Пашырэнне вялікіх гарадоў і адукацыя агламерацый - адзін з важных трэндаў сацыяльнага развіцця сёння. Адна толькі Масква ў 2019 годзе павінна пашырыцца на 4 млн квадратных метраў жылля (і гэта не лічачы 15 населеных пунктаў, якія далучацца да 2020 года). На ўсёй гэтай вялізнай тэрыторыі аператарам сувязі давядзецца даваць карыстальнікам доступ да інтэрнэту. Гэта могуць быць як гарадскія мікрараёны са шчыльнай шматпавярховай забудовай, так і больш «разраджаныя» катэджныя пасёлкі. Для гэтых выпадкаў патрабаванні да абсталявання некалькі адрозніваюцца. Мы прааналізавалі кожны з гэтых сцэнарыяў і стварылі ўніверсальную мадэль аптычнага камутатара – T2600G-28SQ. У гэтым пасце мы падрабязна разбяром магчымасці прылады, якія будуць цікавыя аператарам сувязі па ўсёй Расіі.
Месца ў сетцы
Камутатар T2600G-28SQ прызначаны як для працы на ўзроўні доступу ў сетцы, так і для агрэгавання лінкаў ад іншых камутатараў ўзроўню доступу. Гэта камутатар другога ўзроўня, які выконвае камутацыю і статычную маршрутызацыю. Калі ў аператара зроблена коммутируемой і агрэгацыя, і доступ (маршрутызацыя толькі ў ядры сеткі), T2600G-28SQ упішацца на любы з узроўняў. У выпадку дынамічна маршрутызуемай агрэгацыі ўсё-ткі трэба ўлічваць некаторыя абмежаванні па сцэнарах выкарыстання.
Мадэль T2600G-28SQ - паўнавартасны актыўны Ethernet-камутатар без дадатковых абмежаванняў, якія з'яўляюцца пры выкарыстанні тэхналогій xPON або падобных. Напрыклад, без пагроз рэзкага падзення хуткасці з павелічэннем колькасці карыстачоў або дрэннай сумяшчальнасці паміж абсталяваннем розных вендараў і прашыўкамі. Да інтэрфейсаў прылады могуць падлучацца як канчатковыя карыстачы, так і ніжэйлеглыя камутатары доступу з аптычнымі аплінкамі, напрыклад, мадэль T2600G-28TS. На схеме ніжэй прадстаўлены найболей распаўсюджаныя прыклады такіх падлучэнняў.
Для доступу да сеткі канчатковага карыстальніка можа выкарыстоўвацца аптычнае валакно, альбо кручаная пара. На баку абанента аптычнае валакно можа тэрмінавацца як пры дапамозе канвертара асяроддзя (медыяканвертар), напрыклад, TP-Link MC220L; так і з выкарыстаннем аптычнага інтэрфейсу ў SOHO-маршрутызатары.
Для падлучэння блізкаразмешчанага кліента можна выкарыстоўваць чатыры RJ-45 порта, якія працуюць на хуткасцях 10/100/1000 Мбіт / с. Калі ж па нейкім чынніку гэтага апынецца нядосыць, аператар можа "канвертаваць" аптычныя інтэрфейсы камутатара ў медныя. Зрабіць гэта можна з дапамогай спецыялізаваных "медных" SFP з раздымам RJ-45. Але такое рашэньне нельга назваць тыповым.
Некалькі прыкладаў з практыкі
Для паўнаты карціны прывядзем некалькі прыкладаў выкарыстання камутатараў мадэлі T2600G-28SQ.
Падмаскоўны правайдэр , які акрамя інтэрнэту прадастаўляе паслугі тэлефаніі і кабельнага ТБ, выкарыстоўвае T2600G-28SQ на ўзроўні доступу пры пабудове сетак у прыватным сектары (катэджы і таунхаусы). З боку кліента падлучэнне вырабляецца да маршрутызатараў з SFP-портам, а таксама медыяканвертарам. На дадзены момант SOHO-маршрутызатары з SFP-портам не вырабляюцца ў нас серыйна, але мы, вядома ж, думаем пра гэта.
Аператар сувязі з Паўлава-Пасадскага раёна ўжывае камутатары T2600G-28SQ у якасці "невялікай агрэгацыі", выкарыстоўваючы на доступе камутатары мадэляў T2600G-28TS і T2500G-10TS.
Група кампаній падаюць на паўднёвым усходзе Маскоўскай вобласці (Каломна, Лухавіцы, Зарайск, Сярэбраныя сажалкі, Азёры) доступ у інтэрнэт, ТБ, тэлефанію, сістэмы відэаназірання. Прыкладная тапалогія тут такая ж, як і ў МКС: T2600G-28SQ на ўзроўні агрэгацыі, а T2600G-28TS і T2500G-10TS на ўзроўні доступу.
правайдэр з Красназнаменска дае доступ у інтэрнэт з дапамогай сеткі з глыбокім пранікненнем оптыкі. У яе аснове таксама ляжаць T2600G-28SQ.
