Lielo pilsÄtu paplaÅ”inÄÅ”anÄs un aglomerÄciju veidoÅ”anÄs ir viena no svarÄ«gÄkajÄm mÅ«sdienu sabiedrÄ«bas attÄ«stÄ«bas tendencÄm. Maskavai vien 2019. gadÄ vajadzÄtu paplaÅ”inÄties par 4 miljoniem kvadrÄtmetru mÄjokļu (un neskaitot 15 apdzÄ«votÄs vietas, kas tiks pievienotas lÄ«dz 2020. gadam). VisÄ Å”ajÄ plaÅ”ajÄ teritorijÄ telekomunikÄciju operatoriem bÅ«s jÄnodroÅ”ina lietotÄjiem piekļuve internetam. Tie var bÅ«t gan pilsÄtu mikrorajoni ar blÄ«vÄm daudzstÄvu ÄkÄm, gan vairÄk āizlÄdÄtiā kotedžu ciemati. Å ajos gadÄ«jumos aparatÅ«ras prasÄ«bas nedaudz atŔķiras. MÄs analizÄjÄm katru no Å”iem scenÄrijiem un izveidojÄm universÄlu optiskÄ slÄdža modeli - T2600G-28SQ. Å ajÄ ierakstÄ mÄs detalizÄti analizÄsim ierÄ«ces iespÄjas, kas interesÄs telekomunikÄciju operatorus visÄ KrievijÄ.
Vieta tÄ«klÄ
SlÄdzis T2600G-28SQ ir paredzÄts gan darbam piekļuves lÄ«menÄ« tÄ«klÄ, gan saiÅ”u apkopoÅ”anai no citiem piekļuves lÄ«meÅa slÄdžiem. Å is ir 2600. slÄÅa slÄdzis, kas veic pÄrslÄgÅ”anu un statisko marÅ”rutÄÅ”anu. Ja operators ir pÄrslÄdzis gan apkopoÅ”anu, gan piekļuvi (marÅ”rutÄÅ”ana tikai tÄ«kla kodolÄ), T28G-XNUMXSQ iederÄsies jebkurÄ no lÄ«meÅiem. Dinamiski marÅ”rutÄtas apkopoÅ”anas gadÄ«jumÄ jums joprojÄm ir jÄÅem vÄrÄ daži lietoÅ”anas gadÄ«jumu ierobežojumi.
T2600G-28SQ modelis ir pilnvÄrtÄ«gs aktÄ«vais Ethernet slÄdzis bez papildu ierobežojumiem, kas parÄdÄs, izmantojot xPON vai lÄ«dzÄ«gas tehnoloÄ£ijas. PiemÄram, nedraudot straujam Ätruma kritumam, palielinoties lietotÄju skaitam vai sliktai saderÄ«bai starp dažÄdu pÄrdevÄju aprÄ«kojumu un programmaparatÅ«ru. Gan galalietotÄji, gan pamatÄ esoÅ”ie piekļuves slÄdži ar optiskÄm augÅ”upsaitÄm, piemÄram, T2600G-28TS modelis, var izveidot savienojumu ar ierÄ«ces saskarnÄm. ZemÄk esoÅ”ajÄ diagrammÄ parÄdÄ«ti visbiežÄk sastopamie Å”Ädu savienojumu piemÄri.
Lai piekļūtu gala lietotÄja tÄ«klam, var izmantot optisko Ŕķiedru vai vÄ«tÄ pÄra kabeli. Abonenta pusÄ optisko Ŕķiedru var pÄrtraukt, vai nu izmantojot multivides pÄrveidotÄju (mediju pÄrveidotÄju), piemÄram, TP-Link MC220L; un izmantojot optisko interfeisu SOHO marÅ”rutÄtÄjÄ.
Lai pievienotu blakus esoÅ”o klientu, varat izmantot Äetrus RJ-45 portus, kas darbojas ar Ätrumu 10/100/1000 Mbit/s. Ja kÄda iemesla dÄļ ar to nepietiek, operators var "pÄrveidot" slÄdža optiskÄs saskarnes uz vara. To var izdarÄ«t, izmantojot specializÄtus āvaraā SFP ar RJ-45 savienotÄju. Bet Å”Ädu risinÄjumu nevar saukt par tipisku.
Daži piemÄri no prakses
Lai pabeigtu attÄlu, mÄs sniegsim vairÄkus T2600G-28SQ slÄdžu izmantoÅ”anas piemÄrus.
Maskavas apgabala pakalpojumu sniedzÄjs
TelekomunikÄciju operators
UzÅÄmumu grupa
SniedzÄjs
NÄkamajÄs sadaļÄs mÄs Ä«si aprakstÄ«sim dažas no T2600G-28SQ funkcijÄm. Lai materiÄls netiktu uzpÅ«sts, mÄs atstÄjÄm vairÄkas iespÄjas: QinQ (VLAN VPN), marÅ”rutÄÅ”ana, QoS utt. MÄs domÄjam, ka mÄs varam atgriezties pie tiem kÄdÄ no Å”iem ierakstiem.
SlÄdžu iespÄjas
RezervÄcija ā STP
STP ā aptveroÅ”Ä koka protokols. AptveroÅ”ais koka protokols ir zinÄms jau ļoti ilgu laiku, par to pateicoties cienÄ«jamam Radijai Perlmanam. MÅ«sdienu tÄ«klos administratori visos iespÄjamos veidos cenÅ”as izvairÄ«ties no Ŕī protokola izmantoÅ”anas. JÄ, STP nav bez trÅ«kumiem. Un tas ir ļoti labi, ja tam ir alternatÄ«va. TomÄr, kÄ tas bieži notiek, Ŕī protokola alternatÄ«va bÅ«s ļoti atkarÄ«ga no pÄrdevÄja. TÄpÄc lÄ«dz pat Å”ai dienai Spanning Tree Protocol ir gandrÄ«z vienÄ«gais risinÄjums, ko atbalsta gandrÄ«z visi ražotÄji un ir zinÄms arÄ« visiem tÄ«kla administratoriem.
