گسترش شهرهای بزرگ و تشکیل تجمعات یکی از روندهای مهم توسعه اجتماعی امروزه است. مسکو به تنهایی باید 2019 میلیون متر مربع مسکن در سال 4 گسترش دهد (و این بدون احتساب 15 شهرک است که تا سال 2020 اضافه خواهد شد). در سراسر این قلمرو وسیع، اپراتورهای مخابراتی باید دسترسی کاربران را به اینترنت فراهم کنند. اینها می توانند مناطق کوچک شهری با ساختمان های چند طبقه متراکم یا روستاهای کلبه ای "ترخیص" باشند. برای این موارد، نیازهای سخت افزاری کمی متفاوت است. ما هر یک از این سناریوها را تجزیه و تحلیل کردیم و یک مدل سوئیچ نوری جهانی - T2600G-28SQ ایجاد کردیم. در این پست به تفصیل قابلیت های دستگاهی را که مورد توجه اپراتورهای مخابراتی در سراسر روسیه خواهد بود تجزیه و تحلیل خواهیم کرد.
در شبکه قرار دهید
سوئیچ T2600G-28SQ هم برای عملکرد در سطح دسترسی در شبکه و هم برای تجمیع پیوندها از سوییچ های سطح دسترسی دیگر طراحی شده است. این سوئیچ لایه 2600 است که سوئیچینگ و مسیریابی استاتیک را انجام می دهد. اگر اپراتور هم تجمیع و هم دسترسی را تغییر داده باشد (فقط مسیریابی در هسته شبکه)، T28G-XNUMXSQ در هر یک از سطوح قرار می گیرد. در مورد تجمیع مسیریابی پویا، همچنان باید برخی از محدودیتها را در موارد استفاده در نظر بگیرید.
مدل T2600G-28SQ یک سوئیچ اترنت فعال تمام عیار بدون محدودیت های اضافی است که هنگام استفاده از xPON یا فناوری های مشابه ظاهر می شود. به عنوان مثال، بدون تهدید افت شدید سرعت با افزایش تعداد کاربران یا سازگاری ضعیف بین تجهیزات فروشندگان مختلف و سیستم عامل. هم کاربران نهایی و هم سوئیچ های دسترسی زیرین با لینک های آپتیکال، به عنوان مثال، مدل T2600G-28TS، می توانند به رابط های دستگاه متصل شوند. نمودار زیر رایج ترین نمونه های این گونه اتصالات را نشان می دهد.
برای دسترسی به شبکه کاربر نهایی می توان از فیبر نوری یا کابل جفت تابیده استفاده کرد. از طرف مشترک، فیبر نوری را می توان با استفاده از یک مبدل رسانه (مبدل رسانه)، به عنوان مثال، TP-Link MC220L خاتمه داد. و با استفاده از رابط نوری در روتر SOHO.
برای اتصال یک کلاینت نزدیک، می توانید از چهار پورت RJ-45 که با سرعت 10/100/1000 مگابیت بر ثانیه کار می کنند استفاده کنید. اگر به دلایلی این کافی نباشد، اپراتور میتواند رابطهای نوری سوئیچ را به مس تبدیل کند. این کار را می توان با استفاده از SFP های مسی تخصصی با کانکتور RJ-45 انجام داد. اما چنین راه حلی را نمی توان معمولی نامید.
چند نمونه از تمرین
برای تکمیل تصویر، چندین مثال از استفاده از سوئیچ های T2600G-28SQ ارائه می دهیم.
ارائه دهنده منطقه مسکو ، که علاوه بر اینترنت، خدمات تلفن و تلویزیون کابلی را ارائه می دهد، هنگام ساخت شبکه در بخش خصوصی (کلبه ها و خانه های شهری) از T2600G-28SQ در سطح دسترسی استفاده می کند. در سمت کلاینت، اتصال به روترهایی با پورت SFP و همچنین مبدل های رسانه ای انجام می شود. در حال حاضر روترهای SOHO با پورت SFP در کشور ما به تولید انبوه نمی رسند، اما ما البته در حال فکر کردن به آن هستیم.
اپراتور مخابرات از منطقه Pavlovo-Posad از سوئیچ های T2600G-28SQ به عنوان یک "تجمع کوچک" استفاده می کند که از سوئیچ های مدل های T2600G-28TS و T2500G-10TS برای دسترسی استفاده می کند.
گروه شرکت دسترسی به اینترنت، تلویزیون، تلفن و سیستم های نظارت تصویری را در جنوب شرقی منطقه مسکو (کلومنا، لوخوویتسی، زارایسک، سربریانیه پرودی، اوزیوری) ارائه می دهد. توپولوژی تقریبی در اینجا همانند ISS است: T2600G-28SQ در سطح تجمع، و T2600G-28TS و T2500G-10TS در سطح دسترسی.
ارائه دهنده از Krasnoznamensk دسترسی به اینترنت را با استفاده از یک شبکه با نفوذ نوری عمیق فراهم می کند. همچنین بر اساس T2600G-28SQ ساخته شده است.