У наступных частках мы сцісла апішам некаторыя магчымасці мадэлі T2600G-28SQ. Каб не раздзімаць матэрыял, шэраг опцый мы пакінулі за бортам: QinQ (VLAN VPN), маршрутызацыю, QoS і інш. Думаем, што можна будзе вярнуцца да іх у адным з наступных пастоў.
Магчымасці камутатара
Рэзерваванне - STP
STP - Spanning Tree Protocol. Пратакол злучнага (якое пакрывае) дрэва вядомы ўжо вельмі даўно, дзякуй за гэта паважанай Радье Перлман. У сучасных сетках адміністратары імкнуцца ўсяляк пазбегнуць выкарыстанне дадзенага пратаколу. Так, STP не пазбаўлены недахопаў. І вельмі добра, калі ёсьць яму альтэрнатыва. Аднак, як гэта часта бывае, альтэрнатыва гэтаму пратаколу будзе моцна залежаць ад вендара. Таму да гэтага часу Spanning Tree Protocol застаецца ці ледзь не адзіным рашэннем, якое падтрымліваецца практычна ўсімі вытворцамі, а таксама вядома ўсім сеткавым адміністратарам.
Камутатар TP-Link T2600G-28SQ падтрымлівае тры версіі STP: класічны STP (IEEE 802.1D), RSTP (802.1W) і MSTP (802.1S).
З гэтых варыянтаў для большасці невялікіх інтэрнэт-правайдэраў у Расіі цалкам падыходзіць звычайны RSTP, які мае перад класічнай версіяй адна бясспрэчная перавага – значна меншы час збежнасці.
Найбольш гнуткім на сённяшні дзень з'яўляецца пратакол MSTP, які падтрымлівае віртуальныя сеткі (VLAN) і дапускае некалькі розных дрэў, што дазваляе задзейнічаць усе даступныя рэзервовыя шляхі. Адміністратар стварае некалькі розных экзэмпляраў дрэва (да васьмі), кожны з якіх абслугоўвае пэўны набор віртуальных сетак.
Тонкасці MSTPПачаткоўцам адміністратарам пры выкарыстанні MSTP трэба быць вельмі ўважлівымі. Гэта звязана з тым, што паводзіны пратакола ўнутры рэгіёна і паміж рэгіёнамі адрозніваюцца. Таму пры канфігураванні камутатараў варта сачыць за тым, каб заставацца ў рамках аднаго рэгіёна.
Што ж такое гэты праславуты рэгіён? Рэгіёнам у тэрмінах MSTP завецца набор злучаных сябар з сябрам камутатараў, у якіх супадаюць наступныя характарыстыкі: імя рэгіёна, нумар рэвізіі і размеркаванне віртуальных сетак (VLAN) паміж асобнікамі пратаколу (instance).
Вядома ж, пратакол Spanning Tree (любой версіі) дазваляе не толькі змагацца з завесамі, якія ўзнікаюць пры падключэнні рэзервовых каналаў, але таксама абараніцца ад памылак кабельнай камутацыі, калі інжынер спецыяльна або ненаўмысна злучае няправільныя парты, ствараючы сваімі дзеяннямі пятлю.
Больш дасведчаныя сеткавыя адміністратары аддаюць перавагу выкарыстоўваць разнастайныя дадатковыя опцыі для абароны пратаколу STP ад нападаў ці складаных аварыйных сітуацый. Мадэль T2600G-28SQ прапануе цэлы набор такіх магчымасцяў: Loop Protect і Root Protect, TC Guard, BPDU Protect і BPDU Filter.
Правільнае выкарыстанне пералічаных вышэй опцый сумесна з іншымі падтрымоўванымі механізмамі абароны дазволіць стабілізаваць лакальную сетку і зрабіць яе больш прадказальнай.
Рэзерваванне - LAG
LAG - Link Aggregation Group. Гэта тэхналогія, якая дазваляе аб'яднаць некалькі фізічных каналаў у адзін лагічны. Усе астатнія пратаколы перастаюць выкарыстоўваць фізічныя каналы, якія ўваходзяць у LAG, па асобнасці і пачынаюць "бачыць" адзін лагічны інтэрфейс. Прыкладам такога пратакола з'яўляецца STP.
Балансіроўка карыстацкага трафіку паміж фізічнымі каналамі ўнутры лагічнага ажыццяўляецца на падставе хэш-сумы. Для яе разліку могуць выкарыстоўвацца MAC-адрасы адпраўніка, атрымальніка, або іх пара; а таксама IP-адрасы адпраўніка, атрымальніка, альбо іх пара. Інфармацыя пратаколаў чацвёртага ўзроўню (парты TCP/UDP) не ўлічваецца.
Камутатар T2600G-28SQ падтрымлівае статычныя і дынамічныя LAG.
Для ўзгаднення параметраў працы дынамічнай групы выкарыстоўваецца пратакол LACP.
Бяспека - спісы доступу (ACL)
Наш камутатар T2600G-28SQ дазваляе фільтраваць карыстацкі трафік з дапамогай спісаў доступу (ACL - Access Control List).
