La expansión de las grandes ciudades y la formación de aglomeraciones es una de las tendencias importantes del desarrollo social actual. Sólo Moscú debería ampliar 2019 millones de metros cuadrados de viviendas en 4 (y esto sin contar los 15 asentamientos que se añadirán hasta 2020). En todo este vasto territorio, los operadores de telecomunicaciones deberán proporcionar a los usuarios acceso a Internet. Pueden ser microdistritos urbanos con densos edificios de varios pisos o aldeas rurales más "descargadas". Para estos casos, los requisitos de hardware son ligeramente diferentes. Analizamos cada uno de estos escenarios y creamos un modelo de conmutador óptico universal: T2600G-28SQ. En este post analizaremos en detalle las capacidades del dispositivo que será de interés para los operadores de telecomunicaciones de toda Rusia.
Colocar en la red
El conmutador T2600G-28SQ está diseñado tanto para funcionar en el nivel de acceso de la red como para agregar enlaces de otros conmutadores de nivel de acceso. Este es un conmutador de capa 2600 que realiza conmutación y enrutamiento estático. Si el operador ha cambiado tanto la agregación como el acceso (enrutamiento solo en el núcleo de la red), el T28G-XNUMXSQ encajará en cualquiera de los niveles. En el caso de la agregación enrutada dinámicamente, aún es necesario tener en cuenta algunas restricciones en los casos de uso.
El modelo T2600G-28SQ es un conmutador Ethernet activo completo sin restricciones adicionales que aparecen cuando se utiliza xPON o tecnologías similares. Por ejemplo, sin la amenaza de una fuerte caída de la velocidad con un aumento en el número de usuarios o una mala compatibilidad entre equipos de diferentes proveedores y firmware. Tanto los usuarios finales como los conmutadores de acceso subyacentes con enlaces ascendentes ópticos, por ejemplo, el modelo T2600G-28TS, pueden conectarse a las interfaces del dispositivo. El siguiente diagrama muestra los ejemplos más comunes de este tipo de conexiones.
Para acceder a la red del usuario final se puede utilizar fibra óptica o cable de par trenzado. En el lado del suscriptor, la fibra óptica se puede terminar utilizando un convertidor de medios (convertidor de medios), por ejemplo, TP-Link MC220L; y utilizando la interfaz óptica en un enrutador SOHO.
Para conectar un cliente cercano, puede utilizar cuatro puertos RJ-45 que funcionan a velocidades de 10/100/1000 Mbit/s. Si por alguna razón esto no es suficiente, el operador puede "convertir" las interfaces ópticas del conmutador a cobre. Esto se puede hacer utilizando SFP de “cobre” especializados con un conector RJ-45. Pero tal solución no puede considerarse típica.
Algunos ejemplos de la práctica.
Para completar la imagen, daremos varios ejemplos del uso de los conmutadores T2600G-28SQ.
Proveedor de la región de Moscú , que, además de Internet, brinda servicios de telefonía y televisión por cable, utiliza el T2600G-28SQ en el nivel de acceso al construir redes en el sector privado (cabañas y casas adosadas). Del lado del cliente, la conexión se realiza a enrutadores con puerto SFP, así como a conversores de medios. Por el momento, los routers SOHO con puerto SFP no se producen en masa en nuestro país, pero, por supuesto, lo estamos pensando.
Operador de telecomunicaciones de la región de Pavlovo-Posad utiliza conmutadores T2600G-28SQ como una "pequeña agregación", utilizando conmutadores de los modelos T2600G-28TS y T2500G-10TS para el acceso.
Grupo de empresas Proporcionar acceso a Internet, TV, telefonía y sistemas de videovigilancia en el sureste de la región de Moscú (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). La topología aproximada aquí es la misma que la de la ISS: T2600G-28SQ en el nivel de agregación y T2600G-28TS y T2500G-10TS en el nivel de acceso.
Proveedor de Krasnoznamensk proporciona acceso a Internet mediante una red con profunda penetración óptica. También se basa en el T2600G-28SQ.
