🥇Optiskais slēdzis TP-Link T2600G-28SQ pakalpojumu sniedzējiem: detalizēts apskats

Lielo pilsētu paplašināšanās un aglomerāciju veidošanās ir viena no svarīgākajām mūsdienu sabiedrības attīstības tendencēm. Maskavai vien 2019. gadā vajadzētu paplašināties par 4 miljoniem kvadrātmetru mājokļu (un neskaitot 15 apdzīvotās vietas, kas tiks pievienotas līdz 2020. gadam). Visā šajā plašajā teritorijā telekomunikāciju operatoriem būs jānodrošina lietotājiem piekļuve internetam. Tie var būt gan pilsētu mikrorajoni ar blīvām daudzstāvu ēkām, gan vairāk “izlādēti” kotedžu ciemati. Šajos gadījumos aparatūras prasības nedaudz atšķiras. Mēs analizējām katru no šiem scenārijiem un izveidojām universālu optiskā slēdža modeli - T2600G-28SQ. Šajā ierakstā mēs detalizēti analizēsim ierīces iespējas, kas interesēs telekomunikāciju operatorus visā Krievijā.

Vieta tīklā

Slēdzis T2600G-28SQ ir paredzēts gan darbam piekļuves līmenī tīklā, gan saišu apkopošanai no citiem piekļuves līmeņa slēdžiem. Šis ir 2600. slāņa slēdzis, kas veic pārslēgšanu un statisko maršrutēšanu. Ja operators ir pārslēdzis gan apkopošanu, gan piekļuvi (maršrutēšana tikai tīkla kodolā), T28G-XNUMXSQ iederēsies jebkurā no līmeņiem. Dinamiski maršrutētas apkopošanas gadījumā jums joprojām ir jāņem vērā daži lietošanas gadījumu ierobežojumi.

T2600G-28SQ modelis ir pilnvērtīgs aktīvais Ethernet slēdzis bez papildu ierobežojumiem, kas parādās, izmantojot xPON vai līdzīgas tehnoloģijas. Piemēram, nedraudot straujam ātruma kritumam, palielinoties lietotāju skaitam vai sliktai saderībai starp dažādu pārdevēju aprīkojumu un programmaparatūru. Gan galalietotāji, gan pamatā esošie piekļuves slēdži ar optiskām augšupsaitēm, piemēram, T2600G-28TS modelis, var izveidot savienojumu ar ierīces saskarnēm. Zemāk esošajā diagrammā parādīti visbiežāk sastopamie šādu savienojumu piemēri.

Lai piekļūtu gala lietotāja tīklam, var izmantot optisko šķiedru vai vītā pāra kabeli. Abonenta pusē optisko šķiedru var pārtraukt, vai nu izmantojot multivides pārveidotāju (mediju pārveidotāju), piemēram, TP-Link MC220L; un izmantojot optisko interfeisu SOHO maršrutētājā.

Lai pievienotu blakus esošo klientu, varat izmantot četrus RJ-45 portus, kas darbojas ar ātrumu 10/100/1000 Mbit/s. Ja kāda iemesla dēļ ar to nepietiek, operators var "pārveidot" slēdža optiskās saskarnes uz vara. To var izdarīt, izmantojot specializētus “vara” SFP ar RJ-45 savienotāju. Bet šādu risinājumu nevar saukt par tipisku.

Daži piemēri no prakses

Lai pabeigtu attēlu, mēs sniegsim vairākus T2600G-28SQ slēdžu izmantošanas piemērus.

Maskavas apgabala pakalpojumu sniedzējs "DIVO", kas papildus internetam nodrošina telefonijas un kabeļtelevīzijas pakalpojumus, veidojot tīklus privātajā sektorā (kotedžas un rindu mājas), piekļuves līmenī izmanto T2600G-28SQ. Klienta pusē savienojums tiek izveidots ar maršrutētājiem ar SFP portu, kā arī multivides pārveidotājiem. Šobrīd SOHO maršrutētāji ar SFP pieslēgvietu mūsu valstī netiek ražoti masveidā, bet mēs, protams, par to domājam.

Telekomunikāciju operators ISS no Pavlovo-Posad reģiona izmanto T2600G-28SQ slēdžus kā “mazu agregātu”, piekļuvei izmantojot modeļu T2600G-28TS un T2500G-10TS slēdžus.

Uzņēmumu grupa "Garantija" nodrošināt piekļuvi internetam, TV, telefonijas un videonovērošanas sistēmas Maskavas apgabala dienvidaustrumos (Kolomna, Lukhovici, Zaraysk, Serebryanye Prudy, Ozyory). Aptuvenā topoloģija šeit ir tāda pati kā ISS: T2600G-28SQ apkopošanas līmenī un T2600G-28TS un T2500G-10TS piekļuves līmenī.

Sniedzējs SKTV no Krasnoznamenskas nodrošina piekļuvi internetam, izmantojot tīklu ar dziļu optisko iespiešanos. Tas ir arī balstīts uz T2600G-28SQ.