در قسمت های بعدی به طور مختصر برخی از ویژگی های T2600G-28SQ را شرح خواهیم داد. برای اینکه مطالب زیاد نشود، تعدادی گزینه را کنار گذاشتیم: QinQ (VLAN VPN)، مسیریابی، QoS و غیره. ما فکر می کنیم که می توانیم در یکی از پست های زیر به آنها بازگردیم.
قابلیت های سوئیچ
رزرو - STP
STP - پروتکل درخت پوشا. پروتکل درخت پوشا برای مدت بسیار طولانی شناخته شده است، به همین دلیل از رادیا پرلمن محترم تشکر می کنیم. در شبکه های مدرن، مدیران به هر طریق ممکن سعی می کنند از استفاده از این پروتکل اجتناب کنند. بله، STP بدون اشکال نیست. و اگر جایگزینی برای آن وجود داشته باشد بسیار خوب است. با این حال، همانطور که اغلب اتفاق می افتد، جایگزین این پروتکل به شدت به فروشنده بستگی دارد. بنابراین، تا به امروز، پروتکل درختی پوشاننده تقریباً تنها راه حلی است که تقریباً توسط تمام سازندگان پشتیبانی می شود و برای همه مدیران شبکه نیز شناخته شده است.
سوئیچ TP-Link T2600G-28SQ از سه نسخه STP پشتیبانی می کند: STP کلاسیک (IEEE 802.1D)، RSTP (802.1W) و MSTP (802.1S).
از میان این گزینه ها، RSTP معمولی برای اکثر ارائه دهندگان اینترنت کوچک در روسیه کاملاً مناسب است، که یک مزیت غیرقابل انکار نسبت به نسخه کلاسیک دارد - زمان همگرایی بسیار کوتاه تر.
منعطف ترین پروتکل امروزی MSTP است که از شبکه های مجازی (VLAN) پشتیبانی می کند و به چندین درخت مختلف اجازه می دهد که به شما امکان می دهد از تمام مسیرهای پشتیبان موجود استفاده کنید. مدیر چندین نمونه درختی مختلف (حداکثر هشت) ایجاد می کند، که هر کدام مجموعه خاصی از شبکه های مجازی را ارائه می دهند.
ظرافت های MSTPمدیران تازه کار باید هنگام استفاده از MSTP بسیار مراقب باشند. این به این دلیل است که رفتار پروتکل در یک منطقه و بین مناطق متفاوت است. بنابراین، هنگام پیکربندی سوئیچ ها، ارزش آن را دارد که در همان منطقه بمانید.
این منطقه بدنام چیست؟ در اصطلاح MSTP، یک منطقه مجموعهای از سوئیچهای متصل به یکدیگر است که دارای ویژگیهای یکسانی هستند: نام منطقه، شماره ویرایش، و توزیع شبکههای مجازی (VLAN) بین نمونههای پروتکل (نمونهها).
البته پروتکل Spanning Tree (هر نسخه ای) به شما این امکان را می دهد که نه تنها با حلقه هایی که هنگام اتصال کانال های پشتیبان به وجود می آیند مقابله کنید، بلکه از خطاهای سوئیچینگ کابل نیز محافظت کنید، زمانی که مهندس به طور عمدی یا ناخواسته پورت های اشتباه را به هم متصل می کند و یک حلقه با خود ایجاد می کند. اقدامات.
مدیران شبکه با تجربه تر ترجیح می دهند از انواع گزینه های اضافی برای محافظت از پروتکل STP در برابر حملات یا موقعیت های فاجعه آمیز پیچیده استفاده کنند. مدل T2600G-28SQ طیف وسیعی از این قابلیت ها را ارائه می دهد: Loop Protect و Root Protect، TC Guard، BPDU Protect و BPDU Filter.
استفاده مناسب از گزینه های ذکر شده در بالا در ارتباط با سایر مکانیسم های حفاظتی پشتیبانی شده، شبکه محلی را تثبیت کرده و آن را قابل پیش بینی تر می کند.
رزرو - LAG
LAG - گروه پیوند پیوند. این یک فناوری است که به شما امکان می دهد چندین کانال فیزیکی را در یک کانال منطقی ترکیب کنید. تمام پروتکل های دیگر استفاده از کانال های فیزیکی موجود در LAG را به طور جداگانه متوقف می کنند و شروع به "دیدن" یک رابط منطقی می کنند. نمونه ای از چنین پروتکلی STP است.
ترافیک کاربر بین کانال های فیزیکی در کانال های منطقی بر اساس مجموع هش متعادل می شود. برای محاسبه آن می توان از آدرس های MAC فرستنده، گیرنده یا یک جفت از آنها استفاده کرد. و همچنین آدرس های IP فرستنده، گیرنده یا یک جفت از آنها. اطلاعات پروتکل لایه XNUMX (درگاه های TCP/UDP) در نظر گرفته نمی شود.
سوئیچ T2600G-28SQ از LAG های استاتیک و پویا پشتیبانی می کند.
برای بررسی پارامترهای عملیاتی یک گروه پویا، از پروتکل LACP استفاده می شود.
امنیت - لیست های دسترسی (ACL)
سوئیچ T2600G-28SQ ما به شما امکان می دهد ترافیک کاربر را با استفاده از لیست های دسترسی فیلتر کنید (ACL - لیست کنترل دسترسی).
