Expanze velkých měst a vznik aglomerací je dnes jedním z důležitých trendů společenského rozvoje. Samotná Moskva by se měla v roce 2019 rozšířit o 4 miliony metrů čtverečních (a to nepočítáme 15 osad, které přibudou do roku 2020). Na celém tomto rozsáhlém území budou muset telekomunikační operátoři poskytnout uživatelům přístup k internetu. Mohou to být buď městské mikrookresy s hustou vícepodlažní zástavbou, nebo více „vybité“ chatové vesnice. Pro tyto případy jsou hardwarové požadavky mírně odlišné. Analyzovali jsme každý z těchto scénářů a vytvořili jsme univerzální model optického přepínače – T2600G-28SQ. V tomto příspěvku budeme podrobně analyzovat možnosti zařízení, které bude zajímat telekomunikační operátory v celém Rusku.
Umístěte na síť
Přepínač T2600G-28SQ je navržen jak pro provoz na úrovni přístupu v síti, tak pro agregaci spojení z jiných přepínačů přístupové úrovně. Jedná se o přepínač vrstvy 2600, který provádí přepínání a statické směrování. Pokud operátor přepnul agregaci i přístup (směrování pouze v jádře sítě), T28G-XNUMXSQ zapadne do kterékoli z úrovní. V případě dynamicky směrované agregace je ještě potřeba počítat s některými omezeními případů použití.
Model T2600G-28SQ je plnohodnotný aktivní ethernetový switch bez dalších omezení, která se objevují při použití xPON nebo podobných technologií. Například bez hrozby prudkého poklesu rychlosti s nárůstem počtu uživatelů nebo špatnou kompatibilitou mezi zařízeními různých výrobců a firmwarem. K rozhraním zařízení se mohou připojit jak koncoví uživatelé, tak základní přístupové přepínače s optickými uplinky, například model T2600G-28TS. Níže uvedený diagram ukazuje nejběžnější příklady takových připojení.
Pro přístup do sítě koncového uživatele lze použít optické vlákno nebo kroucenou dvojlinku. Na straně účastníka může být optické vlákno ukončeno buď pomocí media konvertoru (media konvertoru), např. TP-Link MC220L; a pomocí optického rozhraní v SOHO routeru.
Pro připojení blízkého klienta můžete využít čtyři porty RJ-45 pracující rychlostí 10/100/1000 Mbit/s. Pokud to z nějakého důvodu nestačí, operátor může „převést“ optická rozhraní přepínače na měděná. To lze provést pomocí specializovaných „měděných“ SFP s konektorem RJ-45. Takové řešení však nelze nazvat typickým.
Pár příkladů z praxe
Pro dokreslení uvedeme několik příkladů použití přepínačů T2600G-28SQ.
Poskytovatel moskevského regionu , která kromě internetu poskytuje služby telefonie a kabelové televize, využívá T2600G-28SQ na přístupové úrovni při budování sítí v soukromém sektoru (chaty a viladomy). Na straně klienta je navázáno spojení se směrovači s portem SFP a také media konvertory. Momentálně se u nás SOHO routery s SFP portem sériově nevyrábějí, ale samozřejmě o tom uvažujeme.
Telekomunikační operátor z Pavlovo-Posadské oblasti používá jako „malou agregaci“ přepínače T2600G-28SQ, využívající pro přístup přepínače modelů T2600G-28TS a T2500G-10TS.
Skupina společnosti poskytují přístup k internetu, TV, telefonování a video monitorovací systémy v jihovýchodní části Moskevské oblasti (Kolomna, Luchovicy, Zaraysk, Serebryanye Prudy, Ozyory). Přibližná topologie je zde stejná jako u ISS: T2600G-28SQ na úrovni agregace a T2600G-28TS a T2500G-10TS na úrovni přístupu.
poskytovatel z Krasnoznamensk poskytuje přístup k internetu pomocí sítě s hlubokou optickou penetrací. Je také založen na T2600G-28SQ.
