Томоохон хотуудын тэлэлт, бөөгнөрөл үүсэх нь өнөөгийн нийгмийн хөгжлийн чухал чиг хандлагын нэг юм. Зөвхөн Москва 2019 онд орон сууцны талбайг 4 сая хавтгай дөрвөлжин метрээр нэмэгдүүлэх ёстой (энэ нь 15 он гэхэд нэмэгдэх 2020 сууринг тооцохгүй). Энэхүү өргөн уудам нутаг дэвсгэрт харилцаа холбооны операторууд хэрэглэгчдийг интернетэд нэвтрэх боломжийг олгох шаардлагатай болно. Эдгээр нь өтгөн олон давхар байшин бүхий хотын бичил хороолол, эсвэл илүү "цэвэрлэсэн" зуслангийн тосгон байж болно. Эдгээр тохиолдлуудад техник хангамжийн шаардлага арай өөр байна. Бид эдгээр хувилбар бүрт дүн шинжилгээ хийж, бүх нийтийн оптик шилжүүлэгчийн загварыг бүтээсэн - T2600G-28SQ. Энэ нийтлэлд бид Орос даяар харилцаа холбооны операторуудад сонирхолтой байх төхөөрөмжийн чадавхийг нарийвчлан шинжлэх болно.
Сүлжээнд байрлуулах
T2600G-28SQ шилжүүлэгч нь сүлжээн дэх хандалтын түвшинд ажиллах болон бусад хандалтын түвшний шилжүүлэгчээс холбоосыг нэгтгэх зориулалттай. Энэ нь шилжих болон статик чиглүүлэлт хийх давхаргын 2600-р шилжүүлэгч юм. Хэрэв оператор нэгтгэх болон хандалтыг хоёуланг нь сольсон бол (зөвхөн сүлжээний цөмд чиглүүлэлт хийх) T28G-XNUMXSQ нь аль ч түвшинд багтах болно. Динамикаар чиглүүлсэн нэгтгэлийн хувьд та ашиглалтын зарим хязгаарлалтыг анхаарч үзэх хэрэгтэй.
T2600G-28SQ загвар нь xPON эсвэл үүнтэй төстэй технологиудыг ашиглах үед гарч ирдэг нэмэлт хязгаарлалтгүй бүрэн хэмжээний идэвхтэй Ethernet шилжүүлэгч юм. Жишээлбэл, хэрэглэгчдийн тоо нэмэгдэхийн хэрээр хурд огцом буурах аюул заналхийлэлгүйгээр эсвэл өөр өөр үйлдвэрлэгчдийн тоног төхөөрөмж, програм хангамжийн хоорондын нийцгүй байдал. Эцсийн хэрэглэгчид болон оптик холболттой үндсэн хандалтын унтраалга, жишээлбэл T2600G-28TS загвар нь төхөөрөмжийн интерфейстэй холбогдож болно. Доорх диаграммд ийм холболтын хамгийн түгээмэл жишээг харуулав.
Эцсийн хэрэглэгчийн сүлжээнд нэвтрэхийн тулд оптик шилэн эсвэл эрчилсэн хос кабелийг ашиглаж болно. Захиалагч тал дээр шилэн кабелийг медиа хөрвүүлэгч (медиа хөрвүүлэгч), жишээлбэл, TP-Link MC220L ашиглан дуусгаж болно; мөн SOHO чиглүүлэгчийн оптик интерфэйсийг ашиглах.
Ойролцоох үйлчлүүлэгчийг холбохын тулд та 45/10/100 Мбит/с хурдтай ажилладаг дөрвөн RJ-1000 портыг ашиглаж болно. Хэрэв ямар нэг шалтгааны улмаас энэ нь хангалтгүй бол оператор шилжүүлэгчийн оптик интерфэйсийг зэс болгон "хөрвүүлэх" боломжтой. Үүнийг RJ-45 холбогчтой тусгай "зэс" SFP ашиглан хийж болно. Гэхдээ ийм шийдлийг ердийн гэж нэрлэж болохгүй.
Практикаас зарим жишээ
Зургийг дуусгахын тулд бид T2600G-28SQ унтраалга ашиглах хэд хэдэн жишээг өгөх болно.
Москва мужийн үйлчилгээ үзүүлэгч , Интернэтээс гадна телефон утас, кабелийн телевизийн үйлчилгээ үзүүлдэг бөгөөд хувийн хэвшилд (зуслангийн байшин, хотхон) сүлжээ барихдаа хандалтын түвшинд T2600G-28SQ ашигладаг. Үйлчлүүлэгч тал дээр SFP порттой чиглүүлэгчид болон медиа хөрвүүлэгчид холболт хийдэг. Одоогийн байдлаар SFP порттой SOHO чиглүүлэгчийг манай улсад олноор үйлдвэрлэдэггүй, гэхдээ бид мэдээж энэ талаар бодож байна.
Харилцаа холбооны оператор Павлово-Посад мужаас T2600G-28SQ шилжүүлэгчийг "жижиг агрегат" болгон ашигладаг бөгөөд нэвтрэхийн тулд T2600G-28TS ба T2500G-10TS загварын унтраалга ашигладаг.
Компаний групп Москва мужийн зүүн өмнөд хэсэгт (Коломна, Луховицы, Зарайск, Серебряные Пруды, Озёры) интернет холболт, телевиз, телефон утас, видео хяналтын системээр хангах. Энд байгаа ойролцоо топологи нь ОУСС-тай ижил байна: нэгтгэх түвшинд T2600G-28SQ, хандалтын түвшинд T2600G-28TS ба T2500G-10TS.
Нийлүүлэгч Краснознаменск хотоос гүн гүнзгий оптик нэвтрэлт бүхий сүлжээг ашиглан интернетэд нэвтрэх боломжийг олгодог. Энэ нь мөн T2600G-28SQ дээр суурилдаг.