لیست های دسترسی پشتیبانی شده می توانند انواع مختلفی داشته باشند: MAC و IP (IPv4/IPv6)، ترکیبی، و همچنین برای انجام فیلتر محتوا. تعداد هر نوع لیست دسترسی پشتیبانی شده بستگی به الگوی SDM در حال استفاده دارد که در بخش دیگری توضیح دادیم.
اپراتور می تواند از این گزینه برای مسدود کردن ترافیک ناخواسته مختلف در شبکه استفاده کند. اگر سرویس مربوطه ارائه نشود، نمونه ای از چنین ترافیکی بسته های IPv6 (با استفاده از فیلد EtherType) خواهد بود. یا SMB را در پورت 445 مسدود کنید. در شبکه ای با آدرس دهی ایستا، به ترافیک DHCP/BOOTP نیازی نیست، بنابراین با استفاده از ACL، مدیر می تواند دیتاگرام های UDP را در پورت های 67 و 68 فیلتر کند. همچنین می توانید ترافیک IPoE محلی را با استفاده از ACL مسدود کنید. چنین مسدودسازی ممکن است در شبکه های اپراتور با استفاده از PPPoE مورد تقاضا باشد.
فرآیند استفاده از لیست های دسترسی بسیار ساده است. پس از ایجاد خود لیست، باید تعداد مورد نیاز رکورد را به آن اضافه کنید که نوع آن به طور مستقیم به برگه ای که در حال سفارشی سازی است بستگی دارد.
راه اندازی لیست های دسترسی
شایان ذکر است که لیستهای دسترسی نه تنها میتوانند عملیات معمول مجاز کردن یا رد کردن ترافیک را انجام دهند، بلکه میتوانند آن را تغییر مسیر دهند، آینهسازی آن را انجام دهند و همچنین علامتگذاری یا محدود کردن نرخ را نیز انجام دهند.
هنگامی که تمام ACL های مورد نیاز ایجاد شدند، مدیر می تواند آنها را نصب کند. امکان پیوست کردن یک لیست دسترسی هم به پورت فیزیکی مستقیم و هم به یک شبکه مجازی خاص وجود دارد.
امنیت - تعداد آدرس های MAC
گاهی اوقات اپراتورها باید تعداد آدرسهای MAC را که سوئیچ در یک پورت خاص یاد میگیرد، محدود کنند. لیست های دسترسی به شما امکان می دهد تا به اثر مشخص شده دست یابید، اما در عین حال به نشانی صریح از آدرس های MAC خود نیاز دارید. اگر فقط باید تعداد آدرس های کانال را محدود کنید، اما آنها را به صراحت مشخص نکنید، امنیت پورت به کمک شما می آید.
چنین محدودیتی ممکن است مورد نیاز باشد، برای مثال، برای محافظت در برابر اتصال کل شبکه محلی به یک رابط سوئیچ ارائه دهنده. در اینجا لازم به ذکر است که ما در مورد اتصال Dial-up صحبت می کنیم، زیرا هنگام اتصال با استفاده از روتر در سمت کلاینت، T2600G-28SQ تنها یک آدرس را یاد می گیرد - این MAC است که متعلق به پورت WAN روتر مشتری است. .
یک کلاس کامل از حملات علیه جدول سوئیچینگ وجود دارد. این می تواند سرریز جدول یا جعل MAC باشد. گزینه امنیتی پورت به شما این امکان را می دهد که در برابر سرریز میز پل و حملاتی که هدف آنها آموزش مجدد عمدی سوئیچ و مسموم کردن جدول پل آن است، محافظت کنید.
غیرممکن است که صرفاً به تجهیزات مشتری معیوب اشاره نکنیم. اغلب موقعیتهایی پیش میآید که یک کارت شبکه کامپیوتری یا روتر خراب، جریانی از فریمها با آدرسهای فرستنده و گیرنده کاملاً دلخواه ایجاد میکند. چنین جریانی می تواند به راحتی CAM را تخلیه کند.
راه دیگر برای محدود کردن تعداد ورودی های جدول پل استفاده شده، ابزار امنیتی MAC VLAN است که به مدیر اجازه می دهد حداکثر تعداد ورودی ها را برای یک شبکه مجازی خاص مشخص کند.
علاوه بر مدیریت ورودی های پویا در جدول سوئیچینگ، مدیر همچنین می تواند ورودی های ایستا ایجاد کند.
حداکثر جدول پل مدل T2600G-28SQ می تواند تا 16 هزار رکورد را در خود جای دهد.
گزینه دیگری که برای فیلتر کردن انتقال ترافیک کاربر طراحی شده است، عملکرد Port Isolation است که به شما امکان می دهد به صراحت مشخص کنید که در کدام جهت ارسال مجاز است.
امنیت - IMPB
در گستره وسیع سرزمین پهناور ما، رویکرد اپراتورهای مخابراتی به مسائل تضمین امنیت شبکه از ناآگاهی کامل تا حداکثر استفاده ممکن از همه گزینه های پشتیبانی شده توسط تجهیزات متفاوت است.
