L’expansion des grandes villes et la formation d’agglomérations constituent aujourd’hui l’une des tendances importantes du développement social. À elle seule, Moscou devrait s'agrandir de 2019 millions de mètres carrés de logements en 4 (sans compter les 15 colonies qui s'ajouteront d'ici 2020). Sur tout ce vaste territoire, les opérateurs télécoms devront fournir aux utilisateurs un accès à Internet. Il peut s'agir soit de microquartiers urbains avec des immeubles denses à plusieurs étages, soit de villages de chalets plus « déchargés ». Dans ces cas, la configuration matérielle requise est légèrement différente. Nous avons analysé chacun de ces scénarios et créé un modèle de commutateur optique universel - T2600G-28SQ. Dans cet article, nous analyserons en détail les capacités de l'appareil qui intéresseront les opérateurs de télécommunications dans toute la Russie.
Placer sur le réseau
Le commutateur T2600G-28SQ est conçu à la fois pour fonctionner au niveau d'accès dans le réseau et pour regrouper les liaisons provenant d'autres commutateurs de niveau d'accès. Il s'agit d'un commutateur de couche 2600 qui effectue la commutation et le routage statique. Si l'opérateur a commuté à la fois l'agrégation et l'accès (routage uniquement dans le cœur du réseau), le T28G-XNUMXSQ s'adaptera à n'importe lequel des niveaux. Dans le cas d'une agrégation acheminée dynamiquement, vous devez toujours prendre en compte certaines restrictions sur les cas d'utilisation.
Le modèle T2600G-28SQ est un commutateur Ethernet actif à part entière sans restrictions supplémentaires qui apparaissent lors de l'utilisation de xPON ou de technologies similaires. Par exemple, sans risquer une forte baisse de vitesse avec une augmentation du nombre d'utilisateurs ou une mauvaise compatibilité entre les équipements de différents fournisseurs et les firmwares. Les utilisateurs finaux et les commutateurs d'accès sous-jacents dotés de liaisons montantes optiques, par exemple le modèle T2600G-28TS, peuvent se connecter aux interfaces des appareils. Le diagramme ci-dessous montre les exemples les plus courants de telles connexions.
Pour accéder au réseau de l'utilisateur final, un câble à fibre optique ou à paire torsadée peut être utilisé. Du côté de l'abonné, la fibre optique peut être terminée soit à l'aide d'un convertisseur de média (convertisseur de média), par exemple TP-Link MC220L ; et en utilisant l'interface optique dans un routeur SOHO.
Pour connecter un client à proximité, vous pouvez utiliser quatre ports RJ-45 fonctionnant à des vitesses de 10/100/1000 Mbit/s. Si, pour une raison quelconque, cela ne suffit pas, l’opérateur peut « convertir » les interfaces optiques du commutateur en cuivre. Cela peut être fait à l'aide de SFP « cuivre » spécialisés avec un connecteur RJ-45. Mais une telle solution ne peut pas être qualifiée de typique.
Quelques exemples tirés de la pratique
Pour compléter le tableau, nous donnerons plusieurs exemples d'utilisation des commutateurs T2600G-28SQ.
Fournisseur de la région de Moscou , qui, en plus d'Internet, fournit des services de téléphonie et de télévision par câble, utilise le T2600G-28SQ au niveau de l'accès lors de la construction de réseaux dans le secteur privé (chalets et maisons de ville). Côté client, la connexion se fait vers des routeurs dotés d'un port SFP, ainsi que des convertisseurs de média. Pour le moment, les routeurs SOHO dotés d'un port SFP ne sont pas produits en série dans notre pays, mais nous y réfléchissons bien sûr.
Opérateur de télécommunications de la région de Pavlovo-Posad utilise les commutateurs T2600G-28SQ comme un « petit agrégat », en utilisant les commutateurs des modèles T2600G-28TS et T2500G-10TS pour l'accès.
Groupe d'entreprises fournir des systèmes d'accès à Internet, de télévision, de téléphonie et de vidéosurveillance dans le sud-est de la région de Moscou (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). La topologie approximative est ici la même que celle de l'ISS : T2600G-28SQ au niveau agrégation, et T2600G-28TS et T2500G-10TS au niveau accès.
Fournisseur de Krasnoznamensk fournit un accès Internet en utilisant un réseau à pénétration optique profonde. Il est également basé sur le T2600G-28SQ.