V následujících částech stručně popíšeme některé funkce T2600G-28SQ. Abychom materiál nenafoukli, vynechali jsme řadu možností: QinQ (VLAN VPN), směrování, QoS atd. Myslíme si, že se k nim můžeme vrátit v některém z následujících příspěvků.
Možnosti přepínače
Rezervace – STP
STP – Spanning Tree Protocol. Protokol spanning tree je znám již velmi dlouho, díky respektovanému Radyi Perlmanovi. V moderních sítích se správci snaží všemi možnými způsoby vyhnout použití tohoto protokolu. Ano, STP není bez nevýhod. A je velmi dobré, když k tomu existuje alternativa. Jak se však často stává, alternativa k tomuto protokolu bude velmi záviset na prodejci. Proto dodnes zůstává Spanning Tree Protocol téměř jediným řešením, které podporují téměř všichni výrobci a znají ho také všichni správci sítí.
Přepínač TP-Link T2600G-28SQ podporuje tři verze STP: klasický STP (IEEE 802.1D), RSTP (802.1W) a MSTP (802.1S).
Z těchto možností je běžný RSTP docela vhodný pro většinu malých poskytovatelů internetu v Rusku, což má oproti klasické verzi jednu nepopiratelnou výhodu - výrazně kratší dobu konvergence.
Nejflexibilnějším protokolem současnosti je MSTP, který podporuje virtuální sítě (VLAN) a umožňuje několik různých stromů, což vám umožňuje využívat všechny dostupné cesty zálohování. Správce vytvoří několik různých stromových instancí (až osm), z nichž každá slouží specifické sadě virtuálních sítí.
Jemnosti MSTPZačínající administrátoři musí být při používání MSTP velmi opatrní. Důvodem je, že chování protokolu se v rámci regionu a mezi regiony liší. Proto se při konfiguraci přepínačů vyplatí zůstat ve stejné oblasti.
Co je to za notoricky známý region? Z hlediska MSTP je region sada vzájemně propojených přepínačů, které mají stejné vlastnosti: název regionu, číslo revize a distribuci virtuálních sítí (VLAN) mezi instancemi protokolu (instancemi).
Protokol Spanning Tree (jakákoli verze) vám samozřejmě umožňuje nejen řešit smyčky, které vznikají při připojování záložních kanálů, ale také chránit před chybami při přepínání kabelů, když technik úmyslně nebo neúmyslně připojí nesprávné porty a vytvoří smyčku se svými akce.
Zkušenější správci sítě dávají přednost použití různých dalších možností k ochraně protokolu STP před útoky nebo složitými katastrofickými situacemi. Model T2600G-28SQ nabízí celou řadu takových schopností: Loop Protect a Root Protect, TC Guard, BPDU Protect a BPDU Filter.
Správné použití výše uvedených možností ve spojení s dalšími podporovanými ochrannými mechanismy stabilizuje místní síť a učiní ji předvídatelnější.
Rezervace – MAS
MAS – Link Aggregation Group. Jedná se o technologii, která umožňuje spojit několik fyzických kanálů do jednoho logického. Všechny ostatní protokoly přestanou používat fyzické kanály zahrnuté v MAS samostatně a začnou „vidět“ jedno logické rozhraní. Příkladem takového protokolu je STP.
Uživatelský provoz je vyvážen mezi fyzickými kanály v rámci logických kanálů na základě hash součtu. K jeho výpočtu lze použít MAC adresy odesílatele, příjemce nebo jejich dvojice; stejně jako IP adresy odesílatele, příjemce nebo jejich dvojice. Informace protokolu vrstvy XNUMX (porty TCP/UDP) se neberou v úvahu.
Přepínač T2600G-28SQ podporuje statické a dynamické LAG.
K vyjednávání provozních parametrů dynamické skupiny se používá protokol LACP.
Zabezpečení – přístupové seznamy (ACL)
Náš přepínač T2600G-28SQ umožňuje filtrovat uživatelský provoz pomocí přístupových seznamů (ACL - Access Control List).