En las siguientes secciones describiremos brevemente algunas de las características del T2600G-28SQ. Para no sobrecargar el material, omitimos una serie de opciones: QinQ (VLAN VPN), enrutamiento, QoS, etc. Creemos que podemos volver a ellas en una de las siguientes publicaciones.
Capacidades de conmutación
Reserva – STP
STP: protocolo de árbol de expansión. El protocolo del árbol de expansión se conoce desde hace mucho tiempo, gracias al respetado Radya Perlman. En las redes modernas, los administradores intentan por todos los medios evitar el uso de este protocolo. Sí, STP no está exento de inconvenientes. Y es muy bueno si hay una alternativa. Sin embargo, como suele ocurrir, la alternativa a este protocolo dependerá en gran medida del proveedor. Por lo tanto, hasta el día de hoy, el protocolo Spanning Tree sigue siendo casi la única solución compatible con casi todos los fabricantes y también conocida por todos los administradores de red.
El conmutador TP-Link T2600G-28SQ admite tres versiones de STP: STP clásico (IEEE 802.1D), RSTP (802.1W) y MSTP (802.1S).
De estas opciones, el RSTP normal es bastante adecuado para la mayoría de los pequeños proveedores de Internet en Rusia, que tiene una ventaja innegable sobre la versión clásica: un tiempo de convergencia significativamente más corto.
El protocolo más flexible hoy en día es MSTP, que admite redes virtuales (VLAN) y permite varios árboles diferentes, lo que le permite utilizar todas las rutas de respaldo disponibles. El administrador crea varias instancias de árbol diferentes (hasta ocho), cada una de las cuales sirve a un conjunto específico de redes virtuales.
Sutilezas de MSTPLos administradores novatos deben tener mucho cuidado al utilizar MSTP. Esto se debe a que el comportamiento del protocolo difiere dentro de una región y entre regiones. Por lo tanto, al configurar conmutadores, vale la pena asegurarse de permanecer dentro de la misma región.
¿Qué es esta notoria región? En términos de MSTP, una región es un conjunto de conmutadores conectados entre sí que tienen las mismas características: nombre de región, número de revisión y distribución de redes virtuales (VLAN) entre instancias de protocolo (instancias).
Por supuesto, el protocolo Spanning Tree (cualquier versión) le permite no solo lidiar con los bucles que surgen al conectar canales de respaldo, sino también proteger contra errores de conmutación de cables cuando un ingeniero conecta intencionalmente o no los puertos incorrectos, creando un bucle con su comportamiento.
Los administradores de red más experimentados prefieren utilizar una variedad de opciones adicionales para proteger el protocolo STP de ataques o situaciones de desastre complejas. El modelo T2600G-28SQ ofrece una amplia gama de capacidades: Loop Protect y Root Protect, TC Guard, BPDU Protect y BPDU Filter.
El uso adecuado de las opciones enumeradas anteriormente junto con otros mecanismos de protección compatibles estabilizará la red local y la hará más predecible.
Reserva – LAG
LAG – Grupo de agregación de enlaces. Esta es una tecnología que le permite combinar varios canales físicos en uno lógico. Todos los demás protocolos dejan de utilizar los canales físicos incluidos en el LAG por separado y comienzan a "ver" una interfaz lógica. Un ejemplo de tal protocolo es STP.
El tráfico de usuarios se equilibra entre canales físicos dentro de canales lógicos en función de la suma hash. Para calcularlo se pueden utilizar las direcciones MAC del remitente, del destinatario o de un par de ellas; así como las direcciones IP del remitente, del destinatario o de un par de ellos. No se tiene en cuenta la información del protocolo de capa XNUMX (puertos TCP/UDP).
El conmutador T2600G-28SQ admite LAG estáticos y dinámicos.
Para negociar los parámetros operativos de un grupo dinámico se utiliza el protocolo LACP.
Seguridad: listas de acceso (ACL)
Nuestro switch T2600G-28SQ le permite filtrar el tráfico de usuarios mediante listas de acceso (ACL - Access Control List).
Las listas de acceso admitidas pueden ser de varios tipos diferentes: MAC e IP (IPv4/IPv6), combinadas, y también para realizar filtrado de contenidos. El número de cada tipo de lista de acceso admitido depende de la plantilla SDM actualmente en uso, que describimos en otra sección.
