Utvidelsen av store byer og dannelsen av agglomerasjoner er en av de viktige trendene i samfunnsutviklingen i dag. Moskva alene bør utvide med 2019 millioner kvadratmeter boliger i 4 (og dette teller ikke de 15 bosetningene som vil bli lagt til innen 2020). I hele dette enorme territoriet vil teleoperatører måtte gi brukerne tilgang til Internett. Dette kan enten være urbane mikrodistrikter med tette bygninger i flere etasjer, eller mer "utladede" hyttelandsbyer. For disse tilfellene er maskinvarekravene litt forskjellige. Vi analyserte hvert av disse scenariene og laget en universell optisk svitsjmodell - T2600G-28SQ. I dette innlegget vil vi analysere i detalj egenskapene til enheten som vil være av interesse for teleoperatører i hele Russland.
Plasser på nettverket
T2600G-28SQ-svitsjen er designet både for drift på tilgangsnivået i nettverket og for å samle lenker fra andre aksessnivåsvitsjer. Dette er en lag 2600-svitsj som utfører veksling og statisk ruting. Hvis operatøren har byttet både aggregering og tilgang (ruting kun i nettverkskjernen), vil T28G-XNUMXSQ passe inn i hvilket som helst av nivåene. I tilfelle av dynamisk rutet aggregering, må du fortsatt ta hensyn til noen begrensninger på brukstilfeller.
T2600G-28SQ-modellen er en fullverdig aktiv Ethernet-svitsj uten ytterligere begrensninger som vises ved bruk av xPON eller lignende teknologier. For eksempel uten trussel om et kraftig hastighetsfall med økning i antall brukere eller dårlig kompatibilitet mellom utstyr fra ulike leverandører og fastvare. Både sluttbrukere og underliggende tilgangssvitsjer med optiske oppkoblinger, for eksempel T2600G-28TS-modellen, kan kobles til enhetsgrensesnittene. Diagrammet nedenfor viser de vanligste eksemplene på slike tilkoblinger.
For å få tilgang til sluttbrukerens nettverk kan optisk fiber eller tvunnet par-kabel brukes. På abonnentsiden kan den optiske fiberen termineres enten ved hjelp av en mediekonverter (mediekonverter), for eksempel TP-Link MC220L; og bruke det optiske grensesnittet i en SOHO-ruter.
For å koble til en klient i nærheten, kan du bruke fire RJ-45-porter som opererer med hastigheter på 10/100/1000 Mbit/s. Hvis dette av en eller annen grunn ikke er nok, kan operatøren "konvertere" bryterens optiske grensesnitt til kobber. Dette kan gjøres ved å bruke spesialiserte "kobber" SFP-er med en RJ-45-kontakt. Men en slik løsning kan ikke kalles typisk.
Noen eksempler fra praksis
For å fullføre bildet vil vi gi flere eksempler på bruk av T2600G-28SQ-bryterne.
Leverandør av Moskva-regionen , som i tillegg til Internett leverer telefoni- og kabel-TV-tjenester, bruker T2600G-28SQ på aksessnivå ved bygging av nettverk i privat sektor (hytter og rekkehus). På klientsiden gjøres koblingen til rutere med SFP-port, samt mediekonvertere. For øyeblikket masseproduseres ikke SOHO-rutere med SFP-port i vårt land, men vi tenker selvfølgelig på det.
Telekommunikasjonsoperatør fra Pavlovo-Posad-regionen bruker T2600G-28SQ-svitsjer som en "liten aggregering", og bruker brytere av T2600G-28TS- og T2500G-10TS-modellene for tilgang.
Gruppe av selskaper tilby Internett-tilgang, TV, telefoni og videoovervåkingssystemer i sørøst i Moskva-regionen (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). Den omtrentlige topologien her er den samme som for ISS: T2600G-28SQ på aggregeringsnivå, og T2600G-28TS og T2500G-10TS på tilgangsnivå.
Provider fra Krasnoznamensk gir Internett-tilgang ved hjelp av et nettverk med dyp optisk penetrasjon. Den er også basert på T2600G-28SQ.