TP-Link T2600G-28SQ slÄdzis atbalsta trÄ«s STP versijas: klasisko STP (IEEE 802.1D), RSTP (802.1W) un MSTP (802.1S).
No Ŕīm iespÄjÄm parastais RSTP ir diezgan piemÄrots lielÄkajai daļai mazo interneta pakalpojumu sniedzÄju KrievijÄ, kam ir viena nenoliedzama priekÅ”rocÄ«ba salÄ«dzinÄjumÄ ar klasisko versiju - ievÄrojami Ä«sÄks konverÄ£ences laiks.
MÅ«sdienÄs elastÄ«gÄkais protokols ir MSTP, kas atbalsta virtuÄlos tÄ«klus (VLAN) un ļauj izmantot vairÄkus dažÄdus kokus, kas ļauj izmantot visus pieejamos rezerves ceļus. Administrators izveido vairÄkus dažÄdus koka gadÄ«jumus (lÄ«dz astoÅiem), no kuriem katrs apkalpo noteiktu virtuÄlo tÄ«klu kopu.
MSTP smalkumiIesÄcÄju administratoriem, izmantojot MSTP, jÄbÅ«t ļoti uzmanÄ«giem. Tas ir tÄpÄc, ka protokola darbÄ«ba reÄ£ionÄ un starp reÄ£ioniem atŔķiras. TÄpÄc, konfigurÄjot slÄdžus, ir vÄrts palikt tajÄ paÅ”Ä reÄ£ionÄ.
Kas ir Å”is bÄdÄ«gi slavenais reÄ£ions? MSTP izteiksmÄ reÄ£ions ir viens ar otru savienotu slÄdžu kopums, kuriem ir vienÄdas Ä«paŔības: reÄ£iona nosaukums, pÄrskatÄ«Å”anas numurs un virtuÄlo tÄ«klu (VLAN) sadalÄ«jums starp protokola gadÄ«jumiem (instances).
Protams, Spanning Tree protokols (jebkura versija) ļauj ne tikai tikt galÄ ar cilpÄm, kas rodas, savienojot rezerves kanÄlus, bet arÄ« aizsargÄties pret kabeļa pÄrslÄgÅ”anas kļūdÄm, kad inženieris tÄ«Å”i vai netÄ«Å”i pieslÄdz nepareizos portus, izveidojot cilpu ar savu darbÄ«bas.
PieredzÄjuÅ”i tÄ«kla administratori izvÄlas izmantot dažÄdas papildu iespÄjas, lai aizsargÄtu STP protokolu no uzbrukumiem vai sarežģītÄm katastrofu situÄcijÄm. Modelis T2600G-28SQ piedÄvÄ veselu virkni Å”Ädu iespÄju: Loop Protect un Root Protect, TC Guard, BPDU Protect un BPDU Filter.
Pareiza iepriekÅ” uzskaitÄ«to opciju izmantoÅ”ana kopÄ ar citiem atbalstÄ«tajiem aizsardzÄ«bas mehÄnismiem stabilizÄs vietÄjo tÄ«klu un padarÄ«s to paredzamÄku.
RezervÄcija ā VRG
VRG ā saiÅ”u apkopoÅ”anas grupa. Å Ä« ir tehnoloÄ£ija, kas ļauj apvienot vairÄkus fiziskos kanÄlus vienÄ loÄ£iskÄ. Visi pÄrÄjie protokoli pÄrtrauc izmantot VRG iekļautos fiziskos kanÄlus atseviŔķi un sÄk āredzÄtā vienu loÄ£isko saskarni. Å Äda protokola piemÄrs ir STP.
LietotÄju datplÅ«sma tiek lÄ«dzsvarota starp fiziskajiem kanÄliem loÄ£iskajos kanÄlos, pamatojoties uz hash summu. Lai to aprÄÄ·inÄtu, var izmantot sÅ«tÄ«tÄja, saÅÄmÄja vai to pÄra MAC adreses; kÄ arÄ« sÅ«tÄ«tÄja, saÅÄmÄja vai to pÄra IP adreses. XNUMX. slÄÅa protokola informÄcija (TCP/UDP porti) netiek Åemta vÄrÄ.
SlÄdzis T2600G-28SQ atbalsta statiskÄs un dinamiskÄs VRG.
Lai apspriestu dinamiskÄs grupas darbÄ«bas parametrus, tiek izmantots LACP protokols.
DroŔība ā piekļuves saraksti (ACL)
MÅ«su T2600G-28SQ slÄdzis ļauj filtrÄt lietotÄju trafiku, izmantojot piekļuves sarakstus (ACL ā Access Control List).
AtbalstÄ«tie piekļuves saraksti var bÅ«t vairÄku veidu: MAC un IP (IPv4/IPv6), kombinÄti, kÄ arÄ« satura filtrÄÅ”anas veikÅ”anai. Katra atbalstÄ«tÄ piekļuves saraksta veida skaits ir atkarÄ«gs no paÅ”laik izmantotÄs SDM veidnes, ko mÄs aprakstÄ«jÄm citÄ sadaļÄ.
Operators var izmantot Å”o iespÄju, lai bloÄ·Ätu dažÄdu nevÄlamu trafiku tÄ«klÄ. Å Ädas trafika piemÄrs varÄtu bÅ«t IPv6 paketes (izmantojot lauku EtherType), ja netiek nodroÅ”inÄts attiecÄ«gais pakalpojums; vai bloÄ·Ät SMB portÄ 445. TÄ«klÄ ar statisku adresÄÅ”anu DHCP/BOOTP trafika nav nepiecieÅ”ama, tÄpÄc, izmantojot ACL, administrators var filtrÄt UDP datagrammas portos 67 un 68. Varat arÄ« bloÄ·Ät vietÄjo IPoE trafiku, izmantojot ACL. Å Äda bloÄ·ÄÅ”ana var bÅ«t pieprasÄ«ta operatoru tÄ«klos, kas izmanto PPPoE.
