L'espansione di e grande cità è a furmazione di l'agglomerazioni hè una di e tendenzi impurtanti in u sviluppu suciale oghje. Mosca sola duveria espansione da 2019 milioni di metri quadrati di l'abitazione in 4 (è questu ùn hè micca cuntendu i 15 insediamenti chì saranu aghjuntu à 2020). In tuttu stu vastu territoriu, l'operatori di telecomunicazioni anu da furnisce l'utilizatori cù l'accessu à Internet. Quessi ponu esse sia microdistritti urbani cù densi edifizii multi-store, o più paesi di cottage "scaricati". Per questi casi, i requisiti di hardware sò un pocu diffirenti. Avemu analizatu ognunu di sti scenarii è creatu un mudellu di switch otticu universale - T2600G-28SQ. In questu post avemu da analizà in dettaglio e capacità di u dispusitivu chì serà d'interessu per l'operatori di telecomunicazioni in tutta a Russia.
Postu nantu à a reta
L'interruttore T2600G-28SQ hè pensatu sia per u funziunamentu à u livellu d'accessu in a reta è per aggregate ligami da altri switches di livellu d'accessu. Questu hè un interruttore di strata 2600 chì esegue u cambiamentu è u routing staticu. Se l'operatore hà cambiatu l'agregazione è l'accessu (routing solu in u core di a rete), u T28G-XNUMXSQ si mette in ogni livellu. In u casu di l'agregazione dinamicamente routed, avete sempre bisognu di piglià in contu alcune restrizioni à i casi d'usu.
U mudellu T2600G-28SQ hè un switch Ethernet attivu cumpletu senza restrizioni supplementari chì appariscenu quandu si usa xPON o tecnulugia simili. Per esempiu, senza a minaccia di una forte calata di velocità cù un aumentu di u numeru di l'utilizatori o una cumpatibilità povira trà l'equipaggiu di diversi venditori è firmware. Sia l'utilizatori finali è i switches d'accessu sottostanti cù uplinks ottici, per esempiu, u mudellu T2600G-28TS, ponu cunnette à l'interfacce di u dispositivu. U diagramma sottu mostra l'esempii più cumuni di tali cunnessione.
Per accede à a reta di l'utilizatori finali, pò esse aduprate fibre ottiche o cable par torcia. Da u latu di l'abbonatu, a fibra ottica pò esse terminata sia cù un convertitore media (media converter), per esempiu, TP-Link MC220L; è utilizendu l'interfaccia ottica in un router SOHO.
Per cunnette un cliente vicinu, pudete aduprà quattru porti RJ-45 chì operanu à velocità di 10/100/1000 Mbit/s. Se per una certa ragione questu ùn hè micca abbastanza, l'operatore pò "cunvertisce" l'interfacce ottiche di u switch in rame. Questu pò esse fattu cù SFP "copper" specializati cù un connettore RJ-45. Ma una tale suluzione ùn pò micca esse chjamata tipica.
Certi esempii da a pratica
Per compie a stampa, daremu parechji esempi di usu di i switches T2600G-28SQ.
Fornitore di a regione di Mosca , chì, in più di l'Internet, furnisce servizii di telefonia è TV per cable, usa u T2600G-28SQ à u livellu d'accessu quandu custruisce e rete in u settore privatu (cottages è townhouses). Da u latu di u cliente, a cunnessione hè fatta à i routers cù un portu SFP, è ancu i media converters. À u mumentu, i routers SOHO cù un portu SFP ùn sò micca produtti in massa in u nostru paese, ma avemu, sicuru, pensendu à questu.
Operatore di telecomunicazioni da a regione Pavlovo-Posad usa i switch T2600G-28SQ cum'è una "piccola aggregazione", utilizendu switches di i mudelli T2600G-28TS è T2500G-10TS per accessu.
Gruppu di Cumpagnia furnisce l'accessu à Internet, TV, telefonia, è sistemi di surviglianza video in u sud-est di a regione Mosca (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). A topulugia apprussimativa quì hè a stessa cum'è quella di l'ISS: T2600G-28SQ à u livellu di aggregazione, è T2600G-28TS è T2500G-10TS à u livellu di accessu.
ISP da Krasnoznamensk furnisce l'accessu à Internet utilizendu una reta cù una penetrazione otticu prufonda. Hè ancu basatu annantu à u T2600G-28SQ.
In e seguenti sezzioni, descriveremu brevemente alcune di e caratteristiche di u T2600G-28SQ. Per ùn bloat u materiale, avemu lasciatu una quantità di opzioni fora: QinQ (VLAN VPN), routing, QoS, etc. Pensemu chì pudemu turnà à elli in unu di i seguenti posti.