El operador puede utilizar esta opción para bloquear diversos tráficos no deseados en la red. Un ejemplo de dicho tráfico serían los paquetes IPv6 (utilizando el campo EtherType) si no se proporciona el servicio correspondiente; o bloquear SMB en el puerto 445. En una red con direccionamiento estático, no se requiere tráfico DHCP/BOOTP, por lo que al usar una ACL, el administrador puede filtrar datagramas UDP en los puertos 67 y 68. También puede bloquear el tráfico IPoE local usando una ACL. Este bloqueo puede ser necesario en las redes de operadores que utilizan PPPoE.
El proceso de uso de listas de acceso es extremadamente sencillo. Después de crear la lista, debe agregarle la cantidad requerida de registros, cuyo tipo depende directamente de la hoja que se está personalizando.
Configurar listas de acceso
Vale la pena señalar que las listas de acceso pueden realizar no sólo las operaciones habituales de permitir o denegar tráfico, sino también redirigirlo, duplicarlo y también realizar comentarios o limitación de velocidad.
Una vez que se hayan creado todas las ACL necesarias, el administrador puede instalarlas. Es posible adjuntar una lista de acceso tanto a un puerto físico directo como a una red virtual específica.
Seguridad: número de direcciones MAC
A veces, los operadores necesitan limitar la cantidad de direcciones MAC que un conmutador aprenderá en un puerto específico. Las listas de acceso le permiten lograr el efecto especificado, pero al mismo tiempo requieren una indicación explícita de las direcciones MAC. Si solo necesita limitar la cantidad de direcciones de canal, pero no especificarlas explícitamente, la seguridad del puerto vendrá al rescate.
Tal restricción puede ser necesaria, por ejemplo, para proteger contra la conexión de una red local completa a una interfaz de conmutador de proveedor. Vale la pena mencionar aquí que estamos hablando de una conexión de acceso telefónico, porque cuando se conecta usando un enrutador en el lado del cliente, el T2600G-28SQ aprenderá solo una dirección: esta es la MAC que pertenece al puerto WAN del enrutador del cliente. .
Existe toda una clase de ataques dirigidos contra la mesa de cambio. Esto podría ser un desbordamiento de la tabla o una suplantación de MAC. La opción de seguridad del puerto le permitirá protegerse contra el desbordamiento de la mesa puente y los ataques destinados a volver a entrenar deliberadamente el conmutador y envenenar su mesa puente.
Es imposible no mencionar simplemente el equipo cliente defectuoso. A menudo hay situaciones en las que una tarjeta de red informática o un enrutador que no funciona correctamente crea un flujo de tramas con direcciones de remitente y destinatario completamente arbitrarias. Un flujo de este tipo puede drenar fácilmente la CAM.
Otra forma de limitar la cantidad de entradas de la tabla puente utilizadas es la herramienta MAC VLAN Security, que permite a un administrador especificar la cantidad máxima de entradas para una red virtual específica.
Además de gestionar entradas dinámicas en la tabla de conmutación, el administrador también puede crear entradas estáticas.
La mesa puente máxima del modelo T2600G-28SQ puede acomodar hasta 16K registros.
Otra opción diseñada para filtrar la transmisión del tráfico de usuarios es la función de aislamiento de puertos, que le permite especificar explícitamente en qué dirección se permite el reenvío.
Seguridad – IMPB
En las vastas extensiones de nuestra vasta patria, el enfoque de los operadores de telecomunicaciones hacia las cuestiones de garantizar la seguridad de la red varía desde el completo desconocimiento hasta el máximo uso posible de todas las opciones admitidas por el equipo.
Las funciones IPv4 IMPB (IP-MAC-Port Binding) e IPv6 IMPB le permiten protegerse contra una amplia gama de ataques relacionados con la suplantación de direcciones IP y MAC por parte de los suscriptores vinculando las direcciones IP y MAC del equipo cliente a la interfaz del conmutador del proveedor. Esta vinculación se puede realizar manualmente o utilizando las funciones de escaneo ARP y DHCP Snooping.
