A expansión das grandes cidades e a formación de aglomeracións é unha das tendencias importantes do desenvolvemento social na actualidade. Só Moscova debería ampliar 2019 millóns de metros cadrados de vivendas en 4 (e isto sen contar os 15 asentamentos que se engadirán en 2020). En todo este vasto territorio, os operadores de telecomunicacións terán que facilitar aos usuarios o acceso a Internet. Estes poden ser microdistritos urbanos con edificios densos de varios pisos ou vilas máis "descargadas". Nestes casos, os requisitos de hardware son lixeiramente diferentes. Analizamos cada un destes escenarios e creamos un modelo de interruptor óptico universal: T2600G-28SQ. Neste post analizaremos en detalle as capacidades do dispositivo que serán de interese para os operadores de telecomunicacións de toda Rusia.
Colocar na rede
O conmutador T2600G-28SQ está deseñado tanto para funcionar no nivel de acceso na rede como para agregar ligazóns doutros conmutadores de nivel de acceso. Este é un interruptor de capa 2600 que realiza a conmutación e o enrutamento estático. Se o operador cambiou a agregación e o acceso (enrutamento só no núcleo da rede), o T28G-XNUMXSQ encaixará en calquera dos niveis. No caso da agregación enrutada de forma dinámica, aínda debes ter en conta algunhas restricións nos casos de uso.
O modelo T2600G-28SQ é un conmutador Ethernet activo completo sen restricións adicionais que aparecen cando se usa xPON ou tecnoloxías similares. Por exemplo, sen a ameaza dunha forte caída da velocidade cun aumento do número de usuarios ou unha escasa compatibilidade entre equipos de diferentes provedores e firmware. Tanto os usuarios finais como os interruptores de acceso subxacentes con enlaces ascendentes ópticos, por exemplo, o modelo T2600G-28TS, poden conectarse ás interfaces do dispositivo. O seguinte diagrama mostra os exemplos máis comúns de tales conexións.
Para acceder á rede do usuario final pódese utilizar fibra óptica ou cable de par trenzado. No lado do abonado, a fibra óptica pódese terminar utilizando un conversor de medios (conversor de medios), por exemplo, TP-Link MC220L; e usando a interface óptica nun router SOHO.
Para conectar un cliente próximo, pode usar catro portos RJ-45 que funcionan a velocidades de 10/100/1000 Mbit/s. Se por algún motivo isto non é suficiente, o operador pode "converter" as interfaces ópticas do interruptor a cobre. Isto pódese facer usando SFP de "cobre" especializados cun conector RJ-45. Pero tal solución non se pode chamar típica.
Algúns exemplos da práctica
Para completar a imaxe, daremos varios exemplos de uso dos interruptores T2600G-28SQ.
Provedor da rexión de Moscova , que, ademais de Internet, ofrece servizos de telefonía e televisión por cable, utiliza o T2600G-28SQ a nivel de acceso á hora de construír redes no sector privado (casas de campo e vivendas). No lado do cliente, a conexión realízase a enrutadores cun porto SFP, así como a conversores multimedia. Polo momento, os enrutadores SOHO con porto SFP non se producen en masa no noso país, pero, por suposto, estamos a pensar niso.
Operador de telecomunicacións da rexión de Pavlovo-Posad usa os interruptores T2600G-28SQ como "pequena agregación", utilizando interruptores dos modelos T2600G-28TS e T2500G-10TS para acceder.
Grupo de empresas proporcionar acceso a Internet, televisión, telefonía e sistemas de videovixilancia no sueste da rexión de Moscova (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). A topoloxía aproximada aquí é a mesma que a da ISS: T2600G-28SQ a nivel de agregación e T2600G-28TS e T2500G-10TS a nivel de acceso.
Provedor de Krasnoznamensk ofrece acceso a Internet mediante unha rede con profunda penetración óptica. Tamén está baseado no T2600G-28SQ.