I de følgende avsnittene vil vi kort beskrive noen av funksjonene til T2600G-28SQ. For ikke å blåse opp materialet utelot vi en rekke alternativer: QinQ (VLAN VPN), ruting, QoS osv. Vi tror at vi kan gå tilbake til dem i et av følgende innlegg.
Bryterfunksjoner
Reservasjon – STP
STP – Spanning Tree Protocol. Spanning tree-protokollen har vært kjent i svært lang tid, takket være den respekterte Radya Perlman for dette. I moderne nettverk prøver administratorer på alle mulige måter å unngå å bruke denne protokollen. Ja, STP er ikke uten ulemper. Og det er veldig bra hvis det finnes et alternativ til det. Men som ofte er tilfellet, vil alternativet til denne protokollen i stor grad avhenge av leverandøren. Derfor er Spanning Tree Protocol den dag i dag nesten den eneste løsningen som støttes av nesten alle produsenter og er også kjent for alle nettverksadministratorer.
TP-Link T2600G-28SQ-svitsjen støtter tre versjoner av STP: klassisk STP (IEEE 802.1D), RSTP (802.1W) og MSTP (802.1S).
Av disse alternativene er vanlig RSTP ganske egnet for de fleste små Internett-leverandører i Russland, som har en ubestridelig fordel i forhold til den klassiske versjonen - betydelig kortere konvergenstid.
Den mest fleksible protokollen i dag er MSTP, som støtter virtuelle nettverk (VLAN) og tillater flere forskjellige trær, som lar deg bruke alle tilgjengelige sikkerhetskopieringsbaner. Administratoren oppretter flere forskjellige treforekomster (opptil åtte), som hver betjener et spesifikt sett med virtuelle nettverk.
Finesser av MSTPNybegynnere administratorer må være svært forsiktige når de bruker MSTP. Dette er fordi protokollatferd er forskjellig innenfor en region og mellom regioner. Derfor, når du konfigurerer brytere, er det verdt å sørge for å holde seg innenfor samme region.
Hva er denne beryktede regionen? I MSTP-termer er en region et sett med brytere koblet til hverandre som har de samme egenskapene: regionnavn, revisjonsnummer og distribusjon av virtuelle nettverk (VLAN) mellom protokollforekomster (instanser).
Selvfølgelig lar Spanning Tree-protokollen (en hvilken som helst versjon) deg ikke bare håndtere løkker som oppstår når du kobler til backup-kanaler, men også for å beskytte mot kabelbyttefeil når en ingeniør med hensikt eller utilsiktet kobler til feil porter, og skaper en sløyfe med sin handlinger.
Mer erfarne nettverksadministratorer foretrekker å bruke en rekke tilleggsalternativer for å beskytte STP-protokollen mot angrep eller komplekse katastrofesituasjoner. T2600G-28SQ-modellen tilbyr en hel rekke slike funksjoner: Loop Protect og Root Protect, TC Guard, BPDU Protect og BPDU Filter.
Riktig bruk av alternativene oppført ovenfor sammen med andre støttede beskyttelsesmekanismer vil stabilisere det lokale nettverket og gjøre det mer forutsigbart.
Reservasjon – LAG
LAG – Link Aggregation Group. Dette er en teknologi som lar deg kombinere flere fysiske kanaler til en logisk. Alle andre protokoller slutter å bruke de fysiske kanalene som er inkludert i LAG separat og begynner å "se" ett logisk grensesnitt. Et eksempel på en slik protokoll er STP.
Brukertrafikk balanseres mellom fysiske kanaler innenfor logiske kanaler basert på hash-summen. For å beregne det kan MAC-adressene til avsenderen, mottakeren eller et par av dem brukes; samt IP-adressene til avsenderen, mottakeren eller et par av dem. Lag XNUMX-protokollinformasjon (TCP/UDP-porter) tas ikke i betraktning.
T2600G-28SQ-svitsjen støtter statiske og dynamiske LAG-er.
For å forhandle driftsparametrene til en dynamisk gruppe, brukes LACP-protokollen.
Sikkerhet – tilgangslister (ACLs)
Vår T2600G-28SQ-svitsj lar deg filtrere brukertrafikk ved hjelp av tilgangslister (ACL - Access Control List).