Podporované přístupové seznamy mohou být několika různých typů: MAC a IP (IPv4/IPv6), kombinované a také pro provádění filtrování obsahu. Počet každého podporovaného typu přístupového seznamu závisí na aktuálně používané šabloně SDM, kterou jsme popsali v jiné části.
Operátor může tuto možnost využít k blokování různého nežádoucího provozu v síti. Příkladem takového provozu mohou být pakety IPv6 (s použitím pole EtherType), pokud není poskytována odpovídající služba; nebo blokovat SMB na portu 445. V síti se statickým adresováním není provoz DHCP/BOOTP vyžadován, takže pomocí ACL může administrátor filtrovat UDP datagramy na portech 67 a 68. Pomocí ACL můžete také blokovat místní IPoE provoz. Takové blokování může být požadováno v sítích operátorů využívajících PPPoE.
Proces používání přístupových seznamů je velmi jednoduchý. Po vytvoření samotného seznamu je potřeba do něj přidat požadovaný počet záznamů, jejichž typ přímo závisí na přizpůsobovaném listu.
Nastavení přístupových seznamů
Stojí za zmínku, že přístupové seznamy mohou provádět nejen obvyklé operace povolení nebo zakázání provozu, ale také jej přesměrovat, zrcadlit a také provádět poznámky nebo omezení rychlosti.
Jakmile jsou všechny požadované ACL vytvořeny, může je správce nainstalovat. Přístupový seznam je možné připojit jak k přímému fyzickému portu, tak ke konkrétní virtuální síti.
Zabezpečení - počet MAC adres
Někdy operátoři potřebují omezit počet MAC adres, které se přepínač naučí na konkrétním portu. Přístupové seznamy umožňují dosáhnout zadaného efektu, ale zároveň vyžadují výslovné uvedení samotných MAC adres. Pokud potřebujete pouze omezit počet kanálových adres, ale nespecifikujete je explicitně, pomůže vám zabezpečení portu.
Takové omezení může být vyžadováno například pro ochranu před připojením celé místní sítě k jednomu rozhraní přepínače poskytovatele. Zde je vhodné zmínit, že mluvíme o vytáčeném připojení, protože při připojení pomocí routeru na straně klienta se T2600G-28SQ naučí pouze jednu adresu - to je MAC, která patří k WAN portu klientského routeru. .
Existuje celá třída útoků namířených proti přepínací tabulce. Může to být přetečení tabulky nebo podvržení MAC. Volba zabezpečení portu vám umožní chránit se před přetečením tabulky přemostění a útoky zaměřenými na záměrné přeškolení přepínače a otrávení jeho tabulky přemostění.
Nelze nezmínit jednoduše vadné klientské zařízení. Často dochází k situacím, kdy nefunkční počítačová síťová karta nebo router vytvoří proud rámců se zcela libovolnými adresami odesílatele a příjemce. Takový tok může snadno vypustit CAM.
Dalším způsobem, jak omezit počet použitých položek tabulky mostů, je nástroj MAC VLAN Security, který umožňuje správci určit maximální počet položek pro konkrétní virtuální síť.
Kromě správy dynamických položek v přepínací tabulce může administrátor vytvářet i statické.
Maximální tabulka mostu modelu T2600G-28SQ pojme až 16 tisíc záznamů.
Další možností určenou k filtrování přenosu uživatelského provozu je funkce Port Isolation, která umožňuje explicitně určit, kterým směrem je povoleno přesměrování.
Bezpečnost – IMPB
Na obrovských plochách naší rozlehlé vlasti se přístup telekomunikačních operátorů k otázkám zajištění bezpečnosti sítě liší od naprosté neznalosti až po maximální možné využití všech možností podporovaných zařízením.
Funkce IPv4 IMPB (IP-MAC-Port Binding) a IPv6 IMPB vám umožňují chránit se před celou řadou útoků souvisejících s falšováním IP a MAC adres ze strany předplatitelů vázáním IP a MAC adres klientského zařízení na rozhraní přepínače poskytovatele. Tuto vazbu lze provést ručně nebo pomocí funkcí ARP Scanning a DHCP Snooping.