Nas seguintes seccións describiremos brevemente algunhas das características do T2600G-28SQ. Para non inchar o material, deixamos fóra unha serie de opcións: QinQ (VLAN VPN), enrutamento, QoS, etc. Pensamos que podemos volver a elas nalgunha das seguintes publicacións.
Capacidades de cambio
Reserva - STP
STP - Protocolo Spanning Tree. O protocolo spanning tree é coñecido desde hai moito tempo, grazas á respectada Radya Perlman por iso. Nas redes modernas, os administradores intentan de todas as formas posibles evitar o uso deste protocolo. Si, STP non está exento de inconvenientes. E é moi bo se hai unha alternativa. Non obstante, como adoita suceder, a alternativa a este protocolo dependerá moito do provedor. Polo tanto, a día de hoxe, o Spanning Tree Protocol segue sendo case a única solución compatible con case todos os fabricantes e que tamén é coñecida por todos os administradores de rede.
O switch TP-Link T2600G-28SQ admite tres versións de STP: STP clásico (IEEE 802.1D), RSTP (802.1W) e MSTP (802.1S).
Destas opcións, o RSTP regular é bastante axeitado para a maioría dos pequenos provedores de Internet en Rusia, o que ten unha vantaxe innegable sobre a versión clásica: un tempo de converxencia significativamente máis curto.
O protocolo máis flexible hoxe en día é MSTP, que admite redes virtuais (VLAN) e permite varias árbores diferentes, o que permite utilizar todas as rutas de copia de seguridade dispoñibles. O administrador crea varias instancias de árbore diferentes (ata oito), cada unha das cales serve un conxunto específico de redes virtuais.
Sutilezas de MSTPOs administradores novatos deben ter moito coidado ao usar MSTP. Isto débese a que o comportamento do protocolo difire dentro dunha rexión e entre rexións. Polo tanto, ao configurar os interruptores, paga a pena asegurarse de permanecer dentro da mesma rexión.
Que é esta famosa rexión? En termos MSTP, unha rexión é un conxunto de conmutadores conectados entre si que teñen as mesmas características: nome da rexión, número de revisión e distribución de redes virtuais (VLAN) entre instancias de protocolo (instancias).
Por suposto, o protocolo Spanning Tree (calquera versión) permítelle non só xestionar os bucles que xorden ao conectar canles de copia de seguridade, senón tamén protexer contra erros de conmutación de cable cando un enxeñeiro conecta intencionadamente ou sen querer os portos incorrectos, creando un bucle co seu accións.
Os administradores de rede máis experimentados prefiren utilizar unha variedade de opcións adicionais para protexer o protocolo STP de ataques ou situacións complexas de desastre. O modelo T2600G-28SQ ofrece unha gama completa de tales capacidades: Loop Protect e Root Protect, TC Guard, BPDU Protect e BPDU Filter.
O uso axeitado das opcións indicadas anteriormente xunto con outros mecanismos de protección compatibles estabilizará a rede local e faráa máis previsible.
Reserva - LAG
LAG – Grupo de agregación de enlaces. Esta é unha tecnoloxía que permite combinar varias canles físicas nunha soa lóxica. Todos os demais protocolos deixan de usar as canles físicas incluídas no LAG por separado e comezan a "ver" unha interface lóxica. Un exemplo deste tipo de protocolo é STP.
O tráfico de usuarios é equilibrado entre as canles físicas dentro das canles lóxicas en función da suma hash. Para calculalo pódense utilizar os enderezos MAC do remitente, destinatario ou un par deles; así como os enderezos IP do remitente, destinatario ou un par deles. Non se ten en conta a información do protocolo de capa XNUMX (portos TCP/UDP).
O interruptor T2600G-28SQ admite LAG estáticos e dinámicos.
Para negociar os parámetros de funcionamento dun grupo dinámico, utilízase o protocolo LACP.
Seguridade: listas de acceso (ACL)
O noso interruptor T2600G-28SQ permítelle filtrar o tráfico de usuarios mediante listas de acceso (ACL - Lista de control de acceso).