Støttede tilgangslister kan være av flere forskjellige typer: MAC og IP (IPv4/IPv6), kombinert, og også for å utføre innholdsfiltrering. Antallet på hver tilgangslistetype som støttes, avhenger av SDM-malen som er i bruk, som vi beskrev i en annen del.
Operatøren kan bruke dette alternativet til å blokkere diverse uønsket trafikk på nettverket. Et eksempel på slik trafikk vil være IPv6-pakker (ved bruk av EtherType-feltet) hvis den tilsvarende tjenesten ikke tilbys; eller blokker SMB på port 445. I et nettverk med statisk adressering er det ikke nødvendig med DHCP/BOOTP-trafikk, så ved å bruke en ACL kan administratoren filtrere UDP-datagrammer på portene 67 og 68. Du kan også blokkere lokal IPoE-trafikk ved å bruke en ACL. Slik blokkering kan være etterspurt i operatørnettverk som bruker PPPoE.
Prosessen med å bruke tilgangslister er ekstremt enkel. Etter å ha opprettet selve listen, må du legge til det nødvendige antallet poster til den, hvis type avhenger direkte av arket som tilpasses.
Sette opp tilgangslister
Det er verdt å merke seg at tilgangslister ikke bare kan utføre de vanlige operasjonene med å tillate eller nekte trafikk, men også omdirigere den, speile den, og også utføre merking eller hastighetsbegrensning.
Når alle nødvendige ACL-er er opprettet, kan administratoren installere dem. Det er mulig å knytte en tilgangsliste til både en direkte fysisk port og et spesifikt virtuelt nettverk.
Sikkerhet - antall MAC-adresser
Noen ganger må operatører begrense antallet MAC-adresser som en svitsj vil lære på en bestemt port. Tilgangslister lar deg oppnå den spesifiserte effekten, men krever samtidig en eksplisitt angivelse av selve MAC-adressene. Hvis du bare trenger å begrense antall kanaladresser, men ikke spesifisere dem eksplisitt, vil portsikkerhet komme til unnsetning.
En slik begrensning kan være nødvendig, for eksempel for å beskytte mot å koble et helt lokalt nettverk til ett leverandørsvitsjgrensesnitt. Det er verdt å nevne her at vi snakker om en oppringt tilkobling, fordi når du kobler til ved hjelp av en ruter på klientsiden, vil T2600G-28SQ bare lære én adresse - dette er MAC-en som tilhører WAN-porten til klientruteren .
Det er en hel klasse med angrep rettet mot byttebordet. Dette kan være et bordoverløp eller MAC-spoofing. Portsikkerhetsalternativet vil tillate deg å beskytte mot overløp av brobord og angrep rettet mot bevisst omskolering av bryteren og forgiftning av brobordet.
Det er umulig å ikke nevne bare feil klientutstyr. Det er ofte situasjoner når et datanettverkskort eller ruter som ikke fungerer som det skal skaper en strøm av rammer med helt vilkårlige avsender- og mottakeradresser. En slik flyt kan lett tømme CAM-en.
En annen måte å begrense antall brotabelloppføringer som brukes, er MAC VLAN Security-verktøyet, som lar en administrator spesifisere maksimalt antall oppføringer for et spesifikt virtuelt nettverk.
I tillegg til å administrere dynamiske oppføringer i byttetabellen, kan administratoren også opprette statiske.
Det maksimale brobordet til T2600G-28SQ-modellen kan romme opptil 16K poster.
Et annet alternativ designet for å filtrere overføringen av brukertrafikk er Port Isolation-funksjonen, som lar deg spesifisere eksplisitt i hvilken retning videresending er tillatt.
Sikkerhet – IMPB
I de store vidder av vårt enorme hjemland varierer tilnærmingen til teleoperatører til spørsmål om å sikre nettverkssikkerhet fra fullstendig uvitenhet til maksimal mulig bruk av alle alternativer som støttes av utstyret.
IPv4 IMPB (IP-MAC-Port Binding) og IPv6 IMPB-funksjonene lar deg beskytte mot en rekke angrep relatert til forfalskning av IP- og MAC-adresser fra abonnenter ved å binde IP- og MAC-adressene til klientutstyr til leverandørens byttegrensesnitt. Denne bindingen kan gjøres manuelt eller ved å bruke funksjonene ARP-skanning og DHCP-snooping.