Дараах хэсгүүдэд бид T2600G-28SQ-ийн зарим онцлогуудыг товч тайлбарлах болно. Материалыг бүдгэрүүлэхгүйн тулд бид QinQ (VLAN VPN), чиглүүлэлт, QoS гэх мэт хэд хэдэн сонголтыг орхисон. Дараах нийтлэлүүдийн аль нэгэнд бид буцаж болно гэж бодож байна.
Шилжүүлэгч чадвар
Захиалга - STP
STP – Spanning Tree Protocol. Эрхэм хүндэт Радя Перлманд талархал илэрхийлсэн модны протокол нь маш удаан хугацаанд мэдэгдэж байсан. Орчин үеийн сүлжээнд администраторууд энэ протоколыг ашиглахаас зайлсхийхийн тулд бүхий л арга замаар оролддог. Тийм ээ, STP нь сул талгүй биш юм. Түүнээс өөр хувилбар байвал маш сайн. Гэсэн хэдий ч, ихэвчлэн тохиолддог шиг, энэ протоколын өөр хувилбар нь худалдагчаас ихээхэн хамаарна. Тиймээс өнөөг хүртэл Spanning Tree Protocol нь бараг бүх үйлдвэрлэгчдийн дэмждэг цорын ганц шийдэл хэвээр байгаа бөгөөд сүлжээний бүх администраторуудад мэдэгддэг.
TP-Link T2600G-28SQ шилжүүлэгч нь STP-ийн гурван хувилбарыг дэмждэг: сонгодог STP (IEEE 802.1D), RSTP (802.1W) болон MSTP (802.1S).
Эдгээр сонголтуудаас ердийн RSTP нь Оросын ихэнх жижиг интернет үйлчилгээ үзүүлэгчдэд тохиромжтой бөгөөд энэ нь сонгодог хувилбартай харьцуулахад нэг маргаангүй давуу талтай байдаг - нэгдэх хугацааг мэдэгдэхүйц богиносгодог.
Өнөөдөр хамгийн уян хатан протокол бол MSTP бөгөөд виртуал сүлжээг (VLAN) дэмждэг бөгөөд хэд хэдэн өөр модыг ашиглах боломжийг олгодог бөгөөд энэ нь танд боломжтой бүх нөөцлөх замыг ашиглах боломжийг олгодог. Администратор нь хэд хэдэн өөр модны жишээ (найм хүртэл) үүсгэдэг бөгөөд тус бүр нь виртуал сүлжээний тодорхой багцад үйлчилдэг.
MSTP-ийн нарийн шинж чанаруудШинэхэн администраторууд MSTP ашиглахдаа маш болгоомжтой байх хэрэгтэй. Учир нь протоколын үйл ажиллагаа нь бүс нутаг болон бүс нутгуудын хооронд ялгаатай байдаг. Тиймээс шилжүүлэгчийг тохируулахдаа нэг бүсэд байх ёстой.
Энэ алдартай бүс нутаг юу вэ? MSTP-ийн нэр томъёогоор бүс гэдэг нь ижил шинж чанартай өөр хоорондоо холбогдсон свичүүдийн багц юм: бүсийн нэр, засварын дугаар, протоколын тохиолдлууд (инстансууд) хооронд виртуал сүлжээний (VLAN) тархалт.
Мэдээжийн хэрэг Spanning Tree протокол (ямар ч хувилбар) нь нөөц сувгуудыг холбоход үүсэх гогцоонуудыг шийдвэрлэхээс гадна инженер санаатай эсвэл санамсаргүй байдлаар буруу портуудыг холбож, түүний тусламжтайгаар гогцоо үүсгэх үед кабель солих алдаанаас хамгаалах боломжийг олгодог. үйлдлүүд.
Илүү туршлагатай сүлжээний администраторууд STP протоколыг халдлага эсвэл гамшгийн нарийн төвөгтэй нөхцөл байдлаас хамгаалахын тулд төрөл бүрийн нэмэлт сонголтуудыг ашиглахыг илүүд үздэг. T2600G-28SQ загвар нь Loop Protect ба Root Protect, TC Guard, BPDU Protect, BPDU Filter зэрэг олон төрлийн боломжуудыг санал болгодог.
Дээр дурдсан сонголтуудыг бусад дэмжигдсэн хамгаалалтын механизмуудтай хамт зөв ашиглах нь дотоод сүлжээг тогтворжуулж, илүү урьдчилан таамаглах боломжтой болгоно.
Захиалга - LAG
LAG - Холбоосыг нэгтгэх бүлэг. Энэ бол хэд хэдэн физик сувгийг нэг логик суваг болгон нэгтгэх боломжийг олгодог технологи юм. Бусад бүх протоколууд нь LAG-д багтсан физик сувгуудыг тусад нь ашиглахаа больж, нэг логик интерфэйсийг "харж" эхэлдэг. Ийм протоколын жишээ бол STP юм.
Хэрэглэгчийн урсгал нь хэш нийлбэр дээр тулгуурлан логик сувгууд доторх физик сувгуудын хооронд тэнцвэрждэг. Үүнийг тооцоолохын тулд илгээгч, хүлээн авагч эсвэл тэдгээрийн хосын MAC хаягийг ашиглаж болно; түүнчлэн илгээгч, хүлээн авагч эсвэл тэдгээрийн хосын IP хаягууд. XNUMX-р түвшний протоколын мэдээллийг (TCP/UDP портууд) тооцдоггүй.
T2600G-28SQ шилжүүлэгч нь статик болон динамик LAG-ыг дэмждэг.
Динамик бүлгийн үйлдлийн параметрүүдийг тохиролцохын тулд LACP протоколыг ашигладаг.
Аюулгүй байдал - Хандалтын жагсаалт (ACL)
Манай T2600G-28SQ шилжүүлэгч танд хандалтын жагсаалт (ACL - Хандалтын хяналтын жагсаалт) ашиглан хэрэглэгчийн урсгалыг шүүх боломжийг олгоно.