As listas de acceso admitidas poden ser de varios tipos diferentes: MAC e IP (IPv4/IPv6), combinadas, e tamén para realizar o filtrado de contido. O número de cada tipo de lista de acceso admitido depende do modelo SDM en uso actualmente, que describimos noutra sección.
O operador pode usar esta opción para bloquear varios tráficos non desexados na rede. Un exemplo dese tráfico serían os paquetes IPv6 (usando o campo EtherType) se non se proporciona o servizo correspondente; ou bloquear SMB no porto 445. Nunha rede con enderezo estático, o tráfico DHCP/BOOTP non é necesario, polo que mediante unha ACL, o administrador pode filtrar datagramas UDP nos portos 67 e 68. Tamén pode bloquear o tráfico IPoE local mediante unha ACL. Tal bloqueo pode ser demandado nas redes de operadores que usan PPPoE.
O proceso de uso das listas de acceso é moi sinxelo. Despois de crear a propia lista, cómpre engadirlle o número necesario de rexistros, cuxo tipo depende directamente da folla que se personalice.
Configurar listas de acceso
Cabe sinalar que as listas de acceso poden realizar non só as operacións habituais de permitir ou denegar o tráfico, senón tamén redirixilo, duplicalo e tamén realizar observacións ou limitación de taxas.
Unha vez creadas todas as ACL necesarias, o administrador pode instalalas. É posible anexar unha lista de acceso tanto a un porto físico directo como a unha rede virtual específica.
Seguridade: número de enderezos MAC
Ás veces, os operadores precisan limitar o número de enderezos MAC que un switch aprenderá nun porto específico. As listas de acceso permítenche conseguir o efecto especificado, pero ao mesmo tempo requiren unha indicación explícita dos propios enderezos MAC. Se só precisa limitar o número de enderezos de canles, pero non especificalos de forma explícita, a seguridade dos portos acudirá ao rescate.
Tal restrición pode ser necesaria, por exemplo, para protexer contra a conexión de toda unha rede local a unha interface de conmutador de provedor. Paga a pena mencionar aquí que estamos a falar dunha conexión de acceso telefónico, porque ao conectarse mediante un enrutador no lado do cliente, o T2600G-28SQ só aprenderá un enderezo: este é o MAC que pertence ao porto WAN do enrutador cliente. .
Hai toda unha clase de ataques dirixidos contra a mesa de conmutación. Pode ser un desbordamento da táboa ou unha suplantación de MAC. A opción de seguridade do porto permitirache protexer contra o desbordamento da táboa ponte e os ataques dirixidos a reciclar deliberadamente o interruptor e envelenar a súa mesa ponte.
É imposible non mencionar simplemente o equipo cliente defectuoso. Moitas veces hai situacións nas que unha tarxeta de rede informática ou un enrutador que funcionan mal crea un fluxo de fotogramas con enderezos de remitente e destinatario completamente arbitrarios. Tal fluxo pode drenar facilmente a CAM.
Outra forma de limitar o número de entradas da táboa ponte utilizadas é a ferramenta MAC VLAN Security, que permite que un administrador especifique o número máximo de entradas para unha rede virtual específica.
Ademais de xestionar entradas dinámicas na táboa de conmutación, o administrador tamén pode crear entradas estáticas.
A táboa de ponte máxima do modelo T2600G-28SQ pode acomodar ata 16K rexistros.
Outra opción deseñada para filtrar a transmisión do tráfico de usuarios é a función de illamento de portos, que permite especificar de forma explícita en que dirección se permite o reenvío.
Seguridade - IMPB
Nas vastas extensións da nosa vasta terra natal, o enfoque dos operadores de telecomunicacións para as cuestións de garantir a seguridade da rede varía desde o descoñecemento total ata o máximo uso posible de todas as opcións admitidas polo equipo.
As funcións IPv4 IMPB (IP-MAC-Port Binding) e IPv6 IMPB permítenche protexer contra toda unha serie de ataques relacionados coa suplantación de enderezos IP e MAC por parte dos subscritores vinculando os enderezos IP e MAC dos equipos cliente aos interface de cambio do provedor. Esta vinculación pódese facer manualmente ou mediante as funcións ARP Scanning e DHCP Snooping.
