Протрезвели — прослезились, или на чем строить сети летом 2022 года
День советской армии изменил большую часть нашей жизни. С профессиональной точки зрения прежде всего изменился ландшафт сетевых решений, которые можно применять в проектах — по сути нас отбросило лет на 10 в прошлое. За прошедшие полгода у меня сформировалось некое понимание, что и как можно использовать (с фокусом прежде всего на энтерпрайз), этим пониманием я с вами и делюсь.
Разумеется, это обзорная статья «по верхам», да ещё и субъективный взгляд, основанный на конкретном опыте, и у вас всё может быть по-другому. Делитесь своим опытом в комментариях, думаю, это будет полезно всем читателям.
Отступление для объектов критической информационной инфраструктуры
Если вас угораздило стать КИИ в понимании ФЗ от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — дальше статья не для вас, потому что выбора, увы, у вас практически нет. Вы идете в каталог продукции ГИСП, отмечаете там соответствие ПП РФ №719 и пытаетесь найти что-нибудь, решающее вашу задачу. А если не находите — переформатируете задачу так, чтобы что-то найти. Поскольку указом Президента от 30.03.2022 №166 вам запрещено закупать иностранное ПО уже сейчас, а эксплуатировать — с 2015 года. И, естественно, ПО в сетевых устройствах пока что считается попадающим под требования этого указа, а купить коммутатор без ПО в принципе можно, но зачем?
Для всех остальных некоторый выбор, конечно, есть, хотя и не настолько широкий, как полгода назад. Впрочем, и полгода назад у нас были существенные ограничения, связанные с кризисами полупроводников и логистики и вытекающим из них увеличением срока поставки (на некоторые модели одного популярного производителя в январе 2022 года срок поставки выставлялся в 453 дня).
Заказчики
Возможно немного неожиданно, но начну не с производителей, а с заказчиков.
Работая в системной интеграции, вижу широкий спектр заказчиков на разной стадии принятия ситуации, от «через месяц все вендоры вернутся назад и вот тогда…» до «всё пропало, надо срочно всё менять и только на всё самое российское». Но во всём этом спектре есть общая печаль — заказчики ожидают найти на рынке «ту же Cisco, но с другим именем и дешевле». Это проявляется в основном в двух ошибках:
Требование уровня сервиса, ранее получаемого от вендоров первого эшелона.
Выставление не функциональных требований к решению, а структурных или, того хуже, технологических.
По первой ошибке всё, в общем-то, понятно и так — клиенты привыкли жить на рынке покупателя, где продавцы стараются удовлетворить мельчайшие хотелки, и, ничтоже сумняшеся, выставляют требования наподобие «RMA 24×7x4». Вендоры недоумённо крутят пальцем у виска и на текущем рынке, который всё же является рынком продавца, уходят из кейса к другим клиентам, уже осознавшим ситуацию. А вопрошающий либо не дожидается никого и говорит «всё пропало, нечем импортозамещать», либо дожидается мошенников, которые могут пообещать всё, что угодно. С соответствующим результатом.
По второй всё немного сложнее. Исторически сложилось, что в энтерпрайзе работают высококвалифицированные сетевые инженеры, которые умеют проектировать решение сами и живут по принципу «дайте нам кубики, мы из них соберём башню». Поэтому в интеграторов летят запросы типа «коммутатор 48×25Gbps+6×100Gbps, обязательна поддержка PFC, EIGRP и еще вот такой вот классной опции вот такого вот протокола». И часто поставщик формально отрабатывает запрос и ищет подходящий вариант именно по спектру этого запроса. Либо не находит (что на самом деле хорошо, потому что даёт возможность на следующем шаге обсудить, чего же именно хочет клиент), либо находит условно один коммутатор у одного вендора и говорит «вот вам этот, другие не подходят».
Что нужно делать в этом случае. Прежде всего осознать, что ваш тысячелетний опыт работы с оборудованием Cisco (или любого другого вендора) не очень применим в текущей ситуации, где этот вендор недоступен или доступен плохо, а интегратор последние месяцы активно наращивал свою экспертизу именно в части новых для вас (и чаще всего и для него) вендоров и формировал понимание, как строить решения в текущей ситуации. Поэтому приходить к интегратору нужно с функциональным запросом типа «мы хотим построить фабрику, два сайта, на каждом по 2 тысячи портов 10Gbps, между сайтами 4 темных волокна, присоединение к кампусной сети — 2×100Gbps с каждого сайта, внешние подключения — 4×10Gbps на первом сайте, 2×10Gbps на втором» и т.д. И рассчитывать на диалог, в котором этот функциональный запрос будет превращаться в набор используемых технологий и далее в спецификацию оборудования.