Configuraciones básicas de IMPB
Para ser justos, hay que decir que se puede utilizar una función especial para proteger el protocolo DHCP: el filtro DHCP.
Con esta función, el administrador de la red puede especificar manualmente aquellas interfaces a las que están conectados los servidores DHCP reales. Esto evitará que servidores DHCP no autorizados interfieran con el proceso de negociación de IP.
Seguridad – Defensa DoS
El modelo considerado nos permite proteger a los usuarios de varios de los ataques DoS más conocidos y extendidos anteriormente.
La mayoría de los ataques enumerados ya no son peligrosos para los dispositivos con sistemas operativos modernos, pero nuestras redes aún pueden encontrar aquellos cuya última actualización de software se realizó hace muchos años.
soporte DHCP
El conmutador TP-Link T2600G-28SQ puede actuar como servidor o relé DHCP y realizar varios filtrados de mensajes DHCP si otro dispositivo actúa como servidor.
La forma más sencilla de proporcionar a los usuarios los parámetros IP que necesitan para operar es utilizar el servidor DHCP integrado en el conmutador. Con su ayuda, ya se pueden proporcionar los parámetros básicos a los suscriptores.
Conectamos nuestro enrutador Archer C6 SOHO a una de las interfaces del conmutador y nos aseguramos de que el dispositivo cliente recibiera correctamente una dirección.
Se parece a esto
El servidor DHCP integrado en el conmutador quizás no sea la solución más escalable y flexible: no admite opciones no estándar y no hay conexión con IPAM. Si el operador requiere más control sobre el proceso de distribución de direcciones IP, entonces se utilizará un servidor DHCP dedicado.
T2600G-28SQ le permite especificar un servidor DHCP dedicado independiente para cada subred de usuario al que se redireccionarán los mensajes del protocolo en cuestión. La subred se selecciona especificando la interfaz L3 adecuada: VLAN (SVI), puerto enrutado o canal de puerto.
Para probar el funcionamiento del relé, configuramos un enrutador separado de otro proveedor para que funcione como servidor DHCP, cuyas configuraciones se presentan a continuación.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8El enrutador del cliente ha obtenido nuevamente con éxito una dirección IP.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticDebajo del spoiler se encuentra el contenido del paquete interceptado entre el conmutador y un servidor DHCP dedicado.
Contenido del paquete
Cabe señalar que el conmutador admite la opción 82. Cuando está habilitado, el conmutador agregará información sobre la interfaz de usuario desde la cual se recibió el mensaje DHCP Discover. Además, el modelo T2600G-28SQ permite configurar la política de procesamiento de información agregada al insertar la opción No. 82. La presencia de soporte para esta opción puede ser útil en una situación en la que el suscriptor necesita recibir la misma dirección IP, independientemente del ID de cliente que el cliente informe sobre sí mismo.
La siguiente figura muestra un mensaje DHCP Discover (enviado por retransmisión) con la opción No. 82 agregada.
Mensaje con opción No. 82
Por supuesto, puede administrar la opción No. 82 sin configurar un relé DHCP completo, las configuraciones correspondientes se presentan en la subsección "Relé DHCP L2".
Ahora cambiemos la configuración del servidor DHCP para demostrar cómo funciona la opción No. 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticEso es sobre
La función de retransmisión de interfaz DHCP será útil en una situación en la que el conmutador no solo tiene una interfaz L3 conectada a una red específica, sino que esta interfaz también tiene una dirección IP. Si no hay una dirección en dicha interfaz, la función de retransmisión DHCP VLAN acudirá al rescate. La información sobre la subred en este caso se toma de la interfaz predeterminada, es decir, los espacios de direcciones en varias redes virtuales serán los mismos (se superpondrán).
A menudo, los operadores también necesitan proteger a los suscriptores de una activación errónea o maliciosa del servidor DHCP en el equipo del cliente. Decidimos discutir esta funcionalidad en una de las secciones dedicadas a cuestiones de seguridad.