Configuración básica de IMPB
Para ser xustos, hai que dicir que se pode usar unha función especial para protexer o protocolo DHCP: Filtro DHCP.
Usando esta función, o administrador de rede pode especificar manualmente aquelas interfaces ás que están conectados os servidores DHCP reais. Isto evitará que os servidores DHCP malintencionados interfiran no proceso de negociación IP.
Seguridade - DoS Defend
O modelo en consideración permítenos protexer aos usuarios de varios dos ataques DoS máis coñecidos e estendidos anteriormente.
A maioría dos ataques enumerados xa non son nada perigosos para dispositivos con sistemas operativos modernos, pero as nosas redes aínda poden atoparse con aqueles para os que se realizou a última actualización de software hai moitos anos.
Soporte DHCP
O conmutador TP-Link T2600G-28SQ pode actuar como servidor ou relé DHCP e realizar varios filtrados de mensaxes DHCP se outro dispositivo actúa como servidor.
A forma máis sinxela de proporcionar aos usuarios os parámetros IP que necesitan para operar é utilizar o servidor DHCP integrado no switch. Coa súa axuda, os parámetros básicos xa se poden dar aos subscritores.
Conectamos o noso enrutador Archer C6 SOHO a unha das interfaces do interruptor e asegurámonos de que o dispositivo cliente recibise correctamente un enderezo.
Parece así
O servidor DHCP integrado no switch quizais non sexa a solución máis escalable e flexible: non hai soporte para opcións non estándar e non hai conexión con IPAM. Se o operador require máis control sobre o proceso de distribución de enderezos IP, empregarase un servidor DHCP dedicado.
T2600G-28SQ permítelle especificar un servidor DHCP dedicado separado para cada subrede de usuario á que se redirixirán as mensaxes do protocolo en discusión. A subrede selecciónase especificando a interface L3 adecuada: VLAN (SVI), porto enrutado ou canle de porto.
Para probar o funcionamento do relé, configuramos un enrutador separado doutro provedor para que funcione como servidor DHCP, cuxa configuración se presenta a continuación.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8O enrutador cliente conseguiu un enderezo IP de novo.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticBaixo o spoiler: o contido do paquete interceptado entre o interruptor e un servidor DHCP dedicado.
Contido do paquete
Nótese que o interruptor admite a opción 82. Cando estea activado, o interruptor engadirá información sobre a interface de usuario desde a que se recibiu a mensaxe DHCP Discover. Ademais, o modelo T2600G-28SQ permítelle configurar a política para procesar información engadida ao inserir a opción n.o 82. A presenza de soporte para esta opción pode ser útil nunha situación na que o abonado necesita recibir o mesmo enderezo IP, independentemente do ID de cliente que o cliente informe sobre si mesmo.
A seguinte figura mostra unha mensaxe de detección de DHCP (enviada por relé) coa opción número 82 engadida.
Mensaxe coa opción no 82
Por suposto, pode xestionar a opción número 82 sen configurar un relé DHCP completo, os axustes correspondentes preséntanse na subsección "DHCP L2 Relay".
Agora imos cambiar a configuración do servidor DHCP para demostrar como funciona a opción número 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticAlgo coma isto
A función de relé da interface DHCP será útil nunha situación na que o switch non só teña unha interface L3 conectada a unha rede específica, senón que esta interface tamén teña un enderezo IP. Se non hai ningún enderezo nesta interface, a función de relé VLAN DHCP acudirá ao rescate. A información sobre a subrede neste caso tómase da interface predeterminada, é dicir, os espazos de enderezos en varias redes virtuais serán os mesmos (superposición).
Moitas veces, os operadores tamén precisan protexer aos subscritores da activación errónea ou maliciosa do servidor DHCP no equipo cliente. Decidimos comentar esta funcionalidade nunha das seccións dedicadas a cuestións de seguridade.
