De uitbreiding van grote steden en de vorming van agglomeraties is een van de belangrijke trends in de huidige sociale ontwikkeling. Moskou alleen al zou in 2019 met 4 miljoen vierkante meter aan woningen moeten uitbreiden (en dan zijn de 15 nederzettingen die er in 2020 bij zullen komen niet meegerekend). In dit uitgestrekte gebied zullen telecomoperatoren gebruikers toegang tot internet moeten bieden. Dit kunnen stedelijke microdistricten zijn met dichte gebouwen met meerdere verdiepingen, of meer ‘ontladen’ cottage-dorpen. Voor deze gevallen zijn de hardwarevereisten enigszins anders. We hebben elk van deze scenario's geanalyseerd en een universeel model optische switch gecreëerd: T2600G-28SQ. In dit bericht zullen we in detail de mogelijkheden van het apparaat analyseren die van belang zullen zijn voor telecomoperatoren in heel Rusland.
Plaats op het netwerk
De T2600G-28SQ-switch is zowel ontworpen voor gebruik op toegangsniveau in het netwerk als voor het aggregeren van links van andere toegangsniveau-switches. Dit is een laag 2600-switch die schakel- en statische routering uitvoert. Als de operator zowel aggregatie als toegang heeft omgeschakeld (routering alleen in de netwerkkern), past de T28G-XNUMXSQ in elk van de niveaus. In het geval van dynamisch gerouteerde aggregatie moet u nog steeds rekening houden met enkele beperkingen op gebruiksscenario's.
Het T2600G-28SQ-model is een volwaardige actieve Ethernet-switch zonder extra beperkingen die optreden bij het gebruik van xPON of vergelijkbare technologieën. Bijvoorbeeld zonder de dreiging van een scherpe snelheidsdaling bij een toename van het aantal gebruikers of slechte compatibiliteit tussen apparatuur van verschillende leveranciers en firmware. Zowel eindgebruikers als onderliggende toegangsschakelaars met optische uplinks, bijvoorbeeld het T2600G-28TS-model, kunnen verbinding maken met de apparaatinterfaces. Het onderstaande diagram toont de meest voorkomende voorbeelden van dergelijke verbindingen.
Om toegang te krijgen tot het netwerk van de eindgebruiker kan gebruik worden gemaakt van glasvezel of twisted pair-kabel. Aan de abonneezijde kan de optische vezel worden afgesloten met behulp van een mediaconverter (mediaconverter), bijvoorbeeld TP-Link MC220L; en het gebruik van de optische interface in een SOHO-router.
Om verbinding te maken met een client in de buurt, kunt u vier RJ-45-poorten gebruiken die werken met snelheden van 10/100/1000 Mbit/s. Als dit om de een of andere reden niet genoeg is, kan de operator de optische interfaces van de switch ‘omzetten’ naar koper. Dit kan worden gedaan met behulp van gespecialiseerde ‘koperen’ SFP’s met een RJ-45-connector. Maar een dergelijke oplossing kan niet typisch worden genoemd.
Enkele voorbeelden uit de praktijk
Om het beeld compleet te maken, zullen we verschillende voorbeelden geven van het gebruik van de T2600G-28SQ-switches.
Provider uit de regio Moskou
Telecommunicatie-operator
Groep van bedrijven
leverancier
In de volgende secties zullen we enkele kenmerken van de T2600G-28SQ kort beschrijven. Om het materiaal niet te overdrijven, hebben we een aantal opties weggelaten: QinQ (VLAN VPN), routing, QoS, enz. We denken dat we er in een van de volgende berichten op kunnen terugkomen.
Schakelmogelijkheden
Reservering – STP
STP – Spanning Tree-protocol. Het spanning tree protocol is al heel lang bekend, dankzij de gerespecteerde Radya Perlman hiervoor. In moderne netwerken proberen beheerders op alle mogelijke manieren het gebruik van dit protocol te vermijden. Ja, STP is niet zonder nadelen. En het is heel goed als er een alternatief voor is. Zoals vaak het geval is, zal het alternatief voor dit protocol echter sterk afhankelijk zijn van de leverancier. Daarom blijft Spanning Tree Protocol tot op de dag van vandaag vrijwel de enige oplossing die door vrijwel alle fabrikanten wordt ondersteund en ook bekend is bij alle netwerkbeheerders.