Piekļuves sarakstu izmantoÅ”anas process ir ļoti vienkÄrÅ”s. PÄc paÅ”a saraksta izveidoÅ”anas jums jÄpievieno tam nepiecieÅ”amais ierakstu skaits, kuru veids ir tieÅ”i atkarÄ«gs no pielÄgotÄs lapas.
Piekļuves sarakstu iestatīŔana
Ir vÄrts atzÄ«mÄt, ka piekļuves saraksti var veikt ne tikai parastÄs datplÅ«smas atļauÅ”anas vai noraidÄ«Å”anas darbÄ«bas, bet arÄ« to novirzÄ«t, atspoguļot, kÄ arÄ« veikt atzÄ«mÄÅ”anu vai Ätruma ierobežoÅ”anu.
Kad visi nepiecieÅ”amie ACL ir izveidoti, administrators var tos instalÄt. Piekļuves sarakstu iespÄjams pievienot gan tieÅ”am fiziskajam portam, gan konkrÄtam virtuÄlajam tÄ«klam.
DroŔība - MAC adreŔu skaits
Dažreiz operatoriem ir jÄierobežo MAC adreÅ”u skaits, ko slÄdzis apgÅ«st noteiktÄ portÄ. Piekļuves saraksti ļauj sasniegt norÄdÄ«to efektu, taÄu tajÄ paÅ”Ä laikÄ ir nepiecieÅ”ams skaidri norÄdÄ«t paÅ”as MAC adreses. Ja jums tikai jÄierobežo kanÄlu adreÅ”u skaits, bet tÄs nav skaidri jÄnorÄda, portu droŔība nÄks palÄ«gÄ.
Å Äds ierobežojums var bÅ«t nepiecieÅ”ams, piemÄram, lai aizsargÄtu pret visa lokÄlÄ tÄ«kla pievienoÅ”anu vienam pakalpojumu sniedzÄja komutÄcijas interfeisam. Å eit ir vÄrts pieminÄt, ka runa ir par iezvanes savienojumu, jo, pieslÄdzoties, izmantojot marÅ”rutÄtÄju klienta pusÄ, T2600G-28SQ iemÄcÄ«sies tikai vienu adresi - tÄ ir MAC, kas pieder klienta marÅ”rutÄtÄja WAN portam. .
Ir vesela uzbrukumu klase, kas vÄrsta pret komutÄcijas tabulu. TÄ varÄtu bÅ«t tabulas pÄrpilde vai MAC viltoÅ”ana. Ostas droŔības opcija ļaus aizsargÄties pret tilta galda pÄrplÅ«di un uzbrukumiem, kuru mÄrÄ·is ir apzinÄti pÄrkvalificÄt slÄdzi un saindÄt tÄ tilta galdu.
Nevar nepieminÄt vienkÄrÅ”i bojÄtu klienta aprÄ«kojumu. Bieži vien ir situÄcijas, kad nepareizi funkcionÄjoÅ”a datora tÄ«kla karte vai marÅ”rutÄtÄjs rada kadru straumi ar pilnÄ«gi patvaļīgÄm sÅ«tÄ«tÄja un saÅÄmÄja adresÄm. Å Äda plÅ«sma var viegli iztukÅ”ot CAM.
VÄl viens veids, kÄ ierobežot izmantoto tilta tabulas ierakstu skaitu, ir MAC VLAN droŔības rÄ«ks, kas ļauj administratoram norÄdÄ«t maksimÄlo ierakstu skaitu konkrÄtam virtuÄlajam tÄ«klam.
Papildus dinamisko ierakstu pÄrvaldÄ«Å”anai komutÄcijas tabulÄ administrators var izveidot arÄ« statiskus.
T2600G-28SQ modeļa maksimÄlais tilta galds var uzÅemt lÄ«dz 16K ierakstiem.
VÄl viena lietotÄja trafika pÄrraides filtrÄÅ”anas iespÄja ir funkcija Port Isolation, kas ļauj skaidri norÄdÄ«t, kÄdÄ virzienÄ ir atļauta pÄrsÅ«tÄ«Å”ana.
DroŔība ā IMPB
MÅ«su plaÅ”Äs dzimtenes plaÅ”ajos plaÅ”umos telekomunikÄciju operatoru pieeja tÄ«kla droŔības nodroÅ”inÄÅ”anas jautÄjumiem svÄrstÄs no pilnÄ«gas nezinÄÅ”anas lÄ«dz maksimÄli iespÄjamai visu iekÄrtu atbalstÄ«to iespÄju izmantoÅ”anai.
IPv4 IMPB (IP-MAC-Port Binding) un IPv6 IMPB funkcijas ļauj aizsargÄties pret daudziem uzbrukumiem, kas saistÄ«ti ar IP un MAC adreÅ”u viltoÅ”anu no abonentu puses, piesaistot klienta aprÄ«kojuma IP un MAC adreses. pakalpojumu sniedzÄja slÄdža saskarne. Å o saistÄ«Å”anu var veikt manuÄli vai izmantojot ARP skenÄÅ”anas un DHCP Snooping funkcijas.
Pamata IMPB iestatījumi
TaisnÄ«bas labad gan jÄsaka, ka DHCP protokola aizsardzÄ«bai var izmantot Ä«paÅ”u funkciju ā DHCP filtru.
Izmantojot Å”o funkciju, tÄ«kla administrators var manuÄli norÄdÄ«t tÄs saskarnes, kurÄm ir pievienoti Ä«sti DHCP serveri. Tas neļaus negodÄ«giem DHCP serveriem iejaukties IP sarunu procesÄ.
DroŔība ā DoS Defend
AplÅ«kojamais modelis ļauj mums aizsargÄt lietotÄjus no vairÄkiem pazÄ«stamÄkajiem un iepriekÅ” izplatÄ«tÄkajiem DoS uzbrukumiem.
LielÄkÄ daļa no uzskaitÄ«tajiem uzbrukumiem vairs nav bÄ«stami ierÄ«cÄm ar modernÄm operÄtÄjsistÄmÄm, taÄu mÅ«su tÄ«kli joprojÄm var saskarties ar tiem, kuriem pirms daudziem gadiem tika veikts pÄdÄjais programmatÅ«ras atjauninÄjums.