IEEE 802.1X
Unha forma de autenticar usuarios nunha rede é utilizar o protocolo IEEE 802.1X. A popularidade deste protocolo nas redes de operadores de telecomunicacións en Rusia xa está en declive; aínda se usa principalmente nas redes locais de grandes empresas para autenticar usuarios internos da organización. O interruptor T2600G-28SQ ten compatibilidade con 802.1X, polo que o provedor pode usalo facilmente se é necesario.
Para que o protocolo IEEE 802.1X funcione, son necesarios tres participantes: equipo cliente (solicitante), conmutador de acceso do provedor (autenticador) e servidores de autenticación (normalmente servidores RADIUS).
A configuración básica no lado do operador é moi sinxela. Só cómpre especificar o enderezo IP do servidor RADIUS utilizado, no que se almacenará a base de datos de usuarios, e tamén seleccionar as interfaces para as que se require a autenticación.
Configuración básica 802.1X
Tamén é necesaria unha configuración menor no lado do cliente. Todos os sistemas operativos modernos xa conteñen o software necesario. Pero se é necesario, pode instalar e usar o cliente TP-Link 802.1x, unha aplicación que lle permite autenticar o cliente na rede.
Ao conectar o PC dun usuario directamente á rede do provedor, a configuración de autenticación debe estar activada para a tarxeta de rede utilizada para a conexión.
Non obstante, na actualidade, non é o ordenador do usuario o que adoita estar conectado directamente á rede do operador, senón un enrutador SOHO que garante o funcionamento da rede local do abonado (tanto dos segmentos cableados como sen fíos). Neste caso, todas as configuracións do protocolo 802.1X deben realizarse directamente no enrutador.
Parécenos que este método de autenticación foi inmerecidamente esquecido nas redes de operadores. Si, vincular estrictamente un abonado a un porto de conmutación pode ser unha solución máis sinxela desde o punto de vista da configuración do equipo do usuario. Pero se é necesario o uso dun inicio de sesión e un contrasinal, entón 802.1X non será un protocolo tan pesado en comparación coas conexións usadas baseadas en túneles PPTP/L2TP/PPPoE.
Inserción de ID PPPoE
Moitos usuarios non só no noso país, senón en todo o mundo aínda prefiren usar contrasinais extremadamente sinxelos. E os casos de roubo de credenciais, por desgraza, non son raros. Se o operador usa o protocolo PPPoE na súa rede para autenticar usuarios, entón o interruptor TP-Link T2600G-28SQ axudará a resolver o problema asociado á fuga de credenciais. Isto conséguese engadindo unha etiqueta especial á mensaxe PPPoE Active Discovery. Deste xeito, o provedor pode autenticar o subscritor non só mediante o inicio de sesión e o contrasinal, senón tamén mediante datos adicionais. Estes datos adicionais inclúen o enderezo MAC do dispositivo cliente, así como a interface do interruptor á que está conectado.
Algúns operadores, en principio, queren negar ao abonado (un par de inicio de sesión e contrasinal) a posibilidade de navegar pola rede. A función de inserción de ID PPPoE tamén axudará neste caso.
IGMP
O IGMP (Internet Group Management Protocol) existe desde hai décadas. A súa popularidade é bastante comprensible e facilmente explicable. Pero hai dúas partes implicadas na interacción IGMP: o PC do usuario (ou calquera outro dispositivo, por exemplo, un STB) e o enrutador IP que serve un segmento de rede específico. Os interruptores non participan neste intercambio de ningún xeito. É certo, a última afirmación non é totalmente certa. Ou nas redes modernas isto non é certo en absoluto. Os interruptores admiten IGMP para optimizar o reenvío de tráfico multicast. Escoitando o tráfico de usuarios, o switch detecta nel as mensaxes de Informe IGMP, coa axuda das cales determina os portos para reenviar o tráfico multicast. A opción descrita chámase IGMP Snooping.