De TP-Link T2600G-28SQ-switch ondersteunt drie versies van STP: klassiek STP (IEEE 802.1D), RSTP (802.1W) en MSTP (802.1S).
Van deze opties is reguliere RSTP redelijk geschikt voor de meeste kleine internetproviders in Rusland, wat een onmiskenbaar voordeel heeft ten opzichte van de klassieke versie: een aanzienlijk kortere convergentietijd.
Het meest flexibele protocol van dit moment is MSTP, dat virtuele netwerken (VLAN's) ondersteunt en verschillende bomen mogelijk maakt, waardoor u alle beschikbare back-uppaden kunt gebruiken. De beheerder maakt verschillende boominstanties (maximaal acht), die elk een specifieke set virtuele netwerken bedienen.
Subtiliteiten van MSTPBeginnende beheerders moeten zeer voorzichtig zijn bij het gebruik van MSTP. Dit komt omdat het protocolgedrag binnen een regio en tussen regio's verschilt. Daarom is het de moeite waard om bij het configureren van switches binnen dezelfde regio te blijven.
Wat is deze beruchte regio? In MSTP-termen is een regio een reeks met elkaar verbonden switches die dezelfde kenmerken hebben: regionaam, revisienummer en distributie van virtuele netwerken (VLAN's) tussen protocolinstanties (instances).
Uiteraard kunt u met het Spanning Tree-protocol (elke versie) niet alleen omgaan met lussen die ontstaan bij het aansluiten van back-upkanalen, maar ook beschermen tegen fouten bij het schakelen van kabels wanneer een technicus opzettelijk of onopzettelijk de verkeerde poorten aansluit, waardoor een lus ontstaat met zijn acties.
Meer ervaren netwerkbeheerders gebruiken bij voorkeur een verscheidenheid aan extra opties om het STP-protocol te beschermen tegen aanvallen of complexe rampsituaties. Het T2600G-28SQ-model biedt een hele reeks van dergelijke mogelijkheden: Loop Protect en Root Protect, TC Guard, BPDU Protect en BPDU Filter.
Een juist gebruik van de hierboven genoemde opties in combinatie met andere ondersteunde beveiligingsmechanismen zal het lokale netwerk stabiliseren en voorspelbaarder maken.
Reservering – LAG
LAG – Linkaggregatiegroep. Dit is een technologie waarmee u meerdere fysieke kanalen kunt combineren tot één logisch kanaal. Alle andere protocollen stoppen met het gebruik van de fysieke kanalen die afzonderlijk in de LAG zijn opgenomen en beginnen één logische interface te ‘zien’. Een voorbeeld van zo’n protocol is STP.
Het gebruikersverkeer wordt verdeeld over fysieke kanalen binnen logische kanalen op basis van de hashsom. Om dit te berekenen kunnen de MAC-adressen van de afzender, ontvanger of een paar daarvan worden gebruikt; evenals de IP-adressen van de afzender, ontvanger of een paar daarvan. Er wordt geen rekening gehouden met laag XNUMX-protocolinformatie (TCP/UDP-poorten).
De T2600G-28SQ-switch ondersteunt statische en dynamische LAG's.
Om over de operationele parameters van een dynamische groep te onderhandelen, wordt het LACP-protocol gebruikt.
Beveiliging - Toegangslijsten (ACL's)
Met onze T2600G-28SQ-switch kunt u gebruikersverkeer filteren met behulp van toegangslijsten (ACL - Access Control List).
Ondersteunde toegangslijsten kunnen van verschillende typen zijn: MAC en IP (IPv4/IPv6), gecombineerd, en ook voor het uitvoeren van inhoudsfiltering. Het aantal van elk ondersteund type toegangslijst hangt af van de SDM-sjabloon die momenteel in gebruik is, zoals we in een andere sectie hebben beschreven.
De operator kan deze optie gebruiken om divers ongewenst verkeer op het netwerk te blokkeren. Een voorbeeld van dergelijk verkeer zijn IPv6-pakketten (met behulp van het EtherType-veld) als de overeenkomstige dienst niet wordt aangeboden; of blokkeer SMB op poort 445. In een netwerk met statische adressering is DHCP/BOOTP-verkeer niet vereist, dus met behulp van een ACL kan de beheerder UDP-datagrammen filteren op poort 67 en 68. U kunt ook lokaal IPoE-verkeer blokkeren met behulp van een ACL. Dergelijke blokkering kan veel gevraagd zijn in operatornetwerken die PPPoE gebruiken.