Dans les sections suivantes, nous décrirons brièvement certaines des fonctionnalités du T2600G-28SQ. Afin de ne pas surcharger le matériel, nous avons laissé de côté un certain nombre d'options : QinQ (VLAN VPN), routage, QoS, etc. Nous pensons pouvoir y revenir dans l'un des articles suivants.
Capacités du commutateur
Réservation – STP
STP – Protocole Spanning Tree. Le protocole Spanning Tree est connu depuis très longtemps, grâce à la respectée Radya Perlman pour cela. Dans les réseaux modernes, les administrateurs essaient par tous les moyens d'éviter d'utiliser ce protocole. Oui, STP n’est pas sans inconvénients. Et c’est très bien s’il existe une alternative. Cependant, comme c’est souvent le cas, l’alternative à ce protocole dépendra fortement du fournisseur. Par conséquent, à ce jour, le protocole Spanning Tree reste presque la seule solution prise en charge par presque tous les fabricants et également connue de tous les administrateurs réseau.
Le commutateur TP-Link T2600G-28SQ prend en charge trois versions de STP : STP classique (IEEE 802.1D), RSTP (802.1W) et MSTP (802.1S).
Parmi ces options, le RSTP classique convient tout à fait à la plupart des petits fournisseurs d'accès Internet en Russie, et présente un avantage indéniable par rapport à la version classique : un temps de convergence nettement plus court.
Le protocole le plus flexible aujourd'hui est MSTP, qui prend en charge les réseaux virtuels (VLAN) et autorise plusieurs arborescences différentes, ce qui vous permet d'utiliser tous les chemins de sauvegarde disponibles. L'administrateur crée plusieurs instances d'arborescence différentes (jusqu'à huit), dont chacune dessert un ensemble spécifique de réseaux virtuels.
Subtilités de MSTPLes administrateurs novices doivent être très prudents lorsqu'ils utilisent MSTP. En effet, le comportement du protocole diffère au sein d’une région et entre les régions. Par conséquent, lors de la configuration des commutateurs, il convient de s’assurer de rester dans la même région.
Quelle est cette région notoire ? En termes MSTP, une région est un ensemble de commutateurs connectés les uns aux autres qui ont les mêmes caractéristiques : nom de région, numéro de révision et répartition des réseaux virtuels (VLAN) entre les instances de protocole (instances).
Bien entendu, le protocole Spanning Tree (n'importe quelle version) vous permet non seulement de gérer les boucles qui surviennent lors de la connexion des canaux de secours, mais également de vous protéger contre les erreurs de commutation de câble lorsqu'un ingénieur connecte intentionnellement ou non les mauvais ports, créant une boucle avec son Actions.
Les administrateurs réseau plus expérimentés préfèrent utiliser diverses options supplémentaires pour protéger le protocole STP contre les attaques ou les situations de catastrophe complexes. Le modèle T2600G-28SQ offre toute une gamme de ces capacités : Loop Protect et Root Protect, TC Guard, BPDU Protect et BPDU Filter.
Une utilisation appropriée des options répertoriées ci-dessus en conjonction avec d'autres mécanismes de protection pris en charge stabilisera le réseau local et le rendra plus prévisible.
Réservation – GAL
LAG – Groupe d’agrégation de liens. Il s'agit d'une technologie qui vous permet de combiner plusieurs canaux physiques en un seul canal logique. Tous les autres protocoles cessent d'utiliser séparément les canaux physiques inclus dans le LAG et commencent à « voir » une interface logique. Un exemple d'un tel protocole est STP.
Le trafic utilisateur est équilibré entre les canaux physiques au sein des canaux logiques en fonction de la somme de hachage. Pour le calculer, les adresses MAC de l'expéditeur, du destinataire ou une paire d'entre eux peuvent être utilisées ; ainsi que les adresses IP de l'expéditeur, du destinataire ou de deux d'entre eux. Les informations du protocole de couche XNUMX (ports TCP/UDP) ne sont pas prises en compte.
Le commutateur T2600G-28SQ prend en charge les LAG statiques et dynamiques.
Pour négocier les paramètres de fonctionnement d'un groupe dynamique, le protocole LACP est utilisé.
