Խոշոր քաղաքների ընդարձակումը և ագլոմերացիաների ձևավորումն այսօր սոցիալական զարգացման կարևոր ուղղություններից է։ Միայն Մոսկվան 2019 թվականին պետք է ընդլայնի 4 միլիոն քառակուսի մետր բնակարանային տարածք (և սա չհաշված 15 բնակավայրերը, որոնք կավելանան մինչև 2020 թվականը): Այս հսկայական տարածքում հեռահաղորդակցության օպերատորները ստիպված կլինեն օգտատերերին ապահովել ինտերնետի հասանելիություն: Դրանք կարող են լինել կամ քաղաքային միկրոշրջաններ՝ խիտ բազմահարկ շենքերով, կամ ավելի «լիցքաթափված» տնակային գյուղեր։ Այս դեպքերի համար ապարատային պահանջները մի փոքր տարբեր են: Մենք վերլուծեցինք այս սցենարներից յուրաքանչյուրը և ստեղծեցինք ունիվերսալ օպտիկական անջատիչ մոդել՝ T2600G-28SQ: Այս գրառման մեջ մենք մանրամասն կվերլուծենք սարքի հնարավորությունները, որոնք կհետաքրքրեն հեռահաղորդակցության օպերատորներին ամբողջ Ռուսաստանում:
Տեղադրեք ցանցում
T2600G-28SQ անջատիչը նախատեսված է ինչպես ցանցում մուտքի մակարդակում աշխատելու, այնպես էլ մուտքի մակարդակի այլ անջատիչների հղումներ հավաքելու համար: Սա 2600-րդ շերտի անջատիչ է, որն իրականացնում է անջատում և ստատիկ երթուղում: Եթե օպերատորը փոխել է և՛ ագրեգացիան, և՛ հասանելիությունը (երթուղում միայն ցանցի միջուկում), T28G-XNUMXSQ-ը կտեղավորվի ցանկացած մակարդակում: Դինամիկ ուղղորդված ագրեգացիայի դեպքում դուք դեռ պետք է հաշվի առնեք օգտագործման դեպքերի որոշ սահմանափակումներ:
T2600G-28SQ մոդելը լիարժեք ակտիվ Ethernet անջատիչ է առանց լրացուցիչ սահմանափակումների, որոնք հայտնվում են xPON կամ նմանատիպ տեխնոլոգիաներ օգտագործելիս: Օրինակ՝ առանց արագության կտրուկ անկման սպառնալիքի՝ օգտատերերի քանակի ավելացման կամ տարբեր վաճառողների սարքավորումների և որոնվածի միջև վատ համատեղելիության հետ: Սարքի միջերեսներին կարող են միանալ և՛ վերջնական օգտվողները, և՛ դրա հիմքում ընկած մուտքի անջատիչները՝ օպտիկական վերելակներով, օրինակ՝ T2600G-28TS մոդելը: Ստորև բերված դիագրամը ցույց է տալիս նման կապերի ամենատարածված օրինակները:
Վերջնական օգտագործողի ցանց մուտք գործելու համար կարելի է օգտագործել օպտիկական մանրաթել կամ ոլորված զույգ մալուխ: Բաժանորդի կողմից օպտիկական մանրաթելը կարող է դադարեցվել կամ օգտագործելով մեդիա փոխարկիչ (մեդիա փոխարկիչ), օրինակ՝ TP-Link MC220L; և օգտագործելով օպտիկական ինտերֆեյսը SOHO երթուղիչում:
Մոտակա հաճախորդին միացնելու համար կարող եք օգտագործել չորս RJ-45 պորտեր, որոնք աշխատում են 10/100/1000 Մբիթ/վրկ արագությամբ: Եթե ինչ-ինչ պատճառներով դա բավարար չէ, օպերատորը կարող է «փոխակերպել» անջատիչի օպտիկական միջերեսները պղնձի: Դա կարելի է անել RJ-45 միակցիչով մասնագիտացված «պղնձի» SFP-ների միջոցով: Բայց նման լուծումը բնորոշ չի կարելի անվանել։
Մի քանի օրինակ պրակտիկայից
Պատկերը լրացնելու համար մենք կտանք T2600G-28SQ անջատիչների օգտագործման մի քանի օրինակ։
Մոսկվայի շրջանի մատակարար , որը, բացի ինտերնետից, տրամադրում է հեռախոսակապի և կաբելային հեռուստատեսության ծառայություններ, օգտագործում է T2600G-28SQ մուտքի մակարդակում մասնավոր հատվածում (տնակներ և տներ) ցանցեր կառուցելիս: Հաճախորդի կողմից միացումը կատարվում է SFP պորտով երթուղիչների, ինչպես նաև մեդիա կերպափոխիչների հետ: Այս պահին SFP պորտով SOHO երթուղիչները մեր երկրում մասսայական չեն արտադրվում, բայց մենք, իհարկե, մտածում ենք այդ մասին։
Հեռահաղորդակցության օպերատոր Պավլովո-Պոսադ շրջանից օգտագործում է T2600G-28SQ անջատիչները որպես «փոքր ագրեգացիա»՝ մուտքի համար օգտագործելով T2600G-28TS և T2500G-10TS մոդելների անջատիչներ:
Ընկերության խումբ ապահովել ինտերնետ հասանելիություն, հեռուստատեսություն, հեռախոսակապի և տեսահսկման համակարգեր Մոսկվայի մարզի հարավ-արևելքում (Կոլոմնա, Լուխովիցի, Զարայսկ, Սերեբրյանյե Պրուդի, Օզյորի): Մոտավոր տոպոլոգիան այստեղ նույնն է, ինչ ISS-ինը՝ T2600G-28SQ ագրեգացիայի մակարդակում, և T2600G-28TS և T2500G-10TS՝ մուտքի մակարդակում:
Պրովայդերը Կրասնոզնամենսկից ապահովում է ինտերնետ հասանելիություն՝ օգտագործելով խորը օպտիկական ներթափանցում ունեցող ցանց: Այն նաև հիմնված է T2600G-28SQ-ի վրա:
Հետևյալ բաժիններում մենք համառոտ կնկարագրենք T2600G-28SQ-ի որոշ առանձնահատկություններ: Որպեսզի նյութը չփչացվի, մենք բաց թողեցինք մի շարք տարբերակներ՝ QinQ (VLAN VPN), երթուղիացում, QoS և այլն։ Կարծում ենք, որ դրանց կարող ենք վերադառնալ հետևյալ գրառումներից մեկում։