Capacità di cambià
Riservazione - STP
STP - Spanning Tree Protocol. U protokollu di l'arburu spanning hè cunnisciutu per un tempu assai longu, grazia à a rispettata Radya Perlman per questu. In i riti muderni, l'amministratori pruvate in ogni modu pussibule per evità di utilizà stu protokollu. Iè, STP ùn hè micca senza i so inconvenienti. È hè assai bonu s'ellu ci hè una alternativa à questu. Tuttavia, cum'è spessu u casu, l'alternativa à stu protokollu dependerà assai di u venditore. Dunque, finu à questu ghjornu, Spanning Tree Protocol resta quasi l'unica suluzione chì hè supportata da quasi tutti i fabricatori è hè cunnisciutu ancu da tutti l'amministratori di a rete.
U switch TP-Link T2600G-28SQ supporta trè versioni di STP: STP classicu (IEEE 802.1D), RSTP (802.1W) è MSTP (802.1S).
Di queste opzioni, RSTP regulare hè abbastanza adattatu per a maiò parte di i picculi fornitori di Internet in Russia, chì hà un vantaghju innegabile annantu à a versione classica - un tempu di cunvergenza significativamente più breve.
U protokollu più flexibule oghje hè MSTP, chì sustene e rete virtuale (VLAN) è permette parechji arburi diffirenti, chì permette di utilizà tutti i camini di salvezza dispunibili. L'amministratore crea parechje istanze d'arburu diffirenti (finu à ottu), ognunu di quale serve un settore specificu di rete virtuale.
Sutilità di MSTPL'amministratori principianti anu da esse assai attenti quandu utilizanu MSTP. Questu hè chì u cumpurtamentu di u protocolu hè diversu in una regione è trà e regioni. Dunque, quandu cunfigurà i switches, vale a pena assicuratevi di stà in a stessa regione.
Chì ghjè sta regione famosa ? In termini MSTP, una regione hè un inseme di switches cunnessi l'un à l'altru chì anu e stesse caratteristiche: nome di a regione, numeru di rivisione è distribuzione di rete virtuale (VLAN) trà istanze di protokollu.
Di sicuru, u protokollu Spanning Tree (qualsiasi versione) permette micca solu di trattà cù i loops chì si sviluppanu quandu si cunnessu i canali di salvezza, ma ancu per pruteggiri contra l'errori di cambiamentu di cable quandu un ingegnere cunnetta intenzionalmente o involontariamente i porti sbagliati, creendu un ciclu cù u so. azzioni.
Amministratori di rete più sperimentati preferiscenu utilizà una varietà di opzioni supplementari per prutege u protocolu STP da attacchi o situazioni di disastru cumplessi. U mudellu T2600G-28SQ offre una larga gamma di tali capacità: Loop Protect è Root Protect, TC Guard, BPDU Protect è BPDU Filter.
L'usu propiu di l'opzioni elencati sopra in cunghjunzione cù altri meccanismi di prutezzione supportati stabilizzerà a reta lucale è a rende più prevedibile.
Riservazione - LAG
LAG - Link Aggregation Group. Questa hè una tecnulugia chì permette di cunghjuntà parechji canali fisichi in una logica. Tutti l'altri protokolli cessanu di utilizà i canali fisichi inclusi in u LAG separatamente è cumincianu à "vede" una interfaccia logica. Un esempiu di tali protokollu hè STP.
U trafficu di l'utilizatori hè equilibratu trà i canali fisichi in i canali lògichi basati nantu à a somma hash. Per calculà, l'indirizzi MAC di u mittente, u destinatariu, o un paru di elli ponu esse utilizati; oltri l'indirizzi IP di u mittente, destinatariu, o un paru di elli. L'infurmazione di u protokollu di a capa 4 (porti TCP / UDP) ùn hè micca cunsideratu.
L'interruttore T2600G-28SQ supporta LAG statici è dinamichi.
Per negocià i paràmetri di u funziunamentu di un gruppu dinamicu, u protocolu LACP hè utilizatu.
Sicurezza - Liste d'accessu (ACL)
U nostru switch T2600G-28SQ permette di filtrà u trafficu di l'utilizatori utilizendu listi d'accessu (ACL - Access Control List).
Listi d'accessu supportati ponu esse di parechji tipi: MAC è IP (IPv4 / IPv6), cumminati, è ancu per eseguisce u filtru di cuntenutu. U numeru di ogni tipu di lista d'accessu supportatu dipende da u mudellu SDM attualmente in usu, chì avemu descrittu in una altra sezione.