عملکردهای IPv4 IMPB (IP-MAC-Port Binding) و IPv6 IMPB به شما این امکان را می دهد که با اتصال آدرس های IP و MAC تجهیزات مشتری در برابر طیف وسیعی از حملات مربوط به جعل آدرس های IP و MAC از سوی مشترکین محافظت کنید. رابط سوئیچ ارائه دهنده این اتصال را می توان به صورت دستی یا با استفاده از عملکردهای ARP Scanning و DHCP Snooping انجام داد.
تنظیمات اولیه IMPB
برای انصاف باید گفت که برای محافظت از پروتکل DHCP - فیلتر DHCP می توان از یک تابع خاص استفاده کرد.
با استفاده از این عملکرد، مدیر شبکه می تواند به صورت دستی آن رابط هایی را که سرورهای DHCP واقعی به آنها متصل هستند، مشخص کند. این کار از تداخل سرورهای DHCP سرکش در فرآیند مذاکره IP جلوگیری می کند.
امنیت – DoS Defend
مدل مورد بررسی به ما اجازه می دهد تا از کاربران در برابر چندین مورد از شناخته شده ترین و گسترده ترین حملات DoS محافظت کنیم.
بیشتر حملات ذکر شده دیگر برای دستگاه هایی با سیستم عامل های مدرن خطرناک نیستند، اما شبکه های ما هنوز می توانند با حملاتی روبرو شوند که آخرین به روز رسانی نرم افزار سال ها پیش برای آن ها انجام شده است.
پشتیبانی از DHCP
سوئیچ TP-Link T2600G-28SQ می تواند هم به عنوان سرور DHCP یا رله عمل کند و هم در صورتی که دستگاه دیگری به عنوان سرور عمل کند، پیام های DHCP را فیلتر کند.
ساده ترین راه برای ارائه پارامترهای IP مورد نیاز کاربران برای عملکرد، استفاده از سرور DHCP داخلی سوئیچ است. با کمک آن، پارامترهای اساسی را می توان از قبل به مشترکین داد.
ما روتر Archer C6 SOHO خود را به یکی از رابط های سوئیچ متصل کردیم و مطمئن شدیم که دستگاه مشتری با موفقیت یک آدرس دریافت کرده است.
به نظر می رسد این است
سرور DHCP تعبیه شده در سوئیچ شاید مقیاس پذیرترین و انعطاف پذیرترین راه حل نباشد: هیچ پشتیبانی از گزینه های غیر استاندارد وجود ندارد و هیچ ارتباطی با IPAM وجود ندارد. اگر اپراتور به کنترل بیشتری بر فرآیند توزیع آدرس IP نیاز داشته باشد، از سرور اختصاصی DHCP استفاده خواهد شد.
T2600G-28SQ به شما امکان می دهد یک سرور اختصاصی DHCP برای هر زیرشبکه کاربر مشخص کنید که پیام های پروتکل مورد بحث به آن هدایت می شوند. زیرشبکه با تعیین رابط L3 مناسب انتخاب می شود: VLAN (SVI)، پورت مسیریابی یا پورت-کانال.
برای آزمایش عملکرد رله، ما یک روتر جداگانه از یک فروشنده دیگر را برای کار به عنوان سرور DHCP پیکربندی کردیم که تنظیمات آن در زیر ارائه شده است.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8روتر کلاینت دوباره با موفقیت یک آدرس IP بدست آورده است.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automaticزیر اسپویلر - محتویات بسته رهگیری شده بین سوئیچ و سرور اختصاصی DHCP.
محتوای بسته
لازم به ذکر است که سوئیچ از گزینه 82 پشتیبانی می کند. وقتی فعال باشد، سوئیچ اطلاعاتی درباره رابط کاربری که پیام DHCP Discover از آن دریافت شده است، اضافه می کند. علاوه بر این، مدل T2600G-28SQ به شما امکان می دهد هنگام درج گزینه شماره 82، خط مشی پردازش اطلاعات اضافه شده را پیکربندی کنید. وجود پشتیبانی برای این گزینه می تواند در شرایطی مفید باشد که باید به مشترک آدرس IP یکسانی داده شود، صرف نظر از اینکه مشتری چه شناسه ای در مورد خودش گزارش می دهد.
شکل زیر یک پیام DHCP Discover (ارسال شده توسط رله) با گزینه شماره 82 را نشان می دهد.
پیام با گزینه شماره 82
البته می توانید گزینه شماره 82 را بدون راه اندازی رله DHCP تمام عیار مدیریت کنید؛ تنظیمات مربوطه در زیربخش “DHCP L2 Relay” ارائه شده است.
اکنون اجازه دهید تنظیمات سرور DHCP را تغییر دهیم تا نحوه عملکرد گزینه شماره 82 را نشان دهیم.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automaticمثل این
عملکرد رله رابط DHCP در شرایطی مفید خواهد بود که سوئیچ نه تنها دارای یک رابط L3 متصل به یک شبکه خاص است، بلکه این رابط دارای یک آدرس IP نیز می باشد. اگر هیچ آدرسی در چنین رابطی وجود نداشته باشد، عملکرد رله DHCP VLAN به کمک خواهد آمد. اطلاعات مربوط به زیر شبکه در این مورد از رابط پیش فرض گرفته شده است، یعنی فضاهای آدرس در چندین شبکه مجازی یکسان خواهد بود (همپوشانی).