Падтрымліваюцца спісы доступу могуць быць некалькіх розных тыпаў: MAC і IP (IPv4/IPv6), камбінаваныя, а таксама для выканання кантэнтнага фільтравання. Колькасць падтрымоўваных спісаў доступу кожнага тыпу залежыць ад выкарыстоўванага ў дадзены момант шаблону SDM, які мы апісалі ў іншай частцы.
Аператар можа выкарыстоўваць дадзеную опцыю для блакавання рознага непажаданага трафіку ў сетцы. Прыкладам такога трафіку могуць з'яўляцца пакеты IPv6 (з дапамогай поля EtherType), калі адпаведная паслуга не прадастаўляецца; альбо блакаваць SMB па порце 445. У сетцы са статычным адрасаваннем DHCP/BOOTP трафік не патрабуецца, таму з дапамогай ACL адміністратар можа адфільтраваць UDP-датаграмы па портах 67 і 68. Забараніць лакальны IPoE трафік таксама можна з дапамогай ACL. Такая блакіроўка можа быць запатрабаванай у сетках аператараў, якія прымяняюць PPPoE.
Працэс выкарыстанне спісаў доступу вельмі просты. Пасля стварэння самога спісу, неабходна дадаць у яго патрэбную колькасць запісаў, тып якіх напроста залежыць ад наладжвальнага ліста.
Настройка спісаў доступу
Варта заўважыць, што спісы доступу могуць выконваць не толькі звычайныя аперацыі па дазволе або забароне праходжання трафіку, але таксама займацца яго перанакіраваннем, люстраваннем, а таксама выконваць яго перамаркіроўку ці абмяжоўваць па хуткасці.
Пасля таго, як усе неабходныя ACL створаны, адміністратар можа выканаць іх усталёўку. Дапускаецца прымацаванне спісу доступу як да непасрэднага фізічнага порта, так і да пэўнай віртуальнай сеткі.
Бяспека - колькасць MAC-адрасоў
Часам у аператараў узнікае неабходнасць абмежаваць колькасць MAC-адрасоў, якія камутатар вывучыць на пэўным порце. Спісы доступу дазваляюць дамагчыся паказанага эфекту, але пры гэтым патрабуюць відавочнага ўказання саміх MAC-адрасоў. Калі ж патрабуецца толькі абмежаваць колькасць канальных адрасоў, але не паказваць іх у відавочным выглядзе, - на дапамогу прыйдзе port security.
Такое абмежаванне можа запатрабавацца, напрыклад, для абароны ад падлучэння цэлай лакальнай сеткі да аднаго інтэрфейсу камутатара правайдэра. Тут жа варта абмовіцца, што гаворка ідзе аб камутуемым падключэнні, таму што пры падключэнні з дапамогай маршрутызатара на баку кліента T2600G-28SQ вывучыць толькі адзін адрас - гэта MAC, які належыць WAN-порту кліенцкага роўтара.
Існуе цэлы клас нападаў, накіраваных супраць табліцы камутацыі. Гэта можа быць і перапаўненне табліцы, і MAC-spoofing. Опцыя port security дазволіць абараніцца ад перапаўнення маставой табліцы і ад нападаў, мэтай якіх з'яўляецца наўмыснае перанавучанне камутатара, атручванне яго маставой табліцы.
Нельга не згадаць і аб проста які збаіць кліенцкім абсталяванні. Нярэдкія сітуацыі, калі няправільна якая функцыянуе сеткавая карта кампутара ці маршрутызатар ствараюць струмень кадраў з зусім адвольнымі адрасамі адпраўніка і атрымальніка. Такі струмень можа з лёгкасцю знясіліць CAM.
Яшчэ адным спосабам абмежавання колькасці выкарыстоўваных запісаў у маставой табліцы служыць прыладу MAC VLAN Security, з дапамогай якога адміністратар можа паказаць максімальную колькасць запісаў для вызначанай віртуальнай сеткі.
Акрамя кіравання дынамічнымі запісамі ў табліцы камутацыі адміністратар можа таксама ствараць статычныя.
Максімальна маставая табліца мадэлі T2600G-28SQ дазваляе змясціць да 16К запісаў.
Яшчэ адной опцыяй, прызначанай для фільтравання перадачы карыстацкага трафіку, з'яўляецца функцыя Port Isolation, якая дазваляе ў відавочным выглядзе паказаць, у якім кірунку дазволена перасыланне.
Бяспека - IMPB
На прасторах нашай неабсяжнай радзімы падыход аператараў сувязі да пытанняў забеспячэння бяспекі ў сетцы адрозніваецца ад поўнага ігнаравання да максімальна магчымага прымянення ўсіх падтрымліваемых абсталяваннем опцый.
Функцыі IPv4 IMPB (IP-MAC-Port Binding) і IPv6 IMPB дазваляюць абараніцца ад цэлага спектру нападаў, звязаных з падменай IP і MAC-адрасоў з боку абанентаў шляхам прывязкі IP і MAC-адрасоў кліенцкага абсталявання да інтэрфейсу камутатара правайдэра. Такая прывязка можа ажыццяўляцца ўручную, альбо з выкарыстаннем функцый ARP Scanning і DHCP Snooping.