Het gebruik van toegangslijsten is uiterst eenvoudig. Nadat u de lijst zelf heeft gemaakt, moet u er het vereiste aantal records aan toevoegen, waarvan het type rechtstreeks afhangt van het blad dat wordt aangepast.
Toegangslijsten instellen
Het is de moeite waard om op te merken dat toegangslijsten niet alleen de gebruikelijke bewerkingen kunnen uitvoeren, namelijk het toestaan of weigeren van verkeer, maar ook het omleiden ervan, het spiegelen ervan, en ook het uitvoeren van opmerkingen of het beperken van de snelheid.
Zodra alle vereiste ACL's zijn aangemaakt, kan de beheerder deze installeren. Het is mogelijk om een toegangslijst aan zowel een directe fysieke poort als een specifiek virtueel netwerk te koppelen.
Beveiliging - aantal MAC-adressen
Soms moeten operators het aantal MAC-adressen beperken dat een switch op een bepaalde poort leert. Met toegangslijsten kunt u het opgegeven effect bereiken, maar is tegelijkertijd een expliciete aanduiding van de MAC-adressen zelf vereist. Als u alleen het aantal kanaaladressen hoeft te beperken, maar deze niet expliciet specificeert, komt poortbeveiliging te hulp.
Een dergelijke beperking kan bijvoorbeeld nodig zijn om te voorkomen dat een heel lokaal netwerk op één provider-switchinterface wordt aangesloten. Het is de moeite waard hier te vermelden dat we het hebben over een inbelverbinding, omdat bij verbinding via een router aan de clientzijde de T2600G-28SQ slechts één adres leert - dit is de MAC die bij de WAN-poort van de clientrouter hoort .
Er is een hele reeks aanvallen gericht tegen de schakeltafel. Dit kan een tabeloverloop of MAC-spoofing zijn. Met de poortbeveiligingsoptie kunt u zich beschermen tegen overloop van de bridgetafel en tegen aanvallen die erop gericht zijn de switch opzettelijk opnieuw te trainen en de bridgetafel te vergiftigen.
Het is onmogelijk om niet alleen maar defecte clientapparatuur te noemen. Er zijn vaak situaties waarin een defecte computernetwerkkaart of router een stroom frames creëert met volledig willekeurige afzender- en ontvangeradressen. Een dergelijke stroom kan de CAM gemakkelijk leegmaken.
Een andere manier om het aantal gebruikte bridge-tabelvermeldingen te beperken is de MAC VLAN Security-tool, waarmee een beheerder het maximale aantal vermeldingen voor een specifiek virtueel netwerk kan opgeven.
Naast het beheren van dynamische vermeldingen in de schakeltabel, kan de beheerder ook statische vermeldingen aanmaken.
De maximale bridgetafel van het T2600G-28SQ-model biedt plaats aan maximaal 16K records.
Een andere optie die is ontworpen om de overdracht van gebruikersverkeer te filteren is de Port Isolation-functie, waarmee u expliciet kunt opgeven in welke richting doorsturen is toegestaan.
Beveiliging – IMPB
In de uitgestrekte gebieden van ons uitgestrekte thuisland varieert de benadering van telecomoperatoren met betrekking tot kwesties rond het garanderen van netwerkveiligheid van volledige onwetendheid tot het maximaal mogelijke gebruik van alle opties die door de apparatuur worden ondersteund.
Met de IPv4 IMPB (IP-MAC-Port Binding) en IPv6 IMPB-functies kunt u zich beschermen tegen een hele reeks aanvallen die verband houden met het vervalsen van IP- en MAC-adressen door abonnees, door de IP- en MAC-adressen van clientapparatuur te binden aan de schakelinterface van de provider. Deze binding kan handmatig worden uitgevoerd of met behulp van de functies ARP Scanning en DHCP Snooping.
Basis IMPB-instellingen
Om eerlijk te zijn moet gezegd worden dat er een speciale functie gebruikt kan worden om het DHCP-protocol te beschermen: DHCP Filter.
Met deze functie kan de netwerkbeheerder handmatig de interfaces specificeren waarop echte DHCP-servers zijn aangesloten. Dit voorkomt dat kwaadaardige DHCP-servers het IP-onderhandelingsproces verstoren.
Beveiliging – DoS-verdediging
Met het onderzochte model kunnen we gebruikers beschermen tegen een aantal van de meest bekende en voorheen wijdverspreide DoS-aanvallen.