Nākamajās sadaļās mēs īsi aprakstīsim dažas no T2600G-28SQ funkcijām. Lai materiāls netiktu uzpūsts, mēs atstājām vairākas iespējas: QinQ (VLAN VPN), maršrutēšana, QoS utt. Mēs domājam, ka mēs varam atgriezties pie tiem kādā no šiem ierakstiem.

Slēdžu iespējas

Rezervācija – STP

STP — aptverošā koka protokols. Aptverošais koka protokols ir zināms jau ļoti ilgu laiku, par to pateicoties cienījamam Radijai Perlmanam. Mūsdienu tīklos administratori visos iespējamos veidos cenšas izvairīties no šī protokola izmantošanas. Jā, STP nav bez trūkumiem. Un tas ir ļoti labi, ja tam ir alternatīva. Tomēr, kā tas bieži notiek, šī protokola alternatīva būs ļoti atkarīga no pārdevēja. Tāpēc līdz pat šai dienai Spanning Tree Protocol ir gandrīz vienīgais risinājums, ko atbalsta gandrīz visi ražotāji un ir zināms arī visiem tīkla administratoriem.

TP-Link T2600G-28SQ slēdzis atbalsta trīs STP versijas: klasisko STP (IEEE 802.1D), RSTP (802.1W) un MSTP (802.1S).

No šīm iespējām parastais RSTP ir diezgan piemērots lielākajai daļai mazo interneta pakalpojumu sniedzēju Krievijā, kam ir viena nenoliedzama priekšrocība salīdzinājumā ar klasisko versiju - ievērojami īsāks konverģences laiks.

Mūsdienās elastīgākais protokols ir MSTP, kas atbalsta virtuālos tīklus (VLAN) un ļauj izmantot vairākus dažādus kokus, kas ļauj izmantot visus pieejamos rezerves ceļus. Administrators izveido vairākus dažādus koka gadījumus (līdz astoņiem), no kuriem katrs apkalpo noteiktu virtuālo tīklu kopu.

MSTP smalkumiIesācēju administratoriem, izmantojot MSTP, jābūt ļoti uzmanīgiem. Tas ir tāpēc, ka protokola darbība reģionā un starp reģioniem atšķiras. Tāpēc, konfigurējot slēdžus, ir vērts palikt tajā pašā reģionā.

Kas ir šis bēdīgi slavenais reģions? MSTP izteiksmē reģions ir viens ar otru savienotu slēdžu kopums, kuriem ir vienādas īpašības: reģiona nosaukums, pārskatīšanas numurs un virtuālo tīklu (VLAN) sadalījums starp protokola gadījumiem (instances).

Protams, Spanning Tree protokols (jebkura versija) ļauj ne tikai tikt galā ar cilpām, kas rodas, savienojot rezerves kanālus, bet arī aizsargāties pret kabeļa pārslēgšanas kļūdām, kad inženieris tīši vai netīši pieslēdz nepareizos portus, izveidojot cilpu ar savu darbības.

Pieredzējuši tīkla administratori izvēlas izmantot dažādas papildu iespējas, lai aizsargātu STP protokolu no uzbrukumiem vai sarežģītām katastrofu situācijām. Modelis T2600G-28SQ piedāvā veselu virkni šādu iespēju: Loop Protect un Root Protect, TC Guard, BPDU Protect un BPDU Filter.

Pareiza iepriekš uzskaitīto opciju izmantošana kopā ar citiem atbalstītajiem aizsardzības mehānismiem stabilizēs vietējo tīklu un padarīs to paredzamāku.

Rezervācija – VRG

VRG – saišu apkopošanas grupa. Šī ir tehnoloģija, kas ļauj apvienot vairākus fiziskos kanālus vienā loģiskā. Visi pārējie protokoli pārtrauc izmantot VRG iekļautos fiziskos kanālus atsevišķi un sāk “redzēt” vienu loģisko saskarni. Šāda protokola piemērs ir STP.

Lietotāju datplūsma tiek līdzsvarota starp fiziskajiem kanāliem loģiskajos kanālos, pamatojoties uz hash summu. Lai to aprēķinātu, var izmantot sūtītāja, saņēmēja vai to pāra MAC adreses; kā arī sūtītāja, saņēmēja vai to pāra IP adreses. XNUMX. slāņa protokola informācija (TCP/UDP porti) netiek ņemta vērā.

Slēdzis T2600G-28SQ atbalsta statiskās un dinamiskās VRG.

Lai apspriestu dinamiskās grupas darbības parametrus, tiek izmantots LACP protokols.

Drošība — piekļuves saraksti (ACL)

Mūsu T2600G-28SQ slēdzis ļauj filtrēt lietotāju trafiku, izmantojot piekļuves sarakstus (ACL — Access Control List).