Základní nastavení IMPB
Abychom byli spravedliví, je třeba říci, že k ochraně protokolu DHCP lze použít speciální funkci - DHCP Filter.
Pomocí této funkce může správce sítě ručně určit ta rozhraní, ke kterým jsou připojeny skutečné servery DHCP. Tím zabráníte tomu, aby nepoctivé servery DHCP zasahovaly do procesu vyjednávání IP.
Zabezpečení – DoS Defend
Zvažovaný model nám umožňuje chránit uživatele před několika nejznámějšími a dříve rozšířenými DoS útoky.
Většina vyjmenovaných útoků již není pro zařízení s moderními operačními systémy vůbec nebezpečná, ale stále se naše sítě mohou setkat s těmi, pro které byla provedena poslední aktualizace softwaru před mnoha lety.
podpora DHCP
Přepínač TP-Link T2600G-28SQ může fungovat jako server DHCP nebo jako relé a provádět různé filtrování zpráv DHCP, pokud jiné zařízení funguje jako server.
Nejjednodušší způsob, jak poskytnout uživatelům parametry IP, které potřebují k provozu, je použít vestavěný server DHCP přepínače. S jeho pomocí lze předplatitelům již poskytnout základní parametry.
Připojili jsme náš router Archer C6 SOHO k jednomu z rozhraní přepínače a ujistili jsme se, že klientské zařízení úspěšně přijalo adresu.
Vypadá to takto
Server DHCP zabudovaný do přepínače možná není tím nejškálovatelnějším a nejflexibilnějším řešením: chybí podpora nestandardních možností a neexistuje žádné spojení s IPAM. Pokud operátor vyžaduje větší kontrolu nad procesem distribuce IP adres, použije se vyhrazený server DHCP.
T2600G-28SQ umožňuje určit samostatný vyhrazený server DHCP pro každou uživatelskou podsíť, na kterou budou přesměrovány zprávy diskutovaného protokolu. Podsíť se vybírá zadáním příslušného rozhraní L3: VLAN (SVI), směrovaný port nebo port-kanál.
Abychom otestovali fungování relé, nakonfigurovali jsme samostatný router od jiného dodavatele, aby fungoval jako server DHCP, jehož nastavení jsou uvedena níže.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Klientský směrovač znovu úspěšně získal IP adresu.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticPod spoilerem – obsah zachyceného paketu mezi přepínačem a vyhrazeným DHCP serverem.
Obsah balení
Je třeba poznamenat, že přepínač podporuje možnost 82. Když je povoleno, přepínač přidá informace o uživatelském rozhraní, ze kterého byla přijata zpráva DHCP Discover. Model T2600G-28SQ navíc umožňuje konfigurovat politiku pro zpracování přidaných informací při vkládání volby č. 82. Přítomnost podpory této možnosti může být užitečná v situaci, kdy je třeba, aby účastník dostal stejnou IP adresu, bez ohledu na to, jaké ID klienta o sobě klient hlásí.
Obrázek níže ukazuje zprávu DHCP Discover (odeslanou přenosem) s přidanou volbou č. 82.
Zpráva s možností č. 82
Volbu č. 82 můžete samozřejmě spravovat i bez nastavování plnohodnotného DHCP relé, odpovídající nastavení je uvedeno v podsekci „DHCP L2 Relay“.
Nyní změňme nastavení serveru DHCP, abychom ukázali, jak možnost č. 82 funguje.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticTakhle
Funkce relé DHCP rozhraní se bude hodit v situaci, kdy má switch nejen L3 rozhraní připojené ke konkrétní síti, ale toto rozhraní má i IP adresu. Pokud na takovém rozhraní není žádná adresa, přispěje k záchraně funkce DHCP VLAN relay. Informace o podsíti se v tomto případě přebírají z výchozího rozhraní, to znamená, že adresní prostory v několika virtuálních sítích budou stejné (překrývají se).