Անջատիչի հնարավորություններ
Ամրագրում – STP
STP – Ծառի տարածման արձանագրություն: Ընդգրկված ծառի արձանագրությունը հայտնի է շատ վաղուց, շնորհակալություն հարգված Ռադյա Պերլմանին դրա համար: Ժամանակակից ցանցերում ադմինիստրատորները ամեն կերպ փորձում են խուսափել այս արձանագրության օգտագործումից: Այո, STP-ն առանց իր թերությունների չէ: Եվ շատ լավ է, եթե դրան այլընտրանք կա։ Այնուամենայնիվ, ինչպես հաճախ է պատահում, այս արձանագրության այլընտրանքը մեծապես կախված կլինի վաճառողից: Հետևաբար, մինչ օրս Spanning Tree Protocol-ը մնում է գրեթե միակ լուծումը, որն աջակցվում է գրեթե բոլոր արտադրողների կողմից և հայտնի է նաև ցանցի բոլոր ադմինիստրատորներին:
TP-Link T2600G-28SQ անջատիչը աջակցում է STP-ի երեք տարբերակի՝ դասական STP (IEEE 802.1D), RSTP (802.1W) և MSTP (802.1S):
Այս տարբերակներից սովորական RSTP-ը բավականին հարմար է Ռուսաստանի փոքր ինտերնետ պրովայդերների համար, որն ունի մեկ անհերքելի առավելություն դասական տարբերակի նկատմամբ՝ զգալիորեն ավելի կարճ կոնվերգենցիայի ժամանակը:
Այսօրվա ամենաճկուն արձանագրությունը MSTP-ն է, որն աջակցում է վիրտուալ ցանցերին (VLAN) և թույլ է տալիս մի քանի տարբեր ծառեր, որոնք թույլ են տալիս օգտագործել բոլոր առկա պահուստային ուղիները: Ադմինիստրատորը ստեղծում է մի քանի տարբեր ծառերի օրինակներ (մինչև ութ), որոնցից յուրաքանչյուրը ծառայում է վիրտուալ ցանցերի որոշակի շարք:
MSTP-ի նրբություններըՍկսնակ ադմինիստրատորները պետք է շատ զգույշ լինեն MSTP-ն օգտագործելիս: Դա պայմանավորված է նրանով, որ արձանագրային վարքագիծը տարբերվում է տարածաշրջանում և տարածաշրջանների միջև: Հետևաբար, անջատիչները կարգավորելիս արժե համոզվել մնալ նույն տարածաշրջանում:
Ո՞րն է այս տխրահռչակ շրջանը: MSTP-ի առումով տարածաշրջանը միմյանց հետ կապված անջատիչների մի շարք է, որոնք ունեն նույն բնութագրերը՝ տարածաշրջանի անվանումը, վերանայման համարը և վիրտուալ ցանցերի (VLAN-ների) բաշխումը պրոտոկոլային օրինակների (ատյանների) միջև:
Իհարկե, Spanning Tree արձանագրությունը (ցանկացած տարբերակ) թույլ է տալիս ոչ միայն զբաղվել օղակների հետ, որոնք առաջանում են պահուստային ալիքները միացնելիս, այլև պաշտպանվել մալուխի միացման սխալներից, երբ ինժեները միտումնավոր կամ ակամա միացնում է սխալ պորտերը՝ ստեղծելով իր հետ հանգույց։ գործողություններ։
Ավելի փորձառու ցանցային ադմինիստրատորները նախընտրում են օգտագործել մի շարք լրացուցիչ տարբերակներ՝ STP արձանագրությունը հարձակումներից կամ բարդ աղետային իրավիճակներից պաշտպանելու համար: T2600G-28SQ մոդելն առաջարկում է նման հնարավորությունների մի ամբողջ շարք՝ Loop Protect և Root Protect, TC Guard, BPDU Protect և BPDU Filter:
Վերը թվարկված տարբերակների ճիշտ օգտագործումը աջակցվող պաշտպանության այլ մեխանիզմների հետ համատեղ կկայունացնի տեղական ցանցը և այն ավելի կանխատեսելի կդարձնի:
Ամրագրում – LAG
LAG – Link Aggregation Group: Սա տեխնոլոգիա է, որը թույլ է տալիս միավորել մի քանի ֆիզիկական ալիքներ մեկ տրամաբանականի մեջ: Բոլոր մյուս արձանագրությունները դադարում են առանձին օգտագործել LAG-ում ներառված ֆիզիկական ուղիները և սկսում են «տեսնել» մեկ տրամաբանական ինտերֆեյս: Նման արձանագրության օրինակ է STP-ն:
Օգտատերերի տրաֆիկը հավասարակշռված է տրամաբանական ալիքների ֆիզիկական ալիքների միջև՝ հիմնված հեշ գումարի վրա: Այն հաշվարկելու համար կարող են օգտագործվել ուղարկողի, ստացողի կամ դրանցից զույգի MAC հասցեները. ինչպես նաև ուղարկողի, ստացողի կամ դրանց մի զույգի IP հասցեները: XNUMX-րդ շերտի արձանագրության տեղեկատվությունը (TCP/UDP պորտերը) հաշվի չի առնվում:
T2600G-28SQ անջատիչը աջակցում է ստատիկ և դինամիկ LAG-ներին:
Դինամիկ խմբի գործառնական պարամետրերը քննարկելու համար օգտագործվում է LACP արձանագրությունը:
Անվտանգություն – Մուտքի ցուցակներ (ACL)
Մեր T2600G-28SQ անջատիչը թույլ է տալիս զտել օգտվողների երթևեկությունը՝ օգտագործելով մուտքի ցուցակները (ACL - Access Control List):
Աջակցվող մուտքի ցուցակները կարող են լինել մի քանի տարբեր տեսակների. MAC և IP (IPv4/IPv6), համակցված, ինչպես նաև բովանդակության զտում կատարելու համար: Աջակցվող մուտքի ցանկի յուրաքանչյուր տեսակի թիվը կախված է ներկայումս օգտագործվող SDM ձևանմուշից, որը մենք նկարագրել ենք մեկ այլ բաժնում:
Օպերատորը կարող է օգտագործել այս տարբերակը ցանցում անցանկալի երթևեկությունը արգելափակելու համար: Նման տրաֆիկի օրինակ կարող են լինել IPv6 փաթեթները (օգտագործելով EtherType դաշտը), եթե համապատասխան ծառայությունը չի տրամադրվում. կամ արգելափակել SMB-ը 445 նավահանգստում: Ստատիկ հասցեավորում ունեցող ցանցում DHCP/BOOTP տրաֆիկը չի պահանջվում, հետևաբար, օգտագործելով ACL, ադմինիստրատորը կարող է զտել UDP տվյալների գրաֆիկները 67 և 68 նավահանգիստներում: Դուք կարող եք նաև արգելափակել տեղական IPoE տրաֆիկը ACL-ի միջոցով: Նման արգելափակումը կարող է պահանջարկ ունենալ PPPoE օգտագործող օպերատորների ցանցերում:
Մուտքի ցուցակների օգտագործման գործընթացը չափազանց պարզ է: Ինքնին ցուցակը ստեղծելուց հետո դուք պետք է դրան ավելացնեք անհրաժեշտ թվով գրառումներ, որոնց տեսակն ուղղակիորեն կախված է հարմարեցվող թերթիկից:
Մուտքի ցուցակների կարգավորում
Հարկ է նշել, որ մուտքի ցուցակները կարող են կատարել ոչ միայն երթևեկությունը թույլատրելու կամ մերժելու սովորական գործողություններ, այլև այն վերահղել, արտացոլել այն, ինչպես նաև կատարել նշումներ կամ արագության սահմանափակում:
Երբ բոլոր անհրաժեշտ ACL-ները ստեղծվեն, ադմինիստրատորը կարող է տեղադրել դրանք: Հնարավոր է կցել մուտքի ցուցակը և՛ ուղղակի ֆիզիկական պորտին, և՛ կոնկրետ վիրտուալ ցանցին:
Անվտանգություն - MAC հասցեների քանակը
Երբեմն օպերատորները պետք է սահմանափակեն MAC հասցեների քանակը, որոնք անջատիչը կսովորի որոշակի պորտի վրա: Մուտքի ցուցակները թույլ են տալիս հասնել նշված էֆեկտին, բայց միևնույն ժամանակ պահանջում են հենց MAC հասցեների հստակ նշում: Եթե Ձեզ անհրաժեշտ է միայն սահմանափակել ալիքների հասցեների քանակը, բայց դրանք հստակորեն չնշել, ապա նավահանգստի անվտանգությունը կգա օգնության:
Նման սահմանափակումը կարող է պահանջվել, օրինակ, ամբողջ տեղական ցանցը մեկ մատակարարի անջատիչ միջերեսին միացնելուց պաշտպանվելու համար: Այստեղ հարկ է նշել, որ խոսքը dial-up կապի մասին է, քանի որ հաճախորդի կողմից երթուղիչի միջոցով միացնելիս T2600G-28SQ-ն կսովորի միայն մեկ հասցե՝ սա MAC-ն է, որը պատկանում է հաճախորդի երթուղիչի WAN պորտին: .
Կա գրոհների մի ամբողջ դաս, որոնք ուղղված են անջատիչ աղյուսակի դեմ: Սա կարող է լինել սեղանի արտահոսք կամ MAC խաբեություն: Նավահանգստի անվտանգության տարբերակը թույլ կտա ձեզ պաշտպանվել կամրջի սեղանի վարարումից և հարձակումներից, որոնք ուղղված են անջատիչի միտումնավոր վերապատրաստմանը և դրա կամրջի սեղանը թունավորելուն:
Անհնար է չհիշատակել հաճախորդի անսարք սարքավորումները: Հաճախ կան իրավիճակներ, երբ անսարք համակարգչային ցանցային քարտը կամ երթուղիչը ստեղծում է շրջանակների հոսք՝ ուղարկողի և ստացողի բոլորովին կամայական հասցեներով: Նման հոսքը կարող է հեշտությամբ ցամաքեցնել CAM-ը:
Կամուրջ աղյուսակի օգտագործվող մուտքերի քանակը սահմանափակելու մեկ այլ միջոց է MAC VLAN Security գործիքը, որը թույլ է տալիս ադմինիստրատորին նշել մուտքերի առավելագույն քանակը կոնկրետ վիրտուալ ցանցի համար:
Բացի անջատիչ աղյուսակում դինամիկ մուտքերը կառավարելուց, ադմինիստրատորը կարող է նաև ստատիկներ ստեղծել:
T2600G-28SQ մոդելի առավելագույն կամուրջ աղյուսակը կարող է տեղավորել մինչև 16K գրառում:
Մեկ այլ տարբերակ, որը նախատեսված է օգտատերերի տրաֆիկի փոխանցումը զտելու համար, Port Isolation ֆունկցիան է, որը թույլ է տալիս հստակորեն նշել, թե որ ուղղությամբ է թույլատրվում վերահասցեավորումը:
Անվտանգություն – IMPB
Մեր հսկայական հայրենիքի հսկայական տարածություններում հեռահաղորդակցության օպերատորների մոտեցումը ցանցի անվտանգության ապահովման հարցերին տատանվում է բացարձակ անտեղյակությունից մինչև սարքավորումների կողմից աջակցվող բոլոր տարբերակների առավելագույն հնարավոր օգտագործումը:
IPv4 IMPB (IP-MAC-Port Binding) և IPv6 IMPB գործառույթները թույլ են տալիս պաշտպանվել մի շարք հարձակումներից, որոնք կապված են բաժանորդների կողմից IP և MAC հասցեների կեղծման հետ՝ կապելով հաճախորդի սարքավորումների IP և MAC հասցեները: մատակարարի անջատիչի ինտերֆեյսը: Այս կապը կարող է կատարվել ձեռքով կամ օգտագործելով ARP Scanning և DHCP Snooping գործառույթները:
Հիմնական IMPB կարգավորումները