Atbalstītie piekļuves saraksti var būt vairāku veidu: MAC un IP (IPv4/IPv6), kombinēti, kā arī satura filtrēšanas veikšanai. Katra atbalstītā piekļuves saraksta veida skaits ir atkarīgs no pašlaik izmantotās SDM veidnes, ko mēs aprakstījām citā sadaļā.

Operators var izmantot šo iespēju, lai bloķētu dažādu nevēlamu trafiku tīklā. Šādas trafika piemērs varētu būt IPv6 paketes (izmantojot lauku EtherType), ja netiek nodrošināts attiecīgais pakalpojums; vai bloķēt SMB portā 445. Tīklā ar statisku adresēšanu DHCP/BOOTP trafika nav nepieciešama, tāpēc, izmantojot ACL, administrators var filtrēt UDP datagrammas portos 67 un 68. Varat arī bloķēt vietējo IPoE trafiku, izmantojot ACL. Šāda bloķēšana var būt pieprasīta operatoru tīklos, kas izmanto PPPoE.

Piekļuves sarakstu izmantošanas process ir ļoti vienkāršs. Pēc paša saraksta izveidošanas jums jāpievieno tam nepieciešamais ierakstu skaits, kuru veids ir tieši atkarīgs no pielāgotās lapas.

Piekļuves sarakstu iestatīšana

Ir vērts atzīmēt, ka piekļuves saraksti var veikt ne tikai parastās datplūsmas atļaušanas vai noraidīšanas darbības, bet arī to novirzīt, atspoguļot, kā arī veikt atzīmēšanu vai ātruma ierobežošanu.
Kad visi nepieciešamie ACL ir izveidoti, administrators var tos instalēt. Piekļuves sarakstu iespējams pievienot gan tiešam fiziskajam portam, gan konkrētam virtuālajam tīklam.

Drošība - MAC adrešu skaits

Dažreiz operatoriem ir jāierobežo MAC adrešu skaits, ko slēdzis apgūst noteiktā portā. Piekļuves saraksti ļauj sasniegt norādīto efektu, taču tajā pašā laikā ir nepieciešams skaidri norādīt pašas MAC adreses. Ja jums tikai jāierobežo kanālu adrešu skaits, bet tās nav skaidri jānorāda, portu drošība nāks palīgā.

Šāds ierobežojums var būt nepieciešams, piemēram, lai aizsargātu pret visa lokālā tīkla pievienošanu vienam pakalpojumu sniedzēja komutācijas interfeisam. Šeit ir vērts pieminēt, ka runa ir par iezvanes savienojumu, jo, pieslēdzoties, izmantojot maršrutētāju klienta pusē, T2600G-28SQ iemācīsies tikai vienu adresi - tā ir MAC, kas pieder klienta maršrutētāja WAN portam. .

Ir vesela uzbrukumu klase, kas vērsta pret komutācijas tabulu. Tā varētu būt tabulas pārpilde vai MAC viltošana. Ostas drošības opcija ļaus aizsargāties pret tilta galda pārplūdi un uzbrukumiem, kuru mērķis ir apzināti pārkvalificēt slēdzi un saindēt tā tilta galdu.

Nevar nepieminēt vienkārši bojātu klienta aprīkojumu. Bieži vien ir situācijas, kad nepareizi funkcionējoša datora tīkla karte vai maršrutētājs rada kadru straumi ar pilnīgi patvaļīgām sūtītāja un saņēmēja adresēm. Šāda plūsma var viegli iztukšot CAM.

Vēl viens veids, kā ierobežot izmantoto tilta tabulas ierakstu skaitu, ir MAC VLAN drošības rīks, kas ļauj administratoram norādīt maksimālo ierakstu skaitu konkrētam virtuālajam tīklam.

Papildus dinamisko ierakstu pārvaldīšanai komutācijas tabulā administrators var izveidot arī statiskus.

T2600G-28SQ modeļa maksimālais tilta galds var uzņemt līdz 16K ierakstiem.
Vēl viena lietotāja trafika pārraides filtrēšanas iespēja ir funkcija Port Isolation, kas ļauj skaidri norādīt, kādā virzienā ir atļauta pārsūtīšana.

Drošība – IMPB

Mūsu plašās dzimtenes plašajos plašumos telekomunikāciju operatoru pieeja tīkla drošības nodrošināšanas jautājumiem svārstās no pilnīgas nezināšanas līdz maksimāli iespējamai visu iekārtu atbalstīto iespēju izmantošanai.

IPv4 IMPB (IP-MAC-Port Binding) un IPv6 IMPB funkcijas ļauj aizsargāties pret daudziem uzbrukumiem, kas saistīti ar IP un MAC adrešu viltošanu no abonentu puses, piesaistot klienta aprīkojuma IP un MAC adreses. pakalpojumu sniedzēja slēdža saskarne. Šo saistīšanu var veikt manuāli vai izmantojot ARP skenēšanas un DHCP Snooping funkcijas.