O soporte para o protocolo IGMP pódese usar non só para optimizar o tráfico como tal, senón tamén para determinar os subscritores aos que se lles pode proporcionar un determinado servizo, por exemplo, IPTV. Pode acadar o obxectivo desexado configurando manualmente os parámetros de filtrado ou mediante a autenticación.
O soporte para o tráfico de multidifusión nos conmutadores TP-Link implícase de forma bastante flexible. Por exemplo, todos os parámetros pódense configurar para cada rede virtual por separado.
Se varias subredes que conteñen destinatarios de tráfico de multidifusión están conectadas a unha interface de enrutador, ese enrutador verase obrigado a enviar varias copias de paquetes a través desa interface (unha para cada rede virtual).
Neste caso, pode optimizar o procedemento de reenvío de tráfico multicast mediante a tecnoloxía MVR - Multicast VLAN Registration.
A esencia da solución é que se crea unha rede virtual que une a todos os destinatarios. Non obstante, esta rede virtual úsase só para o tráfico multicast. Este enfoque permite ao router enviar só unha copia do tráfico multicast a través da interface.
DDM, OAM e DLDP
DDM – Monitorización de diagnóstico dixital. Durante o funcionamento dos módulos ópticos, moitas veces é necesario supervisar o estado do propio módulo, así como a canle óptica á que está conectado. A función DDM axudarache a xestionar esta tarefa. Coa súa axuda, os enxeñeiros operadores poderán controlar a temperatura de cada módulo que admite esta funcionalidade, a súa tensión e corrente, así como a potencia dos sinais ópticos enviados e recibidos.
Establecer niveis de limiar para os parámetros descritos anteriormente permitirache xerar un evento se están fóra do intervalo aceptable.
Establecer limiares de resposta DDM
Por suposto, o administrador pode ver os valores actuais dos parámetros especificados.
O interruptor TP-Link T2600G-28SQ ten un sistema de refrixeración por aire activo. Ademais, nunca atopamos un sobreenriquecido dos módulos SFP nos nosos switches debido á densidade de portos. Non obstante, se, en teoría, se permite tal posibilidade (por exemplo, debido a algún problema dentro do módulo SFP), entón, coa axuda de DDM, o administrador será inmediatamente notificado dunha situación potencialmente perigosa. O perigo aquí, obviamente, non é para o interruptor en si, senón para o díodo/láser dentro do SFP, xa que a medida que aumenta a súa temperatura, a potencia do sinal óptico emitido pode degradarse, o que levará a unha diminución do orzamento óptico.
Paga a pena sinalar aquí que os interruptores TP-Link non teñen unha "función" de bloqueo de vendedores, é dicir, admite ningún módulo SFP compatible, o que, por suposto, será moi conveniente para os administradores de rede.
OAM - Operación, Administración e Mantemento (IEEE 802.3ah). OAM é un protocolo de segunda capa do modelo OSI deseñado para supervisar e solucionar problemas de redes Ethernet. Usando este protocolo, o switch pode supervisar o rendemento dunha conexión específica e os erros, e xerar alertas para que o administrador de rede poida xestionar a rede de forma máis eficiente.
Configuración básica de OAM
Detalles funcionais OAMDous dispositivos veciños habilitados para OAM intercambian mensaxes periódicamente enviando OAMPDU, que se presentan en tres tipos: informativo, notificación de eventos e control de bucle. Usando OAMPDU informativos, os interruptores veciños envíanse información estatística e datos definidos polo administrador. Este tipo de mensaxes tamén se usan para manter unha conexión a través do protocolo OAM. As mensaxes de notificación de eventos son usadas pola función de seguimento da conexión para notificar á outra parte que se produciron fallos. As mensaxes de control de loopback úsanse para detectar un bucle nunha liña.
A continuación decidimos enumerar as principais características que ofrece o protocolo OAM:
- vixilancia ambiental (detección e reconto de cadros rotos),
- RFI - Indicación de falla remota (envío de notificación de fallo na canle),
- Loopback remoto (proba de canle para medir a latencia, a variación do retardo (jitter), o número de fotogramas perdidos).