اغلب، اپراتورها همچنین باید از مشترکین در برابر فعال سازی اشتباه یا مخرب سرور DHCP در تجهیزات مشتری محافظت کنند. ما تصمیم گرفتیم در یکی از بخش هایی که به مسائل امنیتی اختصاص دارد، این عملکرد را مورد بحث قرار دهیم.
IEEE 802.1X
یکی از راه های احراز هویت کاربران در شبکه استفاده از پروتکل IEEE 802.1X است. محبوبیت این پروتکل در شبکه های اپراتورهای مخابراتی در روسیه در حال کاهش است؛ هنوز هم عمدتاً در شبکه های محلی شرکت های بزرگ برای احراز هویت کاربران داخلی سازمان استفاده می شود. سوئیچ T2600G-28SQ دارای پشتیبانی 802.1X است، بنابراین ارائه دهنده می تواند در صورت لزوم به راحتی از آن استفاده کند.
برای اینکه پروتکل IEEE 802.1X کار کند، به سه شرکت کننده نیاز است: تجهیزات مشتری (درخواست کننده)، سوئیچ دسترسی ارائه دهنده (Authenticator) و سرورهای احراز هویت (معمولاً سرورهای RADIUS).
پیکربندی اولیه در سمت اپراتور بسیار ساده است. شما فقط باید آدرس IP سرور RADIUS مورد استفاده را که پایگاه داده کاربر در آن ذخیره می شود، مشخص کنید و همچنین رابط هایی را که برای آنها احراز هویت لازم است انتخاب کنید.
راه اندازی اولیه 802.1X
پیکربندی جزئی نیز در سمت مشتری مورد نیاز است. همه سیستم عامل های مدرن از قبل دارای نرم افزار لازم هستند. اما در صورت لزوم، میتوانید TP-Link 802.1x Client را نصب و استفاده کنید - برنامهای که به شما امکان میدهد کلاینت را در شبکه تأیید اعتبار کنید.
هنگام اتصال کامپیوتر کاربر به طور مستقیم به شبکه ارائه دهنده، تنظیمات احراز هویت باید برای کارت شبکه مورد استفاده برای اتصال فعال شود.
با این حال، در حال حاضر، این رایانه کاربر نیست که معمولاً مستقیماً به شبکه اپراتور متصل میشود، بلکه یک روتر SOHO است که عملکرد شبکه محلی مشترک (هر دو بخش سیمی و بیسیم) را تضمین میکند. در این حالت، تمام تنظیمات پروتکل 802.1X باید مستقیماً روی روتر انجام شود.
به نظر می رسد که این روش احراز هویت در شبکه های اپراتور به طور غیرمستقیم فراموش شده است. بله، اتصال شدید مشترک به پورت سوئیچ ممکن است راه حل ساده تری از نقطه نظر تنظیمات تجهیزات کاربر باشد. اما اگر استفاده از لاگین و رمز عبور ضروری باشد، 802.1X در مقایسه با اتصالات استفاده شده بر اساس تونل های PPTP/L2TP/PPPoE چندان پروتکل سنگینی نخواهد بود.
درج شناسه PPPoE
بسیاری از کاربران نه تنها در کشور ما، بلکه در سراسر جهان هنوز ترجیح می دهند از رمزهای عبور بسیار ساده استفاده کنند. و افسوس که موارد سرقت مدارک غیر معمول نیست. اگر اپراتور از پروتکل PPPoE در شبکه خود برای احراز هویت کاربران استفاده کند، سوئیچ TP-Link T2600G-28SQ به حل مشکل مربوط به نشت اعتبارنامه کمک می کند. این با افزودن یک برچسب خاص به پیام PPPoE Active Discovery حاصل می شود. به این ترتیب، ارائه دهنده می تواند مشترک را نه تنها با ورود به سیستم و رمز عبور، بلکه با داده های اضافی احراز هویت کند. این داده های اضافی شامل آدرس MAC دستگاه مشتری و همچنین رابط سوئیچ است که به آن متصل است.
برخی از اپراتورها، در اصل، می خواهند مشترک (یک جفت ورود و رمز عبور) را از توانایی ناوبری در شبکه محروم کنند. عملکرد PPPoE ID Insertion در این مورد نیز کمک خواهد کرد.
IGMP
IGMP (پروتکل مدیریت گروه های اینترنتی) دهه هاست که وجود داشته است. محبوبیت آن کاملاً قابل درک است و به راحتی قابل توضیح است. اما دو طرف در تعامل IGMP دخیل هستند: رایانه شخصی کاربر (یا هر دستگاه دیگری، به عنوان مثال، STB) و روتر IP که به بخش خاصی از شبکه سرویس می دهد. سوئیچ ها به هیچ وجه در این تبادل شرکت نمی کنند. درست است، جمله آخر کاملاً درست نیست. یا در شبکه های مدرن این اصلا درست نیست. سوئیچ ها از IGMP برای بهینه سازی ارسال ترافیک چندپخشی پشتیبانی می کنند. سوئیچ با گوش دادن به ترافیک کاربر، پیامهای گزارش IGMP را در آن شناسایی میکند و با کمک آن پورتهایی را برای ارسال ترافیک چندپخشی تعیین میکند. گزینه توضیح داده شده IGMP Snooping نام دارد.