Pamata IMPB iestatījumi

Taisnības labad gan jāsaka, ka DHCP protokola aizsardzībai var izmantot īpašu funkciju – DHCP filtru.

Izmantojot šo funkciju, tīkla administrators var manuāli norādīt tās saskarnes, kurām ir pievienoti īsti DHCP serveri. Tas neļaus negodīgiem DHCP serveriem iejaukties IP sarunu procesā.

Drošība — DoS Defend

Aplūkojamais modelis ļauj mums aizsargāt lietotājus no vairākiem pazīstamākajiem un iepriekš izplatītākajiem DoS uzbrukumiem.

Lielākā daļa no uzskaitītajiem uzbrukumiem vairs nav bīstami ierīcēm ar modernām operētājsistēmām, taču mūsu tīkli joprojām var saskarties ar tiem, kuriem pirms daudziem gadiem tika veikts pēdējais programmatūras atjauninājums.

DHCP atbalsts

TP-Link T2600G-28SQ slēdzis var darboties gan kā DHCP serveris vai relejs, gan veikt dažādu DHCP ziņojumu filtrēšanu, ja cita ierīce darbojas kā serveris.

Vienkāršākais veids, kā nodrošināt lietotājus ar IP parametriem, kas tiem nepieciešami, ir izmantot slēdža iebūvēto DHCP serveri. Ar tās palīdzību pamata parametrus jau var dot abonentiem.

Mēs savienojām savu Archer C6 SOHO maršrutētāju ar vienu no slēdža saskarnēm un pārliecinājāmies, ka klienta ierīce ir veiksmīgi saņēmusi adresi.

Tas izskatās šādi

Slēdžā iebūvētais DHCP serveris, iespējams, nav mērogojamākais un elastīgākais risinājums: neatbalsta nestandarta opcijas un nav savienojuma ar IPAM. Ja operatoram ir nepieciešama lielāka kontrole pār IP adreses izplatīšanas procesu, tiks izmantots īpašs DHCP serveris.

T2600G-28SQ ļauj katram lietotāja apakštīklam norādīt atsevišķu īpašu DHCP serveri, uz kuru tiks novirzīti apspriežamā protokola ziņojumi. Apakštīkls tiek atlasīts, norādot atbilstošo L3 interfeisu: VLAN (SVI), maršrutētais ports vai porta kanāls.

Lai pārbaudītu releja darbību, mēs konfigurējām atsevišķu maršrutētāju no cita pārdevēja, lai tas darbotos kā DHCP serveris, kura iestatījumi ir parādīti zemāk.

R1#sho run | s pool
ip dhcp pool test
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 8.8.8.8

Klienta maršrutētājs atkal ir veiksmīgi ieguvis IP adresi.

R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address          Client-ID/              Lease expiration        Type
                    Hardware address/
                    User name
192.168.0.2         010c.8063.f0c2.6a       May 24 2019 05:07 PM    Automatic

Zem spoilera - pārtvertās paketes saturs starp slēdzi un speciālo DHCP serveri.

Iepakojuma saturs
Jāņem vērā, ka slēdzis atbalsta 82. opciju. Kad tas ir iespējots, slēdzis pievienos informāciju par lietotāja interfeisu, no kura tika saņemts DHCP atklāšanas ziņojums. Turklāt modelis T2600G-28SQ ļauj konfigurēt pievienotās informācijas apstrādes politiku, ievietojot opciju Nr.82. Šīs opcijas atbalsta klātbūtne var būt noderīga situācijā, kad abonentam ir jāpiešķir viena un tā pati IP adrese neatkarīgi no tā, kādu klienta ID klients par sevi ziņo.
Zemāk redzamajā attēlā parādīts DHCP Discover ziņojums (nosūtīts pa releju) ar pievienotu opciju Nr. 82.

Ziņa ar opciju Nr.82
Protams, opciju Nr.82 var pārvaldīt arī bez pilnvērtīga DHCP releja iestatīšanas, attiecīgie iestatījumi ir parādīti apakšsadaļā “DHCP L2 Relay”.

Tagad mainīsim DHCP servera iestatījumus, lai parādītu, kā darbojas opcija Nr. 82.

R1#sho run | s dhcp
ip dhcp pool test
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 8.8.8.8
 class option82_test
  address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
 relay agent information
      relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address          Client-ID/              Lease expiration        Type
                    Hardware address/
                    User name
192.168.0.222       010c.8063.f0c2.6a       May 24 2019 05:33 PM    Automatic

Kaut kas tamlīdzīgs
DHCP interfeisa releja funkcija noderēs situācijā, kad slēdžam ir ne tikai L3 interfeiss, kas pieslēgts konkrētam tīklam, bet šim interfeisam ir arī IP adrese. Ja šādā saskarnē nav adreses, palīgā nāks DHCP VLAN releja funkcija. Informācija par apakštīklu šajā gadījumā tiek ņemta no noklusējuma interfeisa, tas ir, adrešu telpas vairākos virtuālajos tīklos būs vienādas (pārklāšanās).