DHCP atbalsts
TP-Link T2600G-28SQ slÄdzis var darboties gan kÄ DHCP serveris vai relejs, gan veikt dažÄdu DHCP ziÅojumu filtrÄÅ”anu, ja cita ierÄ«ce darbojas kÄ serveris.
VienkÄrÅ”Äkais veids, kÄ nodroÅ”inÄt lietotÄjus ar IP parametriem, kas tiem nepiecieÅ”ami, ir izmantot slÄdža iebÅ«vÄto DHCP serveri. Ar tÄs palÄ«dzÄ«bu pamata parametrus jau var dot abonentiem.
MÄs savienojÄm savu Archer C6 SOHO marÅ”rutÄtÄju ar vienu no slÄdža saskarnÄm un pÄrliecinÄjÄmies, ka klienta ierÄ«ce ir veiksmÄ«gi saÅÄmusi adresi.
Tas izskatÄs Å”Ädi
SlÄdÅ¾Ä iebÅ«vÄtais DHCP serveris, iespÄjams, nav mÄrogojamÄkais un elastÄ«gÄkais risinÄjums: neatbalsta nestandarta opcijas un nav savienojuma ar IPAM. Ja operatoram ir nepiecieÅ”ama lielÄka kontrole pÄr IP adreses izplatÄ«Å”anas procesu, tiks izmantots Ä«paÅ”s DHCP serveris.
T2600G-28SQ ļauj katram lietotÄja apakÅ”tÄ«klam norÄdÄ«t atseviŔķu Ä«paÅ”u DHCP serveri, uz kuru tiks novirzÄ«ti apspriežamÄ protokola ziÅojumi. ApakÅ”tÄ«kls tiek atlasÄ«ts, norÄdot atbilstoÅ”o L3 interfeisu: VLAN (SVI), marÅ”rutÄtais ports vai porta kanÄls.
Lai pÄrbaudÄ«tu releja darbÄ«bu, mÄs konfigurÄjÄm atseviŔķu marÅ”rutÄtÄju no cita pÄrdevÄja, lai tas darbotos kÄ DHCP serveris, kura iestatÄ«jumi ir parÄdÄ«ti zemÄk.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
Klienta marÅ”rutÄtÄjs atkal ir veiksmÄ«gi ieguvis IP adresi.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic
Zem spoilera - pÄrtvertÄs paketes saturs starp slÄdzi un speciÄlo DHCP serveri.
Iepakojuma saturs
JÄÅem vÄrÄ, ka slÄdzis atbalsta 82. opciju. Kad tas ir iespÄjots, slÄdzis pievienos informÄciju par lietotÄja interfeisu, no kura tika saÅemts DHCP atklÄÅ”anas ziÅojums. TurklÄt modelis T2600G-28SQ ļauj konfigurÄt pievienotÄs informÄcijas apstrÄdes politiku, ievietojot opciju Nr.82. Å Ä«s opcijas atbalsta klÄtbÅ«tne var bÅ«t noderÄ«ga situÄcijÄ, kad abonentam ir jÄpieŔķir viena un tÄ pati IP adrese neatkarÄ«gi no tÄ, kÄdu klienta ID klients par sevi ziÅo.
ZemÄk redzamajÄ attÄlÄ parÄdÄ«ts DHCP Discover ziÅojums (nosÅ«tÄ«ts pa releju) ar pievienotu opciju Nr. 82.
ZiÅa ar opciju Nr.82
Protams, opciju Nr.82 var pÄrvaldÄ«t arÄ« bez pilnvÄrtÄ«ga DHCP releja iestatÄ«Å”anas, attiecÄ«gie iestatÄ«jumi ir parÄdÄ«ti apakÅ”sadaÄ¼Ä āDHCP L2 Relayā.
Tagad mainÄ«sim DHCP servera iestatÄ«jumus, lai parÄdÄ«tu, kÄ darbojas opcija Nr. 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic
Kaut kas tamlīdzīgs
DHCP interfeisa releja funkcija noderÄs situÄcijÄ, kad slÄdžam ir ne tikai L3 interfeiss, kas pieslÄgts konkrÄtam tÄ«klam, bet Å”im interfeisam ir arÄ« IP adrese. Ja Å”ÄdÄ saskarnÄ nav adreses, palÄ«gÄ nÄks DHCP VLAN releja funkcija. InformÄcija par apakÅ”tÄ«klu Å”ajÄ gadÄ«jumÄ tiek Åemta no noklusÄjuma interfeisa, tas ir, adreÅ”u telpas vairÄkos virtuÄlajos tÄ«klos bÅ«s vienÄdas (pÄrklÄÅ”anÄs).
Bieži vien operatoriem ir arÄ« jÄaizsargÄ abonenti no kļūdainas vai ļaunprÄtÄ«gas DHCP servera aktivizÄÅ”anas klienta iekÄrtÄs. MÄs nolÄmÄm apspriest Å”o funkcionalitÄti vienÄ no droŔības jautÄjumiem veltÄ«tajÄm sadaļÄm.
IEEE 802.1X
Viens veids, kÄ autentificÄt lietotÄjus tÄ«klÄ, ir izmantot IEEE 802.1X protokolu. Å Ä« protokola popularitÄte telekomunikÄciju operatoru tÄ«klos KrievijÄ jau samazinÄs, to joprojÄm galvenokÄrt izmanto lielo uzÅÄmumu lokÄlajos tÄ«klos, lai autentificÄtu organizÄcijas iekÅ”Äjos lietotÄjus. SlÄdžam T2600G-28SQ ir 802.1X atbalsts, tÄpÄc pakalpojumu sniedzÄjs to var viegli izmantot, ja nepiecieÅ”ams.
Lai IEEE 802.1X protokols darbotos, ir nepiecieÅ”ami trÄ«s dalÄ«bnieki: klienta aprÄ«kojums (pieprasÄ«tÄjs), pakalpojumu sniedzÄja piekļuves slÄdzis (autentifikators) un autentifikÄcijas serveri (parasti RADIUS serveri).