IEEE802.1X
Una forma de autenticar usuarios en una red es utilizar el protocolo IEEE 802.1X. La popularidad de este protocolo en las redes de los operadores de telecomunicaciones en Rusia ya está en declive; todavía se utiliza principalmente en las redes locales de grandes empresas para autenticar a los usuarios internos de la organización. El conmutador T2600G-28SQ es compatible con 802.1X, por lo que el proveedor puede utilizarlo fácilmente si es necesario.
Para que funcione el protocolo IEEE 802.1X, se requieren tres participantes: el equipo del cliente (suplicante), el conmutador de acceso del proveedor (autenticador) y los servidores de autenticación (generalmente servidores RADIUS).
La configuración básica por parte del operador es extremadamente sencilla. Solo necesita especificar la dirección IP del servidor RADIUS utilizado, en el que se almacenará la base de datos del usuario, y también seleccionar las interfaces para las que se requiere autenticación.
Configuración básica de 802.1X
También se requiere una configuración menor en el lado del cliente. Todos los sistemas operativos modernos ya contienen el software necesario. Pero si es necesario, puede instalar y utilizar TP-Link 802.1x Client, una aplicación que le permite autenticar el cliente en la red.
Al conectar la PC de un usuario directamente a la red del proveedor, se deben activar las configuraciones de autenticación para la tarjeta de red utilizada para la conexión.
Sin embargo, en la actualidad, no es el ordenador del usuario el que suele estar conectado directamente a la red del operador, sino un enrutador SOHO que garantiza el funcionamiento de la red local del abonado (tanto del segmento cableado como inalámbrico). En este caso, todas las configuraciones del protocolo 802.1X deben realizarse directamente en el enrutador.
Nos parece que este método de autenticación ha sido olvidado inmerecidamente en las redes de los operadores. Sí, vincular estrictamente un suscriptor a un puerto de conmutador puede ser una solución más sencilla desde el punto de vista de la configuración del equipo del usuario. Pero si es necesario el uso de un nombre de usuario y una contraseña, entonces 802.1X no será un protocolo tan pesado en comparación con las conexiones utilizadas basadas en túneles PPTP/L2TP/PPPoE.
Inserción de identificación PPPoE
Muchos usuarios no sólo en nuestro país, sino en todo el mundo todavía prefieren utilizar contraseñas extremadamente simples. Y los casos de robo de credenciales, lamentablemente, no son infrecuentes. Si el operador utiliza el protocolo PPPoE en su red para autenticar a los usuarios, entonces el conmutador TP-Link T2600G-28SQ ayudará a resolver el problema asociado con la fuga de credenciales. Esto se logra agregando una etiqueta especial al mensaje PPPoE Active Discovery. De esta forma, el proveedor puede autenticar al suscriptor no sólo mediante nombre de usuario y contraseña, sino también mediante datos adicionales. Estos datos adicionales incluyen la dirección MAC del dispositivo cliente, así como la interfaz del conmutador al que está conectado.
Algunos operadores, en principio, quieren negar al suscriptor (un par de nombre de usuario y contraseña) la posibilidad de navegar por la red. La función de inserción de ID PPPoE también ayudará en este caso.
IGMP
El IGMP (Protocolo de gestión de grupos de Internet) existe desde hace décadas. Su popularidad es bastante comprensible y fácilmente explicable. Pero hay dos partes involucradas en la interacción IGMP: la PC del usuario (o cualquier otro dispositivo, por ejemplo, un STB) y el enrutador IP que atiende a un segmento de red específico. Los Switches no participan en este intercambio de ninguna manera. Es cierto que la última afirmación no es del todo cierta. O en las redes modernas esto no es así en absoluto. Los conmutadores admiten IGMP para optimizar el reenvío del tráfico de multidifusión. Al escuchar el tráfico de los usuarios, el conmutador detecta los mensajes de informe IGMP que contiene, con la ayuda de los cuales determina los puertos para reenviar el tráfico de multidifusión. La opción descrita se llama IGMP Snooping.
La compatibilidad con el protocolo IGMP se puede utilizar no solo para optimizar el tráfico como tal, sino también para determinar los suscriptores a quienes se les puede proporcionar un determinado servicio, por ejemplo, IPTV. Puede lograr el objetivo deseado configurando manualmente los parámetros de filtrado o utilizando la autenticación.