Bieži vien operatoriem ir arī jāaizsargā abonenti no kļūdainas vai ļaunprātīgas DHCP servera aktivizēšanas klienta iekārtās. Mēs nolēmām apspriest šo funkcionalitāti vienā no drošības jautājumiem veltītajām sadaļām.

IEEE 802.1X

Viens veids, kā autentificēt lietotājus tīklā, ir izmantot IEEE 802.1X protokolu. Šī protokola popularitāte telekomunikāciju operatoru tīklos Krievijā jau samazinās, to joprojām galvenokārt izmanto lielo uzņēmumu lokālajos tīklos, lai autentificētu organizācijas iekšējos lietotājus. Slēdžam T2600G-28SQ ir 802.1X atbalsts, tāpēc pakalpojumu sniedzējs to var viegli izmantot, ja nepieciešams.

Lai IEEE 802.1X protokols darbotos, ir nepieciešami trīs dalībnieki: klienta aprīkojums (pieprasītājs), pakalpojumu sniedzēja piekļuves slēdzis (autentifikators) un autentifikācijas serveri (parasti RADIUS serveri).

Pamatkonfigurācija operatora pusē ir ārkārtīgi vienkārša. Jums tikai jānorāda izmantotā RADIUS servera IP adrese, kurā tiks saglabāta lietotāju datu bāze, kā arī jāizvēlas saskarnes, kurām nepieciešama autentifikācija.

Pamata 802.1X iestatīšana

Neliela konfigurācija ir nepieciešama arī klienta pusē. Visas mūsdienu operētājsistēmas jau satur nepieciešamo programmatūru. Bet, ja nepieciešams, varat instalēt un izmantot TP-Link 802.1x Client - lietojumprogrammu, kas ļauj autentificēt klientu tīklā.

Pievienojot lietotāja datoru tieši pakalpojumu sniedzēja tīklam, savienojumam izmantotajai tīkla kartei ir jāaktivizē autentifikācijas iestatījumi.

Taču šobrīd operatora tīklam tiešā veidā parasti ir pieslēgts nevis lietotāja dators, bet gan SOHO maršrutētājs, kas nodrošina abonenta lokālā tīkla (gan vadu, gan bezvadu segmenta) darbību. Šajā gadījumā visi 802.1X protokola iestatījumi ir jāveic tieši maršrutētājā.

Mums šķiet, ka šī autentifikācijas metode operatoru tīklos ir nepelnīti aizmirsta. Jā, stingra abonenta piesaiste slēdža portam var būt vienkāršāks risinājums no lietotāja aprīkojuma iestatījumu viedokļa. Bet, ja ir nepieciešama pieteikšanās un paroles izmantošana, tad 802.1X nebūs tik smags protokols, salīdzinot ar savienojumiem, kas tiek izmantoti, pamatojoties uz PPTP/L2TP/PPPoE tuneļiem.

PPPoE ID ievietošana

Daudzi lietotāji ne tikai mūsu valstī, bet visā pasaulē joprojām izvēlas izmantot ārkārtīgi vienkāršas paroles. Un akreditācijas datu zādzības gadījumi diemžēl nav nekas neparasts. Ja operators savā tīklā izmanto PPPoE protokolu, lai autentificētu lietotājus, TP-Link T2600G-28SQ slēdzis palīdzēs atrisināt problēmu, kas saistīta ar akreditācijas datu noplūdi. Tas tiek panākts, pievienojot PPPoE Active Discovery ziņojumam īpašu etiķeti. Tādā veidā pakalpojumu sniedzējs var autentificēt abonentu ne tikai pēc pieteikšanās un paroles, bet arī ar papildu datiem. Šie papildu dati ietver klienta ierīces MAC adresi, kā arī slēdža saskarni, ar kuru tā ir pievienota.

Daži operatori principā vēlas liegt abonentam (pieteikšanās vārdu un paroli) iespēju pārvietoties tīklā. PPPoE ID ievietošanas funkcija palīdzēs arī šajā gadījumā.

IGMP

IGMP (Internet Group Management Protocol) pastāv jau vairākus gadu desmitus. Tās popularitāte ir diezgan saprotama un viegli izskaidrojama. Taču IGMP mijiedarbībā ir iesaistītas divas puses: lietotāja dators (vai jebkura cita ierīce, piemēram, STB) un IP maršrutētājs, kas apkalpo noteiktu tīkla segmentu. Slēdži nekādā veidā nepiedalās šajā apmaiņā. Tiesa, pēdējais apgalvojums nav gluži patiess. Vai arī mūsdienu tīklos tā nemaz nav taisnība. Slēdži atbalsta IGMP, lai optimizētu multiraides trafika pārsūtīšanu. Klausoties lietotāju trafiku, slēdzis uztver tajā IGMP Report ziņojumus, ar kuru palīdzību nosaka portus multiraides trafika pārsūtīšanai. Aprakstītā opcija tiek saukta par IGMP Snooping.