Асноўныя наладкі IMPB
Дзеля справядлівасці варта сказаць, што для абароны пратакола DHCP можа прымяняцца спецыяльная функцыя – DHCP Filter.
З дапамогай дадзенай функцыі сеткавы адміністратар можа ўручную паказаць тыя інтэрфейсы, да якіх падлучаныя сапраўдныя DHCP-сервера. Такім чынам падробленыя серверы DHCP не змогуць уклінавацца ў працэс узгаднення IP-параметраў.
Бяспека - DoS Defend
Разгляданая мадэль дазваляе абараняць карыстачоў ад некалькіх найболей вядомых і распаўсюджаных раней DoS-нападаў.
Вялікая частка з пералічаных нападаў ужо зусім не страшная прыладам з сучаснымі аперацыйнымі сістэмамі, аднак да гэтага часу ў нашых сетках могуць сустракацца і такія, для якіх апошняе абнаўленне праграмнага забеспячэння было праведзена шмат гадоў таму.
Падтрымка DHCP
Камутатар TP-Link T2600G-28SQ можа выступаць як у якасці DHCP-сервера ці рэлея, так і выконваць разнастайнае фільтраванне DHCP-паведамленняў, калі ў якасці сервера выступае іншая прылада.
Самы просты спосаб падаць карыстачам неабходныя для працы IP-параметры - задзейнічаць убудаваны ў камутатар DHCP-сервер. Асноўныя параметры з яго дапамогай ужо можна аддаць абанентам.
Мы падлучылі наш SOHO-маршрутызатар Archer C6 да аднаго з інтэрфейсаў камутатара і пераканаліся ў паспяховасці атрымання адрасу кліенцкай прыладай.
Гэта выглядае так
Убудаваны ў камутатар DHCP-сервер – мабыць, не самае якое маштабуецца і гнуткае рашэнне: няма падтрымкі нестандартных опцый, адсутнічае сувязь з IPAM. Калі ж аператару патрабуецца больш кантролю над працэсам размеркавання IP-адрасоў, то будзе скарыстаны які-небудзь вылучаны DHCP-сервер.
T2600G-28SQ дазваляе для кожнай карыстацкай падсеткі паказаць асобны выдзелены DHCP-сервер, на які будуць перанакіроўвацца паведамленні абмяркоўваецца пратаколу. Выбар падсеткі адбываецца шляхам указання адпаведнага L3-інтэрфейсу: VLAN (SVI), routed port або port-channel.
Каб праверыць функцыянаванне рэлея мы сканфігуравалі асобны маршрутызатар іншага вендара для працы ў якасці DHCP-сервера, налады якога прадстаўлены ніжэй.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Кліенцкі маршрутызатар ізноў паспяхова атрымаў IP-адрас.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticПад спойлерам - змесціва перахопленага пакета паміж камутатарам і вылучаным DHCP-серверам.
Змесціва пакета
Нельга не адзначыць наяўнасць падтрымкі Option 82 са боку камутатара. Пры яе актывацыі камутатар будзе дадаваць інфармацыю аб карыстацкім інтэрфейсе, з якога было атрымана паведамленне DHCP Discover. Акрамя таго, мадэль T2600G-28SQ дазваляе наладзіць палітыку апрацоўкі даданай інфармацыі пры ўстаўцы опцыі №82. Наяўнасць падтрымкі названай опцыі можа спатрэбіцца ў сітуацыі, калі абаненту неабходна выдаваць адзін і той жа IP-адрас незалежна ад таго, які ідэнтыфікатар кліент (client-id) аб сабе паведамляе.
На малюнку ніжэй прадстаўлена паведамленне DHCP Discover (перададзенае рэлеем) з дабаўленай опцыяй №82.
Паведамленне з опцыяй №82
Вядома ж, кіраваць опцыяй №82 можна і без налады паўнавартаснага DHCP-рэлея, якія адпавядаюць налады прадстаўлены ў падпункце «DHCP L2 Relay».
А зараз зменім налады DHCP-сервера так, каб прадэманстраваць працу опцыі №82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticВось прыкладна так
Функцыя DHCP interface relay будзе карысная ў сітуацыі, калі на камутатары не толькі прысутнічае L3-інтэрфейс, падлучаны да вызначанай сеткі, але яшчэ і гэты інтэрфейс валодае IP-адрасам. У выпадку ж адсутнасці адраса на такім інтэрфейсе на дапамогу прыйдзе функцыя DHCP VLAN relay. Інфармацыя аб падсетцы ў гэтым выпадку бярэцца з інтэрфейсу па змаўчанні, гэта значыць адрасныя прасторы ў некалькіх віртуальных сетках будуць аднолькавымі (перакрывацца).
Часцяком аператарам патрабуецца таксама засцерагчы абанентаў ад памылковага ці зламыснага ўключэння DHCP-сервера на кліенцкім абсталяванні. Абмеркаванне гэтай функцыянальнасці мы вырашылі вынесці ў адзін з раздзелаў, прысвечаных пытанням бяспекі.