Дэмжигдсэн хандалтын жагсаалт нь хэд хэдэн төрлийн байж болно: MAC ба IP (IPv4/IPv6), хосолсон, мөн контент шүүлт хийх зориулалттай. Дэмжигдсэн хандалтын жагсаалтын төрөл бүрийн тоо нь бидний өөр хэсэгт тайлбарласан одоо ашиглагдаж буй SDM загвараас хамаарна.
Оператор энэ сонголтыг ашиглан сүлжээн дэх янз бүрийн хүсээгүй урсгалыг хаах боломжтой. Хэрэв холбогдох үйлчилгээ байхгүй бол IPv6 пакетууд (EtherType талбарыг ашиглан) ийм траффикийн жишээ болно; эсвэл 445-р порт дээр SMB-г блоклох. Статик хаяглалттай сүлжээнд DHCP/BOOTP траффик шаардлагагүй тул ACL ашиглан администратор 67 ба 68 портууд дээрх UDP датаграммуудыг шүүж болно. Та мөн ACL ашиглан локал IPoE урсгалыг хааж болно. Ийм хаалт нь PPPoE ашигладаг операторын сүлжээнд эрэлт хэрэгцээтэй байж болно.
Хандалтын жагсаалтыг ашиглах үйл явц нь маш энгийн. Жагсаалтыг өөрөө үүсгэсний дараа та шаардлагатай тооны бичлэгийг нэмэх хэрэгтэй бөгөөд тэдгээрийн төрөл нь тохируулсан хуудаснаас шууд хамаарна.
Хандалтын жагсаалтыг тохируулж байна
Хандалтын жагсаалт нь зөвхөн траффикийг зөвшөөрөх, үгүйсгэх ердийн үйлдлүүдийг гүйцэтгэхээс гадна түүнийг дахин чиглүүлэх, толин тусгал болгох, мөн тэмдэглэгээ эсвэл хурдыг хязгаарлах зэрэг үйлдлүүдийг хийж чаддаг гэдгийг тэмдэглэх нь зүйтэй.
Шаардлагатай бүх ACL-уудыг үүсгэсний дараа администратор тэдгээрийг суулгаж болно. Хандалтын жагсаалтыг шууд физик порт болон тодорхой виртуал сүлжээнд хавсаргах боломжтой.
Аюулгүй байдал - MAC хаягуудын тоо
Заримдаа операторууд тодорхой порт дээр свич сурах MAC хаягуудын тоог хязгаарлах шаардлагатай болдог. Хандалтын жагсаалт нь заасан үр дүнд хүрэх боломжийг олгодог боловч үүнтэй зэрэгцэн MAC хаягуудыг тодорхой зааж өгөхийг шаарддаг. Хэрэв та зөвхөн сувгийн хаягийн тоог хязгаарлах хэрэгтэй, гэхдээ тэдгээрийг тодорхой зааж өгөөгүй бол портын хамгаалалт аврах ажилд ирнэ.
Жишээлбэл, бүхэл бүтэн дотоод сүлжээг нэг үйлчилгээ үзүүлэгчийн шилжүүлэгчийн интерфейстэй холбохоос хамгаалахын тулд ийм хязгаарлалт шаардлагатай байж болно. Бид dial-up холболтын тухай ярьж байгааг энд дурдах нь зүйтэй, учир нь үйлчлүүлэгч тал дээр чиглүүлэгч ашиглан холбогдох үед T2600G-28SQ нь зөвхөн нэг хаягийг сурах болно - энэ нь үйлчлүүлэгч чиглүүлэгчийн WAN портод хамаарах MAC юм. .
Шилжүүлэгч хүснэгтийн эсрэг чиглэсэн бүхэл бүтэн ангиллын халдлагууд байдаг. Энэ нь хүснэгтийн халилт эсвэл MAC хууран мэхлэлт байж болно. Портын хамгаалалтын сонголт нь гүүрний ширээ халих, шилжүүлэгчийг зориудаар дахин сургах, гүүрний ширээг хордуулах зорилготой халдлагаас хамгаалах боломжийг танд олгоно.
Үйлчлүүлэгчийн буруу тоног төхөөрөмжийг дурдахгүй байх боломжгүй юм. Компьютерийн сүлжээний карт эсвэл чиглүүлэгч нь буруу ажиллаж байгаа нь илгээгч болон хүлээн авагчийн хаягийг дур мэдэн дур мэдэн фрэймийн урсгал үүсгэдэг тохиолдол байдаг. Ийм урсгал нь CAM-ийг амархан шавхаж чаддаг.
Ашигласан гүүрний хүснэгтийн оруулгуудын тоог хязгаарлах өөр нэг арга бол MAC VLAN аюулгүй байдлын хэрэгсэл бөгөөд админ нь тодорхой виртуал сүлжээнд оруулах хамгийн их тоог зааж өгөх боломжийг олгодог.
Администратор нь сэлгэх хүснэгтийн динамик оруулгуудыг удирдахаас гадна статик оруулгуудыг үүсгэж болно.
T2600G-28SQ загварын хамгийн их гүүрний хүснэгт нь 16К хүртэлх бичлэгийг багтаах боломжтой.
Хэрэглэгчийн траффик дамжуулалтыг шүүх зорилготой өөр нэг сонголт бол Порт тусгаарлах функц бөгөөд аль чиглэлд дамжуулахыг зөвшөөрөхийг тодорхой зааж өгөх боломжийг олгодог.
Аюулгүй байдал - IMPB
Манай өргөн уудам эх орны өргөн уудам нутагт харилцаа холбооны операторуудын сүлжээний аюулгүй байдлыг хангах асуудалд хандах хандлага нь бүрэн мэдлэггүй байхаас эхлээд тоног төхөөрөмжөөр дэмжигдсэн бүх хувилбаруудыг хамгийн их ашиглах хүртэл өөр өөр байдаг.
IPv4 IMPB (IP-MAC-Port Binding) болон IPv6 IMPB функцууд нь үйлчлүүлэгчийн төхөөрөмжийн IP болон MAC хаягийг захиалагчийн IP болон MAC хаягийг хууран мэхлэхтэй холбоотой бүхэл бүтэн халдлагаас хамгаалах боломжийг танд олгоно. үйлчилгээ үзүүлэгчийн шилжүүлэгчийн интерфейс. Энэ холболтыг гараар эсвэл ARP Scanning болон DHCP Snooping функцуудыг ашиглан хийж болно.