De meeste van de genoemde aanvallen zijn helemaal niet langer gevaarlijk voor apparaten met moderne besturingssystemen, maar onze netwerken kunnen nog steeds aanvallen tegenkomen waarvoor de laatste software-update vele jaren geleden is uitgevoerd.
DHCP-ondersteuning
De TP-Link T2600G-28SQ-switch kan zowel als DHCP-server of relais fungeren en verschillende soorten filtering van DHCP-berichten uitvoeren als een ander apparaat als server fungeert.
De eenvoudigste manier om gebruikers te voorzien van de IP-parameters die ze nodig hebben, is door de ingebouwde DHCP-server van de switch te gebruiken. Met zijn hulp kunnen de basisparameters al aan abonnees worden gegeven.
We hebben onze Archer C6 SOHO-router op een van de switchinterfaces aangesloten en ervoor gezorgd dat het clientapparaat met succes een adres heeft ontvangen.
Het ziet er zo uit
De in de switch ingebouwde DHCP-server is misschien niet de meest schaalbare en flexibele oplossing: er is geen ondersteuning voor niet-standaard opties en er is geen verbinding met IPAM. Als de operator meer controle nodig heeft over het distributieproces van het IP-adres, wordt een speciale DHCP-server gebruikt.
Met de T2600G-28SQ kunt u voor elk gebruikerssubnet een aparte speciale DHCP-server specificeren waarnaar berichten van het besproken protocol zullen worden omgeleid. Het subnet wordt geselecteerd door de juiste L3-interface op te geven: VLAN (SVI), gerouteerde poort of poortkanaal.
Om de werking van het relais te testen, hebben we een aparte router van een andere leverancier geconfigureerd om als DHCP-server te werken. De instellingen hiervan worden hieronder weergegeven.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
De clientrouter heeft opnieuw een IP-adres verkregen.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic
Onder de spoiler: de inhoud van het onderschepte pakket tussen de switch en een speciale DHCP-server.
Pakketinhoud
Opgemerkt moet worden dat de switch Optie 82 ondersteunt. Indien ingeschakeld, voegt de switch informatie toe over de gebruikersinterface waarvan het DHCP Discover-bericht is ontvangen. Bovendien kunt u met het T2600G-28SQ-model het beleid configureren voor het verwerken van toegevoegde informatie bij het invoegen van optie nr. 82. De aanwezigheid van ondersteuning voor deze optie kan handig zijn in een situatie waarin de abonnee hetzelfde IP-adres moet krijgen, ongeacht welke client-id de client over zichzelf rapporteert.
De onderstaande afbeelding toont een DHCP Discover-bericht (verzonden door relais) waaraan optie nr. 82 is toegevoegd.
Bericht met optie nr. 82
Natuurlijk kunt u optie nr. 82 beheren zonder een volwaardig DHCP-relais in te stellen; de overeenkomstige instellingen worden gepresenteerd in de subsectie "DHCP L2 Relay".
Laten we nu de DHCP-serverinstellingen wijzigen om te demonstreren hoe optie nr. 82 werkt.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic
Zoals dit
De DHCP-interfacerelaisfunctie is handig in een situatie waarin de switch niet alleen een L3-interface heeft die is aangesloten op een specifiek netwerk, maar deze interface ook een IP-adres heeft. Als er geen adres op een dergelijke interface staat, komt de DHCP VLAN-relayfunctie te hulp. Informatie over het subnet wordt in dit geval overgenomen van de standaardinterface, dat wil zeggen dat de adresruimten in verschillende virtuele netwerken hetzelfde zullen zijn (overlap).
Vaak moeten operators abonnees ook beschermen tegen foutieve of kwaadwillige activering van de DHCP-server op clientapparatuur. We hebben besloten deze functionaliteit te bespreken in een van de secties gewijd aan beveiligingskwesties.
IEEE 802.1X
Eén manier om gebruikers op een netwerk te authenticeren is door het IEEE 802.1X-protocol te gebruiken. De populariteit van dit protocol in de netwerken van telecomoperatoren in Rusland is al aan het afnemen; het wordt nog steeds vooral gebruikt in de lokale netwerken van grote bedrijven om interne gebruikers van de organisatie te authenticeren. De T2600G-28SQ switch beschikt over 802.1X ondersteuning, waardoor de provider deze indien nodig eenvoudig kan gebruiken.