IEEE 802.1X
Адным са спосабаў аўтэнтыфікацыі карыстальнікаў у сетцы з'яўляецца выкарыстанне пратакола IEEE 802.1X. Папулярнасць гэтага пратакола ў сетках аператараў сувязі ў Расіі ўжо ідзе на спад, ён усё яшчэ выкарыстоўваецца ў асноўным у лакальных сетках буйных кампаній для аўтэнтыфікацыі ўнутраных карыстальнікаў арганізацыі. У камутатары T2600G-28SQ ёсць падтрымка 802.1X, таму пры неабходнасці правайдэр можа з лёгкасцю яго задзейнічаць.
Для працы пратаколу IEEE 802.1X неабходна тры ўдзельніка: кліенцкае абсталяванне (supplicant), камутатар доступу правайдэра (authenticator) і сервера аўтэнтыфікацыі (звычайна RADIUS-сервера).
Базавая канфігурацыя з боку аператара лімітава простая. Патрабуецца толькі паказаць IP-адрас выкарыстоўванага RADIUS-сервера, на якім будзе захоўвацца карыстацкая база дадзеных, а таксама абраць інтэрфейсы, для якіх неабходна аўтэнтыфікацыя.
Базавая настройка 802.1X
З кліенцкага боку таксама патрабуецца нязначная настройка. Усе сучасныя аперацыйныя сістэмы ўжо змяшчаюць неабходнае праграмнае забеспячэнне. Але пры неабходнасці можна ўсталяваць і выкарыстоўваць TP-Link 802.1x Client - дадатак, якое дазваляе вырабляць аўтэнтыфікацыю кліента ў сетцы.
Пры падлучэнні карыстацкага ПК напрамую да сеткі правайдэра, налады аўтэнтыфікацыі неабходна актываваць для той сеткавай карты, якая выкарыстоўваецца для падлучэння.
Аднак у наш час да сеткі аператара звычайна падлучаецца не кампутар карыстача напроста, а нейкі SOHO-маршрутызатар, які забяспечвае функцыянаванне лакальнай сеткі абанента (як праваднога, так і бесправаднога сегментаў). У гэтым выпадку ўсе налады пратаколу 802.1X павінны выконвацца непасрэдна на маршрутызатары.
Нам здаецца, што ў аператарскіх сетках такі спосаб аўтэнтыфікацыі незаслужана забыты. Так, цвёрдая прывязка абанента да порта камутатара, магчыма, будзе прасцейшым рашэннем з пункта гледжання налад карыстацкага абсталявання. Але калі выкарыстанне лагіна і пароля неабходна, то 802.1X будзе не гэтак цяжкавагавым пратаколам у параўнанні з выкарыстоўванымі падлучэннямі на базе тунэляў PPTP/L2TP/PPPoE.
PPPoE ID Insertion
Многія карыстальнікі не толькі ў нашай краіне, але і ва ўсім свеце да гэтага часу аддаюць перавагу выкарыстоўваць лімітава простыя паролі. Ды і выпадкі крадзяжу уліковых дадзеных, нажаль, не з'яўляюцца рэдкасцю. Калі ў сваёй сетцы аператар выкарыстоўвае пратакол PPPoE для аўтэнтыфікацыі карыстальнікаў, то камутатар TP-Link T2600G-28SQ дапаможа вырашыць праблему, звязаную з уцечкай уліковых дадзеных. Дасягаецца гэта за кошт дадання спецыяльнай пазнакі да паведамлення PPPoE Active Discovery. Такім чынам правайдэр можа аўтэнтыфікаваць абанента не толькі па лагіне і паролі, але яшчэ і дадатковым дадзеным. Да такіх дадатковых дадзеных ставяцца MAC-адрас кліенцкай прылады, а таксама інтэрфейс камутатара, да якога яно падлучанае.
Некаторыя аператары ў прынцыпе жадаюць забараніць абаненту (пара лагін і пароль) магчымасць перамяшчацца па сетцы. Функцыя PPPoE ID Insertion дапаможа і ў гэтым выпадку таксама.
IGMP
Пратакол IGMP (Internet Group Management Protocol) існуе ўжо не адно дзесяцігоддзе. Папулярнасць яго цалкам зразумелая і лёгка вытлумачальная. Але ў IGMP-ўзаемадзеянні ўдзельнічаюць два бакі: ПК карыстальніка (ці любая іншая прылада, напрыклад, STB) і IP-маршрутызатар, які абслугоўвае пэўны сегмент сеткі. Камутатары ніяк не ўдзельнічаюць у гэтым абмене. Праўда, апошняе сцвярджэнне не зусім дакладнае. Або ў сучасных сетках зусім не дакладна. Падтрымка пратаколу IGMP са боку камутатараў неабходна для таго, каб аптымізаваць перасылку групавога трафіку. Праслухоўваючы карыстацкі трафік камутатар выяўляе ў ім паведамленні IGMP Report, з дапамогай якіх вызначае парты для перасылання групавога трафіку. Апісаная опцыя называецца IGMP Snooping.