IMPB-ийн үндсэн тохиргоо
Шударга байхын тулд DHCP протокол - DHCP шүүлтүүрийг хамгаалах тусгай функцийг ашиглаж болно гэж хэлэх хэрэгтэй.
Энэ функцийг ашиглан сүлжээний администратор нь жинхэнэ DHCP серверүүд холбогдсон интерфэйсүүдийг гараар зааж өгч болно. Энэ нь хуурамч DHCP серверүүд IP хэлэлцээрийн үйл явцад саад учруулахаас сэргийлнэ.
Аюулгүй байдал - DoS Defend
Энэ загвар нь хэрэглэгчдийг хамгийн алдартай, өмнө нь өргөн тархсан DoS халдлагаас хамгаалах боломжийг бидэнд олгодог.
Жагсаалтад орсон халдлагын ихэнх нь орчин үеийн үйлдлийн системтэй төхөөрөмжүүдийн хувьд огт аюултай байхаа больсон ч манай сүлжээнүүд олон жилийн өмнө хамгийн сүүлд програм хангамжийн шинэчлэл хийсэнтэй тулгарах боломжтой.
DHCP дэмжлэг
TP-Link T2600G-28SQ шилжүүлэгч нь DHCP сервер эсвэл релений үүрэг гүйцэтгэдэг бөгөөд хэрэв өөр төхөөрөмж серверийн үүрэг гүйцэтгэдэг бол DHCP мессежийг янз бүрийн шүүлтүүрээр гүйцэтгэдэг.
Хэрэглэгчдэд ажиллахад шаардлагатай IP параметрүүдийг өгөх хамгийн хялбар арга бол шилжүүлэгчийн суулгасан DHCP серверийг ашиглах явдал юм. Түүний тусламжтайгаар үндсэн параметрүүдийг захиалагчдад аль хэдийн өгч болно.
Бид Archer C6 SOHO чиглүүлэгчээ шилжүүлэгч интерфэйсүүдийн аль нэгэнд холбож, харилцагчийн төхөөрөмж хаягийг амжилттай хүлээн авсан эсэхийг шалгасан.
Энэ нь иймэрхүү харагдаж байна
Шилжүүлэгчид суурилуулсан DHCP сервер нь хамгийн өргөтгөх боломжтой, уян хатан шийдэл биш байж магадгүй юм: стандарт бус сонголтуудыг дэмждэггүй, IPAM-тай холболт байдаггүй. Хэрэв оператор IP хаяг түгээх үйл явцад илүү их хяналт тавих шаардлагатай бол тусгай DHCP сервер ашиглана.
T2600G-28SQ нь хэлэлцэж буй протоколын мессежийг дахин чиглүүлэх хэрэглэгч бүрийн дэд сүлжээний тусдаа DHCP серверийг зааж өгөх боломжийг танд олгоно. Дэд сүлжээг тохирох L3 интерфейсийг зааж өгөх замаар сонгоно: VLAN (SVI), чиглүүлсэн порт эсвэл порт суваг.
Релений ажиллагааг шалгахын тулд бид өөр үйлдвэрлэгчээс тусдаа чиглүүлэгчийг DHCP серверээр ажиллахаар тохируулсан бөгөөд тохиргоог доор харуулав.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Үйлчлүүлэгч чиглүүлэгч дахин IP хаягаа амжилттай авлаа.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticСпойлерын доор - шилжүүлэгч болон тусгай зориулалтын DHCP серверийн хооронд саатуулсан пакетийн агуулга.
Багцын агуулга
Шилжүүлэгч нь 82-р сонголтыг дэмждэг гэдгийг тэмдэглэх нь зүйтэй. Идэвхжүүлсэн үед шилжүүлэгч нь DHCP Discover мессежийг хүлээн авсан хэрэглэгчийн интерфэйсийн талаарх мэдээллийг нэмнэ. Нэмж дурдахад, T2600G-28SQ загвар нь 82 дугаар сонголтыг оруулах үед нэмэлт мэдээллийг боловсруулах бодлогыг тохируулах боломжийг танд олгоно. Үйлчлүүлэгч өөрийнхөө тухай мэдээлдэг үйлчлүүлэгчийн ID-аас үл хамааран захиалагч ижил IP хаягийг өгөх шаардлагатай тохиолдолд энэ сонголтыг дэмжих нь ашигтай байж болно.
Доорх зурагт DHCP Discover мессежийг (буухиагаар илгээсэн) 82-р сонголт нэмсэн харуулж байна.
82 дугаар сонголттой мессеж
Мэдээжийн хэрэг та 82-р сонголтыг бүрэн DHCP реле тохируулахгүйгээр удирдах боломжтой бөгөөд холбогдох тохиргоог "DHCP L2 Relay" дэд хэсэгт үзүүлэв.
Одоо 82 дугаар сонголт хэрхэн ажилладагийг харуулахын тулд DHCP серверийн тохиргоог өөрчилье.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticЭнэ нь иймэрхүү зүйл
DHCP интерфэйсийн реле функц нь шилжүүлэгч нь зөвхөн тодорхой сүлжээнд холбогдсон L3 интерфэйстэй төдийгүй энэ интерфэйс нь IP хаягтай байгаа нөхцөлд ашигтай байх болно. Хэрэв ийм интерфейс дээр хаяг байхгүй бол DHCP VLAN реле функц нь аврах ажилд ирнэ. Энэ тохиолдолд дэд сүлжээний талаарх мэдээллийг анхдагч интерфэйсээс авсан болно, өөрөөр хэлбэл хэд хэдэн виртуал сүлжээн дэх хаягийн зай ижил байх болно (давхцал).