Om het IEEE 802.1X-protocol te laten werken, zijn drie deelnemers vereist: clientapparatuur (aanvrager), providertoegangsschakelaar (authenticator) en authenticatieservers (meestal RADIUS-servers).
De basisconfiguratie aan de operatorzijde is uiterst eenvoudig. U hoeft alleen het IP-adres van de gebruikte RADIUS-server op te geven waarop de gebruikersdatabase wordt opgeslagen, en ook de interfaces te selecteren waarvoor authenticatie vereist is.
Basis 802.1X-installatie
Er is ook een kleine configuratie vereist aan de clientzijde. Alle moderne besturingssystemen bevatten al de benodigde software. Maar indien nodig kunt u TP-Link 802.1x Client installeren en gebruiken - een applicatie waarmee u de client op het netwerk kunt verifiëren.
Wanneer u de pc van een gebruiker rechtstreeks op het netwerk van de provider aansluit, moeten de authenticatie-instellingen worden geactiveerd voor de netwerkkaart die voor de verbinding wordt gebruikt.
Momenteel is het echter meestal niet de computer van de gebruiker die rechtstreeks op het netwerk van de operator is aangesloten, maar een SOHO-router die zorgt voor de werking van het lokale netwerk van de abonnee (zowel bekabelde als draadloze segmenten). In dit geval moeten alle 802.1X-protocolinstellingen rechtstreeks op de router worden uitgevoerd.
Het lijkt ons dat deze authenticatiemethode ten onrechte in de vergetelheid is geraakt in operatornetwerken. Ja, het strikt binden van een abonnee aan een switchpoort kan een eenvoudiger oplossing zijn vanuit het oogpunt van de instellingen van de gebruikersapparatuur. Maar als het gebruik van een login en wachtwoord noodzakelijk is, dan zal 802.1X niet zo'n zwaar protocol zijn vergeleken met de verbindingen die worden gebruikt op basis van PPTP/L2TP/PPPoE-tunnels.
PPPoE-ID invoegen
Veel gebruikers, niet alleen in ons land, maar over de hele wereld, geven er nog steeds de voorkeur aan uiterst eenvoudige wachtwoorden te gebruiken. En gevallen van diefstal van legitimatiebewijzen zijn helaas niet ongewoon. Als de operator het PPPoE-protocol in zijn netwerk gebruikt om gebruikers te authenticeren, zal de TP-Link T2600G-28SQ-switch helpen het probleem op te lossen dat gepaard gaat met het lekken van inloggegevens. Dit wordt bereikt door een speciaal label toe te voegen aan het PPPoE Active Discovery-bericht. Op deze manier kan de provider de abonnee niet alleen authenticeren met login en wachtwoord, maar ook met aanvullende gegevens. Deze aanvullende gegevens omvatten het MAC-adres van het clientapparaat, evenals de switchinterface waarmee het is verbonden.
Sommige operators willen in principe de abonnee (een paar login en wachtwoord) de mogelijkheid ontzeggen om door het netwerk te navigeren. De functie PPPoE ID-invoeging zal in dit geval ook helpen.
IGMP
Het IGMP (Internet Group Management Protocol) bestaat al tientallen jaren. De populariteit ervan is volkomen begrijpelijk en gemakkelijk verklaarbaar. Maar er zijn twee partijen betrokken bij IGMP-interactie: de pc van de gebruiker (of een ander apparaat, bijvoorbeeld een STB) en de IP-router die een specifiek netwerksegment bedient. Switches nemen op geen enkele wijze deel aan deze ruil. Toegegeven, de laatste bewering is niet helemaal waar. Of in moderne netwerken is dit helemaal niet waar. Switches ondersteunen IGMP om het doorsturen van multicast-verkeer te optimaliseren. De switch luistert naar gebruikersverkeer en detecteert daarin IGMP Report-berichten, met behulp waarvan hij poorten bepaalt voor het doorsturen van multicast-verkeer. De beschreven optie heet IGMP Snooping.
Ondersteuning voor het IGMP-protocol kan niet alleen worden gebruikt om het verkeer als zodanig te optimaliseren, maar ook om te bepalen welke abonnees van een bepaalde dienst kunnen worden voorzien, bijvoorbeeld IPTV. U kunt het gewenste doel bereiken door handmatig filterparameters in te stellen of door authenticatie te gebruiken.