Արդարության համար պետք է ասել, որ DHCP արձանագրությունը պաշտպանելու համար կարելի է օգտագործել հատուկ ֆունկցիա՝ DHCP Filter։
Օգտագործելով այս գործառույթը, ցանցի ադմինիստրատորը կարող է ձեռքով նշել այն միջերեսները, որոնց միացված են իրական DHCP սերվերները: Սա թույլ չի տա նենգ DHCP սերվերներին միջամտել IP-ի բանակցային գործընթացին:
Անվտանգություն – DoS Defend
Քննարկվող մոդելը թույլ է տալիս մեզ պաշտպանել օգտատերերին մի քանի ամենահայտնի և նախկինում տարածված DoS հարձակումներից։
Թվարկված հարձակումներից շատերն այլևս բոլորովին վտանգավոր չեն ժամանակակից օպերացիոն համակարգերով սարքերի համար, սակայն մեր ցանցերը դեռ կարող են հանդիպել այնպիսի հարձակումների, որոնց համար վերջին ծրագրային թարմացումը կատարվել է տարիներ առաջ:
DHCP աջակցություն
TP-Link T2600G-28SQ անջատիչը կարող է գործել և որպես DHCP սերվեր կամ ռելե, և կատարել DHCP հաղորդագրությունների տարբեր զտում, եթե մեկ այլ սարք գործում է որպես սերվեր:
Օգտատերերին տրամադրելու IP պարամետրերը, որոնք անհրաժեշտ են գործարկելու համար, ամենահեշտ ձևը անջատիչի ներկառուցված DHCP սերվերի օգտագործումն է: Նրա օգնությամբ արդեն կարելի է բաժանորդներին տրվել հիմնական պարամետրերը։
Մենք միացրինք մեր Archer C6 SOHO երթուղիչը անջատիչի միջերեսներից մեկին և համոզվեցինք, որ հաճախորդի սարքը հաջողությամբ ստացել է հասցե:
Կարծես սա է
Անջատիչի մեջ ներկառուցված DHCP սերվերը, թերևս, ամենաընդարձակ և ճկուն լուծումը չէ. ոչ ստանդարտ տարբերակների աջակցություն չկա, և IPAM-ի հետ կապ չկա: Եթե օպերատորը պահանջում է ավելի շատ վերահսկողություն IP հասցեների բաշխման գործընթացի վրա, ապա կօգտագործվի հատուկ DHCP սերվեր:
T2600G-28SQ-ն թույլ է տալիս յուրաքանչյուր օգտվողի ենթացանկի համար նշել առանձին հատուկ DHCP սերվեր, որին կվերահղվեն քննարկվող արձանագրության հաղորդագրությունները: Ենթացանցն ընտրվում է՝ նշելով համապատասխան L3 ինտերֆեյս՝ VLAN (SVI), ուղղորդված պորտ կամ պորտ-ալիք:
Ռելեի աշխատանքը ստուգելու համար մենք կարգավորեցինք առանձին երթուղիչ մեկ այլ վաճառողից, որպեսզի աշխատի որպես DHCP սերվեր, որի կարգավորումները ներկայացված են ստորև:
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Հաճախորդի երթուղիչը կրկին հաջողությամբ ստացել է IP հասցե:
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticՍփոյլերի տակ - անջատիչի և հատուկ DHCP սերվերի միջև ընկած փաթեթի պարունակությունը:
Փաթեթի բովանդակությունը
Պետք է նշել, որ անջատիչը աջակցում է 82-րդ տարբերակին: Երբ միացված է, անջատիչը տեղեկատվություն կավելացնի օգտատիրոջ միջերեսի մասին, որից ստացվել է DHCP Discover հաղորդագրությունը: Բացի այդ, T2600G-28SQ մոդելը թույլ է տալիս կարգավորել ավելացված տեղեկատվության մշակման քաղաքականությունը թիվ 82 տարբերակը տեղադրելու ժամանակ: Այս տարբերակի համար աջակցության առկայությունը կարող է օգտակար լինել այն իրավիճակում, երբ բաժանորդին պետք է տրամադրվի նույն IP հասցեն՝ անկախ նրանից, թե հաճախորդը ինչ ID է հայտնում իր մասին:
Ստորև բերված նկարը ցույց է տալիս DHCP Discover հաղորդագրությունը (ուղարկվում է ռելեով)՝ ավելացված թիվ 82 տարբերակով:
Հաղորդագրություն թիվ 82 տարբերակով
Իհարկե, դուք կարող եք կառավարել No 82 տարբերակը առանց լիարժեք DHCP ռելեի տեղադրման, համապատասխան կարգավորումները ներկայացված են «DHCP L2 Relay» ենթաբաժնում:
Այժմ եկեք փոխենք DHCP սերվերի կարգավորումները՝ ցույց տալու համար, թե ինչպես է աշխատում թիվ 82 տարբերակը:
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticՆման մի բան
DHCP ինտերֆեյսի ռելեի ֆունկցիան օգտակար կլինի այն իրավիճակում, երբ անջատիչը ոչ միայն ունի L3 ինտերֆեյս, որը միացված է կոնկրետ ցանցին, այլև այս ինտերֆեյսը ունի նաև IP հասցե: Եթե նման ինտերֆեյսի վրա հասցե չկա, ապա օգնության կգա DHCP VLAN ռելեի գործառույթը: Ենթացանկի մասին տեղեկատվությունը այս դեպքում վերցված է լռելյայն ինտերֆեյսից, այսինքն՝ հասցեների տարածությունները մի քանի վիրտուալ ցանցերում կլինեն նույնը (համընկնումը):
Հաճախ օպերատորներին անհրաժեշտ է նաև պաշտպանել բաժանորդներին հաճախորդի սարքավորումների վրա DHCP սերվերի սխալ կամ վնասակար ակտիվացումից: Մենք որոշեցինք քննարկել այս ֆունկցիոնալությունը անվտանգության խնդիրներին նվիրված բաժիններից մեկում:
IEEE 802.1X