PamatkonfigurÄcija operatora pusÄ ir ÄrkÄrtÄ«gi vienkÄrÅ”a. Jums tikai jÄnorÄda izmantotÄ RADIUS servera IP adrese, kurÄ tiks saglabÄta lietotÄju datu bÄze, kÄ arÄ« jÄizvÄlas saskarnes, kurÄm nepiecieÅ”ama autentifikÄcija.
Pamata 802.1X iestatīŔana
Neliela konfigurÄcija ir nepiecieÅ”ama arÄ« klienta pusÄ. Visas mÅ«sdienu operÄtÄjsistÄmas jau satur nepiecieÅ”amo programmatÅ«ru. Bet, ja nepiecieÅ”ams, varat instalÄt un izmantot TP-Link 802.1x Client - lietojumprogrammu, kas ļauj autentificÄt klientu tÄ«klÄ.
Pievienojot lietotÄja datoru tieÅ”i pakalpojumu sniedzÄja tÄ«klam, savienojumam izmantotajai tÄ«kla kartei ir jÄaktivizÄ autentifikÄcijas iestatÄ«jumi.
TaÄu Å”obrÄ«d operatora tÄ«klam tieÅ”Ä veidÄ parasti ir pieslÄgts nevis lietotÄja dators, bet gan SOHO marÅ”rutÄtÄjs, kas nodroÅ”ina abonenta lokÄlÄ tÄ«kla (gan vadu, gan bezvadu segmenta) darbÄ«bu. Å ajÄ gadÄ«jumÄ visi 802.1X protokola iestatÄ«jumi ir jÄveic tieÅ”i marÅ”rutÄtÄjÄ.
Mums Ŕķiet, ka Ŕī autentifikÄcijas metode operatoru tÄ«klos ir nepelnÄ«ti aizmirsta. JÄ, stingra abonenta piesaiste slÄdža portam var bÅ«t vienkÄrÅ”Äks risinÄjums no lietotÄja aprÄ«kojuma iestatÄ«jumu viedokļa. Bet, ja ir nepiecieÅ”ama pieteikÅ”anÄs un paroles izmantoÅ”ana, tad 802.1X nebÅ«s tik smags protokols, salÄ«dzinot ar savienojumiem, kas tiek izmantoti, pamatojoties uz PPTP/L2TP/PPPoE tuneļiem.
PPPoE ID ievietoŔana
Daudzi lietotÄji ne tikai mÅ«su valstÄ«, bet visÄ pasaulÄ joprojÄm izvÄlas izmantot ÄrkÄrtÄ«gi vienkÄrÅ”as paroles. Un akreditÄcijas datu zÄdzÄ«bas gadÄ«jumi diemžÄl nav nekas neparasts. Ja operators savÄ tÄ«klÄ izmanto PPPoE protokolu, lai autentificÄtu lietotÄjus, TP-Link T2600G-28SQ slÄdzis palÄ«dzÄs atrisinÄt problÄmu, kas saistÄ«ta ar akreditÄcijas datu noplÅ«di. Tas tiek panÄkts, pievienojot PPPoE Active Discovery ziÅojumam Ä«paÅ”u etiÄ·eti. TÄdÄ veidÄ pakalpojumu sniedzÄjs var autentificÄt abonentu ne tikai pÄc pieteikÅ”anÄs un paroles, bet arÄ« ar papildu datiem. Å ie papildu dati ietver klienta ierÄ«ces MAC adresi, kÄ arÄ« slÄdža saskarni, ar kuru tÄ ir pievienota.
Daži operatori principÄ vÄlas liegt abonentam (pieteikÅ”anÄs vÄrdu un paroli) iespÄju pÄrvietoties tÄ«klÄ. PPPoE ID ievietoÅ”anas funkcija palÄ«dzÄs arÄ« Å”ajÄ gadÄ«jumÄ.
IGMP
IGMP (Internet Group Management Protocol) pastÄv jau vairÄkus gadu desmitus. TÄs popularitÄte ir diezgan saprotama un viegli izskaidrojama. TaÄu IGMP mijiedarbÄ«bÄ ir iesaistÄ«tas divas puses: lietotÄja dators (vai jebkura cita ierÄ«ce, piemÄram, STB) un IP marÅ”rutÄtÄjs, kas apkalpo noteiktu tÄ«kla segmentu. SlÄdži nekÄdÄ veidÄ nepiedalÄs Å”ajÄ apmaiÅÄ. Tiesa, pÄdÄjais apgalvojums nav gluži patiess. Vai arÄ« mÅ«sdienu tÄ«klos tÄ nemaz nav taisnÄ«ba. SlÄdži atbalsta IGMP, lai optimizÄtu multiraides trafika pÄrsÅ«tÄ«Å”anu. Klausoties lietotÄju trafiku, slÄdzis uztver tajÄ IGMP Report ziÅojumus, ar kuru palÄ«dzÄ«bu nosaka portus multiraides trafika pÄrsÅ«tÄ«Å”anai. AprakstÄ«tÄ opcija tiek saukta par IGMP Snooping.
IGMP protokola atbalstu var izmantot ne tikai, lai optimizÄtu trafiku kÄ tÄdu, bet arÄ« lai noteiktu abonentus, kuriem var nodroÅ”inÄt noteiktu pakalpojumu, piemÄram, IPTV. VÄlamo mÄrÄ·i var sasniegt, manuÄli iestatot filtrÄÅ”anas parametrus vai izmantojot autentifikÄciju.
Multiraides trafika atbalsts TP-Link slÄdžos tiek Ä«stenots diezgan elastÄ«gi. PiemÄram, visus parametrus var iestatÄ«t katram virtuÄlajam tÄ«klam atseviŔķi.
Ja vienam marÅ”rutÄtÄja interfeisam ir pievienoti vairÄki apakÅ”tÄ«kli, kuros ir multiraides trafika adresÄti, marÅ”rutÄtÄjs bÅ«s spiests nosÅ«tÄ«t vairÄkas pakeÅ”u kopijas, izmantojot Å”o interfeisu (vienu katram virtuÄlajam tÄ«klam).