Производители
Для начала сделаю некий обзор рынка, покажу, что можно реально купить, а уже потом перейдём к привязке производителей к сегментам решаемых задач.
Российские производители
В этом классе играют производители, локализовавшие производство достаточно, чтобы хотя бы значительной частью моделей и хотя бы потенциально зайти в список телекоммуникационного оборудования российского производства.
Сразу нужно отметить — российских чипсетов для сетевого оборудования на данный момент на рынке не представлено. Некоторые компании обещают дойти до них в первом квартале 2023 года, но «обещать — не значит жениться». Когда появятся, тогда и посмотрим. Пока что все российские производители используют или чипсеты потенциального противника (Broadcom, Marvell, Intel), или чипсеты дружественных стран (Realtek и еще некоторые китайские). Вопросы доступности этих чипсетов для производителя решаются разными путями, но во многих случаях решаются успешно.
Прежде всего в эту категорию попадает ООО «Предприятие «Элтекс». На данный момент из известных мне новосибирцы — наиболее зрелый бренд российского телекоммуникационного оборудования, с качественным собственным производством, очень неплохой разработкой и широким спектром оборудования. Лично посещал производство, остался впечатлен уровнем. Оборудование Элтекс сейчас активно тестируют разные заказчики и, сопровождая такое тестирование, достаточно часто наблюдаю, как скептицизм заказчика сменяется положительным отношением к бренду. Хотя, разумеется, без проблем тоже не обходится и в организации тестирования очень важна предварительная подготовка.
Сейчас, насколько мне известно, у Элтекса в линейке нет устройств не их собственной разработки. Как следствие, недостатки, вызванные косяками программного обеспечения, устраняются достаточно быстро.
Основные проблемы — нестабильность каналов поставки комплектующих и, как следствие, возможный рост сроков поставки по конкретным моделям (больнее всего, на практике, PoE-коммутаторам и самым тяжелым маршрутизаторам — всей серии ME и топовым ESR).
Чуть ниже, но вполне конкурирующие с Элтексом — ООО «КЬЮТЕК», более известные в написании латиницей — QTECH. Спектр оборудования в некоторых направлениях даже шире, чем у Элтекса, но немалая часть его — это ODM иностранных брендов. Впрочем, некоторое оборудование локализовано достаточно для ТОРПа и в нем находится. Собственные линейки — например, QSW-3310 — по доступности близки к Элтексу, ОDМное оборудование может уходить со сроками в далекое и, что грустно, малопрогнозируемое будущее.
Еще чуть ниже уфимские НПП «Полигон». Набор производимого оборудования у них гораздо меньше, чем у предыдущих, и локализована из него только часть, но при этом обещают уверенную доступность линейки в разумные (единицы недель) сроки. Впрочем, поработать с ними в проектах мне за это время не удалось, поэтому познания исключительно теоретические.
«Российские» производители
В эту категорию я отношу производителей, по сути занимающихся перепродажей на российском рынке оборудования известных (или не очень) ОDМ.
И хочу уточнить — в этом нет ничего плохого, это вполне естественный путь на рынок сетевого оборудования, он позволяет инвестировать меньше на входе и сразу получать очень неплохие результаты, а затем такие компании часто развиваются в fabless и далее в полноценное производство. Но эта модель работы, очевидно, имеет дополнительные специфические риски — если для собственного производства достаточно завезти комплектующие, что можно сделать в крайнем случае буквально в чемодане (и это не преувеличение, были случаи), то ОDМ, отказавшийся работать с компанией, убьет поставки вдребезги и пополам.
В целом таких производителей огромное количество, но самый, наверное, популярный из них в РФ — это SNR с активно используемыми прежде всего небольшими операторами связи коммутаторами доступа/распределения. Под капотом в основном DCN.
Еще можно упомянуть B4COM, в части коммутаторов ЦОД развивающийся над решениями Edge-Core; Искра Телеком (на 100% внутри израильский Larch Telecom); Icon Industrial Engineering (промышленные коммутаторы); Симанитрон; Т-Ком (проект росатого с DLink внутри)… Десятки их.