Grunnleggende IMPB-innstillinger
For å være rettferdig skal det sies at en spesiell funksjon kan brukes for å beskytte DHCP-protokollen - DHCP-filter.
Ved å bruke denne funksjonen kan nettverksadministratoren manuelt spesifisere grensesnittene som ekte DHCP-servere er koblet til. Dette vil forhindre falske DHCP-servere fra å forstyrre IP-forhandlingsprosessen.
Sikkerhet – DoS Defend
Modellen under vurdering lar oss beskytte brukere mot flere av de mest kjente og tidligere utbredte DoS-angrepene.
De fleste av de listede angrepene er ikke lenger farlige for enheter med moderne operativsystemer, men nettverkene våre kan fortsatt møte de som den siste programvareoppdateringen ble gjort for mange år siden.
DHCP-støtte
TP-Link T2600G-28SQ-svitsjen kan fungere både som en DHCP-server eller relé, og utføre diverse filtrering av DHCP-meldinger hvis en annen enhet fungerer som en server.
Den enkleste måten å gi brukerne de IP-parametrene de trenger for å betjene, er å bruke switchens innebygde DHCP-server. Med dens hjelp kan de grunnleggende parametrene allerede gis til abonnenter.
Vi koblet Archer C6 SOHO-ruteren vår til et av brytergrensesnittene og sørget for at klientenheten mottok en adresse.
Det ser slik ut
DHCP-serveren innebygd i svitsjen er kanskje ikke den mest skalerbare og fleksible løsningen: det er ingen støtte for ikke-standardiserte alternativer, og det er ingen forbindelse med IPAM. Hvis operatøren krever mer kontroll over IP-adressedistribusjonsprosessen, vil en dedikert DHCP-server bli brukt.
T2600G-28SQ lar deg spesifisere en separat dedikert DHCP-server for hvert brukerundernett som meldinger fra protokollen under diskusjon vil bli omdirigert til. Subnettet velges ved å spesifisere riktig L3-grensesnitt: VLAN (SVI), rutet port eller port-kanal.
For å teste funksjonen til reléet konfigurerte vi en separat ruter fra en annen leverandør til å fungere som en DHCP-server, hvis innstillinger er presentert nedenfor.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Klientruteren har fått en IP-adresse igjen.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticUnder spoileren - innholdet i den avlyttede pakken mellom bryteren og en dedikert DHCP-server.
Pakkeinnhold
Det skal bemerkes at bryteren støtter alternativ 82. Når den er aktivert, vil bryteren legge til informasjon om brukergrensesnittet som DHCP Discover-meldingen ble mottatt fra. I tillegg lar T2600G-28SQ-modellen deg konfigurere policyen for behandling av tilleggsinformasjon når du setter inn alternativ nr. 82. Tilstedeværelsen av støtte for dette alternativet kan være nyttig i en situasjon der abonnenten må gis samme IP-adresse, uavhengig av hvilken klient-id klienten rapporterer om seg selv.
Figuren nedenfor viser en DHCP Discover-melding (sendt med relé) med alternativ nr. 82 lagt til.
Melding med alternativ nr. 82
Selvfølgelig kan du administrere alternativ nr. 82 uten å sette opp et fullverdig DHCP-relé, de tilsvarende innstillingene er presentert i underseksjonen "DHCP L2-relé".
La oss nå endre DHCP-serverinnstillingene for å demonstrere hvordan alternativ nr. 82 fungerer.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticNoe sånt som dette
DHCP-grensesnittreléfunksjonen vil være nyttig i en situasjon der bryteren ikke bare har et L3-grensesnitt koblet til et spesifikt nettverk, men dette grensesnittet har også en IP-adresse. Hvis det ikke er noen adresse på et slikt grensesnitt, vil DHCP VLAN-reléfunksjonen komme til unnsetning. Informasjon om subnettet i dette tilfellet er hentet fra standardgrensesnittet, det vil si at adresseområdene i flere virtuelle nettverk vil være de samme (overlapping).
Ofte må operatører også beskytte abonnenter mot feilaktig eller ondsinnet aktivering av DHCP-serveren på klientutstyr. Vi bestemte oss for å diskutere denne funksjonaliteten i en av delene viet til sikkerhetsspørsmål.