Å ajÄ gadÄ«jumÄ varat optimizÄt multiraides trafika pÄrsÅ«tÄ«Å”anas procedÅ«ru, izmantojot MVR tehnoloÄ£iju - Multicast VLAN reÄ£istrÄciju.
RisinÄjuma bÅ«tÄ«ba ir tÄda, ka tiek izveidots viens virtuÄls tÄ«kls, kas apvieno visus adresÄtus. TomÄr Å”is virtuÄlais tÄ«kls tiek izmantots tikai multiraides trafikam. Å Ä« pieeja ļauj marÅ”rutÄtÄjam caur interfeisu nosÅ«tÄ«t tikai vienu multiraides trafika kopiju.
DDM, OAM un DLDP
DDM ā digitÄlÄ diagnostikas uzraudzÄ«ba. Optisko moduļu darbÄ«bas laikÄ bieži vien ir jÄuzrauga paÅ”a moduļa stÄvoklis, kÄ arÄ« optiskais kanÄls, kuram tas ir pievienots. DDM funkcija palÄ«dzÄs jums tikt galÄ ar Å”o uzdevumu. Ar tÄs palÄ«dzÄ«bu operatoru inženieri varÄs uzraudzÄ«t katra Å”o funkcionalitÄti atbalstoÅ”Ä moduļa temperatÅ«ru, tÄ spriegumu un strÄvu, kÄ arÄ« nosÅ«tÄ«to un saÅemto optisko signÄlu jaudu.
IepriekÅ” aprakstÄ«to parametru sliekÅ”Åa lÄ«meÅu iestatÄ«Å”ana ļaus Ä£enerÄt notikumu, ja tie ir Ärpus pieÅemamÄ diapazona.
DDM atbildes sliekÅ”Åu iestatÄ«Å”ana
Protams, administrators var apskatÄ«t norÄdÄ«to parametru paÅ”reizÄjÄs vÄrtÄ«bas.
TP-Link T2600G-28SQ slÄdzim ir aktÄ«va gaisa dzesÄÅ”anas sistÄma. TurklÄt mÄs nekad neesam saskÄruÅ”ies ar SFP moduļu pÄrkarÅ”anu mÅ«su slÄdžos portu blÄ«vuma dÄļ. TaÄu, ja tÄ«ri teorÄtiski Å”Äda iespÄja ir pieļaujama (piemÄram, kÄdas problÄmas dÄļ SFP moduļa iekÅ”ienÄ), tad ar DDM palÄ«dzÄ«bu administrators nekavÄjoties tiks informÄts par potenciÄli bÄ«stamu situÄciju. BÄ«stamÄ«ba Å”eit acÄ«mredzami nav saistÄ«ta ar paÅ”u slÄdzi, bet gan uz diodÄm / lÄzeru SFP iekÅ”pusÄ, jo, paaugstinoties tÄ temperatÅ«rai, izstarotÄ optiskÄ signÄla jauda var pasliktinÄties, kas novedÄ«s pie optiskÄ budžeta samazinÄÅ”anÄs.
Å eit ir vÄrts atzÄ«mÄt, ka TP-Link slÄdžiem nav pÄrdevÄja bloÄ·ÄÅ”anas āfunkcijasā, tas ir, tiek atbalstÄ«ti visi saderÄ«gie SFP moduļi, kas, protams, bÅ«s ļoti Ärti tÄ«kla administratoriem.
OAM ā darbÄ«ba, administrÄÅ”ana un uzturÄÅ”ana (IEEE 802.3ah). OAM ir OSI modeļa otrÄ slÄÅa protokols, kas paredzÄts Ethernet tÄ«klu uzraudzÄ«bai un problÄmu novÄrÅ”anai. Izmantojot Å”o protokolu, slÄdzis var pÄrraudzÄ«t konkrÄta savienojuma veiktspÄju un kļūdas, kÄ arÄ« Ä£enerÄt brÄ«dinÄjumus, lai tÄ«kla administrators varÄtu efektÄ«vÄk pÄrvaldÄ«t tÄ«klu.
OAM pamata iestatīŔana
OAM funkcionÄlÄ informÄcijaDivas blakus esoÅ”Äs ierÄ«ces, kurÄs ir iespÄjota OAM, periodiski apmainÄs ar ziÅojumiem, nosÅ«tot OAMPDU, kas ir trÄ«s veidu: informatÄ«vais, notikumu paziÅojums un cilpas kontrole. Izmantojot informatÄ«vos OAMPDU, blakus esoÅ”ie slÄdži viens otram nosÅ«ta statistisko informÄciju, kÄ arÄ« administratora definÄtus datus. Å Äda veida ziÅojumi tiek izmantoti arÄ« savienojuma uzturÄÅ”anai, izmantojot OAM protokolu. Notikuma paziÅojumu ziÅojumus izmanto savienojuma uzraudzÄ«bas funkcija, lai informÄtu otru pusi par kļūmÄm. Loopback Control ziÅojumi tiek izmantoti, lai noteiktu cilpu lÄ«nijÄ.
ZemÄk mÄs nolÄmÄm uzskaitÄ«t galvenÄs OAM protokola nodroÅ”inÄtÄs funkcijas:
- vides monitorings (salauztu kadru noteikŔana un skaitīŔana),
- RFI ā attÄlÄs kļūmes indikÄcija (paziÅojuma nosÅ«tÄ«Å”ana par kļūmi kanÄlÄ),
- Remote Loopback (kanÄlu pÄrbaude, lai izmÄrÄ«tu latentumu, aizkaves izmaiÅas (trÄ«ce), zaudÄto kadru skaitu).