L'operatore pò aduprà sta opzione per bluccà diversi trafficu indesevule nantu à a reta. Un esempiu di tali trafficu seria i pacchetti IPv6 (aduprendu u campu EtherType) se u serviziu currispundente ùn hè micca furnitu; o bluccà SMB nantu à u portu 445. In una reta cù l'indirizzu staticu, u trafficu DHCP / BOOTP ùn hè micca necessariu, cusì utilizendu un ACL, l'amministratore pò filtrà i datagrammi UDP nantu à i porti 67 è 68. Pudete ancu bluccà u trafficu IPoE locale cù un ACL. Un tali bloccu pò esse dumandatu in e rete di l'operatore chì utilizanu PPPoE.
U prucessu di utilizà listi d'accessu hè assai simplice. Dopu avè creatu a lista stessu, avete bisognu di aghjunghje u numeru necessariu di registri, u tipu di quale dipende direttamente da u fogliu chì hè persunalizatu.
Configurazione di liste d'accessu
Hè da nutà chì e liste d'accessu ponu esse realizatu micca solu l'operazioni abituale di permette o di ricusà u trafficu, ma ancu di redirecting it, mirroring it, and also performing remarking or rate limiting.
Una volta chì tutti l'ACL necessarii sò stati creati, l'amministratore pò installallu. Hè pussibule attaccà una lista d'accessu à un portu fisicu direttu è à una reta virtuale specifica.
Sicurezza - numeru di indirizzi MAC
A volte, l'operatori anu bisognu di limità u numeru di indirizzi MAC chì un switch hà da amparà nantu à un portu particulari. Listi d'accessu permettenu di ottene l'effettu specificatu, ma à u stessu tempu necessitanu una indicazione esplicita di l'indirizzi MAC stessi. Sè avete solu bisognu di limità u numeru di indirizzi di u canali, ma micca specifichi esplicitamente, a sicurità di u portu vinarà in salvezza.
Una tale restrizione pò esse dumandata, per esempiu, per pruteggiri contra a cunnessione di una reta lucale sana à una interfaccia di cambiamentu di u fornitore. Vale a pena menzionate quì chì parlemu di una cunnessione dial-up, perchè quandu si cunnetta cù un router da u latu di u cliente, u T2600G-28SQ ampararà solu un indirizzu - questu hè u MAC chì appartene à u portu WAN di u router client. .
Ci hè una classe sana di attacchi diretti contr'à a tavola di cambiamentu. Questu puderia esse un overflow di tavula o spoofing MAC. L'opzione di sicurità di u portu vi permetterà di pruteggià contru u soprabordu di a tavola di ponte è l'attacchi destinati à ricuperà deliberatamente u switch è avvelenà a so tavola di ponte.
Hè impussibile di ùn mintuvà solu l'equipaggiu clientu difettu. Ci hè spessu situazione quandu una carta di rete di computer malfunzionante o router crea un flussu di frames cù indirizzi di mittente è destinatariu completamente arbitrariu. Un tali flussu pò facirmenti drain u CAM.
Un altru modu per limità u numeru di entrate di tavulinu di ponte utilizati hè l'utile MAC VLAN Security, chì permette à un amministratore di specificà u numeru massimu di entrate per una reta virtuale specifica.
In più di gestisce e entrate dinamiche in a tavola di cambiamentu, l'amministratore pò ancu creà stati statichi.
A tavola di ponte massima di u mudellu T2600G-28SQ pò accoglie finu à 16K dischi.
Un'altra opzione pensata per filtrà a trasmissione di u trafficu di l'utilizatori hè a funzione Port Isolation, chì permette di specificà esplicitamente in quale direzzione hè permessa.
Sicurezza - IMPB
In i vasti spazii di a nostra vasta patria, l'approcciu di l'operatori di telecomunicazioni à i prublemi di assicurà a sicurità di a rete varieghja da a ignoranza cumpleta à l'usu massimu pussibule di tutte l'opzioni supportate da l'equipaggiu.
L'IPv4 IMPB (IP-MAC-Port Binding) è e funzioni IPv6 IMPB permettenu di prutezzione contru à una larga gamma di attacchi ligati à u spoofing di l'indirizzi IP è MAC da parte di l'abbonati, vincendu l'indirizzi IP è MAC di l'equipaggiu di u cliente à l'interfaccia di cambiamentu di u fornitore. Questa associazione pò esse fatta manualmente o utilizendu e funzioni ARP Scanning è DHCP Snooping.