IEEE 802.1X
En måte å autentisere brukere på et nettverk på er å bruke IEEE 802.1X-protokollen. Populariteten til denne protokollen i nettverkene til teleoperatører i Russland er allerede på vei ned; den brukes fortsatt hovedsakelig i de lokale nettverkene til store selskaper for å autentisere interne brukere av organisasjonen. T2600G-28SQ-svitsjen har 802.1X-støtte, slik at leverandøren enkelt kan bruke den om nødvendig.
For at IEEE 802.1X-protokollen skal fungere, kreves det tre deltakere: klientutstyr (supplikant), leverandørtilgangssvitsj (autentisering) og autentiseringsservere (vanligvis RADIUS-servere).
Grunnkonfigurasjonen på operatørsiden er ekstremt enkel. Du trenger bare å spesifisere IP-adressen til RADIUS-serveren som brukes, som brukerdatabasen skal lagres på, og også velge grensesnittene som autentisering kreves for.
Grunnleggende 802.1X-oppsett
Mindre konfigurasjon er også nødvendig på klientsiden. Alle moderne operativsystemer inneholder allerede den nødvendige programvaren. Men om nødvendig kan du installere og bruke TP-Link 802.1x Client - en applikasjon som lar deg autentisere klienten på nettverket.
Ved tilkobling av en brukers PC direkte til leverandørens nettverk, må autentiseringsinnstillinger aktiveres for nettverkskortet som brukes for tilkoblingen.
Foreløpig er det imidlertid ikke brukerens datamaskin som vanligvis er koblet direkte til operatørens nettverk, men en SOHO-ruter som sikrer at abonnentens lokale nettverk fungerer (både kablet og trådløst). I dette tilfellet må alle 802.1X-protokollinnstillinger gjøres direkte på ruteren.
Det ser ut til at denne autentiseringsmetoden ufortjent har blitt glemt i operatørnettverk. Ja, å strengt binde en abonnent til en svitsjport kan være en enklere løsning med tanke på brukerutstyrsinnstillinger. Men hvis bruk av pålogging og passord er nødvendig, vil ikke 802.1X være en så tung protokoll sammenlignet med forbindelsene som brukes basert på PPTP/L2TP/PPPoE-tunneler.
Innsetting av PPPoE ID
Mange brukere, ikke bare i vårt land, men over hele verden foretrekker fortsatt å bruke ekstremt enkle passord. Og tilfeller av legitimasjonstyveri, dessverre, er ikke uvanlig. Hvis operatøren bruker PPPoE-protokollen i nettverket for å autentisere brukere, vil TP-Link T2600G-28SQ-svitsjen bidra til å løse problemet knyttet til lekkasje av legitimasjon. Dette oppnås ved å legge til en spesiell etikett til PPPoE Active Discovery-meldingen. På denne måten kan leverandøren autentisere abonnenten ikke bare med pålogging og passord, men også med tilleggsdata. Disse tilleggsdataene inkluderer MAC-adressen til klientenheten, samt brytergrensesnittet som den er koblet til.
Noen operatører ønsker i prinsippet å nekte abonnenten (et par pålogging og passord) muligheten til å navigere i nettverket. PPPoE ID-innsettingsfunksjonen vil også hjelpe i dette tilfellet.
IGMP
IGMP (Internet Group Management Protocol) har eksistert i flere tiår. Dens popularitet er ganske forståelig og lett å forklare. Men det er to parter involvert i IGMP-interaksjon: brukerens PC (eller en hvilken som helst annen enhet, for eksempel en STB) og IP-ruteren som betjener et spesifikt nettverkssegment. Brytere deltar ikke i denne utvekslingen på noen måte. Riktignok er det siste utsagnet ikke helt sant. Eller i moderne nettverk er dette ikke sant i det hele tatt. Brytere støtter IGMP for å optimere videresending av multicast-trafikk. Når du lytter til brukertrafikk, oppdager bryteren IGMP-rapportmeldinger i den, ved hjelp av hvilken den bestemmer porter for videresending av multicast-trafikk. Alternativet som beskrives kalles IGMP Snooping.