Sécurité - Listes d'accès (ACL)
Notre switch T2600G-28SQ vous permet de filtrer le trafic des utilisateurs à l'aide de listes d'accès (ACL - Access Control List).
Les listes d'accès prises en charge peuvent être de plusieurs types différents : MAC et IP (IPv4/IPv6), combinées, et également pour effectuer un filtrage de contenu. Le nombre de chaque type de liste d'accès pris en charge dépend du modèle SDM actuellement utilisé, que nous avons décrit dans une autre section.
L'opérateur peut utiliser cette option pour bloquer divers trafics indésirables sur le réseau. Un exemple d'un tel trafic serait celui des paquets IPv6 (utilisant le champ EtherType) si le service correspondant n'est pas fourni ; ou bloquez SMB sur le port 445. Dans un réseau avec adressage statique, le trafic DHCP/BOOTP n'est pas requis, donc à l'aide d'une ACL, l'administrateur peut filtrer les datagrammes UDP sur les ports 67 et 68. Vous pouvez également bloquer le trafic IPoE local à l'aide d'une ACL. Un tel blocage peut être demandé dans les réseaux d'opérateurs utilisant PPPoE.
Le processus d’utilisation des listes d’accès est extrêmement simple. Après avoir créé la liste elle-même, vous devez y ajouter le nombre d'enregistrements requis, dont le type dépend directement de la feuille à personnaliser.
Configuration des listes d'accès
Il convient de noter que les listes d'accès peuvent effectuer non seulement les opérations habituelles consistant à autoriser ou refuser le trafic, mais également à le rediriger, à le mettre en miroir, et également à effectuer des remarques ou une limitation de débit.
Une fois que toutes les ACL requises ont été créées, l'administrateur peut les installer. Il est possible d'attacher une liste d'accès à la fois à un port physique direct et à un réseau virtuel spécifique.
Sécurité - nombre d'adresses MAC
Parfois, les opérateurs doivent limiter le nombre d'adresses MAC qu'un commutateur apprendra sur un port spécifique. Les listes d'accès vous permettent d'obtenir l'effet spécifié, mais nécessitent en même temps une indication explicite des adresses MAC elles-mêmes. Si vous devez uniquement limiter le nombre d'adresses de canaux, mais ne pas les spécifier explicitement, la sécurité des ports viendra à la rescousse.
Une telle restriction peut être nécessaire, par exemple, pour empêcher la connexion d'un réseau local entier à une interface de commutateur de fournisseur. Il convient de mentionner ici que nous parlons d'une connexion commutée, car lors de la connexion à l'aide d'un routeur côté client, le T2600G-28SQ n'apprendra qu'une seule adresse - il s'agit du MAC qui appartient au port WAN du routeur client. .
Il existe toute une classe d'attaques dirigées contre la table de commutation. Il peut s'agir d'un débordement de table ou d'une usurpation d'adresse MAC. L'option de sécurité du port vous permettra de vous protéger contre le débordement de la table de pont et les attaques visant à recycler délibérément le commutateur et à empoisonner sa table de pont.
Il est impossible de ne pas évoquer simplement les équipements clients défectueux. Il arrive souvent qu'une carte réseau ou un routeur informatique défectueux crée un flux de trames avec des adresses d'expéditeur et de destinataire complètement arbitraires. Un tel flux peut facilement drainer le CAM.
Un autre moyen de limiter le nombre d'entrées de table de pont utilisées est l'outil de sécurité MAC VLAN, qui permet à un administrateur de spécifier le nombre maximum d'entrées pour un réseau virtuel spécifique.
En plus de gérer les entrées dynamiques dans la table de commutation, l'administrateur peut également en créer des statiques.
La table de pont maximale du modèle T2600G-28SQ peut accueillir jusqu'à 16 XNUMX enregistrements.
Une autre option conçue pour filtrer la transmission du trafic utilisateur est la fonction d'isolation de port, qui vous permet de spécifier explicitement dans quelle direction le transfert est autorisé.
Sécurité – IMPB
Dans les vastes étendues de notre vaste patrie, l'approche des opérateurs de télécommunications face aux questions de sécurité des réseaux varie de l'ignorance totale à l'utilisation maximale possible de toutes les options prises en charge par l'équipement.