Configurazione IMPB di basa
Per esse ghjustu, deve esse dichjaratu chì una funzione speciale pò esse usata per prutege u protocolu DHCP - DHCP Filter.
Utilizendu sta funzione, l'amministratore di a rete pò specificà manualmente quelli interfacce à quale veri servitori DHCP sò cunnessi. Questu impedisce chì i servitori DHCP rogue interferiscenu cù u prucessu di negoziazione IP.
Sicurezza - DoS Defend
U mudellu in cunsiderà ci permette di prutezzione di l'utilizatori da parechji di l'attacchi DoS più cunnisciuti è prima diffusi.
A maiò parte di l'attacchi elencati ùn sò più periculi periculi per i dispositi cù sistemi operativi muderni, ma i nostri rete ponu ancu scuntrà quelli per i quali l'ultima aghjurnazione di u software hè stata fatta parechji anni fà.
Supportu DHCP
L'interruttore TP-Link T2600G-28SQ pò agisce cum'è un servitore DHCP o un relay, è eseguisce diversi filtri di messagi DHCP se un altru dispositivu agisce cum'è un servitore.
U modu più faciule per furnisce l'utilizatori cù i paràmetri IP chì anu bisognu à operà hè di utilizà u servitore DHCP integratu di u switch. Cù u so aiutu, i paràmetri basi pò esse digià datu à l'abbonati.
Avemu cunnessu u nostru router Archer C6 SOHO à una di l'interfacce di switch è assicuratemu chì u dispositivu cliente hà ricevutu successu un indirizzu.
Sembra cusì
U servitore DHCP integratu in u switch ùn hè forse micca a suluzione più scalabile è flexible: ùn ci hè micca supportu per l'opzioni non standard, è ùn ci hè micca cunnessione cù IPAM. Se l'operatore richiede più cuntrollu di u prucessu di distribuzione di l'indirizzu IP, allora un servitore DHCP dedicatu serà utilizatu.
T2600G-28SQ permette di specificà un servitore DHCP dedicatu separatu per ogni subnet d'utilizatori à quale i missaghji di u protocolu in discussione seranu rediretti. A subnet hè selezziunata specificendu l'interfaccia L3 appropritata: VLAN (SVI), portu routed o port-channel.
Per pruvà u funziunamentu di u relay, avemu cunfiguratu un router separatu da un altru venditore per travaglià cum'è un servitore DHCP, i paràmetri di quale sò presentati quì sottu.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8U router di u cliente hà ricivutu di novu un indirizzu IP.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSottu u spoiler - u cuntenutu di u pacchettu interceptatu trà u switch è un servitore DHCP dedicatu.
U cuntenutu di u pacchettu
Hè da nutà chì u switch supporta l'Opzione 82. Quandu hè attivatu, u switch aghjunghjera infurmazione nantu à l'interfaccia d'utilizatore da quale u messagiu DHCP Discover hè statu ricevutu. Inoltre, u mudellu T2600G-28SQ permette di cunfigurà a pulitica per u processu di l'infurmazioni aghjuntu quandu inserisce l'opzione N ° 82. A prisenza di supportu per questa opzione pò esse utile in una situazione induve l'abbonatu deve esse datu u stessu indirizzu IP, indipendentemente da ciò chì u cliente-id u cliente informa nantu à ellu stessu.
A figura sottu mostra un missaghju DHCP Discover (mannatu da relay) cù l'opzione N ° 82 aghjuntu.
Missaghju cù l'opzione N ° 82
Di sicuru, pudete gestisce l'opzione N ° 82 senza stabilisce un relé DHCP cumpletu, i paràmetri currispondenti sò presentati in a subsezzione "DHCP L2 Relay".
Avà cambiate i paràmetri di u servitore DHCP per dimustrà cumu funziona l'opzione N ° 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticQualcosa cum'è questu
A funzione di relay di l'interfaccia DHCP serà utile in una situazione induve u cambiamentu ùn hà micca solu una interfaccia L3 cunnessa à una reta specifica, ma sta interfaccia hà ancu un indirizzu IP. Se ùn ci hè micca indirizzu nantu à una tale interfaccia, a funzione di relé DHCP VLAN vene in salvezza. L'infurmazione nantu à a subnet in questu casu hè presa da l'interfaccia predeterminata, vale à dì, i spazii d'indirizzu in parechje rete virtuale seranu listessi (overlap).