Støtte for IGMP-protokollen kan brukes ikke bare for å optimalisere trafikken som sådan, men også for å bestemme abonnenter som kan få en bestemt tjeneste, for eksempel IPTV. Du kan oppnå ønsket mål enten ved å angi filtreringsparametere manuelt eller ved å bruke autentisering.
Støtte for multicast-trafikk på TP-Link-svitsjer er implementert ganske fleksibelt. For eksempel kan alle parametere settes for hvert virtuelle nettverk separat.
Hvis flere undernett som inneholder multicast-trafikkmottakere er koblet til ett rutergrensesnitt, vil ruteren bli tvunget til å sende flere kopier av pakker gjennom det grensesnittet (en for hvert virtuelt nettverk).
I dette tilfellet kan du optimalisere prosedyren for videresending av multicast-trafikk ved hjelp av MVR-teknologi - Multicast VLAN Registration.
Essensen av løsningen er at det lages ett virtuelt nettverk som forener alle mottakere. Dette virtuelle nettverket brukes imidlertid bare for multicast-trafikk. Denne tilnærmingen lar ruteren sende bare én kopi av multicast-trafikken gjennom grensesnittet.
DDM, OAM og DLDP
DDM – Digital Diagnostic Monitoring. Under driften av optiske moduler er det ofte nødvendig å overvåke tilstanden til selve modulen, så vel som den optiske kanalen den er koblet til. DDM-funksjonen vil hjelpe deg med å takle denne oppgaven. Med dens hjelp vil operatøringeniører kunne overvåke temperaturen til hver modul som støtter denne funksjonaliteten, dens spenning og strøm, samt kraften til de sendte og mottatte optiske signalene.
Innstilling av terskelnivåer for de tidligere beskrevne parameterne vil tillate deg å generere en hendelse hvis de faller utenfor det akseptable området.
Innstilling av DDM-responsterskler
Naturligvis kan administratoren se gjeldende verdier for de angitte parameterne.
TP-Link T2600G-28SQ-bryteren har et aktivt luftkjølingssystem. Dessuten har vi aldri møtt overoppheting av SFP-moduler i bryterne våre på grunn av porttetthet. Imidlertid, hvis, rent i teorien, en slik mulighet er tillatt (for eksempel på grunn av et problem inne i SFP-modulen), vil administratoren ved hjelp av DDM umiddelbart bli varslet om en potensielt farlig situasjon. Faren her er åpenbart ikke for selve bryteren, men for dioden/laseren inne i SFP, siden når temperaturen øker, kan kraften til det utsendte optiske signalet forringes, noe som vil føre til en reduksjon i det optiske budsjettet.
Det er verdt å merke seg her at TP-Link-svitsjer ikke har en leverandørlås "funksjon", det vil si at noen kompatible SFP-moduler støttes, noe som selvfølgelig vil være veldig praktisk for nettverksadministratorer.
OAM – Drift, administrasjon og vedlikehold (IEEE 802.3ah). OAM er en andrelagsprotokoll av OSI-modellen designet for overvåking og feilsøking av Ethernet-nettverk. Ved å bruke denne protokollen kan svitsjen overvåke ytelsen til en spesifikk tilkobling og feil, og generere varsler slik at nettverksadministratoren kan administrere nettverket mer effektivt.
Grunnleggende OAM-oppsett
OAM funksjonelle detaljerTo nærliggende OAM-aktiverte enheter utveksler meldinger med jevne mellomrom ved å sende OAMPDU-er, som kommer i tre typer: Informasjon, hendelsesvarsling og tilbakekoblingskontroll. Ved å bruke informasjons-OAMPDU-er sender nabosvitsjer statistisk informasjon til hverandre så vel som administratordefinerte data. Denne typen meldinger brukes også til å opprettholde en forbindelse via OAM-protokollen. Meldinger om hendelsesvarsling brukes av tilkoblingsovervåkingsfunksjonen for å varsle den andre parten om at feil har oppstått. Loopback-kontrollmeldinger brukes til å oppdage en sløyfe på en linje.
Nedenfor bestemte vi oss for å liste opp hovedfunksjonene som tilbys av OAM-protokollen:
- miljøovervåking (deteksjon og telling av ødelagte rammer),
- RFI – Remote Failure Indication (sender melding om feil på kanalen),
- Remote Loopback (kanaltesting for å måle latens, forsinkelsesvariasjon (jitter), antall tapte bilder).