Operátoři také často potřebují chránit předplatitele před chybnou nebo zlomyslnou aktivací serveru DHCP na klientském zařízení. Tuto funkci jsme se rozhodli probrat v jedné ze sekcí věnovaných bezpečnostním otázkám.
IEEE 802.1X
Jedním ze způsobů ověřování uživatelů v síti je použití protokolu IEEE 802.1X. Obliba tohoto protokolu v sítích telekomunikačních operátorů v Rusku již klesá, stále se používá především v tamních sítích velkých společností k autentizaci interních uživatelů organizace. Přepínač T2600G-28SQ má podporu 802.1X, takže jej poskytovatel může v případě potřeby snadno použít.
Aby protokol IEEE 802.1X fungoval, jsou zapotřebí tři účastníci: klientské zařízení (žadatel), přepínač přístupu poskytovatele (autentizátor) a ověřovací servery (obvykle servery RADIUS).
Základní konfigurace na straně operátora je velmi jednoduchá. Stačí zadat IP adresu použitého serveru RADIUS, na kterém bude databáze uživatelů uložena, a také vybrat rozhraní, pro která je vyžadována autentizace.
Základní nastavení 802.1X
Drobná konfigurace je také vyžadována na straně klienta. Všechny moderní operační systémy již obsahují potřebný software. V případě potřeby si ale můžete nainstalovat a používat TP-Link 802.1x Client – aplikaci, která vám umožní ověřit klienta v síti.
Při přímém připojení PC uživatele do sítě poskytovatele musí být aktivováno nastavení ověřování pro síťovou kartu použitou pro připojení.
V současnosti však není obvykle přímo připojen k síti operátora počítač uživatele, ale SOHO router, který zajišťuje fungování lokální sítě účastníka (jak drátových, tak bezdrátových segmentů). V tomto případě musí být všechna nastavení protokolu 802.1X provedena přímo na routeru.
Zdá se nám, že tento způsob autentizace byl v sítích operátorů nezaslouženě zapomenut. Ano, striktní vazba účastníka na port přepínače může být jednodušším řešením z pohledu nastavení uživatelského zařízení. Pokud je však nutné použít přihlašovací jméno a heslo, pak 802.1X nebude tak těžký protokol ve srovnání s připojeními používanými na základě tunelů PPTP/L2TP/PPPoE.
Vložení PPPoE ID
Mnoho uživatelů nejen u nás, ale po celém světě stále preferuje používání extrémně jednoduchých hesel. A případy krádeže pověření, bohužel, nejsou neobvyklé. Pokud operátor používá ve své síti protokol PPPoE k ověřování uživatelů, pak přepínač TP-Link T2600G-28SQ pomůže vyřešit problém spojený s únikem přihlašovacích údajů. Toho je dosaženo přidáním speciálního štítku ke zprávě PPPoE Active Discovery. Poskytovatel tak může autentizovat účastníka nejen přihlašovacím jménem a heslem, ale také dalšími údaji. Tato další data zahrnují MAC adresu klientského zařízení a také rozhraní přepínače, ke kterému je připojeno.
Někteří operátoři chtějí v zásadě odepřít účastníkovi (páru přihlašovacího jména a hesla) možnost navigace v síti. I v tomto případě pomůže funkce PPPoE ID Insertion.
IGMP
Protokol IGMP (Internet Group Management Protocol) existuje již desítky let. Jeho popularita je celkem pochopitelná a snadno vysvětlitelná. Ale na interakci IGMP se podílejí dvě strany: PC uživatele (nebo jakékoli jiné zařízení, například STB) a IP router obsluhující konkrétní segment sítě. Switche se této výměny nijak neúčastní. Pravda, poslední tvrzení není úplně pravdivé. Nebo v moderních sítích to vůbec není pravda. Přepínače podporují IGMP pro optimalizaci předávání vícesměrového provozu. Switch v něm naslouchajícím uživatelskému provozu detekuje zprávy IGMP Report, s jejichž pomocí určí porty pro přesměrování multicastového provozu. Popsaná možnost se nazývá IGMP Snooping.