Les fonctions IPv4 IMPB (IP-MAC-Port Binding) et IPv6 IMPB permettent de se protéger contre toute une série d'attaques liées à l'usurpation d'adresses IP et MAC de la part des abonnés en liant les adresses IP et MAC des équipements clients à l'interface de commutation du fournisseur. Cette liaison peut être effectuée manuellement ou à l'aide des fonctions ARP Scanning et DHCP Snooping.
Paramètres IMPB de base
Pour être juste, il faut dire qu'une fonction spéciale peut être utilisée pour protéger le protocole DHCP - DHCP Filter.
Grâce à cette fonction, l'administrateur réseau peut spécifier manuellement les interfaces auxquelles les vrais serveurs DHCP sont connectés. Cela empêchera les serveurs DHCP malveillants d'interférer avec le processus de négociation IP.
Sécurité – Défense DoS
Le modèle considéré nous permet de protéger les utilisateurs de plusieurs des attaques DoS les plus connues et les plus répandues.
La plupart des attaques répertoriées ne sont plus du tout dangereuses pour les appareils dotés de systèmes d'exploitation modernes, mais nos réseaux peuvent toujours être confrontés à celles pour lesquelles la dernière mise à jour logicielle a été effectuée il y a de nombreuses années.
Prise en charge DHCP
Le commutateur TP-Link T2600G-28SQ peut agir à la fois comme serveur ou relais DHCP, et effectuer divers filtrages des messages DHCP si un autre appareil fait office de serveur.
Le moyen le plus simple de fournir aux utilisateurs les paramètres IP dont ils ont besoin pour fonctionner consiste à utiliser le serveur DHCP intégré au commutateur. Avec son aide, les paramètres de base peuvent déjà être communiqués aux abonnés.
Nous avons connecté notre routeur Archer C6 SOHO à l'une des interfaces du commutateur et nous sommes assurés que l'appareil client recevait avec succès une adresse.
Ça ressemble à ça
Le serveur DHCP intégré au commutateur n'est peut-être pas la solution la plus évolutive et flexible : il n'y a pas de support pour les options non standard et il n'y a pas de connexion avec IPAM. Si l'opérateur nécessite plus de contrôle sur le processus de distribution des adresses IP, un serveur DHCP dédié sera utilisé.
Le T2600G-28SQ vous permet de spécifier un serveur DHCP dédié distinct pour chaque sous-réseau utilisateur vers lequel les messages du protocole en discussion seront redirigés. Le sous-réseau est sélectionné en spécifiant l'interface L3 appropriée : VLAN (SVI), port routé ou port-channel.
Pour tester le fonctionnement du relais, nous avons configuré un routeur distinct d'un autre fournisseur pour fonctionner comme serveur DHCP, dont les paramètres sont présentés ci-dessous.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Le routeur client a de nouveau réussi à obtenir une adresse IP.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSous le spoiler – le contenu du paquet intercepté entre le commutateur et un serveur DHCP dédié.
Contenu du coffret
Il convient de noter que le commutateur prend en charge l’option 82. Lorsqu'il est activé, le commutateur ajoute des informations sur l'interface utilisateur à partir de laquelle le message DHCP Discover a été reçu. De plus, le modèle T2600G-28SQ permet de configurer la politique de traitement des informations ajoutées lors de l'insertion de l'option n°82. La présence de la prise en charge de cette option peut être utile dans une situation où l'abonné doit recevoir la même adresse IP, quel que soit l'identifiant client que le client signale lui-même.
La figure ci-dessous montre un message de découverte DHCP (envoyé par relais) avec l'option n° 82 ajoutée.
Message avec option n°82
Bien entendu, vous pouvez gérer l'option n°82 sans mettre en place un relais DHCP à part entière, les paramètres correspondants sont présentés dans la sous-section « Relais DHCP L2 ».
Modifions maintenant les paramètres du serveur DHCP pour montrer comment fonctionne l'option n° 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticC'est à propos de
La fonction de relais d'interface DHCP sera utile dans une situation où le commutateur dispose non seulement d'une interface L3 connectée à un réseau spécifique, mais cette interface possède également une adresse IP. S'il n'y a pas d'adresse sur une telle interface, la fonction de relais DHCP VLAN viendra à la rescousse. Dans ce cas, les informations sur le sous-réseau proviennent de l'interface par défaut, c'est-à-dire que les espaces d'adressage de plusieurs réseaux virtuels seront les mêmes (chevauchement).