Ցանցում օգտվողների իսկությունը հաստատելու եղանակներից մեկը IEEE 802.1X արձանագրությունն օգտագործելն է: Այս արձանագրության ժողովրդականությունը Ռուսաստանի հեռահաղորդակցության օպերատորների ցանցերում արդեն անկում է ապրում, այն դեռ օգտագործվում է հիմնականում խոշոր ընկերությունների տեղական ցանցերում՝ կազմակերպության ներքին օգտատերերի իսկությունը հաստատելու համար: T2600G-28SQ անջատիչը ունի 802.1X աջակցություն, այնպես որ մատակարարը կարող է հեշտությամբ օգտագործել այն անհրաժեշտության դեպքում:
Որպեսզի IEEE 802.1X արձանագրությունն աշխատի, պահանջվում է երեք մասնակից՝ հաճախորդի սարքավորում (խնդրող), մատակարարի մուտքի անջատիչ (authenticator) և վավերացման սերվերներ (սովորաբար RADIUS սերվերներ):
Օպերատորի կողմից հիմնական կոնֆիգուրացիան չափազանց պարզ է: Դուք միայն պետք է նշեք օգտագործվող RADIUS սերվերի IP հասցեն, որի վրա կպահվի օգտագործողի տվյալների բազան, ինչպես նաև ընտրեք այն միջերեսները, որոնց համար անհրաժեշտ է վավերացում:
Հիմնական 802.1X կարգավորում
Փոքր կոնֆիգուրացիա է պահանջվում նաև հաճախորդի կողմից: Բոլոր ժամանակակից օպերացիոն համակարգերն արդեն պարունակում են անհրաժեշտ ծրագրեր։ Բայց անհրաժեշտության դեպքում կարող եք տեղադրել և օգտագործել TP-Link 802.1x Client-ը` հավելված, որը թույլ է տալիս նույնականացնել հաճախորդը ցանցում:
Օգտատիրոջ ԱՀ-ն անմիջապես մատակարարի ցանցին միացնելիս պետք է միացման համար օգտագործվող ցանցային քարտի համար միացված լինեն նույնականացման կարգավորումները:
Այնուամենայնիվ, ներկայումս օգտվողի համակարգիչը չէ, որը սովորաբար ուղղակիորեն միացված է օպերատորի ցանցին, այլ SOHO երթուղիչը, որն ապահովում է բաժանորդի տեղական ցանցի աշխատանքը (ինչպես լարային, այնպես էլ անլար հատվածներ): Այս դեպքում 802.1X արձանագրության բոլոր կարգավորումները պետք է կատարվեն անմիջապես երթուղիչի վրա:
Մեզ թվում է, որ նույնականացման այս մեթոդը անարժանաբար մոռացվել է օպերատորների ցանցերում: Այո, բաժանորդին անջատիչ պորտին խստորեն կապելը կարող է ավելի պարզ լուծում լինել օգտագործողի սարքավորումների կարգավորումների տեսանկյունից: Բայց եթե մուտքի և գաղտնաբառի օգտագործումն անհրաժեշտ է, ապա 802.1X-ն այդքան ծանր արձանագրություն չի լինի՝ համեմատած PPTP/L2TP/PPPoE թունելների վրա օգտագործվող միացումների հետ:
PPPoE ID-ի տեղադրում
Շատ օգտատերեր ոչ միայն մեր երկրում, այլև ամբողջ աշխարհում դեռ նախընտրում են օգտագործել չափազանց պարզ գաղտնաբառեր: Իսկ հավատարմագրերի գողության դեպքերը, ավաղ, հազվադեպ չեն: Եթե օպերատորն օգտագործում է PPPoE արձանագրությունն իր ցանցում՝ օգտատերերի իսկությունը հաստատելու համար, ապա TP-Link T2600G-28SQ անջատիչը կօգնի լուծել հավատարմագրերի արտահոսքի հետ կապված խնդիրը: Սա ձեռք է բերվում PPPoE Active Discovery հաղորդագրությանը հատուկ պիտակ ավելացնելով: Այս կերպ պրովայդերը կարող է նույնականացնել բաժանորդին ոչ միայն մուտքի և գաղտնաբառի միջոցով, այլ նաև լրացուցիչ տվյալներով։ Այս լրացուցիչ տվյալները ներառում են հաճախորդի սարքի MAC հասցեն, ինչպես նաև անջատիչի միջերեսը, որին այն միացված է:
Որոշ օպերատորներ, սկզբունքորեն, ցանկանում են բաժանորդին (զույգ մուտքի և գաղտնաբառի) հրաժարվել ցանցում նավարկելու հնարավորությունից: PPPoE ID Insertion ֆունկցիան կօգնի նաև այս դեպքում:
IGMP
IGMP (Internet Group Management Protocol) գոյություն ունի տասնամյակներ շարունակ: Նրա ժողովրդականությունը բավականին հասկանալի է և հեշտությամբ բացատրելի: Սակայն IGMP-ի փոխազդեցության մեջ ներգրավված են երկու կողմ՝ օգտատիրոջ համակարգիչը (կամ ցանկացած այլ սարք, օրինակ՝ STB) և IP երթուղիչը, որը սպասարկում է ցանցի որոշակի հատված: Անջատիչները որևէ կերպ չեն մասնակցում այս փոխանակմանը: Ճիշտ է, վերջին հայտարարությունն ամբողջությամբ չի համապատասխանում իրականությանը։ Կամ ժամանակակից ցանցերում դա ամենևին էլ ճիշտ չէ։ Անջատիչներն աջակցում են IGMP-ին՝ բազմաֆունկցիոնալ տրաֆիկի վերահասցեավորումը օպտիմալացնելու համար: Լսելով օգտատերերի թրաֆիկը, անջատիչը հայտնաբերում է IGMP Report հաղորդագրությունները դրա մեջ, որոնց օգնությամբ որոշում է պորտերը բազմակի հեռարձակման տրաֆիկի վերահասցեավորման համար։ Նկարագրված տարբերակը կոչվում է IGMP Snooping:
IGMP արձանագրության աջակցությունը կարող է օգտագործվել ոչ միայն երթևեկությունը որպես այդպիսին օպտիմալացնելու համար, այլև որոշելու բաժանորդներին, որոնց կարող է տրամադրվել որոշակի ծառայություն, օրինակ՝ IPTV: Դուք կարող եք հասնել ցանկալի նպատակին կամ ձեռքով կարգավորելով զտման պարամետրերը կամ օգտագործելով իսկությունը:
TP-Link անջատիչների վրա բազմաֆունկցիոնալ տրաֆիկի աջակցությունն իրականացվում է բավականին ճկուն: Օրինակ, բոլոր պարամետրերը կարող են սահմանվել յուրաքանչյուր վիրտուալ ցանցի համար առանձին:
Եթե մի քանի ենթացանցեր, որոնք պարունակում են բազմաբնույթ տրաֆիկի ստացողներ, միացված են մեկ երթուղիչի միջերեսին, ապա այդ երթուղիչը ստիպված կլինի ուղարկել փաթեթների մի քանի օրինակ այդ ինտերֆեյսի միջոցով (մեկը յուրաքանչյուր վիրտուալ ցանցի համար):
Այս դեպքում դուք կարող եք օպտիմիզացնել բազմաբնույթ տրաֆիկի վերահասցեավորման կարգը՝ օգտագործելով MVR տեխնոլոգիան՝ Multicast VLAN Registration:
Լուծման էությունն այն է, որ ստեղծվում է մեկ վիրտուալ ցանց, որը միավորում է բոլոր հասցեատերերին։ Այնուամենայնիվ, այս վիրտուալ ցանցն օգտագործվում է միայն բազմաֆունկցիոնալ տրաֆիկի համար: Այս մոտեցումը թույլ է տալիս երթուղղիչին ինտերֆեյսի միջոցով ուղարկել բազմաբնույթ տրաֆիկի միայն մեկ օրինակ:
DDM, OAM և DLDP
DDM – Թվային ախտորոշիչ մոնիտորինգ: Օպտիկական մոդուլների շահագործման ժամանակ հաճախ անհրաժեշտ է լինում վերահսկել բուն մոդուլի վիճակը, ինչպես նաև այն օպտիկական ալիքը, որին այն միացված է: DDM ֆունկցիան կօգնի ձեզ հաղթահարել այս խնդիրը: Նրա օգնությամբ օպերատորի ինժեներները կկարողանան վերահսկել այս գործառույթն ապահովող յուրաքանչյուր մոդուլի ջերմաստիճանը, դրա լարումը և հոսանքը, ինչպես նաև ուղարկված և ստացված օպտիկական ազդանշանների հզորությունը:
Նախկինում նկարագրված պարամետրերի համար սահմանային մակարդակների կարգավորումը թույլ կտա ստեղծել իրադարձություն, եթե դրանք դուրս են գալիս ընդունելի միջակայքից:
DDM արձագանքման շեմերի կարգավորում
Բնականաբար, ադմինիստրատորը կարող է դիտել նշված պարամետրերի ընթացիկ արժեքները:
TP-Link T2600G-28SQ անջատիչը ունի ակտիվ օդի հովացման համակարգ: Ավելին, մենք երբեք չենք հանդիպել SFP մոդուլների գերտաքացմանը մեր անջատիչներում՝ պորտի խտության պատճառով: Այնուամենայնիվ, եթե զուտ տեսականորեն նման հնարավորություն թույլատրվի (օրինակ՝ SFP մոդուլի ներսում ինչ-որ խնդրի պատճառով), ապա DDM-ի օգնությամբ ադմինիստրատորն անմիջապես կտեղեկացվի պոտենցիալ վտանգավոր իրավիճակի մասին։ Այստեղ վտանգը, ակնհայտորեն, ինքնին անջատիչի համար չէ, այլ SFP-ի ներսում գտնվող դիոդի/լազերի համար, քանի որ դրա ջերմաստիճանի բարձրացման հետ արտանետվող օպտիկական ազդանշանի հզորությունը կարող է նվազել, ինչը կհանգեցնի օպտիկական բյուջեի նվազմանը:
Այստեղ հարկ է նշել, որ TP-Link անջատիչները չունեն վաճառողի կողպման «գործառույթ», այսինքն՝ աջակցվում են ցանկացած համատեղելի SFP մոդուլներ, ինչը, իհարկե, շատ հարմար կլինի ցանցի ադմինիստրատորների համար:
OAM - Շահագործում, կառավարում և սպասարկում (IEEE 802.3ah): OAM-ը OSI մոդելի երկրորդ շերտի արձանագրությունն է, որը նախատեսված է Ethernet ցանցերի մոնիտորինգի և խնդիրների վերացման համար: Օգտագործելով այս արձանագրությունը, անջատիչը կարող է վերահսկել որոշակի կապի և սխալների կատարումը և ազդարարումներ ստեղծել, որպեսզի ցանցի ադմինիստրատորը կարողանա ավելի արդյունավետ կառավարել ցանցը:
Հիմնական OAM կարգավորում
OAM ֆունկցիոնալ մանրամասներOAM-ով միացված երկու հարևան սարքեր պարբերաբար հաղորդագրություններ են փոխանակում՝ ուղարկելով OAMPDU-ներ, որոնք լինում են երեք տեսակի՝ տեղեկատվական, իրադարձությունների ծանուցում և շրջադարձային հսկողություն: Օգտագործելով տեղեկատվական OAMPDU-ները, հարևան անջատիչները միմյանց ուղարկում են վիճակագրական տեղեկատվություն, ինչպես նաև ադմինիստրատորի կողմից սահմանված տվյալներ: Այս տեսակի հաղորդագրությունը նույնպես օգտագործվում է OAM արձանագրության միջոցով կապը պահպանելու համար: Իրադարձությունների ծանուցման հաղորդագրությունները օգտագործվում են կապի մոնիտորինգի գործառույթի կողմից՝ մյուս կողմին ծանուցելու խափանումների մասին: Loopback Control հաղորդագրությունները օգտագործվում են գծի վրա հանգույց հայտնաբերելու համար:
Ստորև մենք որոշեցինք թվարկել OAM արձանագրությամբ նախատեսված հիմնական հատկանիշները.