El soporte para tráfico de multidifusión en conmutadores TP-Link se implementa de manera bastante flexible. Por ejemplo, todos los parámetros se pueden configurar para cada red virtual por separado.
Si varias subredes que contienen destinatarios de tráfico de multidifusión están conectadas a una interfaz de enrutador, ese enrutador se verá obligado a enviar varias copias de paquetes a través de esa interfaz (una para cada red virtual).
En este caso, puede optimizar el procedimiento para reenviar tráfico de multidifusión utilizando la tecnología MVR: registro de VLAN de multidifusión.
La esencia de la solución es que se crea una red virtual que une a todos los destinatarios. Sin embargo, esta red virtual se utiliza sólo para tráfico de multidifusión. Este enfoque permite que el enrutador envíe sólo una copia del tráfico de multidifusión a través de la interfaz.
DDM, OAM y DLDP
DDM – Monitoreo de Diagnóstico Digital. Durante el funcionamiento de los módulos ópticos, a menudo es necesario controlar el estado del propio módulo, así como el canal óptico al que está conectado. La función DDM le ayudará a afrontar esta tarea. Con su ayuda, los ingenieros operadores podrán monitorear la temperatura de cada módulo que soporta esta funcionalidad, su voltaje y corriente, así como la potencia de las señales ópticas enviadas y recibidas.
Establecer niveles de umbral para los parámetros descritos anteriormente le permitirá generar un evento si quedan fuera del rango aceptable.
Establecer umbrales de respuesta DDM
Naturalmente, el administrador puede ver los valores actuales de los parámetros especificados.
El conmutador TP-Link T2600G-28SQ tiene un sistema de refrigeración por aire activo. Además, nunca hemos encontrado un sobrecalentamiento de los módulos SFP en nuestros conmutadores debido a la densidad de puertos. Sin embargo, si, puramente en teoría, se permite tal posibilidad (por ejemplo, debido a algún problema dentro del módulo SFP), entonces, con la ayuda de DDM, se notificará inmediatamente al administrador sobre una situación potencialmente peligrosa. El peligro aquí, obviamente, no es para el interruptor en sí, sino para el diodo/láser dentro del SFP, ya que a medida que aumenta su temperatura, la potencia de la señal óptica emitida puede degradarse, lo que conducirá a una disminución del presupuesto óptico.
Vale la pena señalar aquí que los conmutadores TP-Link no tienen una "función" de bloqueo del proveedor, es decir, se admite cualquier módulo SFP compatible, lo que, por supuesto, será muy conveniente para los administradores de red.
OAM - Operación, Administración y Mantenimiento (IEEE 802.3ah). OAM es un protocolo de segunda capa del modelo OSI diseñado para monitorear y solucionar problemas de redes Ethernet. Con este protocolo, el conmutador puede monitorear el rendimiento de una conexión específica y los errores, y generar alertas para que el administrador de la red pueda administrar la red de manera más eficiente.
Configuración básica de OAM
Detalles funcionales de OAMDos dispositivos vecinos habilitados para OAM intercambian mensajes periódicamente mediante el envío de OAMPDU, que son de tres tipos: informativo, notificación de eventos y control de bucle invertido. Utilizando OAMPDU informativas, los conmutadores vecinos se envían entre sí información estadística, así como datos definidos por el administrador. Este tipo de mensaje también se utiliza para mantener una conexión mediante el protocolo OAM. La función de monitoreo de conexión utiliza los mensajes de notificación de eventos para notificar a la otra parte que se han producido fallas. Los mensajes de control de bucle invertido se utilizan para detectar un bucle en una línea.
A continuación decidimos enumerar las principales características que proporciona el protocolo OAM:
- Monitoreo del entorno (detección y conteo de cuadros rotos),
- RFI – Indicación remota de falla (envío de notificación de falla en el canal),
- Loopback remoto (prueba de canal para medir latencia, variación de retardo (jitter), número de fotogramas perdidos).