پشتیبانی از پروتکل IGMP می تواند نه تنها برای بهینه سازی ترافیک، بلکه برای تعیین مشترکینی که می توانند با یک سرویس خاص، به عنوان مثال، IPTV ارائه شوند، استفاده شود. شما می توانید با تنظیم دستی پارامترهای فیلتر یا با استفاده از احراز هویت به هدف مورد نظر برسید.
پشتیبانی از ترافیک چندپخشی در سوئیچ های TP-Link کاملاً انعطاف پذیر است. به عنوان مثال، تمام پارامترها را می توان برای هر شبکه مجازی به طور جداگانه تنظیم کرد.
اگر چندین زیرشبکه حاوی گیرنده های ترافیک چندپخشی به یک رابط روتر متصل شوند، آن روتر مجبور خواهد شد چندین نسخه از بسته ها را از طریق آن رابط ارسال کند (یک نسخه برای هر شبکه مجازی).
در این مورد، می توانید روند ارسال ترافیک چندپخشی را با استفاده از فناوری MVR - Multicast VLAN Registration بهینه کنید.
ماهیت راه حل این است که یک شبکه مجازی ایجاد می شود که همه گیرندگان را متحد می کند. با این حال، این شبکه مجازی فقط برای ترافیک چندپخشی استفاده می شود. این رویکرد به روتر اجازه می دهد تا تنها یک کپی از ترافیک چندپخشی را از طریق رابط ارسال کند.
DDM، OAM و DLDP
DDM - مانیتورینگ تشخیصی دیجیتال. در حین کار ماژول های نوری، اغلب لازم است که وضعیت خود ماژول و همچنین کانال نوری که به آن متصل است نظارت شود. عملکرد DDM به شما کمک می کند تا با این کار کنار بیایید. با کمک آن، مهندسان اپراتور قادر خواهند بود دمای هر ماژول پشتیبانی کننده از این عملکرد، ولتاژ و جریان آن و همچنین قدرت سیگنال های نوری ارسالی و دریافتی را کنترل کنند.
تنظیم سطوح آستانه برای پارامترهای قبلاً توضیح داده شده به شما این امکان را می دهد که در صورت قرار گرفتن در خارج از محدوده قابل قبول، یک رویداد ایجاد کنید.
تنظیم آستانه پاسخ DDM
به طور طبیعی، مدیر می تواند مقادیر فعلی پارامترهای مشخص شده را مشاهده کند.
کلید TP-Link T2600G-28SQ دارای سیستم خنک کننده هوای فعال است. علاوه بر این، ما هرگز با گرم شدن بیش از حد ماژول های SFP در سوئیچ های خود به دلیل تراکم پورت مواجه نشده ایم. با این حال، اگر، صرفاً در تئوری، چنین امکانی مجاز باشد (مثلاً به دلیل وجود مشکلی در داخل ماژول SFP)، با کمک DDM، مدیر بلافاصله از وضعیت بالقوه خطرناک مطلع می شود. بدیهی است که خطر در اینجا برای خود سوئیچ نیست، بلکه برای دیود/لیزر داخل SFP است، زیرا با افزایش دمای آن، قدرت سیگنال نوری ساطع شده ممکن است کاهش یابد، که منجر به کاهش بودجه نوری خواهد شد.
در اینجا شایان ذکر است که سوئیچ های TP-Link دارای "عملکرد" قفل فروشنده نیستند، یعنی هر ماژول SFP سازگار پشتیبانی می شود، که البته برای مدیران شبکه بسیار راحت خواهد بود.
OAM - عملیات، مدیریت و نگهداری (IEEE 802.3ah). OAM یک پروتکل لایه دوم از مدل OSI است که برای نظارت و عیب یابی شبکه های اترنت طراحی شده است. با استفاده از این پروتکل، سوئیچ می تواند عملکرد یک اتصال خاص و خطاها را کنترل کند و هشدارهایی را ایجاد کند تا مدیر شبکه بتواند شبکه را با کارایی بیشتری مدیریت کند.
راه اندازی اولیه OAM
جزئیات عملکردی OAMدو دستگاه همسایه مجهز به OAM به طور دورهای با ارسال OAMPDU پیامها را مبادله میکنند که در سه نوع اطلاعاتی، اعلان رویداد، و کنترل حلقهای وجود دارد. سوئیچ های مجاور با استفاده از OAMPDU های اطلاعاتی، اطلاعات آماری و همچنین داده های تعریف شده توسط مدیر را برای یکدیگر ارسال می کنند. این نوع پیام همچنین برای حفظ اتصال از طریق پروتکل OAM استفاده می شود. پیامهای اعلان رویداد توسط عملکرد نظارت بر اتصال برای اطلاع طرف مقابل از وقوع خرابی استفاده میشود. پیام های کنترل حلقه برگشتی برای تشخیص حلقه در یک خط استفاده می شود.
در زیر تصمیم گرفتیم ویژگی های اصلی ارائه شده توسط پروتکل OAM را لیست کنیم:
- نظارت بر محیط (تشخیص و شمارش فریم های شکسته)،
- RFI – Remote Failure Indication (ارسال اعلان خرابی در کانال)،
- Remote Loopback (تست کانال برای اندازه گیری تأخیر، تغییرات تاخیری (جتر)، تعداد فریم های از دست رفته).