Основной минус — в случае, когда для исправления проблемы нужно участие производителя (например, доработка прошивки) — затянуться это может надолго, а может и никогда не исправиться. Ну и, как я писал выше, изменения в санкционной политике могут ударить по таким производителям болезненно.
Из достоинств — потенциально неплохая функциональность и, поскольку это все еще российская компания, оборудование более-менее доступно для тестирования.
Китайцы
Правительство Китая отдало принятие решения о работе с Россией на откуп самим компаниям. И если Huawei, H3C и подобные достаточно популярные в мире бренды, опасаясь санкций, которые могут быть на них наложены за работу в РФ, приостановили официальные поставки, то компании «второго эшелона» радостно бросились в освободившуюся нишу.
Тут из вендоров можно назвать условные «три плюс два».
Во-первых, Maipu. Интересный вендор, особенно в части «тяжелых» маршрутизаторов и коммутаторов. Кроме всего прочего имеет в линейке оборудование «all-by-china», т.е. не имеющее в составе американских комплектующих и таким образом не попадающее под санкции. В России нет представительства, продают через дисти, по любому сложному вопросу всё уходит в Китай и там может замереть на недели. Но само оборудование интересное.
Во-вторых, Ruijie Networks (читается «Руиджи»). С ними немного сложнее. По каталогам у них тоже очень широкий спектр оборудования, однако если копнуть, в РФ можно привезти далеко не всё. Официальное представительство в России есть, но если к ним обращаться — рассказывают, что не работают в РФ, и, видимо от нервов, активно мигают левым глазом в сторону дистрибьютора, который, в свою очередь, говорит «заказывайте, привезем». Отдельно у них существует SMB-бренд Reyee (кто ж у них за нейминг-то отвечал?!), поставляемый в том же канале и обычно более доступный.
В-третьих, уже упомянутый выше как ODM DCN. Вендор Digital China Networks является небольшим ответвлением огромного китайского дистрибьютора электроники Digital China. Очень много, активно и широко работает в ODM и OEM, поэтому под чужим именем в России известен давно. В линейке много интересного, но привезти, опять же, можно не всё. В России есть мааааленькое официальное представительство, но поставки все равно выстраиваются через дисти. По отзывам вендор грешит тем, что заявленная в даташитах функциональность может отсутствовать в реальном оборудовании, но на практике пока не натыкались.
Один из немногих, DCN озаботился подготовкой инженеров партнеров и их сертификацией, поэтому я, например, ношу гордое звание DCN Certified Product Engineer (DCPE).
И теперь еще «плюс два». Выделены они потому, что являются представителями отдельного класса сетевых решений — вайтбоксов, они же disaggregation, они же open networking. Если кто-то не сталкивался ранее, основной смысл решения в том, что производитель оборудования дает вам железную коробку, сетевую операционную систему к которой вы покупаете у производителя программного обеспечения, в соответствии с вашими задачами (или пытаетесь взлететь с опенсорсным SONiC). У этой модели работы есть и плюсы, и минусы, она много обсуждалась в том числе и на хабре, поэтому саму идею трогать не буду, расскажу про вендоров.
Во-первых, здесь продолжает быть доступен Edge-Core. Несмотря на то, что они тайваньская компания и в целом Тайвань присоединился к санкциям, Edge-Core успешно везут в РФ с вполне приемлемыми сроками поставки. Спектр широкий, кроме вайтбоксов есть и классические коммутаторы доступа-распределения, обкатаны в мире давно и успешно. В России есть один героический Антон Соколов, вопросами поставок не занимается, всё через дисти.
Во-вторых, интересной альтернативой является Asterfusion. Честные китайцы, спектр решений поуже, чем у Edge-Core, но есть интересные коробки вплоть до 64×100Gbps 2U или 32×400Gbps 4U, и для построения фабрики или зеркалирования трафика вполне есть на что посмотреть. В России представительства нет, но дистрибьюторы есть. Везутся достаточно уверенно.
У всех китайцев большая печаль с взятием оборудования в тест — какие-то дистрибьюторы имеют какие-то наборы демо-оборудования, но их мало и на них очередь. Удаленные стенды в Китае не сильно облегчают картину. Поэтому крупные заказчики иногда просто покупают себе оборудование, чтобы организовать собственный стенд — так проще, чем дожидаться милостей от природы вендора. Та же печаль и с документацией, и с ответами на какие-то технические вопросы — часто в ответ на запрос даташита или конфиггайда слышишь «переводится с китайского, ждите».