Падтрымка пратакола IGMP можа выкарыстоўвацца не толькі для аптымізацыі трафіку як такога, але і для вызначэння абанентаў, якім можа прадастаўляцца пэўная паслуга, напрыклад, IPTV. Дасягнуць жаданай мэты можна як з дапамогай налады параметраў фільтрацыі ўручную, так і шляхам выкарыстання аўтэнтыфікацыі.
Падтрымка групавога трафіку на камутатарах TP-Link рэалізавана дастаткова гнутка. Так, напрыклад, усе параметры могуць быць зададзены для кожнай віртуальнай сеткі паасобку.
Калі да аднаго інтэрфейсу маршрутызатара падключана некалькі падсетак, у якіх размешчаны атрымальнікі групавога трафіку, то гэты маршрутызатар будзе змушаны адправіць некалькі дзід пакетаў праз гэты інтэрфейс (па адным для кожнай віртуальнай сеткі).
Аптымізаваць працэдуру перасылкі групавога трафіку ў дадзеным выпадку можна з дапамогай тэхналогіі MVR - Multicast VLAN Registration.
Сутнасць рашэння ў тым, што ствараецца адна віртуальная сетка, якая аб'ядноўвае ўсіх атрымальнікаў. Аднак гэтая віртуальная сетка выкарыстоўваецца толькі для групавога трафіку. Такі падыход дазваляе маршрутызатару адпраўляць толькі адну копію групавога трафіку праз інтэрфейс.
DDM, OAM і DLDP
DDM - Digital Diagnostic Monitoring. Падчас эксплуатацый аптычных модуляў часта бывае неабходна сачыць за станам самага модуля, а таксама аптычнага канала, да якога ён падлучаны. Справіцца з гэтай задачай дапаможа функцыя DDM. З яе дапамогай інжынеры аператара змогуць адсочваць тэмпературу кожнага які падтрымлівае дадзеную функцыянальнасць модуля, напруга на ім і ток, а таксама магутнасці які адпраўляецца і што прымаецца аптычнага сігналаў.
Устаноўка парогавых узроўняў для апісаных раней параметраў дасць магчымасць генераваць падзею ў выпадку іх выхаду за дапушчальны дыяпазон.
Настройка парогаў спрацоўвання DDM
Натуральна, адміністратар можа прагледзець бягучыя значэнні паказаных параметраў.
Камутатар TP-Link T2600G-28SQ валодае актыўнай сістэмай паветранага астуджэння. Больш за тое, мы ні разу не сутыкаліся з перагрэвам SFP-модуляў у нашых камутатарах, звязаных са шчыльнасцю партоў. Аднак калі чыста ў тэорыі дапусціць такую магчымасць (напрыклад, з-за якой-небудзь праблемы ўсярэдзіне SFP-модуля), то з дапамогай DDM адміністратар будзе неадкладна абвешчаны аб патэнцыйна небяспечнай сітуацыі. Небяспека тут, відавочна, не для самога камутатара, а для дыёда/лазера ўнутры SFP, бо з ростам яго тэмпературы можа адбывацца дэградацыя магутнасці выпраменьванага аптычнага сігналу, што прывядзе да зніжэння аптычнага бюджэту.
Тутака ж варта заўважыць, што камутатары TP-Link не маюць «функцыі» vendor lock, гэта значыць падтрымліваюцца любыя сумяшчальныя SFP-модулі, што, вядома ж, будзе вельмі зручна для сеткавых адміністратараў.
OAM - Operation, Administration, and Maintenance (IEEE 802.3ah). OAM - пратакол другога ўзроўню мадэлі OSI, прызначаны для маніторынгу і пошуку няспраўнасцяў у сетках Ethernet. З дапамогай дадзенага пратаколу камутатар можа адсочваць прадукцыйнасць вызначанага злучэння і памылкі, генераваць абвесткі для таго, каб сеткавы адміністратар мог больш эфектыўна кіраваць сеткай.
Базавая настройка OAM
Дэталі функцыянавання OAMДзве суседнія прылады, якія падтрымліваюць OAM, вырабляюць перыядычны абмен паведамленнямі шляхам адпраўкі OAMPDU, якія бываюць трох тыпаў: Informational, Event Notification і Loopback Control. З дапамогай інфармацыйных OAMPDU суседнія камутатары адпраўляюць адзін аднаму статыстычную інфармацыю, а таксама дадзеныя, якія вызначаюцца адміністратарам. Таксама дадзены тып паведамленняў выкарыстоўваецца для падтрымання злучэння па пратаколе OAM. Паведамленні Event Notification выкарыстоўваюцца функцыяй маніторынгу злучэння для апавяшчэння процілеглага боку аб адбытых збоях. Для вызначэння завесы на лініі выкарыстоўваюцца паведамленні Loopback Control.
Ніжэй мы вырашылі пералічыць асноўныя магчымасці, якія прадстаўляюцца пратаколам OAM:
- маніторынг асяроддзя (выяўленне і падлік бітых кадраў),
- RFI – Remote Failure Indication (адпраўка апавяшчэння аб збоі на канале),
- Remote Loopback (тэставанне канала для вымярэння затрымкі, варыяцыі затрымкі (jitter), колькасці страчаных фрэймаў).