Ихэнхдээ операторууд захиалагчдыг үйлчлүүлэгчийн төхөөрөмж дээрх DHCP серверийг буруу эсвэл хортой идэвхжүүлэхээс хамгаалах шаардлагатай болдог. Бид аюулгүй байдлын асуудалд зориулагдсан хэсгүүдийн аль нэгэнд энэ функцийг хэлэлцэхээр шийдсэн.
IEEE 802.1X
Сүлжээнд байгаа хэрэглэгчдийг баталгаажуулах нэг арга бол IEEE 802.1X протоколыг ашиглах явдал юм. ОХУ-ын харилцаа холбооны операторуудын сүлжээнд энэ протоколын нэр хүнд аль хэдийн буурч байгаа бөгөөд энэ нь байгууллагын дотоод хэрэглэгчдийг баталгаажуулахын тулд томоохон компаниудын дотоод сүлжээнд ашиглагддаг хэвээр байна. T2600G-28SQ шилжүүлэгч нь 802.1X дэмжлэгтэй тул үйлчилгээ үзүүлэгч шаардлагатай бол үүнийг хялбархан ашиглах боломжтой.
IEEE 802.1X протоколыг ажиллуулахын тулд гурван оролцогч шаардлагатай: үйлчлүүлэгчийн төхөөрөмж (хүсэлт гаргагч), үйлчилгээ үзүүлэгчийн хандалтын шилжүүлэгч (гэрэлтүүлэгч) болон баталгаажуулалтын серверүүд (ихэвчлэн RADIUS серверүүд).
Операторын үндсэн тохиргоо нь маш энгийн. Та зөвхөн хэрэглэгчийн мэдээллийн сан хадгалагдах RADIUS серверийн IP хаягийг зааж өгөхөөс гадна баталгаажуулалт шаардлагатай интерфейсүүдийг сонгох хэрэгтэй.
802.1X-ийн үндсэн тохиргоо
Үйлчлүүлэгч тал дээр бага зэргийн тохиргоо хийх шаардлагатай. Орчин үеийн бүх үйлдлийн системүүд аль хэдийн шаардлагатай програм хангамжийг агуулсан байдаг. Гэхдээ шаардлагатай бол TP-Link 802.1x Client-ийг суулгаж, ашиглаж болно - сүлжээнд байгаа үйлчлүүлэгчийг баталгаажуулах боломжийг олгодог програм.
Хэрэглэгчийн компьютерийг үйлчилгээ үзүүлэгчийн сүлжээнд шууд холбох үед холболтод ашигласан сүлжээний картын баталгаажуулалтын тохиргоог идэвхжүүлсэн байх ёстой.
Гэсэн хэдий ч одоогийн байдлаар ихэвчлэн операторын сүлжээнд шууд холбогддог хэрэглэгчийн компьютер биш, харин захиалагчийн дотоод сүлжээний (утастай болон утасгүй сегмент) үйл ажиллагааг хангадаг SOHO чиглүүлэгч юм. Энэ тохиолдолд 802.1X протоколын бүх тохиргоог чиглүүлэгч дээр шууд хийх ёстой.
Энэхүү баталгаажуулалтын аргыг операторын сүлжээнд мартсан юм шиг санагдаж байна. Тийм ээ, захиалагчийг шилжүүлэгч порт руу хатуу холбох нь хэрэглэгчийн төхөөрөмжийн тохиргооны үүднээс авч үзвэл илүү хялбар шийдэл байж болох юм. Гэхдээ хэрэв нэвтрэх болон нууц үг ашиглах шаардлагатай бол 802.1X нь PPTP/L2TP/PPPoE хонгилд суурилсан холболттой харьцуулахад тийм ч хүнд протокол биш байх болно.
PPPoE ID оруулах
Зөвхөн манай улсад төдийгүй дэлхий даяар олон хэрэглэгчид маш энгийн нууц үг ашиглахыг илүүд үздэг. Итгэмжлэх жуух бичгээ хулгайлах тохиолдол цөөнгүй гардаг. Хэрэв оператор хэрэглэгчдийг баталгаажуулахын тулд сүлжээндээ PPPoE протокол ашигладаг бол TP-Link T2600G-28SQ шилжүүлэгч нь итгэмжлэл алдагдсантай холбоотой асуудлыг шийдвэрлэхэд тусална. Энэ нь PPPoE Active Discovery зурваст тусгай шошго нэмснээр хэрэгждэг. Ийм байдлаар үйлчилгээ үзүүлэгч нь зөвхөн нэвтрэх нэр, нууц үгээр төдийгүй нэмэлт мэдээллээр захиалагчийг баталгаажуулах боломжтой. Энэхүү нэмэлт өгөгдөлд клиент төхөөрөмжийн MAC хаяг, түүнчлэн холбогдсон свич интерфейс орно.
Зарим операторууд зарчмын хувьд захиалагчийг (хос нэвтрэх болон нууц үг) сүлжээг удирдах боломжийг үгүйсгэхийг хүсдэг. PPPoE ID оруулах функц нь энэ тохиолдолд бас туслах болно.
IGMP
IGMP (Internet Group Management Protocol) нь олон арван жилийн туршид бий болсон. Түүний алдартай нь нэлээд ойлгомжтой бөгөөд тайлбарлахад хялбар байдаг. Гэхдээ IGMP-ийн харилцан үйлчлэлд хоёр тал оролцдог: хэрэглэгчийн компьютер (эсвэл бусад төхөөрөмж, жишээлбэл, STB) болон тодорхой сүлжээний сегментэд үйлчилдэг IP чиглүүлэгч. Шилжүүлэгч нь энэ солилцоонд ямар ч байдлаар оролцдоггүй. Үнэн, сүүлчийн мэдэгдэл нь бүхэлдээ үнэн биш юм. Эсвэл орчин үеийн сүлжээнд энэ нь огт үнэн биш юм. Олон дамжуулалт дамжуулалтыг оновчтой болгохын тулд шилжүүлэгч нь IGMP-ийг дэмждэг. Хэрэглэгчийн траффикийг сонсохын тулд шилжүүлэгч нь IGMP тайлангийн мессежийг илрүүлж, түүний тусламжтайгаар олон дамжуулалтын урсгалыг дамжуулах портуудыг тодорхойлдог. Тайлбарласан сонголтыг IGMP Snooping гэж нэрлэдэг.