Souvent, les opérateurs doivent également protéger les abonnés contre une activation erronée ou malveillante du serveur DHCP sur l'équipement client. Nous avons décidé d'aborder cette fonctionnalité dans l'une des sections consacrées aux questions de sécurité.
IEEE 802.1X
Une façon d'authentifier les utilisateurs sur un réseau consiste à utiliser le protocole IEEE 802.1X. La popularité de ce protocole dans les réseaux des opérateurs télécoms en Russie est déjà en déclin, il est encore principalement utilisé dans les réseaux locaux des grandes entreprises pour authentifier les utilisateurs internes de l'organisation. Le commutateur T2600G-28SQ prend en charge 802.1X, le fournisseur peut donc facilement l'utiliser si nécessaire.
Pour que le protocole IEEE 802.1X fonctionne, trois participants sont requis : l'équipement client (demandeur), le commutateur d'accès du fournisseur (authentificateur) et les serveurs d'authentification (généralement des serveurs RADIUS).
La configuration de base côté opérateur est extrêmement simple. Il vous suffit de préciser l'adresse IP du serveur RADIUS utilisé, sur lequel la base de données utilisateurs sera stockée, et également de sélectionner les interfaces pour lesquelles une authentification est requise.
Configuration de base 802.1X
Une configuration mineure est également requise côté client. Tous les systèmes d'exploitation modernes contiennent déjà les logiciels nécessaires. Mais si nécessaire, vous pouvez installer et utiliser TP-Link 802.1x Client - une application qui vous permet d'authentifier le client sur le réseau.
Lors de la connexion du PC d'un utilisateur directement au réseau du fournisseur, les paramètres d'authentification doivent être activés pour la carte réseau utilisée pour la connexion.
Cependant, à l’heure actuelle, ce n’est généralement pas l’ordinateur de l’utilisateur qui est généralement connecté directement au réseau de l’opérateur, mais un routeur SOHO qui assure le fonctionnement du réseau local de l’abonné (segments filaires et sans fil). Dans ce cas, tous les paramètres du protocole 802.1X doivent être effectués directement sur le routeur.
Il nous semble que cette méthode d'authentification a été injustement oubliée dans les réseaux des opérateurs. Oui, lier strictement un abonné à un port de commutateur peut être une solution plus simple du point de vue des paramètres de l'équipement utilisateur. Mais si l'utilisation d'un login et d'un mot de passe est nécessaire, alors le 802.1X ne sera pas un protocole aussi lourd comparé aux connexions utilisées basées sur les tunnels PPTP/L2TP/PPPoE.
Insertion d'un identifiant PPPoE
De nombreux utilisateurs, non seulement dans notre pays, mais dans le monde entier, préfèrent encore utiliser des mots de passe extrêmement simples. Et les cas de vol d’identifiants ne sont hélas pas rares. Si l'opérateur utilise le protocole PPPoE dans son réseau pour authentifier les utilisateurs, le commutateur TP-Link T2600G-28SQ aidera à résoudre le problème associé à la fuite des informations d'identification. Ceci est réalisé en ajoutant une étiquette spéciale au message PPPoE Active Discovery. De cette manière, le fournisseur peut authentifier l'abonné non seulement par login et mot de passe, mais également par des données supplémentaires. Ces données supplémentaires incluent l'adresse MAC du périphérique client, ainsi que l'interface du commutateur à laquelle il est connecté.
Certains opérateurs souhaitent en principe refuser à l'abonné (une paire d'identifiant et de mot de passe) la possibilité de naviguer sur le réseau. La fonction d'insertion d'ID PPPoE sera également utile dans ce cas.
IGMP
L'IGMP (Internet Group Management Protocol) existe depuis des décennies. Sa popularité est tout à fait compréhensible et facilement explicable. Mais deux parties sont impliquées dans l'interaction IGMP : le PC de l'utilisateur (ou tout autre appareil, par exemple un STB) et le routeur IP desservant un segment de réseau spécifique. Les Switchs ne participent en aucun cas à cet échange. Certes, la dernière affirmation n’est pas entièrement vraie. Or, dans les réseaux modernes, ce n’est pas vrai du tout. Les commutateurs prennent en charge IGMP pour optimiser le transfert du trafic multicast. En écoutant le trafic utilisateur, le commutateur y détecte les messages de rapport IGMP, à l'aide desquels il détermine les ports pour transférer le trafic de multidiffusion. L'option décrite s'appelle IGMP Snooping.