Ondersteuning voor multicast-verkeer op TP-Link-switches is vrij flexibel geïmplementeerd. Alle parameters kunnen bijvoorbeeld voor elk virtueel netwerk afzonderlijk worden ingesteld.
Als meerdere subnetten met ontvangers van multicast-verkeer zijn verbonden met één routerinterface, wordt die router gedwongen meerdere kopieën van pakketten via die interface te verzenden (één voor elk virtueel netwerk).
In dit geval kunt u de procedure voor het doorsturen van multicast-verkeer optimaliseren met behulp van MVR-technologie - Multicast VLAN-registratie.
De essentie van de oplossing is dat er één virtueel netwerk ontstaat dat alle ontvangers verenigt. Dit virtuele netwerk wordt echter alleen gebruikt voor multicast-verkeer. Met deze aanpak kan de router slechts één kopie van het multicast-verkeer via de interface verzenden.
DDM, OAM en DLDP
DDM – Digitale diagnostische monitoring. Tijdens de werking van optische modules is het vaak nodig om de toestand van de module zelf te bewaken, evenals het optische kanaal waarmee deze is verbonden. De DDM-functie helpt u bij deze taak. Met zijn hulp kunnen operatoringenieurs de temperatuur van elke module die deze functionaliteit ondersteunt, de spanning en stroom ervan, evenals het vermogen van de verzonden en ontvangen optische signalen monitoren.
Door drempelniveaus in te stellen voor de eerder beschreven parameters kunt u een gebeurtenis genereren als deze buiten het acceptabele bereik vallen.
DDM-responsdrempels instellen
Uiteraard kan de beheerder de actuele waarden van de opgegeven parameters bekijken.
De TP-Link T2600G-28SQ switch beschikt over een actief luchtkoelingssysteem. Bovendien zijn we vanwege de poortdichtheid nog nooit oververhitting van SFP-modules in onze switches tegengekomen. Als een dergelijke mogelijkheid puur in theorie echter is toegestaan (bijvoorbeeld vanwege een probleem binnen de SFP-module), wordt de beheerder met behulp van DDM onmiddellijk op de hoogte gebracht van een potentieel gevaarlijke situatie. Het gevaar ligt hier uiteraard niet voor de schakelaar zelf, maar voor de diode/laser in de SFP, aangezien naarmate de temperatuur ervan stijgt, het vermogen van het uitgezonden optische signaal kan afnemen, wat zal leiden tot een afname van het optische budget.
Het is de moeite waard om hier op te merken dat TP-Link-switches geen 'vendor lock'-functie hebben, dat wil zeggen dat alle compatibele SFP-modules worden ondersteund, wat uiteraard erg handig zal zijn voor netwerkbeheerders.
OAM - Bediening, beheer en onderhoud (IEEE 802.3ah). OAM is een tweedelaagsprotocol van het OSI-model, ontworpen voor het monitoren en oplossen van problemen met Ethernet-netwerken. Met behulp van dit protocol kan de switch de prestaties van een specifieke verbinding en fouten monitoren en waarschuwingen genereren, zodat de netwerkbeheerder het netwerk efficiënter kan beheren.
Basis OAM-installatie
OAM functionele detailsTwee aangrenzende OAM-apparaten wisselen periodiek berichten uit door OAMPDU's te verzenden, die in drie typen beschikbaar zijn: informatief, gebeurtenismelding en loopback-controle. Met behulp van informatieve OAMPDU's sturen aangrenzende switches elkaar statistische informatie en door de beheerder gedefinieerde gegevens. Dit type bericht wordt ook gebruikt om een verbinding via het OAM-protocol in stand te houden. Gebeurtenismeldingsberichten worden door de verbindingsbewakingsfunctie gebruikt om de andere partij op de hoogte te stellen dat er fouten zijn opgetreden. Loopback Control-berichten worden gebruikt om een lus op een lijn te detecteren.
Hieronder hebben we besloten de belangrijkste functies van het OAM-protocol op te sommen:
- omgevingsmonitoring (detectie en tellen van kapotte frames),
- RFI – Remote Failure Indication (melding van een storing op het kanaal verzenden),
- Remote Loopback (kanaaltesten om latentie, vertragingsvariatie (jitter), aantal verloren frames te meten).