گزینه دیگری که در سوئیچ های نوری مورد تقاضا است، توانایی تشخیص مشکلات در کانال ارتباطی است که منجر به تبدیل شدن کانال به سیمپلکس می شود، یعنی داده ها فقط در یک جهت می توانند ارسال شوند. سوئیچ های ما از پروتکل DLDP - Device Link Detection Protocol برای شناسایی لینک های یک طرفه استفاده می کنند. اگر منصف باشیم، شایان ذکر است که پروتکل DLDP در هر دو رابط نوری و مسی پشتیبانی می شود، اما به نظر ما، در هنگام استفاده از خطوط فیبر نوری بیشترین محبوبیت را خواهد داشت.
هنگامی که یک پیوند یک طرفه شناسایی می شود، سوئیچ می تواند به طور خودکار رابط مشکل ساز را خاموش کند، که منجر به بازسازی درخت STP و استفاده از کانال های ارتباطی پشتیبان می شود.
در زرادخانه ما ماژول های SFP وجود دارد که سیگنال ها را از طریق یک فیبر دریافت و ارسال می کنند. آنها منحصراً به صورت جفت عمل می کنند و از سیگنال های نوری در طول موج های مختلف برای انتقال درون جفت استفاده می کنند. یک مثال جفت TL-SM321A و TL-SM321B است. هنگام استفاده از چنین ماژول هایی، آسیب به یک فیبر منجر به عدم کارکرد کامل کل کانال نوری می شود. با این حال، حتی در چنین کانال هایی، پروتکل DLDP مورد تقاضا خواهد بود، زیرا، اگرچه این اتفاق به ندرت رخ می دهد، کانال ممکن است ویژگی های شفافیت متفاوتی برای طول موج های مختلف داشته باشد. یک مشکل محتمل تر این است که شفافیت کانال بسته به جهت انتشار نور متفاوت است. بازتاب نگاری به تشخیص این مشکلات کمک می کند، اما این داستان کاملاً متفاوت است.
LLDP
در شبکه های بزرگ شرکت ها یا اپراتورها، به طور دوره ای مشکلاتی با منسوخ شدن اسناد شبکه یا عدم دقت در تهیه آن ایجاد می شود. یک مدیر شبکه ممکن است با موقعیتی مواجه شود که لازم است بفهمد کدام تجهیزات اپراتور واقعاً به یک رابط سوئیچ خاص متصل است. پروتکل LLDP - پیوند لایه کشف (IEEE 802.1AB) به کمک خواهد آمد.
پارامترهای عملیات LLDP
سوئیچ های ما از LLDP نه تنها برای کشف سوئیچ های همسایه یا سایر دستگاه های شبکه، بلکه برای تعیین قابلیت های آنها نیز پشتیبانی می کنند.
همتایان مسی سوئیچ ما می توانند از LLDP-MED برای ساده کردن روش اتصال تلفن های IP استفاده کنند. همچنین با استفاده از این گزینه، سوئیچ PoE میتواند پارامترهای قدرت را با دستگاه برقدار مذاکره کند. ما قبلاً در یکی از جزئیات خود در مورد این موضوع صحبت کرده ایم .
SDM و اشتراک بیش از حد
تقریباً تمام سوئیچ های مدرن فریم ها و بسته های عبوری را بدون استفاده از پردازنده مرکزی پردازش می کنند. پردازش (محاسبه جمعهای چک، اعمال لیستهای دسترسی و انجام سایر بررسیهای امنیتی، و همچنین تصمیمگیری سوئیچینگ/مسیریابی) با استفاده از تراشههای تخصصی انجام میشود که سرعت انتقال بالای ترافیک کاربر را امکانپذیر میسازد. سوئیچ مورد بحث امکان پردازش ترافیک را با سرعت متوسط فراهم می کند. این بدان معناست که عملکرد دستگاه برای ارسال همزمان داده ها با بالاترین سرعت ممکن روی همه پورت ها کافی است. مدل T2600G-28SQ دارای 24 پورت downlink (به سمت کاربران) است که با سرعت 1 گیگابیت بر ثانیه کار می کنند و همچنین دارای 4 پورت uplink (به سمت هسته شبکه) 10 گیگابیت بر ثانیه است. در عین حال، عملکرد سوئیچ کراس باس 128 گیگابیت بر ثانیه است که برای پردازش حداکثر میزان ترافیک ورودی کافی است.
اگر منصف باشیم، شایان ذکر است که عملکرد ماتریس سوئیچینگ 95,2 میلیون بسته در ثانیه است. یعنی هنگام استفاده از حداقل فریم های ممکن با طول تنها 64 بایت، کل عملکرد دستگاه 97,5 گیگابیت بر ثانیه خواهد بود. با این حال، چنین مشخصات ترافیکی برای شبکه های اپراتور مخابراتی تقریبا غیرممکن است.