La prise en charge du protocole IGMP peut être utilisée non seulement pour optimiser le trafic en tant que tel, mais également pour déterminer les abonnés qui peuvent bénéficier d'un certain service, par exemple IPTV. Vous pouvez atteindre l'objectif souhaité soit en définissant manuellement les paramètres de filtrage, soit en utilisant l'authentification.
La prise en charge du trafic multicast sur les commutateurs TP-Link est implémentée de manière assez flexible. Par exemple, tous les paramètres peuvent être définis séparément pour chaque réseau virtuel.
Si plusieurs sous-réseaux contenant des destinataires de trafic multicast sont connectés à une interface de routeur, ce routeur sera alors obligé d'envoyer plusieurs copies de paquets via cette interface (une pour chaque réseau virtuel).
Dans ce cas, vous pouvez optimiser la procédure de transfert du trafic multicast à l'aide de la technologie MVR - Multicast VLAN Registration.
L'essence de la solution réside dans la création d'un réseau virtuel qui unit tous les destinataires. Cependant, ce réseau virtuel n'est utilisé que pour le trafic multicast. Cette approche permet au routeur d'envoyer une seule copie du trafic de multidiffusion via l'interface.
DDM, OAM et DLDP
DDM – Surveillance diagnostique numérique. Lors du fonctionnement des modules optiques, il est souvent nécessaire de surveiller l'état du module lui-même, ainsi que le canal optique auquel il est connecté. La fonction DDM vous aidera à faire face à cette tâche. Avec son aide, les ingénieurs opérateurs pourront surveiller la température de chaque module prenant en charge cette fonctionnalité, sa tension et son courant, ainsi que la puissance des signaux optiques envoyés et reçus.
La définition de niveaux de seuil pour les paramètres décrits précédemment vous permettra de générer un événement s'ils se situent en dehors de la plage acceptable.
Définition des seuils de réponse DDM
Naturellement, l'administrateur peut visualiser les valeurs actuelles des paramètres spécifiés.
Le commutateur TP-Link T2600G-28SQ dispose d'un système de refroidissement par air actif. De plus, nous n'avons jamais rencontré de surchauffe des modules SFP dans nos commutateurs en raison de la densité des ports. Cependant, si, en théorie purement, une telle possibilité est autorisée (par exemple, en raison d'un problème à l'intérieur du module SFP), alors avec l'aide de DDM, l'administrateur sera immédiatement informé d'une situation potentiellement dangereuse. Le danger ici, évidemment, ne vient pas du commutateur lui-même, mais de la diode/laser à l'intérieur du SFP, car à mesure que sa température augmente, la puissance du signal optique émis peut se dégrader, ce qui entraînera une diminution du budget optique.
Il convient de noter ici que les commutateurs TP-Link n'ont pas de « fonction » de verrouillage du fournisseur, c'est-à-dire que tous les modules SFP compatibles sont pris en charge, ce qui, bien sûr, sera très pratique pour les administrateurs réseau.
OAM - Exploitation, administration et maintenance (IEEE 802.3ah). OAM est un protocole de deuxième couche du modèle OSI conçu pour surveiller et dépanner les réseaux Ethernet. Grâce à ce protocole, le commutateur peut surveiller les performances d'une connexion spécifique et les erreurs, et générer des alertes afin que l'administrateur réseau puisse gérer le réseau plus efficacement.
Configuration OAM de base
Détails fonctionnels OAMDeux appareils voisins compatibles OAM échangent périodiquement des messages en envoyant des OAMPDU, qui se déclinent en trois types : informationnel, notification d'événement et contrôle de bouclage. À l'aide d'OAMPDU informatifs, les commutateurs voisins s'envoient mutuellement des informations statistiques ainsi que des données définies par l'administrateur. Ce type de message est également utilisé pour maintenir une connexion via le protocole OAM. Les messages de notification d'événement sont utilisés par la fonction de surveillance de connexion pour informer l'autre partie que des échecs se sont produits. Les messages de contrôle de bouclage sont utilisés pour détecter une boucle sur une ligne.