А кто не Гэндальф?!
Да и в целом китайцы по большей части не были готовы к тому валу запросов, который обрушился на них из России в этом году, и вот где-то только сейчас добрались до нормальной работы с дистрибьюторами и партнерами.
Все остальные
Если вы прямо ну никак не готовы отказываться от привычных вам производителей — у вас есть возможность не отказываться. Оборудование любого вендора — Cisco, Juniper, Huawei, H3C и т.д. — сейчас в Россию в принципе привозится. Но:
цены выросли существенно (поставка под GPL+ на некоторые позиции вполне уже в порядке вещей);
про лицензируемую функциональность, которую нельзя активировать через Cisco PLR и аналоги у других вендоров, чаще всего можно забыть;
сервиса от вендора, очевидно, вы также не получите. Часто этот момент закрывают проксированием его через сервисных партнеров, такая схема есть и она работает, но нужно понимать, что это гораздо медленнее, не по всем моментам возможно и недешево (имитацию RMA, например, для вас делают через закупку дополнительного оборудования на сервисный склад и вы за это платите);
сроки поставки в этих схемах весьма велики. Так что здесь необходимо тщательно взвесить все «за» и «против» перед принятием окончательного решения. Как, впрочем, и всегда.
Распределение по сегментам
В этой части я опишу свои, безусловно субъективные рекомендации вендоров, на решения которых имеет смысл смотреть в первую очередь. Разумеется, это не касается раздела «Все остальные» — как строить решения на привычном оборудовании Cisco/Huawei/etc. вы знаете и так.
Кампусный доступ и распределение
Здесь в целом всё просто — в этом сегменте чаще всего решаются базовые задачи, определяемые по большей части функциональностью чипсета, нежели изысками производителей. Поэтому любой из производителей скорее всего закроет ваши запросы, и я бы выбирал по тому, оборудование кого из них вы используете в других сегментах вашей сети.
Всё это, конечно, не касается случая, если вы хотите построить SD Access. Но в этом случае мой совет — не надо. Если, конечно, у вас нет бюджета на напильник размером с Empire State Building и времени на его применение.
Кампусное ядро и фабрика
Абсолютно обратная ситуация. Решения от российских производителей не могут пока соответствовать современной фабрике: Элтекс обещает модели MES5410–48 и MES5500–32, но пока они недоступны, а когда будут — функциональность EVPN/VXLAN честно обещают дорабатывать очень постепенно; у Qtech есть QSW-6900, но это «не совсем их» коммутаторы и к функциональности там тоже есть вопросы.
На китайцах что-то строить можно, но по нашему опыту после привычной Cisco решение приходится существенно перерабатывать. Напоминаю, о чем говорил ранее — выставляйте к решению функциональные требования, а не наличие конкретных протоколов и поддержку технологий. Тогда скорее всего задачу удастся решить. Из конкретных вендоров я бы рекомендовал смотреть прежде всего на Maipu и в меньшей степени на DCN.
Как альтернативу здесь вполне можно рассматривать whitebox-решения на Edge-Core/Asterfusion с ПО от Pica8 или IP Infusion. С определенным уровнем фантазии ими можно даже заменять решения Cisco ACI. В эту же сторону смотрит решение B4COM, хотя, конечно, и послабее. Опять же, обязательно тестировать и подстраивать проект под возможности оборудования, а не наоборот.
Беспроводные решения
Конечно, среди альтернатив не существует ничего достаточно зрелого и могущего конкурировать с решениями Cisco/Huawei по функциональности. Но большая часть задач может быть решена — даже у российских производителей есть и точки доступа (впрочем, и у Элтекса, и у Qtech пока недоступны точки WiFi6, но есть WiFi5), и контроллеры с некоторым набором возможностей.
У китайцев при этом решения существуют дольше и более отлажены, поэтому прежде всего я бы рекомендовал посмотреть в сторону Ruijie Networks, затем DCN, у Maipu же, пожалуй, лучше не надо.