VÄl viena iespÄja, kas ir pieprasÄ«ta optiskajiem slÄdžiem, ir iespÄja atklÄt problÄmas sakaru kanÄlÄ, kÄ rezultÄtÄ kanÄls kļūst simplekss, tas ir, datus var nosÅ«tÄ«t tikai vienÄ virzienÄ. MÅ«su slÄdži izmanto DLDP ā Device Link Detection Protocol, lai noteiktu vienvirziena saites. TaisnÄ«bas labad jÄatzÄ«mÄ, ka DLDP protokols tiek atbalstÄ«ts gan optiskajÄ, gan vara saskarnÄ, taÄu, mÅ«suprÄt, tas bÅ«s vispopulÄrÄkais, izmantojot optiskÄs Ŕķiedras lÄ«nijas.
Kad tiek atklÄta vienvirziena saite, slÄdzis var automÄtiski izslÄgt problemÄtisko saskarni, kas novedÄ«s pie STP koka atjaunoÅ”anas un rezerves sakaru kanÄlu izmantoÅ”anas.
MÅ«su arsenÄlÄ ir SFP moduļi, kas uztver un pÄrraida signÄlus pa vienu Ŕķiedru. Tie darbojas tikai pa pÄriem un pÄrraidei pÄrÄ« izmanto dažÄdu viļÅu garumu optiskos signÄlus. PiemÄrs ir pÄris TL-SM321A un TL-SM321B. Izmantojot Å”Ädus moduļus, vienas Ŕķiedras bojÄjumi novedÄ«s pie visa optiskÄ kanÄla pilnÄ«gas nedarboÅ”anÄs. TomÄr pat Å”Ädos kanÄlos DLDP protokols bÅ«s pieprasÄ«ts, jo, lai gan tas notiek ÄrkÄrtÄ«gi reti, kanÄlam var bÅ«t atŔķirÄ«gi caurspÄ«dÄ«guma raksturlielumi dažÄdiem viļÅu garumiem. BiežÄka problÄma ir tÄ, ka kanÄla caurspÄ«dÄ«gums mainÄs atkarÄ«bÄ no gaismas izplatÄ«Å”anÄs virziena. Reflektorogramma palÄ«dzÄs atklÄt Ŕīs problÄmas, taÄu tas ir pavisam cits stÄsts.
LLDP
Lielos korporatÄ«vajos vai operatoru tÄ«klos periodiski rodas problÄmas ar tÄ«kla dokumentÄcijas novecoÅ”anos vai neprecizitÄtÄm tÄs sagatavoÅ”anÄ. TÄ«kla administrators var saskarties ar situÄciju, kad ir jÄnoskaidro, kura operatora iekÄrta patiesÄ«bÄ ir pieslÄgta konkrÄtam slÄdža interfeisam. LLDP ā Link Layer Discovery Protocol (IEEE 802.1AB) nÄks palÄ«gÄ.
LLDP darbības parametri
MÅ«su slÄdži atbalsta LLDP ne tikai, lai atklÄtu blakus esoÅ”os slÄdžus vai citas tÄ«kla ierÄ«ces, bet arÄ« noteiktu to iespÄjas.
MÅ«su slÄdža vara kolÄÄ£i var izmantot LLDP-MED, lai vienkÄrÅ”otu IP tÄlruÅu pievienoÅ”anas procedÅ«ru. TurklÄt, izmantojot Å”o opciju, PoE slÄdzis var vienoties par jaudas parametriem ar darbinÄmo ierÄ«ci. MÄs jau esam par to detalizÄti runÄjuÅ”i vienÄ no mÅ«su
SDM un pÄrrakstÄ«Å”anÄs
GandrÄ«z visi mÅ«sdienu slÄdži apstrÄdÄ caurlaides kadrus un paketes, neizmantojot centrÄlo procesoru. ApstrÄde (kontrolsummu aprÄÄ·inÄÅ”ana, piekļuves sarakstu piemÄroÅ”ana un citu droŔības pÄrbaužu veikÅ”ana, kÄ arÄ« komutÄcijas/marÅ”rutÄÅ”anas lÄmumu pieÅemÅ”ana) tiek veikta, izmantojot specializÄtas mikroshÄmas, kas ļauj nodroÅ”inÄt lielu lietotÄju trafika pÄrraides Ätrumu. Apspriežamais slÄdzis ļauj apstrÄdÄt trafiku vidÄjÄ ÄtrumÄ. Tas nozÄ«mÄ, ka ierÄ«ces veiktspÄja ir pietiekama, lai vienlaicÄ«gi nosÅ«tÄ«tu datus ar lielÄko iespÄjamo Ätrumu visÄs ostÄs. T2600G-28SQ modelim ir 24 lejupsaites porti (pret lietotÄjiem), kas darbojas ar Ätrumu 1 Gbit/s, kÄ arÄ« 4 augÅ”upsaites porti (virzienÄ uz tÄ«kla kodolu) ar Ätrumu 10 Gbit/s. TajÄ paÅ”Ä laikÄ slÄdža ŔķÄrskopnes veiktspÄja ir 128 Gbit/s, kas ir pietiekami, lai apstrÄdÄtu maksimÄlo ienÄkoÅ”Äs trafika apjomu.
GodÄ«gi sakot, ir vÄrts atzÄ«mÄt, ka komutÄcijas matricas veiktspÄja ir 95,2 miljoni pakeÅ”u sekundÄ. Tas ir, izmantojot minimÄlos iespÄjamos kadrus, kuru garums ir tikai 64 baiti, kopÄjÄ ierÄ«ces veiktspÄja bÅ«s 97,5 Gbit/s. TomÄr telekomunikÄciju operatoru tÄ«kliem Å”Äds trafika profils ir gandrÄ«z neiespÄjams.