Ci-dessous, nous avons décidé de lister les principales fonctionnalités fournies par le protocole OAM :
- surveillance de l'environnement (détection et comptage des trames cassées),
- RFI – Remote Failure Indication (envoi d'une notification de panne sur le canal),
- Bouclage à distance (test de canal pour mesurer la latence, la variation du délai (gigue), le nombre de trames perdues).
Une autre option très demandée sur les commutateurs optiques est la capacité de détecter des problèmes sur le canal de communication, ce qui conduit le canal à devenir simplex, c'est-à-dire que les données ne peuvent être envoyées que dans une seule direction. Nos commutateurs utilisent le DLDP - Device Link Detection Protocol pour détecter les liens unidirectionnels. Pour être honnête, il convient de noter que le protocole DLDP est pris en charge sur les interfaces optiques et cuivre, mais à notre avis, il sera plus populaire lors de l'utilisation de lignes à fibre optique.
Lorsqu'une liaison unidirectionnelle est détectée, le commutateur peut automatiquement arrêter l'interface problématique, ce qui entraînera la reconstruction de l'arborescence STP et l'utilisation de canaux de communication de secours.
Dans notre arsenal, il existe des modules SFP qui reçoivent et transmettent des signaux sur une seule fibre. Ils fonctionnent exclusivement par paires et utilisent des signaux optiques à différentes longueurs d'onde pour la transmission au sein de la paire. Un exemple est la paire TL-SM321A et TL-SM321B. Lors de l'utilisation de tels modules, l'endommagement d'une fibre entraînera une inopérabilité totale de l'ensemble du canal optique. Cependant, même sur de tels canaux, le protocole DLDP sera demandé car, bien que cela se produise extrêmement rarement, le canal peut avoir des caractéristiques de transparence différentes pour différentes longueurs d'onde. Un problème plus probable est que la transparence du canal varie en fonction de la direction de propagation de la lumière. Un réflectogramme permettra de détecter ces problèmes, mais c’est une toute autre histoire.
LLDP
Dans les grands réseaux d'entreprise ou d'opérateur, des problèmes surviennent périodiquement avec l'obsolescence de la documentation réseau ou des inexactitudes dans sa préparation. Un administrateur réseau peut être confronté à une situation dans laquelle il est nécessaire de savoir quel équipement opérateur est réellement connecté à une interface de commutateur particulière. Le LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) viendra à la rescousse.
Paramètres de fonctionnement LLDP
Nos commutateurs prennent en charge LLDP non seulement pour découvrir les commutateurs voisins ou d'autres périphériques réseau, mais également pour déterminer leurs capacités.
Les homologues en cuivre de notre commutateur peuvent utiliser LLDP-MED pour simplifier la procédure de connexion des téléphones IP. De plus, grâce à cette option, le commutateur PoE peut négocier les paramètres d'alimentation avec l'appareil alimenté. Nous en avons déjà parlé en détail dans l'un de nos .
SDM et surabonnement
Presque tous les commutateurs modernes traitent les trames et les paquets sans utiliser de processeur central. Le traitement (calcul des sommes de contrôle, application des listes d'accès et réalisation d'autres contrôles de sécurité, ainsi que prise de décisions de commutation/routage) est effectué à l'aide de puces spécialisées, ce qui permet des vitesses de transmission élevées du trafic utilisateur. Le commutateur en discussion permet de traiter le trafic à vitesse moyenne. Cela signifie que les performances de l'appareil sont suffisantes pour envoyer des données aux vitesses les plus élevées possibles sur tous les ports en même temps. Le modèle T2600G-28SQ dispose de 24 ports de liaison descendante (vers les utilisateurs), fonctionnant à des vitesses de 1 Gbit/s, ainsi que de 4 ports de liaison montante (vers le cœur du réseau) de 10 Gbit/s. Dans le même temps, les performances du cross-bus du commutateur sont de 128 Gbit/s, ce qui est suffisant pour traiter la quantité maximale de trafic entrant.
En toute honnêteté, il convient de noter que les performances de la matrice de commutation sont de 95,2 millions de paquets par seconde. Autrement dit, en utilisant le minimum de trames possibles d'une longueur de seulement 64 octets, les performances totales de l'appareil seront de 97,5 Gbit/s. Cependant, un tel profil de trafic est quasiment impossible pour les réseaux des opérateurs télécoms.