Outra opción que se demanda nos interruptores ópticos é a capacidade de detectar problemas na canle de comunicación, o que fai que a canle se converta en simplex, é dicir, os datos só se poden enviar nunha dirección. Os nosos switches usan o DLDP - Device Link Detection Protocol para detectar ligazóns unidireccionais. Para ser xustos, vale a pena sinalar que o protocolo DLDP é compatible tanto con interfaces ópticas como de cobre, pero na nosa opinión, será máis popular cando se utilicen liñas de fibra óptica.
Cando se detecta unha ligazón unidireccional, o interruptor pode apagar automaticamente a interface problemática, o que levará á reconstrución da árbore STP e ao uso de canles de comunicación de copia de seguridade.
No noso arsenal hai módulos SFP que reciben e transmiten sinais por unha soa fibra. Funcionan exclusivamente en pares e usan sinais ópticos a diferentes lonxitudes de onda para a transmisión dentro do par. Un exemplo é o par TL-SM321A e TL-SM321B. Cando se usan tales módulos, o dano nunha fibra levará á completa inoperación de toda a canle óptica. Non obstante, mesmo nestas canles será demandado o protocolo DLDP, xa que, aínda que isto ocorre moi raramente, a canle pode ter características de transparencia diferentes para diferentes lonxitudes de onda. Un problema máis probable é que a transparencia da canle varía dependendo da dirección da propagación da luz. Un reflectograma axudará a detectar estes problemas, pero esa é unha historia completamente diferente.
LLDP
Nas redes de grandes empresas ou operadores xorden periodicamente problemas coa obsolescencia da documentación da rede ou con imprecisións na súa elaboración. Un administrador de rede pode enfrontarse a unha situación na que é necesario descubrir que equipo do operador está realmente conectado a unha interface de conmutador particular. O LLDP - Link Layer Discovery Protocol (IEEE 802.1AB) acudirá ao rescate.
Parámetros de operación LLDP
Os nosos conmutadores admiten LLDP non só para descubrir conmutadores veciños ou outros dispositivos de rede, senón tamén para determinar as súas capacidades.
Os homólogos de cobre do noso switch poden usar LLDP-MED para simplificar o procedemento de conexión de teléfonos IP. Ademais, usando esta opción, o interruptor PoE pode negociar parámetros de enerxía co dispositivo alimentado. Xa falamos disto con certo detalle nun dos nosos .
SDM e sobresubscrición
Case todos os interruptores modernos procesan cadros e paquetes que pasan sen usar un procesador central. O procesamento (cálculo de sumas de verificación, aplicación de listas de acceso e realización doutras comprobacións de seguridade, así como toma de decisións de conmutación/enrutamento) realízase mediante chips especializados, que permiten altas velocidades de transmisión do tráfico de usuarios. O cambio en discusión permite procesar o tráfico a velocidade media. Isto significa que o rendemento do dispositivo é suficiente para enviar datos á maior velocidade posible en todos os portos ao mesmo tempo. O modelo T2600G-28SQ ten 24 portos de enlace descendente (cara aos usuarios), que funcionan a velocidades de 1 Gbit/s, así como 4 portos de enlace ascendente (cara ao núcleo da rede) de 10 Gbit/s. Ao mesmo tempo, o rendemento do bus cruzado do switch é de 128 Gbit/s, o que é suficiente para procesar a cantidade máxima de tráfico entrante.
Para ser xustos, vale a pena sinalar que o rendemento da matriz de conmutación é de 95,2 millóns de paquetes por segundo. É dicir, ao utilizar o mínimo de fotogramas posibles cunha lonxitude de só 64 bytes, o rendemento total do dispositivo será de 97,5 Gbit/s. Non obstante, tal perfil de tráfico é case imposible para as redes de operadores de telecomunicacións.