Een andere optie waar veel vraag naar is op optische schakelaars is de mogelijkheid om problemen op het communicatiekanaal te detecteren, waardoor het kanaal simplex wordt, dat wil zeggen dat gegevens slechts in één richting kunnen worden verzonden. Onze switches gebruiken het DLDP - Device Link Detection Protocol om unidirectionele links te detecteren. Om eerlijk te zijn is het vermeldenswaard dat het DLDP-protocol wordt ondersteund op zowel optische als koperen interfaces, maar naar onze mening zal het het populairst zijn bij het gebruik van glasvezellijnen.
Wanneer een unidirectionele link wordt gedetecteerd, kan de switch de problematische interface automatisch uitschakelen, wat zal leiden tot het opnieuw opbouwen van de STP-boom en het gebruik van back-upcommunicatiekanalen.
In ons arsenaal bevinden zich SFP-modules die signalen ontvangen en verzenden over één vezel. Ze werken uitsluitend in paren en gebruiken optische signalen op verschillende golflengten voor transmissie binnen het paar. Een voorbeeld is het paar TL-SM321A en TL-SM321B. Bij gebruik van dergelijke modules zal schade aan één vezel leiden tot volledige onbruikbaarheid van het gehele optische kanaal. Maar zelfs op dergelijke kanalen zal er vraag zijn naar het DLDP-protocol, omdat, hoewel dit uiterst zelden gebeurt, het kanaal verschillende transparantie-eigenschappen kan hebben voor verschillende golflengten. Een waarschijnlijker probleem is dat de transparantie van het kanaal varieert afhankelijk van de richting van de lichtvoortplanting. Een reflectogram helpt deze problemen op te sporen, maar dat is een heel ander verhaal.
LLDP
In grote bedrijfs- of operatornetwerken doen zich periodiek problemen voor met de veroudering van netwerkdocumentatie of onnauwkeurigheden in de voorbereiding ervan. Een netwerkbeheerder kan te maken krijgen met een situatie waarin het nodig is om uit te zoeken welke bedieningsapparatuur feitelijk is aangesloten op een bepaalde schakelinterface. Het LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) komt te hulp.
LLDP-bewerkingsparameters
Onze switches ondersteunen LLDP niet alleen om naburige switches of andere netwerkapparaten te ontdekken, maar ook om hun mogelijkheden te bepalen.
De koperen tegenhangers van onze switch kunnen LLDP-MED gebruiken om de procedure voor het aansluiten van IP-telefoons te vereenvoudigen. Door deze optie te gebruiken, kan de PoE-switch ook onderhandelen over voedingsparameters met het gevoede apparaat. We hebben hier al uitvoerig over gesproken in een van onze
SDM en overinschrijving
Bijna alle moderne switches verwerken passerende frames en pakketten zonder gebruik te maken van een centrale processor. De verwerking (het berekenen van controlesommen, het toepassen van toegangslijsten en het uitvoeren van andere veiligheidscontroles, evenals het nemen van schakel-/routeringsbeslissingen) wordt uitgevoerd met behulp van gespecialiseerde chips, die hoge transmissiesnelheden van gebruikersverkeer mogelijk maken. De hier besproken switch maakt het mogelijk verkeer op gemiddelde snelheid te verwerken. Dit betekent dat de prestaties van het apparaat voldoende zijn om data met de hoogst mogelijke snelheden op alle poorten tegelijk te verzenden. Het T2600G-28SQ-model heeft 24 downlink-poorten (naar gebruikers toe), die werken met snelheden van 1 Gbit/s, evenals 4 uplink-poorten (naar de netwerkkern) van 10 Gbit/s. Tegelijkertijd bedragen de prestaties van de switch cross-bus 128 Gbit/s, wat voldoende is om de maximale hoeveelheid binnenkomend verkeer te verwerken.
In alle eerlijkheid is het vermeldenswaard dat de prestaties van de schakelmatrix 95,2 miljoen pakketten per seconde bedragen. Dat wil zeggen dat bij gebruik van de minimaal mogelijke frames met een lengte van slechts 64 bytes de totale prestaties van het apparaat 97,5 Gbit/s zullen zijn. Een dergelijk verkeersprofiel is echter vrijwel onmogelijk voor netwerken van telecomoperatoren.