Kas ir pÄrmÄrÄ«ga abonÄÅ”anaVÄl viens svarÄ«gs jautÄjums ir augÅ”upÄjo un lejupÄjo kanÄlu Ätruma attiecÄ«ba (pÄrsnieguma abonÄÅ”ana). Å eit, protams, viss ir atkarÄ«gs no topoloÄ£ijas. Ja administrators izmanto visas Äetras 10 GE saskarnes, lai izveidotu savienojumu ar tÄ«kla kodolu un apvieno tÄs, izmantojot LAG (Link Aggregation Group) vai Port-Channel tehnoloÄ£iju, tad statistiski iegÅ«tais Ätrums virzienÄ uz kodolu bÅ«s 40 Gbit/s, kas bÅ«s vairÄk. nekÄ pietiekami, lai apmierinÄtu visu savienoto abonentu vajadzÄ«bas. TurklÄt nav nepiecieÅ”ams, lai visas Äetras augÅ”upsaites bÅ«tu savienotas ar vienu fizisku ierÄ«ci. Savienojumu var izveidot ar slÄdžu kaudzi vai divÄm ierÄ«cÄm, kas apvienotas klasterÄ« (izmantojot vPC tehnoloÄ£iju vai lÄ«dzÄ«gu). Å ajÄ gadÄ«jumÄ pÄrrakstÄ«Å”anÄs nav.
JÅ«s varat izmantot visas Äetras augÅ”upsaites vienlaicÄ«gi, ne tikai apvienojot tÄs, izmantojot VRG. LÄ«dzÄ«gu efektu var panÄkt, pareizi konfigurÄjot MSTP, taÄu tas ir pavisam cits stÄsts.
Otra biežÄk izmantotÄ L2 savienojuma metode ir divu neatkarÄ«gu VRG izmantoÅ”ana (pa vienam katram apkopoÅ”anas slÄdzim). Å ajÄ gadÄ«jumÄ, visticamÄk, viena no virtuÄlajÄm saitÄm tiks bloÄ·Äta ar STP protokolu (izmantojot STP vai RSTP). PÄrrakstÄ«Å”anÄs bÅ«s 5:6.
RetÄka, bet tomÄr diezgan iespÄjama situÄcija: T2600G-28SQ ir savienots ar neatkarÄ«giem kanÄliem ar augÅ”upÄjo slÄdzi vai slÄdžiem. STP/RSTP protokols atstÄs tikai vienu Å”Ädu saiti atbloÄ·ÄtÄ stÄvoklÄ«. PÄrrakstÄ«Å”anÄs bÅ«s 5:12.
Uzdevums ar zvaigznÄ«ti: aprÄÄ·iniet pÄrrakstÄ«Å”anu situÄcijÄm, kas aprakstÄ«tas STP sadaļÄ, kur mÄs apskatÄ«jÄm topoloÄ£ijas piemÄru, kad divi piekļuves slÄdži ir savienoti ar vienu un to paÅ”u apkopoÅ”anas ierÄ«ci un savstarpÄji savienoti.
ProgrammÄjamÄs mikroshÄmas, kas nodroÅ”ina tik lielu pÄrsÅ«tÄ«Å”anas Ätrumu, ir diezgan dÄrgs resurss, tÄpÄc mÄs cenÅ”amies optimizÄt to izmantoÅ”anu, pareizi sadalot resursus starp dažÄdÄm funkcijÄm. SDM ā Switch Database Management ir atbildÄ«ga par izplatÄ«Å”anu.
IzplatÄ«Å”ana tiek veikta, izmantojot SDM profilu. PaÅ”laik lietoÅ”anai ir pieejami trÄ«s profili, kas uzskaitÄ«ti zemÄk.
- NoklusÄjums piedÄvÄ lÄ«dzsvarotu risinÄjumu MAC un IP piekļuves sarakstu, kÄ arÄ« ARP noteikÅ”anas ierakstu izmantoÅ”anai.
- EnterpriseV4 ļauj maksimÄli palielinÄt resursus, kas pieejami MAC un IP piekļuves sarakstiem.
- EnterpriseV6 pieŔķir dažus resursus lietoŔanai IPv6 piekļuves sarakstos.
Lai lietotu jauno profilu, slÄdzis ir jÄpÄrstartÄ.
SecinÄjums
SaskaÅÄ ar sÄkotnÄjo pozicionÄÅ”anu Å”is slÄdzis ir vislabÄk piemÄrots telekomunikÄciju operatoriem, kuri saskaras ar uzdevumu nodroÅ”inÄt piekļuvi tÄ«klam lielos attÄlumos. IerÄ«ci var izmantot gan piekļuves lÄ«menÄ«, piemÄram, kotedžu kopienÄs un pilsÄtu mÄjÄs, gan kanÄlu apkopoÅ”anai, kas nÄk no piekļuves slÄdžiem, kas atrodas daudzdzÄ«vokļu ÄkÄs; tas ir, visur, kur ir nepiecieÅ”ami savienojumi ar attÄliem objektiem. Izmantojot optiskos sakaru kanÄlus, pieslÄgtais abonents var atrasties lÄ«dz pat vairÄku kilometru attÄlumÄ.
Klienta pusÄ optiskÄs saites var tikt pÄrtrauktas uz maziem slÄdžiem ar optiskÄm saskarnÄm vai multivides pÄrveidotÄjiem.
Liels skaits atbalstÄ«to protokolu un opciju ļaus T2600G-28SQ izmantot operatora Ethernet tÄ«klÄ ar jebkuru topoloÄ£iju un jebkuru izmantoto tehnoloÄ£iju kopumu un sniegtajiem pakalpojumiem. SlÄdzis tiek pÄrvaldÄ«ts attÄlinÄti, izmantojot tÄ«mekļa saskarni vai komandrindu. Ja ir nepiecieÅ”ama vietÄjÄ konfigurÄcija, varat izmantot konsoles portu; modelim T2600G-28SQ ir divi no tiem: RJ-45 un mikro-USB. KÄ maza muÅ”a, mÄs atzÄ«mÄjam, ka trÅ«kst atbalsta sakrauÅ”anai un otram baroÅ”anas avotam. Tiesa, parasti Ärpus pakalpojumu sniedzÄju datu centriem otras elektrolÄ«nijas klÄtbÅ«tne bÅ«s reti sastopama.
TÄs priekÅ”rocÄ«bas ietver zemo cenu, lielu abonentu optisko pieslÄgvietu skaitu, 10 GE optisko augÅ”upsaiÅ”u klÄtbÅ«tni, kÄ arÄ« Äetrus kombinÄtos portus un trafika pÄradresÄciju vidÄjÄ ÄtrumÄ.
Avots: www.habr.com