Otra opción que se demanda en los conmutadores ópticos es la capacidad de detectar problemas en el canal de comunicación, lo que hace que el canal se vuelva simplex, es decir, que los datos solo se puedan enviar en una dirección. Nuestros conmutadores utilizan el DLDP (Protocolo de detección de enlace de dispositivo) para detectar enlaces unidireccionales. Para ser justos, vale la pena señalar que el protocolo DLDP es compatible con interfaces ópticas y de cobre, pero en nuestra opinión será más popular cuando se utilicen líneas de fibra óptica.
Cuando se detecta un enlace unidireccional, el conmutador puede apagar automáticamente la interfaz problemática, lo que conducirá a la reconstrucción del árbol STP y al uso de canales de comunicación de respaldo.
En nuestro arsenal hay módulos SFP que reciben y transmiten señales a través de una fibra. Operan exclusivamente en pares y utilizan señales ópticas en diferentes longitudes de onda para la transmisión dentro del par. Un ejemplo es el par TL-SM321A y TL-SM321B. Cuando se utilizan dichos módulos, el daño a una fibra provocará la inoperancia total de todo el canal óptico. Sin embargo, incluso en dichos canales tendrá demanda el protocolo DLDP, ya que, aunque esto ocurre muy raramente, el canal puede tener diferentes características de transparencia para diferentes longitudes de onda. Un problema más probable es que la transparencia del canal varíe según la dirección de propagación de la luz. Un reflectograma ayudará a detectar estos problemas, pero esa es una historia completamente diferente.
LLDP
En las grandes redes corporativas u operadoras, periódicamente surgen problemas con la obsolescencia de la documentación de la red o imprecisiones en su preparación. Un administrador de red puede enfrentarse a una situación en la que sea necesario averiguar qué equipo del operador está realmente conectado a una interfaz de conmutador en particular. El LLDP – Protocolo de descubrimiento de capa de enlace (IEEE 802.1AB) vendrá al rescate.
Parámetros de operación LLDP
Nuestros conmutadores admiten LLDP no solo para descubrir conmutadores vecinos u otros dispositivos de red, sino también para determinar sus capacidades.
Las contrapartes de cobre de nuestro conmutador pueden usar LLDP-MED para simplificar el procedimiento de conexión de teléfonos IP. Además, al utilizar esta opción, el conmutador PoE puede negociar los parámetros de energía con el dispositivo alimentado. Ya hemos hablado de esto con cierto detalle en uno de nuestros .
SDM y sobresuscripción
Casi todos los conmutadores modernos procesan tramas y paquetes sin utilizar un procesador central. El procesamiento (calcular sumas de verificación, aplicar listas de acceso y realizar otras comprobaciones de seguridad, así como tomar decisiones de conmutación/enrutamiento) se lleva a cabo utilizando chips especializados, lo que permite altas velocidades de transmisión del tráfico de usuarios. El conmutador en discusión permite procesar el tráfico a velocidad media. Esto significa que el rendimiento del dispositivo es suficiente para enviar datos a la mayor velocidad posible en todos los puertos al mismo tiempo. El modelo T2600G-28SQ tiene 24 puertos de enlace descendente (hacia los usuarios), que funcionan a velocidades de 1 Gbit/s, así como 4 puertos de enlace ascendente (hacia el núcleo de la red) de 10 Gbit/s. Al mismo tiempo, el rendimiento del bus cruzado del conmutador es de 128 Gbit/s, suficiente para procesar la máxima cantidad de tráfico entrante.
Para ser justos, vale la pena señalar que el rendimiento de la matriz de conmutación es de 95,2 millones de paquetes por segundo. Es decir, utilizando el mínimo de tramas posible con una longitud de sólo 64 bytes, el rendimiento total del dispositivo será de 97,5 Gbit/s. Sin embargo, este perfil de tráfico es casi imposible para las redes de operadores de telecomunicaciones.