IGMP protokola atbalstu var izmantot ne tikai, lai optimizētu trafiku kā tādu, bet arī lai noteiktu abonentus, kuriem var nodrošināt noteiktu pakalpojumu, piemēram, IPTV. Vēlamo mērķi var sasniegt, manuāli iestatot filtrēšanas parametrus vai izmantojot autentifikāciju.

Multiraides trafika atbalsts TP-Link slēdžos tiek īstenots diezgan elastīgi. Piemēram, visus parametrus var iestatīt katram virtuālajam tīklam atsevišķi.

Ja vienam maršrutētāja interfeisam ir pievienoti vairāki apakštīkli, kuros ir multiraides trafika adresāti, maršrutētājs būs spiests nosūtīt vairākas pakešu kopijas, izmantojot šo interfeisu (vienu katram virtuālajam tīklam).
Šajā gadījumā varat optimizēt multiraides trafika pārsūtīšanas procedūru, izmantojot MVR tehnoloģiju - Multicast VLAN reģistrāciju.

Risinājuma būtība ir tāda, ka tiek izveidots viens virtuāls tīkls, kas apvieno visus adresātus. Tomēr šis virtuālais tīkls tiek izmantots tikai multiraides trafikam. Šī pieeja ļauj maršrutētājam caur interfeisu nosūtīt tikai vienu multiraides trafika kopiju.

DDM, OAM un DLDP

DDM – digitālā diagnostikas uzraudzība. Optisko moduļu darbības laikā bieži vien ir jāuzrauga paša moduļa stāvoklis, kā arī optiskais kanāls, kuram tas ir pievienots. DDM funkcija palīdzēs jums tikt galā ar šo uzdevumu. Ar tās palīdzību operatoru inženieri varēs uzraudzīt katra šo funkcionalitāti atbalstošā moduļa temperatūru, tā spriegumu un strāvu, kā arī nosūtīto un saņemto optisko signālu jaudu.

Iepriekš aprakstīto parametru sliekšņa līmeņu iestatīšana ļaus ģenerēt notikumu, ja tie ir ārpus pieņemamā diapazona.

DDM atbildes sliekšņu iestatīšana

Protams, administrators var apskatīt norādīto parametru pašreizējās vērtības.

TP-Link T2600G-28SQ slēdzim ir aktīva gaisa dzesēšanas sistēma. Turklāt mēs nekad neesam saskārušies ar SFP moduļu pārkaršanu mūsu slēdžos portu blīvuma dēļ. Taču, ja tīri teorētiski šāda iespēja ir pieļaujama (piemēram, kādas problēmas dēļ SFP moduļa iekšienē), tad ar DDM palīdzību administrators nekavējoties tiks informēts par potenciāli bīstamu situāciju. Bīstamība šeit acīmredzami nav saistīta ar pašu slēdzi, bet gan uz diodēm / lāzeru SFP iekšpusē, jo, paaugstinoties tā temperatūrai, izstarotā optiskā signāla jauda var pasliktināties, kas novedīs pie optiskā budžeta samazināšanās.

Šeit ir vērts atzīmēt, ka TP-Link slēdžiem nav pārdevēja bloķēšanas “funkcijas”, tas ir, tiek atbalstīti visi saderīgie SFP moduļi, kas, protams, būs ļoti ērti tīkla administratoriem.

OAM — darbība, administrēšana un uzturēšana (IEEE 802.3ah). OAM ir OSI modeļa otrā slāņa protokols, kas paredzēts Ethernet tīklu uzraudzībai un problēmu novēršanai. Izmantojot šo protokolu, slēdzis var pārraudzīt konkrēta savienojuma veiktspēju un kļūdas, kā arī ģenerēt brīdinājumus, lai tīkla administrators varētu efektīvāk pārvaldīt tīklu.

OAM pamata iestatīšana

OAM funkcionālā informācijaDivas blakus esošās ierīces, kurās ir iespējota OAM, periodiski apmainās ar ziņojumiem, nosūtot OAMPDU, kas ir trīs veidu: informatīvais, notikumu paziņojums un cilpas kontrole. Izmantojot informatīvos OAMPDU, blakus esošie slēdži viens otram nosūta statistisko informāciju, kā arī administratora definētus datus. Šāda veida ziņojumi tiek izmantoti arī savienojuma uzturēšanai, izmantojot OAM protokolu. Notikuma paziņojumu ziņojumus izmanto savienojuma uzraudzības funkcija, lai informētu otru pusi par kļūmēm. Loopback Control ziņojumi tiek izmantoti, lai noteiktu cilpu līnijā.

Zemāk mēs nolēmām uzskaitīt galvenās OAM protokola nodrošinātās funkcijas:

vides monitorings (salauztu kadru noteikšana un skaitīšana),

RFI — attālās kļūmes indikācija (paziņojuma nosūtīšana par kļūmi kanālā),

Remote Loopback (kanālu pārbaude, lai izmērītu latentumu, aizkaves izmaiņas (trīce), zaudēto kadru skaitu).