Et annet alternativ som er etterspurt på optiske brytere er muligheten til å oppdage problemer på kommunikasjonskanalen, noe som fører til at kanalen blir simpleks, det vil si at data bare kan sendes i én retning. Bryterne våre bruker DLDP - Device Link Detection Protocol for å oppdage enveiskoblinger. For å være rettferdig er det verdt å merke seg at DLDP-protokollen støttes på både optiske og kobbergrensesnitt, men etter vår mening vil den være mest populær ved bruk av fiberoptiske linjer.
Når en ensrettet kobling oppdages, kan svitsjen automatisk slå av det problematiske grensesnittet, noe som vil føre til gjenoppbygging av STP-treet og bruk av backup-kommunikasjonskanaler.
I vårt arsenal er det SFP-moduler som mottar og sender signaler over én fiber. De opererer utelukkende i par og bruker optiske signaler ved forskjellige bølgelengder for overføring i paret. Et eksempel er paret TL-SM321A og TL-SM321B. Ved bruk av slike moduler vil skade på en fiber føre til fullstendig inoperabilitet av hele den optiske kanalen. Men selv på slike kanaler vil DLDP-protokollen være etterspurt, siden selv om dette skjer ekstremt sjelden, kan kanalen ha forskjellige gjennomsiktighetskarakteristikker for forskjellige bølgelengder. Et mer sannsynlig problem er at kanalens gjennomsiktighet varierer avhengig av lysets forplantningsretning. Et reflektogram vil hjelpe med å oppdage disse problemene, men det er en helt annen historie.
LLDP
I store bedrifts- eller operatørnettverk oppstår det med jevne mellomrom problemer med foreldelse av nettverksdokumentasjon eller unøyaktigheter i utarbeidelsen. En nettverksadministrator kan stå overfor en situasjon hvor det er nødvendig å finne ut hvilket operatørutstyr som faktisk er koblet til et bestemt brytergrensesnitt. LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) vil komme til unnsetning.
LLDP-operasjonsparametere
Svitsjene våre støtter LLDP ikke bare for å oppdage nabosvitsjer eller andre nettverksenheter, men også for å bestemme deres evner.
Switchens kobbermotparter kan bruke LLDP-MED for å forenkle prosedyren for å koble til IP-telefoner. Ved å bruke dette alternativet kan PoE-bryteren også forhandle strømparametere med den drevne enheten. Vi har allerede snakket om dette i noen detalj i en av våre .
SDM og overtegning
Nesten alle moderne svitsjer behandler passerende rammer og pakker uten å bruke en sentral prosessor. Behandling (beregning av sjekksummer, bruk av tilgangslister og utførelse av andre sikkerhetskontroller, samt å ta vekslings-/rutingsbeslutninger) utføres ved hjelp av spesialiserte brikker, som tillater høye overføringshastigheter for brukertrafikk. Bryteren under diskusjon tillater behandling av trafikk i mediehastighet. Dette betyr at enhetens ytelse er tilstrekkelig til å sende data med høyest mulig hastighet på alle porter samtidig. T2600G-28SQ-modellen har 24 nedlink-porter (mot brukere), som opererer med hastigheter på 1 Gbit/s, samt 4 uplink-porter (mot nettverkskjernen) på 10 Gbit/s. Samtidig er ytelsen til bryterkryssbussen 128 Gbit/s, noe som er nok til å behandle den maksimale mengden innkommende trafikk.
I rettferdighet er det verdt å merke seg at ytelsen til byttematrisen er 95,2 millioner pakker per sekund. Det vil si at når du bruker minimum mulige rammer med en lengde på bare 64 byte, vil den totale ytelsen til enheten være 97,5 Gbit/s. En slik trafikkprofil er imidlertid nesten umulig for teleoperatørnettverk.