- շրջակա միջավայրի մոնիտորինգ (կոտրված շրջանակների հայտնաբերում և հաշվում),
- RFI – Հեռակա ձախողման ցուցում (ալիքի ձախողման մասին ծանուցում ուղարկելը),
- Remote Loopback (ալիքի փորձարկում՝ ուշացումը չափելու համար, հետաձգման տատանումները (ցնցում), կորցրած կադրերի քանակը):
Մեկ այլ տարբերակ, որը պահանջված է օպտիկական անջատիչների վրա, կապի ալիքում խնդիրներ հայտնաբերելու ունակությունն է, ինչը հանգեցնում է նրան, որ ալիքը դառնում է պարզ, այսինքն, տվյալները կարող են ուղարկվել միայն մեկ ուղղությամբ: Մեր անջատիչները օգտագործում են DLDP - Device Link Detection Protocol՝ միակողմանի հղումները հայտնաբերելու համար: Արդարության համար հարկ է նշել, որ DLDP արձանագրությունը աջակցվում է ինչպես օպտիկական, այնպես էլ պղնձե ինտերֆեյսների վրա, սակայն, մեր կարծիքով, այն առավել տարածված կլինի օպտիկամանրաթելային գծեր օգտագործելիս:
Երբ հայտնաբերվում է միակողմանի կապ, անջատիչը կարող է ավտոմատ կերպով անջատել խնդրահարույց ինտերֆեյսը, ինչը կհանգեցնի STP ծառի վերակառուցմանը և կապի պահեստային կապուղիների օգտագործմանը:
Մեր զինանոցում կան SFP մոդուլներ, որոնք ազդանշաններ են ստանում և փոխանցում մեկ մանրաթելից: Նրանք գործում են բացառապես զույգերով և օգտագործում են օպտիկական ազդանշաններ տարբեր ալիքի երկարություններում՝ զույգի ներսում հաղորդման համար: Օրինակ՝ TL-SM321A և TL-SM321B զույգը: Նման մոդուլներ օգտագործելիս մեկ մանրաթելի վնասումը կհանգեցնի ամբողջ օպտիկական ալիքի ամբողջական անգործության: Այնուամենայնիվ, նույնիսկ նման ալիքներում DLDP արձանագրությունը պահանջարկ կունենա, քանի որ, չնայած դա տեղի է ունենում չափազանց հազվադեպ, ալիքը կարող է ունենալ տարբեր թափանցիկության բնութագրեր տարբեր ալիքների երկարությունների համար: Ավելի հավանական խնդիրն այն է, որ ալիքի թափանցիկությունը տատանվում է՝ կախված լույսի տարածման ուղղությունից: Ռեֆլեկտոգրամը կօգնի բացահայտել այս խնդիրները, բայց դա բոլորովին այլ պատմություն է:
ԼԼԴՊ
Խոշոր կորպորատիվ կամ օպերատորային ցանցերում պարբերաբար խնդիրներ են առաջանում ցանցային փաստաթղթերի հնացած լինելու կամ դրա պատրաստման անճշտությունների հետ կապված: Ցանցի ադմինիստրատորը կարող է բախվել մի իրավիճակի, երբ անհրաժեշտ է պարզել, թե որ օպերատորի սարքավորումն է իրականում միացված անջատիչի որոշակի ինտերֆեյսին: LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) օգնության կգա:
LLDP գործառնական պարամետրեր
Մեր անջատիչները աջակցում են LLDP-ին ոչ միայն հարևան անջատիչներ կամ ցանցային այլ սարքեր հայտնաբերելու, այլ նաև դրանց հնարավորությունները որոշելու համար:
Մեր անջատիչի պղնձե գործընկերները կարող են օգտագործել LLDP-MED՝ IP հեռախոսների միացման ընթացակարգը պարզեցնելու համար: Բացի այդ, օգտագործելով այս տարբերակը, PoE անջատիչը կարող է բանակցել էներգիայի պարամետրերը սնուցվող սարքի հետ: Այս մասին մենք արդեն որոշ մանրամասնորեն խոսել ենք մեր մեկում .
SDM և գերբաժանորդագրություն
Գրեթե բոլոր ժամանակակից անջատիչները մշակում են անցնող շրջանակներ և փաթեթներ՝ առանց կենտրոնական պրոցեսորի օգտագործման: Մշակումը (չեկային գումարների հաշվարկ, մուտքի ցուցակների կիրառում և անվտանգության այլ ստուգումներ, ինչպես նաև փոխարկման/երթուղային որոշումների կայացում) իրականացվում է մասնագիտացված չիպերի միջոցով, ինչը թույլ է տալիս օգտատերերի տրաֆիկի փոխանցման բարձր արագություն: Քննարկվող անջատիչը թույլ է տալիս մշակել տրաֆիկը միջին արագությամբ։ Սա նշանակում է, որ սարքի աշխատանքը բավարար է բոլոր նավահանգիստների վրա տվյալներ ուղարկելու հնարավոր ամենաբարձր արագությամբ միաժամանակ: T2600G-28SQ մոդելն ունի 24 ներքևման պորտ (օգտագործողների նկատմամբ), որոնք աշխատում են 1 Գբիտ/վ արագությամբ, ինչպես նաև 4 վերին կապող պորտ (դեպի ցանցի միջուկ) 10 Գբիթ/վրկ: Միևնույն ժամանակ, switch cross-bus-ի աշխատանքը 128 Գբիթ/վրկ է, ինչը բավարար է մուտքային տրաֆիկի առավելագույն քանակի մշակման համար։
Արդարության համար հարկ է նշել, որ անջատիչ մատրիցայի կատարումը վայրկյանում 95,2 միլիոն փաթեթ է: Այսինքն՝ ընդամենը 64 բայթ երկարությամբ նվազագույն հնարավոր շրջանակներն օգտագործելիս սարքի ընդհանուր կատարումը կկազմի 97,5 Գբիտ/վ։ Այնուամենայնիվ, նման երթևեկության պրոֆիլը գրեթե անհնար է հեռահաղորդակցության օպերատորների ցանցերի համար:
Ինչ է գերաբաժանորդագրությունըՄեկ այլ կարևոր խնդիր է վերընթաց և ներքև ալիքների արագությունների հարաբերակցությունը (գերաբաժանորդագրություն): Այստեղ, ակնհայտորեն, ամեն ինչ կախված է տոպոլոգիայից։ Եթե ադմինիստրատորն օգտագործում է բոլոր չորս 10 GE ինտերֆեյսները ցանցի միջուկին միանալու համար և դրանք համատեղում է LAG (Link Aggregation Group) կամ Port-Channel տեխնոլոգիայի միջոցով, ապա վիճակագրորեն ստացված արագությունը դեպի միջուկը կկազմի 40 Գբիթ/վ, ինչը ավելին կլինի։ քան բավարար է բոլոր միացված բաժանորդների կարիքները բավարարելու համար: Ավելին, պարտադիր չէ, որ բոլոր չորս վերելակները միանան մեկ ֆիզիկական սարքի։ Միացումը կարող է իրականացվել անջատիչների կույտի կամ երկու սարքերի հետ, որոնք միավորված են կլաստերի մեջ (օգտագործելով vPC տեխնոլոգիան կամ նմանատիպը): Այս դեպքում գերաբաժանորդագրություն չկա։
Դուք կարող եք օգտագործել բոլոր չորս վերին հղումները միաժամանակ ոչ միայն դրանք համատեղելով LAG-ի միջոցով: Նմանատիպ էֆեկտ կարելի է ձեռք բերել MSTP-ի ճիշտ կարգավորմամբ, բայց դա բոլորովին այլ պատմություն է:
Երկրորդ, սովորաբար օգտագործվող L2 միացման մեթոդը երկու անկախ LAG-ների օգտագործումն է (մեկը յուրաքանչյուր ագրեգացիոն անջատիչի համար): Այս դեպքում, ամենայն հավանականությամբ, վիրտուալ հղումներից մեկը կարգելափակվի STP արձանագրությամբ (STP կամ RSTP օգտագործելիս): Գերաբաժանորդագրությունը կլինի 5:6:
Ավելի հազվադեպ, բայց դեռ միանգամայն հավանական իրավիճակ. T2600G-28SQ-ը միացված է անկախ ալիքներով դեպի վերընթաց անջատիչ կամ անջատիչ: STP/RSTP արձանագրությունը կթողնի միայն մեկ այդպիսի հղում ապաարգելափակված վիճակում: Գերաբաժանորդագրությունը կլինի 5:12:
Առաջադրանք աստղանիշով. հաշվարկել գերբաժանորդագրությունը STP բաժնում նկարագրված իրավիճակների համար, որտեղ մենք դիտարկել ենք տոպոլոգիայի օրինակ, երբ երկու մուտքի անջատիչներ միացված են նույն ագրեգացիոն սարքին և փոխկապակցված են:
Ծրագրավորվող չիպերը, որոնք թույլ են տալիս փոխանցման նման բարձր արագություն, բավականին թանկ ռեսուրս են, ուստի մենք փորձում ենք օպտիմալացնել դրանց օգտագործումը՝ ճիշտ բաշխելով ռեսուրսները տարբեր գործառույթների միջև: SDM - Switch Database Management-ը պատասխանատու է բաշխման համար:
Բաշխումը կատարվում է օգտագործելով SDM պրոֆիլը: Ներկայումս կան երեք պրոֆիլներ, որոնք հասանելի են օգտագործման համար, որոնք նշված են ստորև:
- Default-ն առաջարկում է հավասարակշռված լուծում MAC և IP մուտքի ցուցակների, ինչպես նաև ARP հայտնաբերման գրառումների օգտագործման համար:
- EnterpriseV4-ը թույլ է տալիս առավելագույնի հասցնել այն ռեսուրսները, որոնք հասանելի են MAC-ի և IP-ի հասանելիության ցուցակների համար:
- EnterpriseV6-ը որոշ ռեսուրսներ է հատկացնում IPv6 մուտքի ցուցակների օգտագործման համար:
Անջատիչը պետք է վերագործարկվի՝ նոր պրոֆիլը կիրառելու համար:
Ամփոփում
Նախնական դիրքավորման համաձայն՝ այս անջատիչը լավագույնս հարմար է հեռահաղորդակցության օպերատորների համար, ովքեր բախվում են երկար հեռավորությունների վրա ցանցի հասանելիություն ապահովելու խնդրին: Սարքը կարող է օգտագործվել ինչպես մուտքի մակարդակում, օրինակ, տնակային համայնքներում և քաղաքային տներում, այնպես էլ բազմաբնակարան շենքերում տեղակայված մուտքի անջատիչներից եկող ալիքների համախմբման համար. այսինքն՝ ամենուր, որտեղ անհրաժեշտ են կապեր հեռավոր օբյեկտների հետ: Օպտիկական կապի ալիքներից օգտվելիս միացված բաժանորդը կարող է տեղակայվել մինչև մի քանի կիլոմետր հեռավորության վրա:
Հաճախորդի կողմից օպտիկական կապերը կարող են դադարեցվել օպտիկական ինտերֆեյսներով փոքր անջատիչների կամ մեդիա կերպափոխիչների վրա:
Աջակցվող արձանագրությունների և ընտրանքների մեծ քանակությունը թույլ կտա T2600G-28SQ-ին օգտագործել օպերատորի Ethernet ցանցում՝ ցանկացած տոպոլոգիայով և օգտագործվող տեխնոլոգիաների և մատուցվող ծառայությունների ցանկացած փաթեթով: Անջատիչը կառավարվում է հեռակա կարգով՝ օգտագործելով վեբ ինտերֆեյսը կամ հրամանի տողը: Եթե տեղական կոնֆիգուրացիան անհրաժեշտ է, կարող եք օգտագործել վահանակի պորտը, T2600G-28SQ մոդելն ունի դրանցից երկուսը` RJ-45 և միկրո USB: Որպես քսուքի փոքրիկ ճանճ, մենք նշում ենք կուտակման և երկրորդ էլեկտրամատակարարման աջակցության բացակայությունը: Ճիշտ է, սովորաբար մատակարարների տվյալների կենտրոններից դուրս, երկրորդ էլեկտրական գծի առկայությունը հազվադեպ կլինի:
Դրա առավելությունները ներառում են ցածր գինը, բաժանորդային օպտիկական պորտերի մեծ քանակությունը, 10 GE օպտիկական կապերի առկայությունը, ինչպես նաև չորս համակցված նավահանգիստները և երթևեկության վերահասցեավորումը միջին արագությամբ:
Source: www.habr.com