Яшчэ адной опцыяй, запатрабаванай на аптычных камутатарах, з'яўляецца магчымасць выяўлення праблем на канале сувязі, якія прыводзяць да таго, што канал становіцца сімплексным, гэта значыць адпраўка дадзеных можа рабіцца толькі ў адзін бок. Нашы камутатары выкарыстоўваюць для мэт выяўлення аднанакіраваных лінкаў пратакол DLDP – Device Link Detection Protocol. Справядлівасці дзеля варта адзначыць, што пратакол DLDP падтрымліваецца як на аптычных, так і на медных інтэрфейсах, аднак на наш погляд, ён будзе найболей запатрабаваным пры выкарыстанні оптавалакновых ліній.
Пры выяўленні аднанакіраванага канала камутатар можа аўтаматычна выключыць праблемны інтэрфейс, што прывядзе да перастраення STP дрэва і выкарыстанню рэзервовых каналаў сувязі.
У нашым арсенале існуюць SFP-модулі, якія здзяйсняюць прыём і перадачу сігналу па адным валакне. Працуюць яны выключна парамі і для перадачы ўнутры пары выкарыстоўваюць аптычны сігнал на розных даўжынях хваляў. Прыкладам можа служыць пара TL-SM321A і TL-SM321B. Пры выкарыстанні такога роду модуляў пашкоджанне аднаго валакна прывядзе да поўнай непрацаздольнасці ўсяго аптычнага канала. Аднак і на такіх каналах пратакол DLDP будзе запатрабаваны, бо, хоць гэта і здараецца вельмі рэдка, канал можа мець розныя характарыстыкі празрыстасці для розных даўжынь хваль. Больш верагодная праблема складаецца ў рознай празрыстасці канала ў залежнасці ад кірунку распаўсюджвання святла. Выявіць названыя праблемы дапаможа рэфлектаграма, але гэта ўжо зусім іншая гісторыя.
LLDP
У буйных карпаратыўных ці аператарскіх сетках перыядычна ўзнікаюць праблемы з састарваннем дакументацыі на сетку ці недакладнасцямі пры яе складанні. Сеткавай адміністратар можа сутыкнуцца з сітуацыяй, калі неабходна высветліць, якое аператарскае абсталяванне на самай падлучана да таго ці іншага інтэрфейсу камутатара. На дапамогу прыйдзе пратакол LLDP - Link Layer Discovery Protocol (IEEE 802.1AB).
Параметры функцыянавання LLDP
Нашы камутатары падтрымліваюць пратакол LLDP не толькі для выяўлення суседніх камутатараў ці іншых сеткавых прылад, але таксама і для вызначэння іх магчымасцяў.
Медныя субраты нашага камутатара могуць выкарыстоўваць LLDP-MED для спрашчэння працэдуры падлучэння IP-тэлефонаў. Таксама з дапамогай дадзенай опцыі PoE-камутатар можа ўзгадняць параметры харчавання з сілкаванай прыладай. Пра гэта мы ўжо даволі падрабязна расказвалі ў адным з нашых. .
SDM і перападпіска
Практычна ўсе сучасныя камутатары апрацоўваюць праходзілыя фрэймы і пакеты без выкарыстання цэнтральнага працэсара. Апрацоўка (разлік кантрольнай сумы, ужыванне спісаў доступу і правядзенне іншых праверак сістэмы бяспекі, а таксама прыняцце рашэння аб камутацыі/маршрутызацыі) вырабляецца з дапамогай спецыялізаваных мікрасхем, што дазваляе дамагчыся высокіх хуткасцяў перадачы карыстацкага трафіку. Які абмяркоўваецца камутатар дазваляе апрацоўваць трафік на хуткасці асяроддзя. Гэта азначае, што прадукцыйнасці прылады дастаткова, каб перасылаць дадзеныя на максімальна магчымых хуткасцях усіх партоў адначасова. У мадэлі T2600G-28SQ ёсць 24 downlink порта (у бок карыстачоў), якія працуюць на хуткасцях 1 Гбіт/з, а таксама 4 uplink порта (у бок ядра сеткі) па 10 Гбіт/з. Пры гэтым прадукцыйнасць крос-шыны камутатара складае 128 Гбіт/з, чаго дастаткова для апрацоўкі максімальнай колькасці ўваходнага трафіку.
Дзеля справядлівасці варта адзначыць, што прадукцыйнасць камутацыйнай матрыцы складае 95,2 мільёнаў пакетаў у секунду. Гэта значыць пры выкарыстанні мінімальна магчымых кадраў даўжынёй усяго 64 байта сумарная прадукцыйнасць прылады складзе 97,5 Гбіт/з. Аднак такі профіль трафіку практычна неверагодны для сетак аператараў сувязі.