اشتراک بیش از حد چیستموضوع مهم دیگر نسبت سرعت کانال های بالادستی و پایین دستی (اشتراک بیش از حد) است. در اینجا، بدیهی است که همه چیز به توپولوژی بستگی دارد. اگر مدیر از هر چهار رابط 10 GE برای اتصال به هسته شبکه استفاده کند و آنها را با استفاده از LAG (Link Aggregation Group) یا فناوری Port-Channel ترکیب کند، در این صورت سرعت به دست آمده از نظر آماری به سمت هسته 40 گیگابیت بر ثانیه خواهد بود که بیشتر خواهد بود. برای برآوردن نیازهای همه مشترکین متصل کافی است. علاوه بر این، لازم نیست که هر چهار لینک بالا به یک دستگاه فیزیکی متصل شوند. اتصال را می توان به دسته ای از سوئیچ ها یا به دو دستگاه ترکیب شده در یک خوشه (با استفاده از فناوری vPC یا موارد مشابه) انجام داد. در این مورد هیچ اشتراک اضافی وجود ندارد.
نه تنها با ترکیب آنها با استفاده از LAG، می توانید از هر چهار لینک بالا به طور همزمان استفاده کنید. یک اثر مشابه را می توان با پیکربندی صحیح MSTP به دست آورد، اما این یک داستان کاملا متفاوت است.
دومین روش رایج اتصال L2 استفاده از دو LAG مستقل (یکی برای هر سوئیچ تجمعی) است. در این حالت، به احتمال زیاد، یکی از لینک های مجازی توسط پروتکل STP (هنگام استفاده از STP یا RSTP) مسدود می شود. اضافه اشتراک 5:6 خواهد بود.
یک وضعیت نادرتر، اما هنوز کاملاً محتمل: T2600G-28SQ توسط کانال های مستقل به سوئیچ یا سوئیچ های بالادست متصل می شود. پروتکل STP/RSTP تنها یکی از این پیوندها را در حالت مسدود نشده باقی می گذارد. اضافه اشتراک 5:12 خواهد بود.
کار با ستاره: اشتراک بیش از حد را برای موقعیتهایی که در بخش STP توضیح داده شده است، محاسبه کنید، جایی که ما به یک توپولوژی نمونه نگاه کردیم، زمانی که دو سوئیچ دسترسی به یک دستگاه تجمع وصل شده و به هم متصل هستند.
تراشههای قابل برنامهریزی که چنین سرعتهای انتقال بالایی را امکانپذیر میکنند منبع نسبتاً گرانی هستند، بنابراین ما سعی میکنیم با توزیع مناسب منابع بین عملکردهای مختلف، استفاده از آنها را بهینه کنیم. SDM - مدیریت پایگاه داده سوئیچ مسئولیت توزیع را بر عهده دارد.
توزیع با استفاده از مشخصات SDM انجام می شود. در حال حاضر سه نمایه برای استفاده موجود است که در زیر لیست شده است.
- پیش فرض یک راه حل متعادل برای استفاده از لیست های دسترسی MAC و IP و همچنین ورودی های تشخیص ARP ارائه می دهد.
- EnterpriseV4 به شما امکان می دهد منابع موجود برای استفاده توسط MAC و لیست های دسترسی IP را به حداکثر برسانید.
- EnterpriseV6 برخی منابع را برای استفاده توسط لیست های دسترسی IPv6 اختصاص می دهد.
برای اعمال نمایه جدید سوئیچ باید راه اندازی مجدد شود.
نتیجه
مطابق با موقعیت اولیه، این سوئیچ برای اپراتورهای مخابراتی که با وظیفه تامین دسترسی به شبکه در فواصل طولانی مواجه هستند، مناسب است. این دستگاه می تواند هم در سطح دسترسی، به عنوان مثال، در جوامع کلبه و خانه های شهری، و هم برای تجمع کانال های حاصل از سوئیچ های دسترسی واقع در ساختمان های آپارتمانی استفاده شود. یعنی هر جا که اتصال به اشیاء راه دور لازم باشد. هنگام استفاده از کانال های ارتباطی نوری، مشترک متصل می تواند تا فاصله چند کیلومتری قرار گیرد.
در سمت مشتری، پیوندهای نوری را می توان در سوئیچ های کوچک با رابط های نوری یا مبدل های رسانه ای خاتمه داد.
تعداد زیادی از پروتکل ها و گزینه های پشتیبانی شده به T2600G-28SQ اجازه می دهد تا در شبکه اترنت اپراتور با هر توپولوژی و هر مجموعه ای از فناوری های استفاده شده و خدمات ارائه شده استفاده شود. سوئیچ از راه دور با استفاده از رابط وب یا خط فرمان مدیریت می شود. اگر پیکربندی محلی لازم است، می توانید از پورت کنسول استفاده کنید؛ مدل T2600G-28SQ دارای دو مورد از آنها است: RJ-45 و micro-USB. به عنوان یک مگس کوچک در پماد، ما به عدم پشتیبانی برای انباشته شدن و منبع تغذیه دوم توجه می کنیم. درست است، معمولاً در خارج از مراکز داده ارائه دهندگان، وجود یک خط الکتریکی دوم نادر خواهد بود.
از مزایای آن می توان به قیمت پایین، تعداد زیاد پورت های نوری مشترک، وجود 10 لینک آپتیکال GE و همچنین چهار پورت ترکیبی و انتقال ترافیک با سرعت متوسط اشاره کرد.
منبع: www.habr.com