IGMP протоколын дэмжлэгийг зөвхөн траффикийг оновчтой болгохоос гадна IPTV гэх мэт тодорхой үйлчилгээгээр хангах боломжтой захиалагчдыг тодорхойлоход ашиглаж болно. Та шүүлтүүрийн параметрүүдийг гараар тохируулах эсвэл баталгаажуулалтыг ашиглан хүссэн зорилгодоо хүрч болно.
TP-Link шилжүүлэгч дээр олон дамжуулалтын урсгалыг дэмжих нь нэлээд уян хатан байдлаар хэрэгждэг. Жишээлбэл, бүх параметрүүдийг виртуал сүлжээ бүрт тусад нь тохируулж болно.
Хэрэв олон дамжуулагчийн траффик хүлээн авагчийг агуулсан олон дэд сүлжээнүүд нэг чиглүүлэгчийн интерфэйстэй холбогдсон бол тэр чиглүүлэгч нь тухайн интерфэйсээр багцын олон хуулбарыг (виртуал сүлжээ тус бүрд нэг) илгээхээс өөр аргагүй болно.
Энэ тохиолдолд та MVR технологи - Multicast VLAN Бүртгэлийг ашиглан олон дамжуулалтын урсгалыг дамжуулах журмыг оновчтой болгож чадна.
Шийдлийн мөн чанар нь бүх хүлээн авагчдыг нэгтгэсэн нэг виртуал сүлжээ бий болсон явдал юм. Гэсэн хэдий ч, энэ виртуал сүлжээ нь зөвхөн олон дамжуулалтын урсгалд ашиглагддаг. Энэ арга нь чиглүүлэгчид интерфэйсээр дамжуулан олон дамжуулалтын урсгалын зөвхөн нэг хувийг илгээх боломжийг олгодог.
DDM, OAM болон DLDP
DDM - Дижитал оношлогооны хяналт. Оптик модулиудыг ажиллуулах явцад ихэвчлэн модулийн нөхцөл байдал, түүнчлэн холбогдсон оптик сувгийг хянах шаардлагатай байдаг. DDM функц нь танд энэ ажлыг даван туулахад тусална. Үүний тусламжтайгаар операторын инженерүүд энэ функцийг дэмждэг модуль бүрийн температур, түүний хүчдэл, гүйдэл, илгээсэн болон хүлээн авсан оптик дохионы хүчийг хянах боломжтой болно.
Өмнө нь тайлбарласан параметрүүдийн босго түвшинг тохируулах нь зөвшөөрөгдөх хэмжээнээс хэтэрсэн тохиолдолд үйл явдал үүсгэх боломжийг танд олгоно.
DDM хариултын босго оноог тохируулах
Мэдээжийн хэрэг, администратор заасан параметрүүдийн одоогийн утгыг харах боломжтой.
TP-Link T2600G-28SQ унтраалга нь идэвхтэй агаар хөргөх системтэй. Түүгээр ч барахгүй портын нягтралаас болж шилжүүлэгчдээ SFP модулиудын хэт халалтыг бид хэзээ ч харж байгаагүй. Гэсэн хэдий ч, хэрэв онолын хувьд ийм боломжийг зөвшөөрсөн бол (жишээлбэл, SFP модулийн зарим асуудлын улмаас) DDM-ийн тусламжтайгаар администраторт аюултай нөхцөл байдлын талаар нэн даруй мэдэгдэх болно. Энд байгаа аюул нь унтраалга өөрөө биш, харин SFP доторх диод/лазерт байгаа нь ойлгомжтой, учир нь түүний температур нэмэгдэхийн хэрээр ялгарах оптик дохионы хүч муудаж, энэ нь оптик төсөв буурахад хүргэдэг.
TP-Link унтраалга нь үйлдвэрлэгчийн түгжээний "функц"-гүй, өөрөөр хэлбэл ямар ч нийцтэй SFP модулийг дэмждэг гэдгийг энд тэмдэглэх нь зүйтэй бөгөөд энэ нь мэдээж сүлжээний администраторуудад маш тохиромжтой байх болно.
OAM - Үйл ажиллагаа, удирдлага, засвар үйлчилгээ (IEEE 802.3ah). OAM нь Ethernet сүлжээг хянах, алдааг олж засварлахад зориулагдсан OSI загварын хоёр дахь түвшний протокол юм. Энэхүү протоколыг ашиглан шилжүүлэгч нь тодорхой холболтын гүйцэтгэл, алдааг хянаж, дохиолол үүсгэх боломжтой бөгөөд ингэснээр сүлжээний администратор сүлжээг илүү үр дүнтэй удирдах боломжтой болно.
Үндсэн OAM тохиргоо
OAM-ын үйл ажиллагааны дэлгэрэнгүй мэдээлэлХоёр хөршийн OAM-ийг идэвхжүүлсэн төхөөрөмж OAMPDU-г илгээх замаар үе үе мессеж солилцдог бөгөөд эдгээр нь Мэдээллийн, Үйл явдлын мэдэгдэл, Loopback Control гэсэн гурван төрлөөр ирдэг. Мэдээллийн OAMPDU-г ашиглан хөрш зэргэлдээ свичүүд бие биедээ статистик мэдээлэл болон администраторын тодорхойлсон өгөгдлийг илгээдэг. Энэ төрлийн мессежийг OAM протоколоор дамжуулан холболтыг хадгалахад ашигладаг. Үйл явдлын мэдэгдлийн мессежийг холболтын хяналтын функц нөгөө талдаа алдаа гарсан тухай мэдэгдэхэд ашигладаг. Loopback Control мессежүүд нь шугам дээрх гогцоог илрүүлэхэд ашиглагддаг.
Доор бид OAM протоколоор хангагдсан гол шинж чанаруудыг жагсаахаар шийдсэн.