Spessu, l'operatori anu ancu bisognu di prutezzione di l'abbonati da l'attivazione erronea o maliciosa di u servitore DHCP in l'equipaggiu di u cliente. Avemu decisu di discutiri sta funziunalità in una di e sezioni dedicate à i prublemi di sicurità.
IEEE 802.1X
Una manera di autentificà l'utilizatori in una reta hè di utilizà u protocolu IEEE 802.1X. A popularità di stu protokollu in e rete di l'operatori di telecomunicazioni in Russia hè digià in calata, hè sempre utilizatu principarmenti in e rete lucali di e grande cumpagnie per autentificà l'utilizatori internu di l'urganizazione. L'interruttore T2600G-28SQ hà supportu 802.1X, cusì u fornitore pò facilmente aduprà se ne necessariu.
Per u protocolu IEEE 802.1X per travaglià, trè participanti sò richiesti: equipaggiu di cliente (supplicant), switch d'accessu di u fornitore (autentificatore) è servitori di autentificazione (di solitu servitori RADIUS).
A cunfigurazione basica da u latu di l'operatore hè estremamente simplice. Solu bisognu di specificà l'indirizzu IP di u servitore RADIUS utilizatu, nantu à quale a basa di dati di l'utilizatori serà guardata, è ancu selezziunate l'interfaccia per quale l'autentificazione hè necessaria.
Configurazione basica 802.1X
A cunfigurazione minore hè ancu necessaria da u cliente. Tutti i sistemi operativi muderni cuntenenu digià u software necessariu. Ma s'ellu hè necessariu, pudete installà è aduprà TP-Link 802.1x Client - una applicazione chì permette di autentificà u cliente in a reta.
Quandu cunnette u PC di l'utilizatore direttamente à a reta di u fornitore, i paràmetri di autentificazione deve esse attivatu per a carta di rete utilizata per a cunnessione.
Tuttavia, attualmente, ùn hè micca l'urdinatore di l'utilizatori chì hè generalmente cunnessu à a reta di l'operatore direttamente, ma un router SOHO chì assicura u funziunamentu di a reta lucale di l'abbonatu (segmenti cablati è wireless). In questu casu, tutti i paràmetri di protokollu 802.1X deve esse fatti direttamente nantu à u router.
Ci pare chì stu metudu d'autentificazione hè statu scurdatu senza meritu in e rete di l'operatore. Iè, ubligatoriu strettamente un abbonatu à un portu di switch pò esse una soluzione più simplice da u puntu di vista di i paràmetri di l'equipaggiu di l'utilizatori. Ma se l'usu di un login è password hè necessariu, allora 802.1X ùn serà micca un protokollu cusì pesante cumparatu cù e cunnessione utilizati basati nantu à i tunnelli PPTP / L2TP / PPPoE.
Inserzione di ID PPPoE
Parechji utilizatori ùn sò micca solu in u nostru paese, ma in u mondu sanu preferite aduprà password estremamente simplici. È i casi di furtu di credenziali, sfortunatamente, ùn sò micca rari. Se l'operatore usa u protokollu PPPoE in a so reta per autentificà l'utilizatori, u cambiamentu TP-Link T2600G-28SQ aiuterà à risolve u prublema assuciatu à a fuga di credenziali. Questu hè ottenutu aghjunghjendu una etichetta speciale à u missaghju PPPoE Active Discovery. In questu modu, u fornitore pò autentificà l'abbonatu micca solu per login è password, ma ancu per dati supplementari. Queste dati supplementari includenu l'indirizzu MAC di u dispositivu cliente, è ancu l'interfaccia di switch à quale hè cunnessu.
Certi operatori, in principiu, volenu nigà l'abbonatu (un paru di login è password) a capacità di navigà in a reta. A funzione PPPoE ID Insertion aiuterà ancu in questu casu.
IGMP
L'IGMP (Protocolu di Gestione di u Gruppu Internet) hè statu dapoi decennii. A so popularità hè abbastanza comprensibile è facilmente spiegabile. Ma ci sò dui partiti implicati in l'interazzione IGMP: u PC di l'utilizatore (o qualsiasi altru dispositivu, per esempiu, un STB) è u router IP chì serve un segmentu di rete specificu. I switches ùn participanu micca in questu scambiu in ogni modu. True, l'ultima dichjarazione ùn hè micca tutta vera. O in i reti muderni, questu ùn hè micca veru. I switches supportanu IGMP per ottimisà u trafficu di u trafficu multicast. Ascoltendu u trafficu di l'utilizatori, u cambiamentu detecta i missaghji di rapportu IGMP in questu, cù l'aiutu di quale determina i porti per trasmette u trafficu multicast. L'opzione descritta hè chjamata IGMP Snooping.