Што такое перападпіскаІншым немалаважным пытаннем з'яўляецца суадносіны хуткасцяў узыходзячых і сыходных каналаў (перападпіска). Тут ужо, відавочна, усё залежыць ад тапалогіі. Калі адміністратар задзейнічае ўсе чатыры інтэрфейсу 10 GE для падлучэння да ядра сеткі і аб'яднае іх па тэхналогіі LAG (Link Aggregation Group) ці Port-Channel, то статыстычна атрымоўваная хуткасць у бок ядра складзе 40 Гбіт/з, чаго апынецца больш, чым досыць для задавальнення запатрабаванняў усіх падлучаных абанентаў. Прычым не абавязкова, каб усе чатыры ўзыходзячыя лінка падключаліся да адной фізічнай прылады. Падлучэнне можа вырабляцца да стэка камутатараў, альбо да двух прылад, аб'яднаным у кластар (з дапамогай тэхналогіі vPC ці падобных). Перападпіска ў гэтым выпадку адсутнічае.
Выкарыстоўваць усе чатыры ўзыходзячых канала адначасова можна не толькі шляхам аб'яднання іх з дапамогай LAG. Падобнага эфекту можна дасягнуць з дапамогай правільнай наладкі MSTP, аднак гэта ўжо зусім іншая гісторыя.
Другім часта сустракаемым спосабам L2-падлучэнні з'яўляецца выкарыстанне двух незалежных LAG (па адным да кожнага камутатара агрэгацыі). У гэтым выпадку, хутчэй за ўсё, адзін з віртуальных лінкаў апынецца заблакаваным пратаколам STP (пры выкарыстанні STP або RSTP). Перападпіска складзе 5:6.
Больш рэдкая, але ўсёткі суцэль верагодная сітуацыя: T2600G-28SQ падлучаны незалежнымі каналамі да вышэйстаячага камутатара або камутатараў. Пратакол STP/RSTP пакіне толькі адзін такі лінк у незаблакаваным стане. Перападпіска складзе 5:12.
Заданне са зорачкай: разлічыць перападпіску для сітуацый, апісаных у раздзеле STP, дзе мы разгледзелі прыклад тапалогіі, калі два камутатара доступу падлучаныя да адной прылады агрэгацыі і злучаныя паміж сабой.
Праграмуемыя мікрасхемы, з дапамогай якіх дасягаецца гэтак высокая хуткасць перасылкі, - рэсурс даволі дарагі, таму мы імкнемся аптымізаваць іх выкарыстанне за кошт правільнага размеркавання рэсурсаў паміж рознымі функцыямі. За размеркаванне адказвае SDM - Switch Database Management.
Размеркаванне вырабляецца з дапамогай профіля SDM. На дадзены момант даступна для выкарыстання тры профіля, пералічаных ніжэй.
- Default прапануе збалансаванае рашэнне, для выкарыстання MAC і IP спісаў доступу, а таксама запісаў ARP-дэтэктавання.
- EnterpriseV4 дазваляе максымізаваць рэсурсы, даступныя для выкарыстання MAC і IP спісамі доступу.
- EnterpriseV6 частка рэсурсаў вылучае для выкарыстання спісамі доступу IPv6.
Для прымянення новага профілю неабходна перазагрузка камутатара.
Заключэнне
У адпаведнасці з першапачатковым пазіцыянаваннем дадзены камутатар найлепшай выявай падыдзе аператарам сувязі, перад якімі стаяць задачы забеспячэння доступу да сеткі на вялікіх адлегласцях. Прылада можа выкарыстоўвацца як на ўзроўні доступу, напрыклад, у катэджных пасёлках і таун-хаўса, так і для агрэгацыі каналаў, якія прыходзяць ад камутатараў доступу, размешчаных у шматкватэрных дамах; гэта значыць усюды, дзе патрабуюцца падлучэнні выдаленых аб'ектаў. Пры выкарыстанні аптычных каналаў сувязі падключаны абанент можа размяшчацца на адлегласці да некалькіх кіламетраў.
З боку кліентаў аптычныя лінкі могуць тэрмінавацца на невялікіх камутатарах з аптычнымі інтэрфейсамі, альбо на медыяканвертарах.
Вялікая колькасць падтрымліваемых пратаколаў і опцый дазволіць выкарыстоўваць T2600G-28SQ у Ethernet-сеткі аператара з любой тапалогіяй і любым наборам выкарыстоўваных тэхналогій і паслуг. Кіруецца камутатар выдалена з дапамогай вэб-інтэрфейсу ці каманднага радка. Пры неабходнасці лакальнай наладкі можна выкарыстоўваць кансольны порт, у мадэлі T2600G-28SQ іх два: RJ-45 і micro-USB. У якасці невялікай лыжкі дзёгцю адзначым адсутнасць падтрымкі сцякавання і другога блока харчавання. Праўда, звычайна за межамі дата-цэнтраў правайдэраў наяўнасць другой электрычнай лініі і так будзе рэдкасцю.
Да яго пераваг мы адносім нізкую цану, вялікая колькасць абаненцкіх аптычных партоў, наяўнасць аптычных аплінкаў 10 GE, а таксама чатыры камбінаваных порта і перасылку трафіку на хуткасці асяроддзя.
Крыніца: habr.com