Vēl viena iespēja, kas ir pieprasīta optiskajiem slēdžiem, ir iespēja atklāt problēmas sakaru kanālā, kā rezultātā kanāls kļūst simplekss, tas ir, datus var nosūtīt tikai vienā virzienā. Mūsu slēdži izmanto DLDP — Device Link Detection Protocol, lai noteiktu vienvirziena saites. Taisnības labad jāatzīmē, ka DLDP protokols tiek atbalstīts gan optiskajā, gan vara saskarnē, taču, mūsuprāt, tas būs vispopulārākais, izmantojot optiskās šķiedras līnijas.

Kad tiek atklāta vienvirziena saite, slēdzis var automātiski izslēgt problemātisko saskarni, kas novedīs pie STP koka atjaunošanas un rezerves sakaru kanālu izmantošanas.

Mūsu arsenālā ir SFP moduļi, kas uztver un pārraida signālus pa vienu šķiedru. Tie darbojas tikai pa pāriem un pārraidei pārī izmanto dažādu viļņu garumu optiskos signālus. Piemērs ir pāris TL-SM321A un TL-SM321B. Izmantojot šādus moduļus, vienas šķiedras bojājumi novedīs pie visa optiskā kanāla pilnīgas nedarbošanās. Tomēr pat šādos kanālos DLDP protokols būs pieprasīts, jo, lai gan tas notiek ārkārtīgi reti, kanālam var būt atšķirīgi caurspīdīguma raksturlielumi dažādiem viļņu garumiem. Biežāka problēma ir tā, ka kanāla caurspīdīgums mainās atkarībā no gaismas izplatīšanās virziena. Reflektorogramma palīdzēs atklāt šīs problēmas, taču tas ir pavisam cits stāsts.

LLDP

Lielos korporatīvajos vai operatoru tīklos periodiski rodas problēmas ar tīkla dokumentācijas novecošanos vai neprecizitātēm tās sagatavošanā. Tīkla administrators var saskarties ar situāciju, kad ir jānoskaidro, kura operatora iekārta patiesībā ir pieslēgta konkrētam slēdža interfeisam. LLDP — Link Layer Discovery Protocol (IEEE 802.1AB) nāks palīgā.

LLDP darbības parametri

Mūsu slēdži atbalsta LLDP ne tikai, lai atklātu blakus esošos slēdžus vai citas tīkla ierīces, bet arī noteiktu to iespējas.

Mūsu slēdža vara kolēģi var izmantot LLDP-MED, lai vienkāršotu IP tālruņu pievienošanas procedūru. Turklāt, izmantojot šo opciju, PoE slēdzis var vienoties par jaudas parametriem ar darbināmo ierīci. Mēs jau esam par to detalizēti runājuši vienā no mūsu pagātnes materiāli.

SDM un pārrakstīšanās

Gandrīz visi mūsdienu slēdži apstrādā caurlaides kadrus un paketes, neizmantojot centrālo procesoru. Apstrāde (kontrolsummu aprēķināšana, piekļuves sarakstu piemērošana un citu drošības pārbaužu veikšana, kā arī komutācijas/maršrutēšanas lēmumu pieņemšana) tiek veikta, izmantojot specializētas mikroshēmas, kas ļauj nodrošināt lielu lietotāju trafika pārraides ātrumu. Apspriežamais slēdzis ļauj apstrādāt trafiku vidējā ātrumā. Tas nozīmē, ka ierīces veiktspēja ir pietiekama, lai vienlaicīgi nosūtītu datus ar lielāko iespējamo ātrumu visās ostās. T2600G-28SQ modelim ir 24 lejupsaites porti (pret lietotājiem), kas darbojas ar ātrumu 1 Gbit/s, kā arī 4 augšupsaites porti (virzienā uz tīkla kodolu) ar ātrumu 10 Gbit/s. Tajā pašā laikā slēdža šķērskopnes veiktspēja ir 128 Gbit/s, kas ir pietiekami, lai apstrādātu maksimālo ienākošās trafika apjomu.

Godīgi sakot, ir vērts atzīmēt, ka komutācijas matricas veiktspēja ir 95,2 miljoni pakešu sekundē. Tas ir, izmantojot minimālos iespējamos kadrus, kuru garums ir tikai 64 baiti, kopējā ierīces veiktspēja būs 97,5 Gbit/s. Tomēr telekomunikāciju operatoru tīkliem šāds trafika profils ir gandrīz neiespējams.