Que é o exceso de subscriciónOutra cuestión importante é a relación entre as velocidades das canles ascendentes e descendentes (sobresubscrición). Aquí, obviamente, todo depende da topoloxía. Se o administrador utiliza as catro interfaces 10 GE para conectarse ao núcleo de rede e combínaas mediante a tecnoloxía LAG (Link Aggregation Group) ou Port-Channel, entón a velocidade obtida estatísticamente cara ao núcleo será de 40 Gbit/s, que será máis suficiente para satisfacer as necesidades de todos os subscritores conectados. Ademais, non é necesario que as catro ligazóns ascendentes se conecten a un dispositivo físico. A conexión pódese facer a unha pila de conmutadores ou a dous dispositivos combinados nun clúster (usando tecnoloxía vPC ou similar). Neste caso, non hai exceso de subscrición.
Podes usar as catro ligazóns ascendentes á vez non só combinándoas mediante LAG. Pódese conseguir un efecto semellante configurando correctamente MSTP, pero esa é unha historia completamente diferente.
O segundo método de conexión L2 que se usa habitualmente é utilizar dous LAG independentes (un para cada interruptor de agregación). Neste caso, o máis probable é que unha das ligazóns virtuais sexa bloqueada polo protocolo STP (ao utilizar STP ou RSTP). O exceso de subscrición será de 5:6.
Unha situación máis rara, pero aínda bastante probable: o T2600G-28SQ está conectado por canles independentes a un interruptor ou conmutadores ascendentes. O protocolo STP/RSTP deixará só unha ligazón deste tipo en estado desbloqueado. O exceso de subscrición será ás 5:12.
Tarefa cun asterisco: calcula a sobresubscrición para as situacións descritas na sección STP, onde analizamos un exemplo de topoloxía cando dous conmutadores de acceso están conectados ao mesmo dispositivo de agregación e interconectados.
Os chips programables que permiten velocidades de transferencia tan altas son un recurso bastante caro, polo que tratamos de optimizar o seu uso distribuíndo adecuadamente os recursos entre as distintas funcións. SDM - Switch Database Management é responsable da distribución.
A distribución realízase mediante o perfil SDM. Actualmente hai tres perfís dispoñibles para o seu uso, listados a continuación.
- Default ofrece unha solución equilibrada para usar listas de acceso MAC e IP, así como entradas de detección ARP.
- EnterpriseV4 permítelle maximizar os recursos dispoñibles para o seu uso polas listas de acceso MAC e IP.
- EnterpriseV6 asigna algúns recursos para o seu uso polas listas de acceso IPv6.
O interruptor debe reiniciarse para aplicar o novo perfil.
Conclusión
De acordo co posicionamento inicial, este interruptor é o máis adecuado para os operadores de telecomunicacións que se enfrontan á tarefa de proporcionar acceso á rede a longas distancias. O dispositivo pódese usar tanto a nivel de acceso, por exemplo, en comunidades de casas de campo e casas urbanas, como para a agregación de canles procedentes de interruptores de acceso situados en edificios de apartamentos; é dicir, sempre que se precisen conexións a obxectos remotos. Cando se usan canles de comunicación ópticas, o abonado conectado pódese localizar a unha distancia de ata varios quilómetros.
No lado do cliente, as ligazóns ópticas pódense finalizar en pequenos interruptores con interfaces ópticas ou en conversores de medios.
Un gran número de protocolos e opcións admitidos permitirá que o T2600G-28SQ se utilice na rede Ethernet dun operador con calquera topoloxía e calquera conxunto de tecnoloxías utilizadas e servizos proporcionados. O interruptor xestionase de forma remota mediante a interface web ou a liña de comandos. Se é necesaria a configuración local, pode usar o porto da consola; o modelo T2600G-28SQ ten dous deles: RJ-45 e micro-USB. Como pequena mosca na pomada, observamos a falta de soporte para apilar e unha segunda fonte de alimentación. É certo, normalmente fóra dos centros de datos dos provedores, a presenza dunha segunda liña eléctrica será rara.
As súas vantaxes inclúen un prezo baixo, un gran número de portos ópticos de abonado, a presenza de enlaces ascendentes ópticos 10 GE, así como catro portos combinados e o reenvío de tráfico a velocidade media.
Fonte: www.habr.com