U supportu per u protocolu IGMP pò esse usatu micca solu per ottimisà u trafficu cum'è tali, ma ancu per determinà l'abbonati chì ponu esse furniti cù un certu serviziu, per esempiu, IPTV. Pudete ghjunghje l'ughjettu desideratu sia per stabilisce manualmente i paràmetri di filtru o usendu l'autentificazione.
U supportu per u trafficu multicast nantu à i switch TP-Link hè implementatu in modu abbastanza flessibile. Per esempiu, tutti i paràmetri ponu esse stabiliti per ogni reta virtuale separatamente.
Se più subnets chì cuntenenu destinatari di trafficu multicast sò cunnessi à una interfaccia di router, allora quellu router serà obligatu à mandà parechje copie di pacchetti per quella interfaccia (una per ogni rete virtuale).
In questu casu, pudete ottimisà a prucedura per trasmette u trafficu multicast cù a tecnulugia MVR - Multicast VLAN Registration.
L'essenza di a suluzione hè chì una rete virtuale hè creata chì unisce tutti i destinatari. Tuttavia, sta reta virtuale hè aduprata solu per u trafficu multicast. Stu approcciu permette à u router di mandà una sola copia di u trafficu multicast attraversu l'interfaccia.
DDM, OAM è DLDP
DDM - Monitoring Diagnostic Digitale. Durante l'operazione di moduli ottici, hè spessu necessariu di monitorà a cundizione di u modulu stessu, è ancu u canali otticu à quale hè cunnessu. A funzione DDM vi aiuterà à affruntà stu compitu. Cù u so aiutu, l'ingegneri di l'operatore puderanu monitorà a temperatura di ogni modulu chì sustene sta funziunalità, a so tensione è u currente, è ancu a putenza di i signali ottichi mandati è ricevuti.
Stabilisce i livelli di soglia per i paràmetri descritti prima vi permetterà di generà un avvenimentu s'ellu si trovanu fora di a gamma accettabile.
Impostazione di soglie di risposta DDM
Naturalmente, l'amministratore pò vede i valori attuali di i paràmetri specificati.
L'interruttore TP-Link T2600G-28SQ hà un sistema di rinfrescante d'aria attivu. Inoltre, ùn avemu mai scontru un surriscaldamentu di i moduli SFP in i nostri switches per via di a densità di portu. Tuttavia, se, puramente in teoria, una tale pussibilità hè permessa (per esempiu, per via di qualchì prublema in u modulu SFP), allora cù l'aiutu di DDM l'amministratore serà immediatamente avvisatu di una situazione potenzialmente periculosa. U periculu quì, ovviamente, ùn hè micca per u cambiamentu stessu, ma per u diodu / laser in l'SFP, postu chì a so temperatura aumenta, a putenza di u signale otticu emessu pò esse degradate, chì porta à una diminuzione di u budgetu otticu.
Hè da nutà quì chì i switch TP-Link ùn anu micca una "funzione" di serratura di u venditore, vale à dì, qualsiasi moduli SFP cumpatibili sò supportati, chì, sicuru, seranu assai convenienti per l'amministratori di a rete.
OAM - Operazione, Amministrazione è Mantenimentu (IEEE 802.3ah). OAM hè un protocolu di seconda capa di u mudellu OSI cuncepitu per u monitoraghju è a risoluzione di i prublemi di e rete Ethernet. Utilizendu stu protokollu, u cambiamentu pò monitorà a prestazione di una cunnessione specifica è l'errori, è generà alerti per chì l'amministratore di a rete pò gestisce a reta più efficace.
Configurazione OAM di basa
Dettagli Funzionali OAMDui dispositi vicini abilitati per l'OAM scambianu periodicamente messagi mandendu OAMPDU, chì venenu in trè tippi: Informativa, Notificazione di l'avvenimenti è Controllo Loopback. Utilizendu l'OAMPDU informativi, i switch vicini si mandanu l'altri infurmazioni statistiche è e dati definiti da l'amministratore. Stu tipu di missaghju hè ancu utilizatu per mantene una cunnessione via u protocolu OAM. I missaghji di Notificazione di l'avvenimenti sò usati da a funzione di surviglianza di a cunnessione per avvisà l'altra parte chì i fallimenti sò accaduti. I missaghji di cuntrollu Loopback sò usati per detectà un loop in una linea.
