable ACL). Для Web-аутентификации требуется перенаправление web-трафика пользователя на специальную web-страницу, на которой пользователь сможет ввести логин/пароль. Поэтому только Lan Base коммутатор справится с данной задачей. Для Downloadable ACL, думаю, пояснения не требуются.
Качество обслуживания (QoS)
Lan Lite коммутаторы не могут выполнять политики QoS на основании значений DSCP, так как значения DSCP передаются в IP-заголовке в поле ToS. Таким образом, политики QoS на Lan Lite коммутаторах могут быть применены исключительно на основании значения CoS, передаваемого в заголовке канального уровня.
Однако, при рассмотрении QoS необходимо выделить существенные отличия, которые не обусловлены в явном виде возможностью обработки L3/L4 заголовков. Самое существенное, на мой взгляд, отличие – на коммутаторах Lan Lite отсутствует возможность включения AutoQoS. На Lan Base коммутаторах функция AutoQos автоматически генерирует настройки QoS в зависимости от подключенных к портам медиа-устройствам. Возможные варианты для 2960-X:
- auto qos voip { cisco-phone | cisco-softphone | trust}
- auto qos video { cts | ip-camera | media-player}
- auto qos classify [ police]
- auto qos trust { cos | dscp}
При этом, AutoQos выполняет следующие «тонкие» настройки QoS:
- Формирует сопоставление CoS к DSCP для входящих пакетов;
- Распределяет пакеты по четырём очередям и порогам срабатывания WTD (weighed tail drop) в соответствии со значениями CoS;
- Распределяет пакеты по четырём очередям и трём порогам срабатывания WRT в соответствии со значениями DSCP;
- Настраивает размеры очередей и значения порогов срабатывания WRT, а также веса очередей для алгоритма обслуживания очередей SRR (shaped round robin).
Кроме того, для auto qos voip cisco-softphone, auto qos classify функция AutoQoS выполняет дополнительные настройки, включая включение специфичных policy-maps. Все перечисленные настройки AutoQoS выполняет в соответствии с best practice от компании Cisco. Более подробно с AutoQoS можно ознакомиться здесь.
Помимо AutoQos, на Lan Lite нельзя использовать или изменять настройки следующего функционала QoS:
- trusted boundary – принятие решения о том, доверять ли меткам QoS в зависимости от типа подключенного устройства. Тип подключенного устройства определяется на основании работы CDP.
- policing –оценивать скорость потока (in profile, если не поток превышает заданную скорость, или out profile, если превышает). Также нельзя настраивать class-maps и policy-maps;
- marking — применять действия к потоку данных в зависимости от результата этапа policing — in profile или out profile. Действия могут быть: pass (пропускать поток данных), mark down (изменять метку QoS для потока, чтобы уменьшить/ухудшить класс обслуживания) или drop (отбрасывать пакеты потока).
- mapping tables – изменять карты сопоставлений CoS к DSCP, IP Precedence к DSCP, DSCP к DSCP или DSCP к QoS для входящих пакетов. Так как Lan Lite коммутатор может работать исключительно с CoS, данный пункт не имеет смысла к рассмотрению.
- weighted tail drop – изменять пороги срабатывания алгоритма WRT.
- ingress queuing – изменять настройки двух входящих очередей можно только на Lan Base коммутаторах. Кроме того, коммутаторы 2960-S, 2960-CX и 2960-X не поддерживают ingress queuing вообще;
- egress queuing – изменять настройки четырёх исходящих очередей можно только на Lan Base коммутаторах.
Как видно из перечисленных ограничений для Lan Lite коммутаторов функционал QoS реализован в минимально возможном варианте. Более подробно углубляться в настройки QoS для коммутаторов 2960 в рамках данной статьи не вижу смысла. При необходимости с настройкой QoS для коммутаторов 2960-X можно ознакомиться здесь.
Управляемость
Отличия функций раздела «управляемость» не вытекают в явном виде из возможностей обработки L3/L4 заголовков. Среди наиболее значимых отличий можно выделить следующие:
- количество поддерживаемых SPAN-сессий (на Lan Lite коммутаторах одна сессий, на Lan Base коммутаторах – в зависимости от модели);
- поддержка Remote SPAN;
- поддержка IP SLA Responder;
- более широкий спектр баз MIB;
- количество поддерживаемых VLAN;
- количество поддерживаемых процессов STP.