¿Qué es la sobresuscripción?Otra cuestión importante es la relación entre las velocidades de los canales ascendentes y descendentes (sobresuscripción). Aquí, obviamente, todo depende de la topología. Si el administrador utiliza las cuatro interfaces 10 GE para conectarse al núcleo de la red y las combina usando LAG (Link Aggregation Group) o tecnología Port-Channel, entonces la velocidad obtenida estadísticamente hacia el núcleo será de 40 Gbit/s, que será más que suficiente para satisfacer las necesidades de todos los suscriptores conectados. Además, no es necesario que los cuatro enlaces ascendentes se conecten a un dispositivo físico. La conexión se puede realizar a una pila de conmutadores o a dos dispositivos combinados en un clúster (utilizando tecnología vPC o similar). En este caso no hay sobresuscripción.
Puede utilizar los cuatro enlaces ascendentes simultáneamente no solo combinándolos mediante LAG. Se puede lograr un efecto similar configurando correctamente MSTP, pero esa es una historia completamente diferente.
El segundo método de conexión L2 comúnmente utilizado es utilizar dos LAG independientes (uno para cada conmutador de agregación). En este caso, lo más probable es que uno de los enlaces virtuales esté bloqueado por el protocolo STP (cuando se utiliza STP o RSTP). La sobresuscripción será de 5:6.
Una situación más rara, pero aún bastante probable: el T2600G-28SQ está conectado mediante canales independientes a un conmutador o conmutadores ascendentes. El protocolo STP/RSTP dejará solo uno de esos enlaces en estado desbloqueado. La sobresuscripción será de 5:12.
Tarea con un asterisco: calcular la sobresuscripción para las situaciones descritas en la sección STP, donde analizamos una topología de ejemplo cuando dos conmutadores de acceso están conectados al mismo dispositivo de agregación e interconectados.
Los chips programables que permiten velocidades de transferencia tan altas son un recurso bastante caro, por lo que intentamos optimizar su uso distribuyendo adecuadamente los recursos entre las diferentes funciones. SDM - Switch Database Management es responsable de la distribución.
La distribución se realiza mediante el perfil SDM. Actualmente hay tres perfiles disponibles para su uso, que se enumeran a continuación.
- Default ofrece una solución equilibrada para usar listas de acceso MAC e IP, así como entradas de detección ARP.
- EnterpriseV4 le permite maximizar los recursos disponibles para su uso mediante listas de acceso MAC e IP.
- EnterpriseV6 asigna algunos recursos para que los utilicen las listas de acceso de IPv6.
Se debe reiniciar el conmutador para aplicar el nuevo perfil.
Conclusión
De acuerdo con el posicionamiento inicial, este conmutador es más adecuado para los operadores de telecomunicaciones que se enfrentan a la tarea de proporcionar acceso a la red a largas distancias. El dispositivo se puede utilizar tanto en el nivel de acceso, por ejemplo, en comunidades rurales y casas adosadas, como para agregar canales provenientes de interruptores de acceso ubicados en edificios de apartamentos; es decir, dondequiera que se requieran conexiones a objetos remotos. Cuando se utilizan canales de comunicación óptica, el suscriptor conectado puede ubicarse a una distancia de hasta varios kilómetros.
En el lado del cliente, los enlaces ópticos se pueden terminar en pequeños conmutadores con interfaces ópticas o en convertidores de medios.
Una gran cantidad de protocolos y opciones compatibles permitirán que el T2600G-28SQ se utilice en la red Ethernet de un operador con cualquier topología y cualquier conjunto de tecnologías utilizadas y servicios proporcionados. El conmutador se gestiona de forma remota mediante la interfaz web o la línea de comandos. Si es necesaria una configuración local, puede utilizar el puerto de consola, el modelo T2600G-28SQ tiene dos de ellos: RJ-45 y micro-USB. Como pequeña pega en el ungüento, notamos la falta de soporte para apilar y de una segunda fuente de alimentación. Es cierto que, por lo general, fuera de los centros de datos de los proveedores, la presencia de una segunda línea eléctrica será rara.
Sus ventajas incluyen un precio bajo, una gran cantidad de puertos ópticos de suscriptores, la presencia de enlaces ascendentes ópticos de 10 GE, así como cuatro puertos combinados y reenvío de tráfico a velocidad media.
Fuente: habr.com