Sottu avemu decisu di listà e caratteristiche principali furnite da u protocolu OAM:
- surviglianza di l'ambiente (rilevazione è cunti di frames rotti),
- RFI - Indicazione Remote Failure (invià a notificazione di un fallimentu in u canali),
- Loopback Remote (test di canali per misurà a latenza, a variazione di ritardu (jitter), u numeru di frames persi).
Un'altra opzione chì hè in dumanda nantu à i switch ottici hè a capacità di detectà prublemi nantu à u canali di cumunicazione, chì porta à u canali chì diventanu simplex, vale à dì, i dati ponu esse mandati solu in una direzzione. I nostri switches utilizanu u DLDP - Device Link Detection Protocol per detectà ligami unidirezionali. Per esse ghjustu, vale a pena nutà chì u protokollu DLDP hè supportatu nantu à l'interfaccia otticu è di cobre, ma in u nostru parè, serà più populari quandu si usanu linee di fibra ottica.
Quandu un ligame unidirezionale hè rilevatu, u cambiamentu pò chjude automaticamente l'interfaccia problematica, chì porta à a ricustruzione di l'arburu STP è l'usu di i canali di cumunicazione di salvezza.
In u nostru arsenale ci sò moduli SFP chì ricevenu è trasmettenu segnali nantu à una fibra. Operanu esclusivamente in coppie è utilizanu segnali ottici à diverse lunghezze d'onda per a trasmissione in a coppia. Un esempiu hè a coppia TL-SM321A è TL-SM321B. Quandu si usanu tali moduli, i danni à una fibra portanu à l'inoperabilità cumpleta di tuttu u canali otticu. Tuttavia, ancu in tali canali, u protokollu DLDP serà dumandatu, postu chì, ancu s'ellu succede assai raramente, u canali pò avè caratteristiche di trasparenza differenti per diverse lunghezze d'onda. Un prublema più prubabile hè chì a trasparenza di u canali varieghja secondu a direzzione di a propagazione di a luce. Un riflettogramma aiuterà à detectà sti prublemi, ma hè una storia completamente diversa.
LLDP
In e grande rete corporativa o di l'operatore, i prublemi sò periòdicamenti cù l'obsolescenza di a documentazione di a rete o imprecisioni in a so preparazione. Un amministratore di a rete pò esse affruntatu cù una situazione induve hè necessariu di sapè quale l'equipaggiu operatore hè veramente cunnessu à una interfaccia di switch particulari. U LLDP - Link Layer Discovery Protocol (IEEE 802.1AB) vene in salvezza.
Parametri di l'operazione LLDP
I nostri switches supportanu LLDP micca solu per scopre switch vicini o altri dispositi di rete, ma ancu per determinà e so capacità.
I contraparti di rame di u nostru switch ponu aduprà LLDP-MED per simplificà a prucedura per cunnette i telefoni IP. Inoltre, utilizendu sta opzione, u switch PoE pò negocià i paràmetri di putenza cù u dispusitivu alimentatu. Avemu digià parlatu di questu in qualchì dettu in unu di i nostri .
SDM è oversubscription
Quasi tutti i muderni muderni prucessanu u passaghju di frames è pacchetti senza utilizà un processore cintrali. U processu (calculà i checksums, applicà listi d'accessu è eseguisce altri cuntrolli di sicurezza, è ancu per piglià decisioni di cambiamentu / routing) hè realizatu cù chips specializati, chì permette una alta velocità di trasmissione di u trafficu di l'utilizatori. U cambiamentu in discussione permette di trasfurmà u trafficu à a velocità media. Questu significa chì u rendiment di u dispusitivu hè abbastanza per mandà dati à a più alta velocità pussibule in tutti i porti à u stessu tempu. U mudellu T2600G-28SQ hà 24 porti downlink (versu l'utilizatori), chì operanu à velocità di 1 Gbit/s, è ancu 4 porti uplink (versu u core di a rete) di 10 Gbit/s. À u listessu tempu, a prestazione cross-bus di u switch hè 128 Gbit / s, chì hè abbastanza per processà a quantità massima di trafficu entrante.
In ghjustizia, vale a pena nutà chì u rendiment di a matrice di commutazione hè 95,2 milioni di pacchetti per seconda. Questu hè, quandu si usanu i frames minimu pussibuli cù una durata di solu 64 bytes, u rendiment tutale di u dispusitivu serà 97,5 Gbit / s. Tuttavia, un tali prufilu di trafficu hè quasi impussibile per e rete di l'operatore di telecomunicazione.