Podporu protokolu IGMP lze využít nejen k optimalizaci provozu jako takového, ale také k určení účastníků, kterým lze poskytovat určitou službu, například IPTV. Požadovaného cíle dosáhnete buď ručním nastavením parametrů filtrování, nebo pomocí autentizace.
Podpora multicastového provozu na přepínačích TP-Link je implementována poměrně flexibilně. Všechny parametry lze například nastavit pro každou virtuální síť zvlášť.
Pokud je k jednomu rozhraní směrovače připojeno více podsítí obsahujících příjemce vícesměrového provozu, bude tento směrovač nucen posílat více kopií paketů přes toto rozhraní (jednu pro každou virtuální síť).
V tomto případě můžete optimalizovat postup pro předávání multicastového provozu pomocí technologie MVR – Multicast VLAN Registration.
Podstatou řešení je vytvoření jedné virtuální sítě, která spojuje všechny příjemce. Tato virtuální síť se však používá pouze pro multicastový provoz. Tento přístup umožňuje routeru posílat pouze jednu kopii multicastového provozu přes rozhraní.
DDM, OAM a DLDP
DDM – Digital Diagnostic Monitoring. Při provozu optických modulů je často nutné sledovat stav modulu samotného a také optického kanálu, ke kterému je připojen. Funkce DDM vám pomůže tento úkol zvládnout. S jeho pomocí budou operátoři schopni sledovat teplotu každého modulu podporujícího tuto funkcionalitu, jeho napětí a proud a také výkon odesílaných a přijímaných optických signálů.
Nastavení prahových úrovní pro výše popsané parametry vám umožní vygenerovat událost, pokud spadají mimo přijatelný rozsah.
Nastavení prahů odezvy DDM
Správce samozřejmě může zobrazit aktuální hodnoty zadaných parametrů.
Přepínač TP-Link T2600G-28SQ má aktivní systém chlazení vzduchem. Navíc jsme se nikdy nesetkali s přehříváním SFP modulů v našich switchích kvůli hustotě portů. Pokud však čistě teoreticky je taková možnost povolena (například kvůli nějakému problému uvnitř SFP modulu), pak bude pomocí DDM správce okamžitě upozorněn na potenciálně nebezpečnou situaci. Nebezpečí zde samozřejmě není pro samotný přepínač, ale pro diodu/laser uvnitř SFP, protože jak se jeho teplota zvyšuje, výkon emitovaného optického signálu může degradovat, což povede ke snížení optického rozpočtu.
Zde stojí za zmínku, že přepínače TP-Link nemají „funkci uzamčení dodavatele“, to znamená, že jsou podporovány všechny kompatibilní moduly SFP, což bude samozřejmě velmi výhodné pro správce sítě.
OAM – Provoz, správa a údržba (IEEE 802.3ah). OAM je protokol druhé vrstvy modelu OSI určený pro monitorování a odstraňování problémů ethernetových sítí. Pomocí tohoto protokolu může přepínač monitorovat výkon konkrétního připojení a chyby a generovat výstrahy, aby správce sítě mohl spravovat síť efektivněji.
Základní nastavení OAM
Funkční detaily OAMDvě sousední zařízení s podporou OAM si pravidelně vyměňují zprávy odesíláním OAMPDU, které se dodávají ve třech typech: Informační, Upozorňování na události a Řízení zpětné smyčky. Pomocí informačních OAMPDU si sousední přepínače posílají statistické informace a také data definovaná správcem. Tento typ zpráv se také používá k udržování spojení prostřednictvím protokolu OAM. Zprávy s upozorněním na události používá funkce monitorování připojení k upozornění druhé strany, že došlo k selhání. Zprávy Loopback Control se používají k detekci smyčky na lince.
Níže jsme se rozhodli uvést hlavní funkce poskytované protokolem OAM:
- monitorování prostředí (detekce a počítání rozbitých snímků),
- RFI – Remote Failure Indication (odeslání upozornění na poruchu na kanálu),
- Remote Loopback (testování kanálu pro měření latence, kolísání zpoždění (jitter), počtu ztracených snímků).