Маршрутизаторы
Из российских здесь король — Элтекс, их серия ME очень неплоха для тяжелых задач, а ESR — для организации филиальной сети. В ESR даже есть полноценный DMVPN, что для российских вендоров редкость. По очень упрощенной аналогии ESR — это аналог Cisco ASR1000, а ME — аналог Cisco ASR9000. Надо, кстати, отметить, что модели внутри каждой из серий отличаются по производительности и набору интерфейсов, но функциональность у них одинакова, поэтому экспериментировать можно даже с какими-нибудь базовыми и дешевыми ESR-10.
У Qtech все сильно хуже, но есть серия QSR, несколько напоминающая Cisco ISR (впрочем, без голосовых возможностей).
Из китайцев прежде всего имеет смысл смотреть на Maipu, если вам нужны тяжелые маршрутизаторы. Для филиалов же и у Ruijie есть на что посмотреть.
Опять же, с программно определяемыми решениями (тот же SD WAN) пока у альтернативных вендоров плохо, близкое к никак, и я бы не рекомендовал пока смотреть в эту сторону. Эти решения даже у производителей первого эшелона требовали постоянного взаимодействия с поддержкой, а уж в текущих условиях — вспоминаем про напильник размером с Empire State Building.
Промышленные коммутаторы
Тут всё неплохо. Проприетарных протоколов, типа Cisco REP, вы, конечно, ни в российском, ни в китайском оборудовании не найдёте, но заменив их на стандартизованные (в этом случае на ERPS), вполне можно строить решения схожей функциональности. Производители, в том числе и российские, реально тестируют свои промышленные решения на соответствие специальным условиям окружающей среды, декларируемым в даташитах, поэтому в этой части им вполне можно доверять. А поскольку требуемая функциональность в этих решениях чаще всего близка к обычному доступу — её очень сложно испортить.
Так что совет аналогичен кампусному доступу — выбирайте производителя, чьи решения у вас уже используются в других сегментах ИТ-инфраструктуры.
Чего нет
Какие решения сейчас смотреть не стоит: прежде всего всё с облачным управлением — какие-нибудь Meraki, Mist и их аналоги других вендоров, по очевидным причинам. Приблизительно по тем же причинам пока не имеет смысла рассматривать software-defined решения класса (в терминах Cisco) SD Access, SD-WAN, ACI — они либо принадлежат недружественным вендорам, либо еще крайне сырые (хотя они и у первой категории сырые и требуют поддержки вендора).
Часто для построения сложного решения приходится отказываться от моновендорного подхода и собирать решение из доступных компонентов от разных производителей.
Не стоит ожидать от упомянутых вендоров поддержки уровня Cisco — с обучением пока всё плохо (за исключением, пожалуй, Элтекса, который активно развивает это направление, и в меньшей степени DCN), саппорт медленный, RMA либо отсутствует совсем, либо специфически реализован, и что самое грустное — очень большой дефицит документации. Это всё новые условия, в которых нам придётся какое-то время жить.
Выводы
В целом хочу отметить, что если вы правильно подходите к задаче и выставляете функциональные требования к решению без привязки к технологиям и протоколам, используемым для удовлетворения этих требований, в абсолютном большинстве случаев задачу можно решить.
Да, вероятно, придется откатываться на legacy-технологии, и эксплуатировать это решение будет сложнее, чем те, которые были доступны еще в 2021 году. И здесь, кстати, начинает играть существенную роль выстраивание внутренних процессов эксплуатации, автоматизация (тот же ansible неплохо подойдет), нетопсинг и вот это всё.
Что же касается вендоров — российские решения неплохи в некоторых областях, но полностью весь спектр задач ими закрыть пока затруднительно. В этом случае на помощь приходят китайские компании, а в особо страшных ситуациях, тщательно проанализировав риски, можно построить решение и на привычной Cisco.
Главное — как и в любой другой ситуации, включить голову и убедиться, что модель мира, построенная в вашей голове, соответствует окружающей реальности.
Если что-то непонятно, задавайте вопросы в комментариях, традиционно отвечу.
Минутка саморекламы
Так сложилось, что в настоящее время я нахожусь в активном поиске работы, поэтому если у вас есть боль в построении процессов проектирования и/или эксплуатации решений ИТ-инфраструктуры или внутренней разработки ПО — значит, скорее всего, у вас есть потребность в таком умном и красивом мне. Найдите меня в любом из контактов по ссылке, всегда готов к диалогу.