Cosa hè oversubscriptionUn altru prublema impurtante hè u rapportu di e velocità di i canali upstream è downstream (oversubscription). Quì, ovviamente, tuttu dipende di a topologia. Se l'amministratore usa tutte e quattru interfacce 10 GE per cunnette à u core di a rete è li combina cù a tecnulugia LAG (Link Aggregation Group) o Port-Channel, allora a velocità statisticamente ottenuta versu u core serà 40 Gbit / s, chì serà più. abbastanza per suddisfà i bisogni di tutti l'abbonati cunnessi. Inoltre, ùn hè micca necessariu chì tutti i quattru uplinks cunnessi à un dispositivu fisicu. A cunnessione pò esse fatta à una pila di switches, o à dui dispusitivi cumminati in un cluster (aduprendu a tecnulugia vPC o simili). In stu casu, ùn ci hè micca oversubscription.
Pudete aduprà tutti i quattru uplinks simultaneamente micca solu cumminendu cù LAG. Un effettu simili pò esse ottenutu da cunfigurà bè MSTP, ma hè una storia completamente diversa.
U sicondu metudu di cunnessione L2 cumunimenti utilizatu hè di utilizà dui LAG indipendenti (unu à ogni switch di aggregazione). In questu casu, assai prubabile, unu di i ligami virtuali serà bluccatu da u protocolu STP (quandu si usa STP o RSTP). Oversubscription serà 5: 6.
Una situazione più rara, ma ancu abbastanza probabile: u T2600G-28SQ hè cunnessu da canali indipendenti à un switch upstream o switch. U protocolu STP / RSTP lascerà solu un tali ligame in un statu sbloccatu. Oversubscription serà 5:12.
Task with an asterisk: calculate oversubscription per e situazioni descritte in a sezione STP, induve avemu vistu una topulugia d'esempiu quandu dui switches d'accessu sò cunnessi à u stessu dispositivu di aggregazione è interconnessi.
I chips programmabili chì permettenu tali velocità di trasferimentu elevate sò una risorsa abbastanza caru, cusì pruvemu à ottimisà u so usu distribuendu bè e risorse trà e diverse funzioni. SDM - Switch Database Management hè rispunsevule per a distribuzione.
A distribuzione hè fatta cù u prufilu SDM. Ci sò attualmente trè profili dispunibili per l'usu, elencati quì sottu.
- Default offre una soluzione equilibrata per utilizà listi d'accessu MAC è IP, è ancu e entrate di rilevazione ARP.
- EnterpriseV4 permette di maximizà e risorse dispunibuli per l'usu da e liste d'accessu MAC è IP.
- EnterpriseV6 attribuisce alcune risorse per l'usu da e liste d'accessu IPv6.
U cambiamentu deve esse riavviatu per applicà u novu prufilu.
cunchiusioni
In cunfurmità cù u posizionamentu iniziale, stu switch hè più adattatu per l'operatori di telecomunicazioni chì sò affruntati cù u compitu di furnisce l'accessu à a rete à longu distanzi. U dispusitivu pò esse usatu sia à u livellu d'accessu, per esempiu, in e cumunità di cottage è case di città, è per l'agregazione di i canali chì venenu da i switches d'accessu situati in edifici di appartamenti; vale à dì, induve e cunnessione à l'uggetti remoti sò necessarii. Quandu si usanu canali di cumunicazione otticu, l'abbonatu cunnessu pò esse situatu à una distanza di parechji chilometri.
Da u latu di u cliente, i ligami ottichi ponu esse terminati in picculi switches cù interfacce ottiche o in cunvertitori di media.
Un gran numaru di protokolli è opzioni supportati permettenu à u T2600G-28SQ esse utilizatu in a reta Ethernet di l'operatore cù qualsiasi topulugia è qualsiasi settore di tecnulugia utilizata è servizii furniti. U cambiamentu hè gestitu remotamente utilizendu l'interfaccia web o a linea di cummanda. Se a cunfigurazione lucale hè necessariu, pudete aduprà u portu di cunsola, u mudellu T2600G-28SQ hà dui di elli: RJ-45 è micro-USB. Cum'è una piccula mosca in l'unguentu, avemu nutatu a mancanza di supportu per stacking è una seconda alimentazione. True, di solitu fora di i centri di dati di i fornituri, a prisenza di una seconda linea elettrica serà rara.
I so vantaghji includenu un prezzu bassu, un gran numaru di porti ottichi abbonati, a presenza di uplinks ottichi 10 GE, è ancu quattru porti cumminati è u trafficu di u trafficu à a velocità media.
Source: www.habr.com