Další možností, která je u optických přepínačů požadována, je schopnost detekovat problémy na komunikačním kanálu, což vede k tomu, že se kanál stane simplexním, to znamená, že data lze posílat pouze jedním směrem. Naše přepínače používají k detekci jednosměrných spojení protokol DLDP - Device Link Detection Protocol. Abychom byli spravedliví, stojí za zmínku, že protokol DLDP je podporován na optických i měděných rozhraních, ale podle našeho názoru bude nejoblíbenější při použití optických linek.
Při detekci jednosměrné linky může switch automaticky vypnout problematické rozhraní, což povede k přebudování STP stromu a použití záložních komunikačních kanálů.
V našem arzenálu jsou SFP moduly, které přijímají a vysílají signály přes jedno vlákno. Fungují výhradně ve dvojicích a pro přenos v rámci dvojice využívají optické signály na různých vlnových délkách. Příkladem je dvojice TL-SM321A a TL-SM321B. Při použití takových modulů povede poškození jednoho vlákna k úplné nefunkčnosti celého optického kanálu. I na takových kanálech však bude vyžadován protokol DLDP, protože i když k tomu dochází velmi zřídka, kanál může mít různé charakteristiky průhlednosti pro různé vlnové délky. Pravděpodobnějším problémem je, že průhlednost kanálu se mění v závislosti na směru šíření světla. Reflektogram pomůže odhalit tyto problémy, ale to je úplně jiný příběh.
LLDP
Ve velkých podnikových či operátorských sítích se periodicky objevují problémy se zastaralostí síťové dokumentace nebo nepřesností při její přípravě. Správce sítě se může dostat do situace, kdy je potřeba zjistit, jaké operátorské zařízení je vlastně připojeno ke konkrétnímu rozhraní přepínače. Na pomoc přijde protokol LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).
Provozní parametry LLDP
Naše přepínače podporují protokol LLDP nejen k odhalení sousedních přepínačů nebo jiných síťových zařízení, ale také k určení jejich schopností.
Měděné protějšky našeho přepínače mohou použít LLDP-MED ke zjednodušení postupu pro připojení IP telefonů. Pomocí této možnosti může přepínač PoE vyjednávat parametry napájení s napájeným zařízením. O tom jsme již v jednom z našich mluvili poměrně podrobně .
SDM a nadměrné předplatné
Téměř všechny moderní přepínače zpracovávají procházející rámce a pakety bez použití centrálního procesoru. Zpracování (výpočet kontrolních součtů, aplikace přístupových seznamů a provádění dalších bezpečnostních kontrol, stejně jako rozhodování o přepínání/směrování) se provádí pomocí specializovaných čipů, což umožňuje vysoké přenosové rychlosti uživatelského provozu. Diskutovaný přepínač umožňuje zpracování provozu střední rychlostí. To znamená, že výkon zařízení je dostatečný pro odesílání dat nejvyšší možnou rychlostí na všech portech současně. Model T2600G-28SQ má 24 downlinkových portů (směrem k uživatelům), pracujících rychlostí 1 Gbit/s, a také 4 uplink porty (směrem k jádru sítě) 10 Gbit/s. Výkon switch cross-bus je přitom 128 Gbit/s, což stačí na zpracování maximálního množství příchozího provozu.
Abychom byli spravedliví, stojí za zmínku, že výkon přepínací matice je 95,2 milionů paketů za sekundu. Čili při použití minimálních možných rámců o délce pouhých 64 bajtů bude celkový výkon zařízení 97,5 Gbit/s. Takový dopravní profil je však pro sítě telekomunikačních operátorů téměř nemožný.