- орчны хяналт (эвдэрсэн хүрээг илрүүлэх, тоолох),
- RFI - Алсын алдааны заалт (суваг дээр алдаа гарсан тухай мэдэгдэл илгээх),
- Remote Loopback (хоцролт, саатлын өөрчлөлт (життер), алдагдсан фреймийн тоог хэмжих сувгийн туршилт).
Оптик унтраалга дээр эрэлт хэрэгцээтэй байгаа өөр нэг сонголт бол холбооны суваг дээрх асуудлыг илрүүлэх чадвар бөгөөд энэ нь суваг симплекс болоход хүргэдэг, өөрөөр хэлбэл өгөгдлийг зөвхөн нэг чиглэлд илгээх боломжтой юм. Манай унтраалга нь нэг чиглэлтэй холбоосыг илрүүлэхийн тулд DLDP - Device Link Detection Protocol ашигладаг. Шударга байхын тулд DLDP протокол нь оптик болон зэсийн интерфейс дээр дэмжигддэг боловч бидний бодлоор шилэн кабелийн шугам ашиглахад хамгийн түгээмэл байх болно гэдгийг тэмдэглэх нь зүйтэй.
Нэг чиглэлтэй холбоос илэрсэн тохиолдолд шилжүүлэгч нь асуудалтай интерфейсийг автоматаар унтрааж болох бөгөөд энэ нь STP модыг дахин бүтээх, нөөц холбооны сувгуудыг ашиглахад хүргэдэг.
Манай зэвсэглэлд нэг утаснаас дохиог хүлээн авч дамжуулдаг SFP модулиуд байдаг. Тэд зөвхөн хосоороо ажилладаг бөгөөд хос дотор дамжуулахын тулд өөр өөр долгионы урттай оптик дохиог ашигладаг. Жишээ нь TL-SM321A ба TL-SM321B хос юм. Ийм модулиудыг ашиглах үед нэг шилэнд гэмтэл учруулах нь бүхэл бүтэн оптик суваг бүрэн ажиллахгүй болоход хүргэдэг. Гэсэн хэдий ч ийм сувгууд дээр ч DLDP протокол эрэлт хэрэгцээтэй байх болно, учир нь энэ нь маш ховор тохиолддог боловч суваг нь янз бүрийн долгионы уртад өөр өөр ил тод байдлын шинж чанартай байж болно. Илүү магадлалтай асуудал бол сувгийн ил тод байдал нь гэрлийн тархалтын чиглэлээс хамаарч өөр өөр байдаг. Рефлектограмм нь эдгээр асуудлыг илрүүлэхэд тусална, гэхдээ энэ нь огт өөр түүх юм.
LLDP
Томоохон корпорацийн эсвэл операторын сүлжээнд сүлжээний баримт бичиг хуучирсан эсвэл түүнийг бэлтгэх явцад алдаа гардагтай холбоотой асуудал үе үе гардаг. Сүлжээний администратор аль операторын төхөөрөмж нь тодорхой шилжүүлэгчийн интерфейстэй холбогдсон болохыг олж мэдэх шаардлагатай нөхцөл байдалтай тулгарч магадгүй юм. LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) нь аврах ажилд ирнэ.
LLDP үйл ажиллагааны параметрүүд
Манай унтраалга нь хөрш зэргэлдээх унтраалга эсвэл бусад сүлжээний төхөөрөмжүүдийг илрүүлэх төдийгүй тэдгээрийн чадавхийг тодорхойлоход LLDP-ийг дэмждэг.
Манай шилжүүлэгчийн зэсийн түншүүд LLDP-MED-ийг ашиглан IP утас холбох журмыг хялбарчлах боломжтой. Мөн энэ сонголтыг ашигласнаар PoE унтраалга нь тэжээлийн төхөөрөмжтэй тэжээлийн параметрүүдийг тохиролцож болно. Бид аль нэгэнд энэ талаар дэлгэрэнгүй ярьсан .
SDM болон хэт их захиалга
Бараг бүх орчин үеийн унтраалга нь төв процессор ашиглахгүйгээр дамжих хүрээ болон пакетуудыг боловсруулдаг. Боловсруулалт (шалгах нийлбэрийг тооцоолох, хандалтын жагсаалтыг ашиглах, аюулгүй байдлын бусад шалгалтыг хийх, түүнчлэн шилжих/маршрут хийх шийдвэр гаргах) нь тусгай чип ашиглан хийгддэг бөгөөд энэ нь хэрэглэгчийн урсгалыг дамжуулах өндөр хурдыг олгодог. Хэлэлцэж буй шилжүүлэгч нь урсгалыг дунд хурдаар боловсруулах боломжийг олгодог. Энэ нь төхөөрөмжийн гүйцэтгэл нь бүх портууд дээр нэгэн зэрэг өгөгдөл дамжуулахад хангалттай гэсэн үг юм. T2600G-28SQ загвар нь 24 Гбит/с хурдтай ажилладаг 1 доош холбох порттой (хэрэглэгч рүү чиглэсэн), мөн 4 Гбит/с хурдтай 10 дээш холбох порттой (сүлжээний гол руу чиглэсэн). Үүний зэрэгцээ шилжүүлэгчийн хөндлөн автобусны гүйцэтгэл нь 128 Гбит/с бөгөөд энэ нь ирж буй траффикийн дээд хэмжээг боловсруулахад хангалттай юм.
Шударга ёсны хувьд шилжих матрицын гүйцэтгэл секундэд 95,2 сая пакет гэдгийг тэмдэглэх нь зүйтэй. Өөрөөр хэлбэл, ердөө 64 байт урттай хамгийн бага боломжит фрэймийг ашиглах үед төхөөрөмжийн нийт гүйцэтгэл 97,5 Гбит/с байх болно. Гэсэн хэдий ч, харилцаа холбооны операторын сүлжээнүүдийн хувьд ийм хөдөлгөөний профайл бараг боломжгүй юм.