Hva er overtegningEt annet viktig spørsmål er forholdet mellom hastighetene til oppstrøms- og nedstrømskanaler (overabonnement). Her avhenger selvsagt alt av topologien. Hvis administratoren bruker alle de fire 10 GE-grensesnittene for å koble til nettverkskjernen og kombinerer dem ved hjelp av LAG (Link Aggregation Group) eller Port-Channel-teknologi, vil den statistisk oppnådde hastigheten mot kjernen være 40 Gbit/s, som vil være mer enn nok til å tilfredsstille behovene til alle tilkoblede abonnenter. Dessuten er det ikke nødvendig at alle fire oppkoblinger kobles til én fysisk enhet. Tilkoblingen kan gjøres til en stabel med brytere, eller til to enheter kombinert til en klynge (ved hjelp av vPC-teknologi eller lignende). I dette tilfellet er det ingen overtegning.
Du kan bruke alle fire opplinkene samtidig, ikke bare ved å kombinere dem med LAG. En lignende effekt kan oppnås ved å konfigurere MSTP riktig, men det er en helt annen historie.
Den andre vanlig brukte L2-tilkoblingsmetoden er å bruke to uavhengige LAG-er (en til hver aggregeringsbryter). I dette tilfellet vil mest sannsynlig en av de virtuelle koblingene bli blokkert av STP-protokollen (når du bruker STP eller RSTP). Overtegning vil være 5:6.
En sjeldnere, men fortsatt ganske sannsynlig situasjon: T2600G-28SQ er koblet med uavhengige kanaler til en oppstrømssvitsj eller brytere. STP/RSTP-protokollen vil etterlate bare én slik kobling i ublokkert tilstand. Overtegning vil være 5:12.
Oppgave med en stjerne: beregn overabonnement for situasjonene beskrevet i STP-delen, der vi så på et eksempel på topologi når to tilgangssvitsjer er koblet til samme aggregeringsenhet og sammenkoblet.
De programmerbare brikkene som muliggjør så høye overføringshastigheter er en ganske dyr ressurs, så vi prøver å optimalisere bruken ved å fordele ressursene riktig mellom ulike funksjoner. SDM - Switch Database Management er ansvarlig for distribusjon.
Fordelingen gjøres ved hjelp av SDM-profilen. Det er for øyeblikket tre profiler tilgjengelig for bruk, oppført nedenfor.
- Standard tilbyr en balansert løsning for bruk av MAC- og IP-tilgangslister, samt ARP-deteksjonsoppføringer.
- EnterpriseV4 lar deg maksimere ressursene som er tilgjengelige for bruk av MAC- og IP-tilgangslister.
- EnterpriseV6 tildeler noen ressurser for bruk av IPv6-tilgangslister.
Bryteren må startes på nytt for å bruke den nye profilen.
Konklusjon
I samsvar med innledende posisjonering er denne bryteren best egnet for teleoperatører som står overfor oppgaven med å gi nettverkstilgang over lange avstander. Enheten kan brukes både på tilgangsnivå, for eksempel i hyttesamfunn og byhus, og for aggregering av kanaler som kommer fra tilgangsbrytere plassert i leilighetsbygg; det vil si hvor enn tilkoblinger til eksterne objekter er nødvendig. Ved bruk av optiske kommunikasjonskanaler kan den tilkoblede abonnenten være plassert i en avstand på opptil flere kilometer.
På klientsiden kan optiske lenker termineres på små brytere med optiske grensesnitt eller på mediekonvertere.
Et stort antall støttede protokoller og alternativer gjør at T2600G-28SQ kan brukes i en operatørs Ethernet-nettverk med hvilken som helst topologi og ethvert sett med teknologier og tjenester som tilbys. Bryteren administreres eksternt ved hjelp av nettgrensesnittet eller kommandolinjen. Hvis lokal konfigurasjon er nødvendig, kan du bruke konsollporten; T2600G-28SQ-modellen har to av dem: RJ-45 og mikro-USB. Som en liten flue i salven merker vi mangelen på støtte for stabling og en ekstra strømforsyning. Riktignok, vanligvis utenfor datasentrene til leverandører, vil tilstedeværelsen av en andre elektrisk linje være sjelden.
Fordelene inkluderer en lav pris, et stort antall optiske abonnentporter, tilstedeværelsen av 10 GE optiske oppkoblinger, samt fire kombinerte porter og trafikkvideresending med middels hastighet.
Kilde: www.habr.com