Qu'est-ce que le surabonnementUn autre problème important est le rapport entre les débits des chaînes montantes et descendantes (surabonnement). Ici évidemment, tout dépend de la topologie. Si l'administrateur utilise les quatre interfaces 10 GE pour se connecter au cœur du réseau et les combine à l'aide de la technologie LAG (Link Aggregation Group) ou Port-Channel, alors la vitesse statistiquement obtenue vers le cœur sera de 40 Gbit/s, ce qui sera plus que suffisant pour satisfaire les besoins de tous les abonnés connectés. De plus, il n’est pas nécessaire que les quatre liaisons montantes se connectent à un seul périphérique physique. La connexion peut être établie à une pile de commutateurs ou à deux appareils combinés en cluster (en utilisant la technologie vPC ou similaire). Dans ce cas, il n’y a pas de sursouscription.
Vous pouvez utiliser les quatre liaisons montantes simultanément, non seulement en les combinant à l'aide de LAG. Un effet similaire peut être obtenu en configurant correctement MSTP, mais c'est une toute autre histoire.
La deuxième méthode de connexion L2 couramment utilisée consiste à utiliser deux LAG indépendants (un pour chaque commutateur d'agrégation). Dans ce cas, il est fort probable que l'un des liens virtuels soit bloqué par le protocole STP (lors de l'utilisation de STP ou RSTP). Le surabonnement sera de 5:6.
Situation plus rare, mais tout de même tout à fait probable : le T2600G-28SQ est connecté par des voies indépendantes à un ou plusieurs commutateurs amont. Le protocole STP/RSTP ne laissera qu’un seul de ces liens dans un état débloqué. Le surabonnement sera de 5h12.
Tâche avec un astérisque : calculez le surabonnement pour les situations décrites dans la section STP, où nous avons examiné un exemple de topologie lorsque deux commutateurs d'accès sont connectés au même périphérique d'agrégation et interconnectés.
Les puces programmables qui permettent des vitesses de transfert aussi élevées sont une ressource assez coûteuse, nous essayons donc d'optimiser leur utilisation en répartissant correctement les ressources entre les différentes fonctions. SDM - Switch Database Management est responsable de la distribution.
La distribution s'effectue à l'aide du profil SDM. Il existe actuellement trois profils disponibles, répertoriés ci-dessous.
- Default offre une solution équilibrée pour l'utilisation des listes d'accès MAC et IP, ainsi que des entrées de détection ARP.
- EnterpriseV4 vous permet de maximiser les ressources disponibles pour une utilisation par les listes d'accès MAC et IP.
- EnterpriseV6 alloue certaines ressources à utiliser par les listes d'accès IPv6.
Le commutateur doit être redémarré pour appliquer le nouveau profil.
Conclusion
Conformément au positionnement initial, ce switch est le mieux adapté aux opérateurs télécoms confrontés à la tâche de fournir un accès au réseau sur de longues distances. L'appareil peut être utilisé aussi bien au niveau de l'accès, par exemple dans les communautés de chalets et les maisons de ville, que pour l'agrégation des canaux provenant des commutateurs d'accès situés dans les immeubles d'habitation ; c'est-à-dire partout où des connexions à des objets distants sont requises. Lors de l'utilisation de canaux de communication optiques, l'abonné connecté peut être localisé à une distance allant jusqu'à plusieurs kilomètres.
Côté client, les liaisons optiques peuvent être terminées sur de petits commutateurs dotés d'interfaces optiques ou sur des convertisseurs de média.
Un grand nombre de protocoles et d'options pris en charge permettront au T2600G-28SQ d'être utilisé dans le réseau Ethernet d'un opérateur avec n'importe quelle topologie et n'importe quel ensemble de technologies utilisées et de services fournis. Le commutateur est géré à distance à l'aide de l'interface Web ou de la ligne de commande. Si une configuration locale est nécessaire, vous pouvez utiliser le port console ; le modèle T2600G-28SQ en possède deux : RJ-45 et micro-USB. Petit bémol dans la pommade, on note l'absence de support pour l'empilage et d'une seconde alimentation. Certes, généralement en dehors des centres de données des fournisseurs, la présence d'une deuxième ligne électrique sera rare.
Ses avantages incluent un prix bas, un grand nombre de ports optiques d'abonnés, la présence de liaisons montantes optiques 10 GE, ainsi que quatre ports combinés et un transfert de trafic à vitesse moyenne.
Source: habr.com