Более подробно рассматривать функциональные отличия Lan Lite и Lan Base для каждой модели коммутаторов 2960 не вижу смысла. Cisco всегда предлагает уточнять нужный функционал с помощью Feature Navigator. Хотя, на мой взгляд, Feature Navigator далеко не всегда помогает, и более точно выяснить спорные вопросы поможет Configuration Guide для конкретной модели.
Для удобства представим отличия в программной части в виде таблицы. Некоторые количественные и/или уникальные отличия, свойственные конкретным моделям коммутаторов, также отразим в данной таблице.
Стоит отметить, при настройке Lan Lite коммутатора в большинстве случаев можно задать команды, включающие функционал, свойственный Lan Base коммутатору. Например, можно ввести команду, включающую dhcp-snooping на Lan Lite коммутатор:
Однако, нужно понимать, несмотря на то, что функционал можно настроить на коммутаторе, в варианте Lan Lite на самом деле применённые команды работать не будут.
Заключение
В данной статье я рассмотрел отличия Lan Lite и Lan Base версий актуальных коммутаторов Cisco 2960. К актуальным я отнёс модели 2960-C, 2960-Plus и 2960-X. Отличия Lan Lite от Lan Base я рассмотрел, как аппаратные и программные. При рассмотрении программных отличий попробовал вывести основополагающее отличие – возможность коммутатора работать на третьем и четвёртом уровнях модели OSI и обрабатывать L3/L4 заголовки. На основании данного отличия, я показал на примере функций безопасности и, частично, функций QoS, как можно определять, какой функционал будет работать в Lan Lite версии коммутатора, а какой функционал – исключительно в Lan Base версии. Также, выделил некоторые моменты, не обусловленные основополагающим отличием, и показал некоторые уникальные отличия для конкретных моделей коммутаторов.
Ещё раз хочу обратить внимание, переход от Lan Lite к Lan Base и обратно не возможен. Для коммутаторов 2960-X разница в цене не велика (около 20%), но при этом, с приобретением Lan Lite версии мы теряем большой объём функционала. На мой взгляд, наиболее существенная потеря Lan Lite коммутатора – отсутствие межсетевой маршрутизации, ACL и AutoQos. С другой стороны, для коммутаторов 2960-Plus разница в цене может составлять 40% для определённых моделей, поэтому, к выбору Lan Lite или Lan Base стоит отнестись с некоторой долей внимания. Вероятно, функции Lan Base действительно окажутся не востребованными для поставленных задач, и приобретение коммутаторов 2960-Plus в версии Lan Lite позволит существенно сэкономить бюджет. Особенно, если речь идёт о закупке партии коммутаторов.
Надеюсь, данная статья сможет послужить руководством по выбору Lan Lite и Lan Base версий коммутаторов Cisco 2960 и прольёт свет на некоторые спорные моменты.
UPD (07.11.2016):
Осенью 2016 года появилась новая линейка коммутаторов 2960-L.
Это фиксированные гигабитные коммутаторы с набором функций Lan Lite. Фактически, эти коммутаторы расширяют портфолио L2-коммутаторов с гигабитными портами. До них были только 2960-X с Lan Lite (если не рассматривать компактные модели). Линейка 2960-X представлена всего двумя моделями: WS-C2960X-24TS-LL и WS-C2960X-48TS-LL. Линейка 2960-L предлагает коммутаторы 8, 16, 24 и 48 портов. Аплинки 2 или 4 SFP. Есть модели с PoE. У 2960-L больше DRAM (512 против 256 у 2960-X Lan Lite) и Flash (256 против 64 у 2960-X Lan Lite).
Как было сказано ранее, 2960-L линейка исключительно L2 коммутаторов, то есть с набором функций Lan Lite. Однако, для данных коммутаторов присущи и некоторые более продвинутые функции Lan Base, такие как:
- Port Access Lists (pACL);
- 802.1x;
- Продвинутый QoS. Появилась возможность перемаркировки CoS на основании IP-адресов и номеров портов из IP-заголовка. Также появилась поддержка Weighted Round Robin (WRR), Weighted Tail Drop (WTD).
Линейка 2960-L является fanless, кроме 48-портового коммутатора с PoE (WS-C2960L-48PS-LL).