Wat is overinschrijvingEen ander belangrijk punt is de verhouding tussen de snelheden van upstream- en downstream-kanalen (overabonnement). Hier hangt uiteraard alles af van de topologie. Als de beheerder alle vier de tien GE-interfaces gebruikt om verbinding te maken met de netwerkkern en deze combineert met behulp van LAG (Link Aggregation Group) of Port-Channel-technologie, dan zal de statistisch verkregen snelheid richting de kern 10 Gbit/s zijn, wat meer zal zijn dan genoeg om aan de behoeften van alle aangesloten abonnees te voldoen. Bovendien is het niet nodig dat alle vier de uplinks verbinding maken met één fysiek apparaat. De verbinding kan worden gemaakt met een stapel schakelaars, of met twee apparaten gecombineerd in een cluster (met behulp van vPC-technologie of iets dergelijks). In dit geval is er geen sprake van overinschrijving.
U kunt alle vier de uplinks tegelijkertijd gebruiken, niet alleen door ze te combineren met LAG. Een soortgelijk effect kan worden bereikt door MSTP goed te configureren, maar dat is een heel ander verhaal.
De tweede veelgebruikte L2-verbindingsmethode is het gebruik van twee onafhankelijke LAG's (één voor elke aggregatieschakelaar). In dit geval wordt hoogstwaarschijnlijk een van de virtuele links geblokkeerd door het STP-protocol (bij gebruik van STP of RSTP). Overinschrijving zal 5:6 zijn.
Een zeldzamere, maar nog steeds zeer waarschijnlijke situatie: de T2600G-28SQ is via onafhankelijke kanalen verbonden met een stroomopwaartse schakelaar of schakelaars. Het STP/RSTP-protocol laat slechts één dergelijke link in een niet-geblokkeerde staat. Overinschrijving is 5:12.
Taak met een asterisk: bereken de overinschrijving voor de situaties beschreven in de STP-sectie, waar we naar een voorbeeldtopologie hebben gekeken wanneer twee toegangsschakelaars op hetzelfde aggregatieapparaat zijn aangesloten en met elkaar zijn verbonden.
De programmeerbare chips die zulke hoge overdrachtssnelheden mogelijk maken, zijn een vrij dure hulpbron, dus we proberen het gebruik ervan te optimaliseren door de hulpbronnen goed te verdelen over verschillende functies. SDM - Switch Database Management is verantwoordelijk voor de distributie.
De distributie gebeurt met behulp van het SDM-profiel. Er zijn momenteel drie profielen beschikbaar voor gebruik, hieronder vermeld.
- Default biedt een uitgebalanceerde oplossing voor het gebruik van MAC- en IP-toegangslijsten, evenals ARP-detectievermeldingen.
- Met EnterpriseV4 kunt u de beschikbare bronnen maximaliseren voor gebruik door MAC- en IP-toegangslijsten.
- EnterpriseV6 wijst bepaalde bronnen toe voor gebruik door IPv6-toegangslijsten.
De switch moet opnieuw worden opgestart om het nieuwe profiel toe te passen.
Conclusie
Conform de initiële positionering is deze switch het meest geschikt voor telecomoperatoren die worden geconfronteerd met de taak om netwerktoegang over lange afstanden te bieden. Het apparaat kan zowel op toegangsniveau worden gebruikt, bijvoorbeeld in cottage-gemeenschappen en herenhuizen, als voor het aggregeren van kanalen afkomstig van toegangsschakelaars in appartementsgebouwen; dat wil zeggen, overal waar verbindingen met externe objecten vereist zijn. Bij gebruik van optische communicatiekanalen kan de aangesloten abonnee zich op een afstand van maximaal enkele kilometers bevinden.
Aan de clientzijde kunnen optische links worden beëindigd op kleine schakelaars met optische interfaces of op mediaconverters.
Dankzij een groot aantal ondersteunde protocollen en opties kan de T2600G-28SQ worden gebruikt in het Ethernet-netwerk van een operator met elke topologie, elke set gebruikte technologieën en geleverde diensten. De switch wordt op afstand beheerd via de webinterface of opdrachtregel. Als lokale configuratie nodig is, kunt u de consolepoort gebruiken; het T2600G-28SQ-model heeft er twee: RJ-45 en micro-USB. Als kleine vlieg in de zalf merken we het gebrek aan ondersteuning voor stapelen en een tweede stroomvoorziening. Toegegeven, meestal buiten de datacenters van providers zal de aanwezigheid van een tweede elektriciteitslijn zeldzaam zijn.
De voordelen zijn onder meer een lage prijs, een groot aantal optische poorten voor abonnees, de aanwezigheid van 10 GE optische uplinks, evenals vier gecombineerde poorten en het doorsturen van verkeer op gemiddelde snelheid.
Bron: www.habr.com