Co je nadměrné předplatnéDalší důležitou otázkou je poměr rychlostí upstream a downstream kanálů (oversubscription). Zde samozřejmě vše závisí na topologii. Pokud správce využije všech čtyř 10 GE rozhraní pro připojení k jádru sítě a zkombinuje je pomocí technologie LAG (Link Aggregation Group) nebo Port-Channel, pak bude statisticky získaná rychlost směrem k jádru 40 Gbit/s, což bude více než dost k uspokojení potřeb všech připojených účastníků. Navíc není nutné, aby se všechny čtyři uplinky připojovaly k jednomu fyzickému zařízení. Připojení lze provést ke stohu přepínačů nebo ke dvěma zařízením spojeným do clusteru (pomocí technologie vPC nebo podobně). V tomto případě nedochází k nadměrnému odběru.
Všechny čtyři uplinky můžete používat současně nejen jejich kombinací pomocí LAG. Podobného efektu lze dosáhnout správnou konfigurací MSTP, ale to je úplně jiný příběh.
Druhou běžně používanou metodou připojení L2 je použití dvou nezávislých LAG (jedna pro každý agregační přepínač). V tomto případě bude s největší pravděpodobností jedna z virtuálních linek blokována protokolem STP (při použití STP nebo RSTP). Předplatné bude 5:6.
Vzácnější, ale stále docela pravděpodobná situace: T2600G-28SQ je připojen nezávislými kanály k upstream přepínači nebo přepínačům. Protokol STP/RSTP ponechá pouze jednu takovou linku v odblokovaném stavu. Předplatné bude 5:12.
Úkol s hvězdičkou: vypočítat nadměrné předplatné pro situace popsané v části STP, kde jsme se podívali na příklad topologie, kdy jsou dva přístupové přepínače připojeny ke stejnému agregačnímu zařízení a vzájemně propojeny.
Programovatelné čipy, které umožňují tak vysoké přenosové rychlosti, jsou poměrně drahým zdrojem, takže se snažíme jejich využití optimalizovat správnou distribucí zdrojů mezi různé funkce. Za distribuci odpovídá SDM - Switch Database Management.
Rozdělení je provedeno pomocí SDM profilu. V současné době jsou k dispozici tři profily, které jsou uvedeny níže.
- Výchozí nabízí vyvážené řešení pro používání přístupových seznamů MAC a IP a také položek detekce ARP.
- EnterpriseV4 vám umožňuje maximalizovat zdroje dostupné pro použití přístupovými seznamy MAC a IP.
- EnterpriseV6 přiděluje některé prostředky pro použití přístupovými seznamy IPv6.
Chcete-li použít nový profil, musí být přepínač restartován.
Závěr
V souladu s výchozím umístěním je tento přepínač nejvhodnější pro telekomunikační operátory, kteří stojí před úkolem poskytovat přístup k síti na velké vzdálenosti. Zařízení lze použít jak na úrovni přístupu, například v chatových osadách a městských domech, tak pro agregaci kanálů přicházejících z přístupových spínačů umístěných v bytových domech; tedy všude tam, kde je vyžadováno připojení ke vzdáleným objektům. Při použití optických komunikačních kanálů může být připojený účastník umístěn na vzdálenost až několika kilometrů.
Na straně klienta mohou být optické spoje zakončeny na malých přepínačích s optickými rozhraními nebo na media konvertorech.
Velké množství podporovaných protokolů a možností umožní T2600G-28SQ používat v ethernetové síti operátora s libovolnou topologií a libovolnou sadou používaných technologií a poskytovaných služeb. Přepínač je řízen vzdáleně pomocí webového rozhraní nebo příkazového řádku. Pokud je nutná lokální konfigurace, můžete použít konzolový port, model T2600G-28SQ má dva z nich: RJ-45 a micro-USB. Jako malou mouchu si všimneme chybějící podpory pro stohování a druhého napájení. Pravda, obvykle mimo datová centra poskytovatelů bude přítomnost druhého elektrického vedení vzácná.
Mezi jeho přednosti patří nízká cena, velký počet účastnických optických portů, přítomnost 10 GE optických uplinků a také čtyři kombinované porty a směrování provozu střední rychlostí.
Zdroj: www.habr.com