Kas ir pārmērīga abonēšanaVēl viens svarīgs jautājums ir augšupējo un lejupējo kanālu ātruma attiecība (pārsnieguma abonēšana). Šeit, protams, viss ir atkarīgs no topoloģijas. Ja administrators izmanto visas četras 10 GE saskarnes, lai izveidotu savienojumu ar tīkla kodolu un apvieno tās, izmantojot LAG (Link Aggregation Group) vai Port-Channel tehnoloģiju, tad statistiski iegūtais ātrums virzienā uz kodolu būs 40 Gbit/s, kas būs vairāk. nekā pietiekami, lai apmierinātu visu savienoto abonentu vajadzības. Turklāt nav nepieciešams, lai visas četras augšupsaites būtu savienotas ar vienu fizisku ierīci. Savienojumu var izveidot ar slēdžu kaudzi vai divām ierīcēm, kas apvienotas klasterī (izmantojot vPC tehnoloģiju vai līdzīgu). Šajā gadījumā pārrakstīšanās nav.

Jūs varat izmantot visas četras augšupsaites vienlaicīgi, ne tikai apvienojot tās, izmantojot VRG. Līdzīgu efektu var panākt, pareizi konfigurējot MSTP, taču tas ir pavisam cits stāsts.

Otra biežāk izmantotā L2 savienojuma metode ir divu neatkarīgu VRG izmantošana (pa vienam katram apkopošanas slēdzim). Šajā gadījumā, visticamāk, viena no virtuālajām saitēm tiks bloķēta ar STP protokolu (izmantojot STP vai RSTP). Pārrakstīšanās būs 5:6.

Retāka, bet tomēr diezgan iespējama situācija: T2600G-28SQ ir savienots ar neatkarīgiem kanāliem ar augšupējo slēdzi vai slēdžiem. STP/RSTP protokols atstās tikai vienu šādu saiti atbloķētā stāvoklī. Pārrakstīšanās būs 5:12.

Uzdevums ar zvaigznīti: aprēķiniet pārrakstīšanu situācijām, kas aprakstītas STP sadaļā, kur mēs apskatījām topoloģijas piemēru, kad divi piekļuves slēdži ir savienoti ar vienu un to pašu apkopošanas ierīci un savstarpēji savienoti.

Programmējamās mikroshēmas, kas nodrošina tik lielu pārsūtīšanas ātrumu, ir diezgan dārgs resurss, tāpēc mēs cenšamies optimizēt to izmantošanu, pareizi sadalot resursus starp dažādām funkcijām. SDM — Switch Database Management ir atbildīga par izplatīšanu.

Izplatīšana tiek veikta, izmantojot SDM profilu. Pašlaik lietošanai ir pieejami trīs profili, kas uzskaitīti zemāk.

Noklusējums piedāvā līdzsvarotu risinājumu MAC un IP piekļuves sarakstu, kā arī ARP noteikšanas ierakstu izmantošanai.
EnterpriseV4 ļauj maksimāli palielināt resursus, kas pieejami MAC un IP piekļuves sarakstiem.
EnterpriseV6 piešķir dažus resursus lietošanai IPv6 piekļuves sarakstos.

Lai lietotu jauno profilu, slēdzis ir jāpārstartē.

Secinājums

Saskaņā ar sākotnējo pozicionēšanu šis slēdzis ir vislabāk piemērots telekomunikāciju operatoriem, kuri saskaras ar uzdevumu nodrošināt piekļuvi tīklam lielos attālumos. Ierīci var izmantot gan piekļuves līmenī, piemēram, kotedžu kopienās un pilsētu mājās, gan kanālu apkopošanai, kas nāk no piekļuves slēdžiem, kas atrodas daudzdzīvokļu ēkās; tas ir, visur, kur ir nepieciešami savienojumi ar attāliem objektiem. Izmantojot optiskos sakaru kanālus, pieslēgtais abonents var atrasties līdz pat vairāku kilometru attālumā.

Klienta pusē optiskās saites var tikt pārtrauktas uz maziem slēdžiem ar optiskām saskarnēm vai multivides pārveidotājiem.

Liels skaits atbalstīto protokolu un opciju ļaus T2600G-28SQ izmantot operatora Ethernet tīklā ar jebkuru topoloģiju un jebkuru izmantoto tehnoloģiju kopumu un sniegtajiem pakalpojumiem. Slēdzis tiek pārvaldīts attālināti, izmantojot tīmekļa saskarni vai komandrindu. Ja ir nepieciešama vietējā konfigurācija, varat izmantot konsoles portu; modelim T2600G-28SQ ir divi no tiem: RJ-45 un mikro-USB. Kā maza muša, mēs atzīmējam, ka trūkst atbalsta sakraušanai un otram barošanas avotam. Tiesa, parasti ārpus pakalpojumu sniedzēju datu centriem otras elektrolīnijas klātbūtne būs reti sastopama.

Tās priekšrocības ietver zemo cenu, lielu abonentu optisko pieslēgvietu skaitu, 10 GE optisko augšupsaišu klātbūtni, kā arī četrus kombinētos portus un trafika pāradresāciju vidējā ātrumā.

Avots: www.habr.com

TP-Link T2600G-28SQ optiskais slēdzis pakalpojumu sniedzējiem: detalizēts pārskats