Хэт их захиалга гэж юу вэӨөр нэг чухал асуудал бол дээд болон доод урсгалын сувгийн хурдны харьцаа юм (хэт захиалга). Энд мэдээжийн хэрэг, бүх зүйл топологиос хамаарна. Хэрэв администратор сүлжээний цөмд холбогдохын тулд бүх дөрвөн 10 GE интерфэйсийг ашиглаж, тэдгээрийг LAG (Link Aggregation Group) эсвэл Port-Channel технологийг ашиглан нэгтгэвэл цөм рүү чиглэсэн статистикийн олж авсан хурд нь 40 Гбит/с байх бөгөөд энэ нь илүү их байх болно. холбогдсон бүх захиалагчдын хэрэгцээг хангахад хангалттай. Түүнчлэн, бүх дөрвөн холболтыг нэг физик төхөөрөмжид холбох шаардлагагүй. Холболтыг свичүүдийн стек эсвэл кластерт нэгтгэсэн хоёр төхөөрөмжид (vPC технологи эсвэл үүнтэй төстэй) холбож болно. Энэ тохиолдолд хэт их захиалга байхгүй.
Та зөвхөн LAG ашиглан тэдгээрийг нэгтгэхгүйгээр бүх дөрвөн холболтыг нэгэн зэрэг ашиглаж болно. MSTP-ийг зөв тохируулснаар ижил төстэй үр дүнд хүрч болох боловч энэ нь огт өөр түүх юм.
Хоёр дахь түгээмэл хэрэглэгддэг L2 холболтын арга бол хоёр бие даасан LAG ашиглах явдал юм (агрегат шилжүүлэгч бүрт нэг). Энэ тохиолдолд виртуал холбоосуудын аль нэг нь STP протоколоор хаагдах магадлалтай (STP эсвэл RSTP ашиглах үед). Хэт их захиалга 5:6 байх болно.
Илүү ховор, гэхдээ нэлээд магадлалтай нөхцөл байдал: T2600G-28SQ нь бие даасан сувгуудаар дээш чиглэсэн унтраалга эсвэл унтраалгатай холбогддог. STP/RSTP протокол нь зөвхөн нэг ийм холбоосыг блоклоогүй төлөвт үлдээх болно. Хэт их захиалга 5:12 байх болно.
Од тэмдэгтэй даалгавар: STP хэсэгт тайлбарласан нөхцөл байдлын хувьд хэт захиалгыг тооцоолох ба эндээс бид хоёр хандалтын шилжүүлэгчийг нэг нэгтгэх төхөөрөмжид холбож, хоорондоо холбогдсон үед топологийн жишээг авч үзсэн.
Ийм өндөр дамжуулах хурдыг идэвхжүүлдэг програмчлагдсан чипүүд нь нэлээд үнэтэй нөөц учраас бид өөр өөр функцүүдийн хооронд нөөцийг зөв хуваарилах замаар тэдгээрийн ашиглалтыг оновчтой болгохыг хичээдэг. SDM - Switch Database Management нь түгээлтийг хариуцдаг.
Түгээлт нь SDM профайлыг ашиглан хийгддэг. Одоогоор ашиглах боломжтой гурван профайл байгаа бөгөөд доор жагсаав.
- Өгөгдмөл нь MAC болон IP хандалтын жагсаалт, түүнчлэн ARP илрүүлэх оруулгуудыг ашиглах тэнцвэртэй шийдлийг санал болгодог.
- EnterpriseV4 нь MAC болон IP хандалтын жагсаалтад ашиглах боломжтой нөөцийг нэмэгдүүлэх боломжийг танд олгоно.
- EnterpriseV6 нь IPv6 хандалтын жагсаалтад ашиглах зарим нөөцийг хуваарилдаг.
Шинэ профайлыг ашиглахын тулд шилжүүлэгчийг дахин асаах шаардлагатай.
дүгнэлт
Анхны байршлын дагуу энэхүү унтраалга нь хол зайд сүлжээний хандалтыг хангах үүрэгтэй тулгарсан харилцаа холбооны операторуудад хамгийн тохиромжтой. Төхөөрөмжийг нэвтрэх түвшинд, жишээлбэл, зуслангийн байшин, хотын байшинд, орон сууцны барилгад байрлах хандалтын унтраалгааас гарч буй сувгуудыг нэгтгэхэд ашиглаж болно; өөрөөр хэлбэл алслагдсан объектуудтай холбогдох шаардлагатай газар бүрт. Оптик холбооны сувгуудыг ашиглах үед холбогдсон захиалагчийг хэдэн километрийн зайд байрлуулж болно.
Үйлчлүүлэгч тал дээр оптик холболтыг оптик интерфэйстэй жижиг унтраалга эсвэл медиа хөрвүүлэгч дээр зогсоож болно.
Олон тооны дэмжигдсэн протокол ба сонголтууд нь T2600G-28SQ-г ямар ч топологи, ашигласан технологи, үйлчилгээ бүхий операторын Ethernet сүлжээнд ашиглах боломжийг олгоно. Шилжүүлэгчийг вэб интерфэйс эсвэл командын мөрийг ашиглан алсаас удирддаг. Хэрэв дотоод тохиргоо шаардлагатай бол та консолын портыг ашиглаж болно; T2600G-28SQ загвар нь RJ-45 ба микро-USB гэсэн хоёртой. Асуудалтай нэг жижиг ялаа болохын хувьд бид овоолох, хоёр дахь цахилгаан хангамжийн дэмжлэг дутмаг байгааг тэмдэглэж байна. Үнэн бол ихэвчлэн үйлчилгээ үзүүлэгчдийн мэдээллийн төвөөс гадуур хоёр дахь цахилгаан шугам байх нь ховор байдаг.
Үүний давуу тал нь хямд үнэ, олон тооны захиалагчийн оптик портууд, 10 GE оптик холболтууд, түүнчлэн дөрвөн хосолсон портууд, дунд хурдаар траффик дамжуулах зэрэг орно.
Эх сурвалж: www.habr.com