Ekspansja dużych miast i powstawanie aglomeracji to dziś jeden z ważnych trendów rozwoju społecznego. Sama Moskwa powinna w 2019 roku powiększyć o 4 miliony metrów kwadratowych mieszkań (nie licząc 15 osiedli, które zostaną dodane do 2020 roku). Na tym rozległym obszarze operatorzy telekomunikacyjni będą musieli zapewnić użytkownikom dostęp do Internetu. Mogą to być albo dzielnice miejskie z gęstą, wielopiętrową zabudową, albo bardziej „zwolnione” wsie z domkami. W takich przypadkach wymagania sprzętowe są nieco inne. Przeanalizowaliśmy każdy z tych scenariuszy i stworzyliśmy uniwersalny model przełącznika optycznego - T2600G-28SQ. W tym poście szczegółowo przeanalizujemy możliwości urządzenia, które zainteresują operatorów telekomunikacyjnych w całej Rosji.
Umieść w sieci
Przełącznik T2600G-28SQ przeznaczony jest zarówno do pracy na poziomie dostępu w sieci, jak i do agregacji łączy z innych przełączników poziomu dostępu. Jest to przełącznik warstwy 2600, który realizuje przełączanie i routing statyczny. Jeśli operator przełączył zarówno agregację, jak i dostęp (routing tylko w rdzeniu sieci), T28G-XNUMXSQ zmieści się na dowolnym poziomie. W przypadku agregacji kierowanej dynamicznie nadal należy wziąć pod uwagę pewne ograniczenia dotyczące przypadków użycia.
Model T2600G-28SQ to pełnoprawny aktywny przełącznik Ethernet bez dodatkowych ograniczeń, które pojawiają się przy zastosowaniu technologii xPON lub podobnych. Na przykład bez groźby gwałtownego spadku prędkości wraz ze wzrostem liczby użytkowników lub słabą kompatybilnością sprzętu różnych dostawców i oprogramowania sprzętowego. Zarówno użytkownicy końcowi, jak i podstawowe przełączniki dostępowe z optycznymi łączami nadrzędnymi, na przykład model T2600G-28TS, mogą łączyć się z interfejsami urządzenia. Poniższy schemat przedstawia najczęstsze przykłady takich połączeń.
Aby uzyskać dostęp do sieci użytkownika końcowego, można zastosować światłowód lub skrętkę komputerową. Po stronie abonenta światłowód można zakończyć albo za pomocą konwertera mediów (media konwertera), na przykład TP-Link MC220L; i wykorzystanie interfejsu optycznego w routerze SOHO.
Do podłączenia pobliskiego klienta można wykorzystać cztery porty RJ-45 pracujące z szybkością 10/100/1000 Mbit/s. Jeśli z jakiegoś powodu to nie wystarczy, operator może „zamienić” interfejsy optyczne przełącznika na miedziane. Można to zrobić za pomocą specjalistycznych „miedzianych” SFP ze złączem RJ-45. Ale takiego rozwiązania nie można nazwać typowym.
Kilka przykładów z praktyki
Aby dopełnić obraz, podamy kilka przykładów zastosowania przełączników T2600G-28SQ.
Dostawca regionu moskiewskiego która oprócz Internetu świadczy usługi telefonii i telewizji kablowej, wykorzystuje T2600G-28SQ na poziomie dostępowym przy budowie sieci w sektorze prywatnym (domki i kamienice). Po stronie klienta połączenie odbywa się z routerami wyposażonymi w port SFP, a także z konwerterami mediów. Na chwilę obecną routery SOHO z portem SFP nie są w naszym kraju produkowane masowo, ale oczywiście myślimy o tym.
Operator telekomunikacyjny z regionu Pavlovo-Posad wykorzystuje przełączniki T2600G-28SQ jako „małą agregację”, wykorzystując do dostępu przełączniki modeli T2600G-28TS i T2500G-10TS.
Grupa spółek zapewniają dostęp do Internetu, telewizję, telefonię i systemy nadzoru wideo w południowo-wschodniej części obwodu moskiewskiego (Kołomna, Łukhovitsy, Zarajsk, Serebryanye Prudy, Ozyory). Przybliżona topologia jest tutaj taka sama jak w przypadku ISS: T2600G-28SQ na poziomie agregacji oraz T2600G-28TS i T2500G-10TS na poziomie dostępu.
Dostawca z Krasnoznamenska zapewnia dostęp do Internetu za pomocą sieci o głębokiej penetracji optycznej. Opiera się również na T2600G-28SQ.
W poniższych sekcjach krótko opiszemy niektóre funkcje T2600G-28SQ. Aby nie zadłużać materiału, pominęliśmy szereg opcji: QinQ (VLAN VPN), routing, QoS itp. Myślimy, że możemy do nich wrócić w jednym z kolejnych wpisów.
Możliwości przełączania
Rezerwacja – STP
STP – protokół drzewa opinającego. Protokół drzewa opinającego jest znany od bardzo dawna, dzięki za to szanowanej Radya Perlman. W nowoczesnych sieciach administratorzy starają się na wszelkie możliwe sposoby unikać używania tego protokołu. Tak, STP nie jest pozbawiony wad. I bardzo dobrze, jeśli istnieje alternatywa. Jednakże, jak to często bywa, alternatywa dla tego protokołu będzie w dużym stopniu zależeć od dostawcy. Dlatego do dziś protokół Spanning Tree pozostaje niemal jedynym rozwiązaniem wspieranym przez niemal wszystkich producentów i znanym także wszystkim administratorom sieci.
Przełącznik TP-Link T2600G-28SQ obsługuje trzy wersje STP: klasyczny STP (IEEE 802.1D), RSTP (802.1W) i MSTP (802.1S).
Spośród tych opcji zwykły RSTP jest odpowiedni dla większości małych dostawców Internetu w Rosji, co ma jedną niezaprzeczalną przewagę nad wersją klasyczną - znacznie krótszy czas konwergencji.
Najbardziej elastycznym protokołem jest obecnie MSTP, który obsługuje sieci wirtualne (VLAN) i pozwala na kilka różnych drzew, co pozwala na wykorzystanie wszystkich dostępnych ścieżek kopii zapasowych. Administrator tworzy kilka różnych instancji drzewa (do ośmiu), z których każda obsługuje określony zestaw sieci wirtualnych.
Subtelności MSTPPoczątkujący administratorzy muszą zachować szczególną ostrożność podczas korzystania z protokołu MSTP. Dzieje się tak, ponieważ zachowanie protokołu różni się w obrębie regionu i pomiędzy regionami. Dlatego konfigurując przełączniki warto zadbać o to, aby pozostać w tym samym regionie.
Co to za region, który cieszy się złą sławą? W terminologii MSTP region to zestaw połączonych ze sobą przełączników, które mają te same cechy: nazwę regionu, numer wersji i rozkład sieci wirtualnych (VLAN) pomiędzy instancjami protokołu (instancjami).
Oczywiście protokół Spanning Tree (dowolna wersja) pozwala nie tylko uporać się z pętlami powstającymi przy podłączaniu kanałów zapasowych, ale także zabezpieczyć się przed błędami przełączania kabli, gdy inżynier celowo lub nieumyślnie podłączy niewłaściwe porty, tworząc pętlę ze swoim działania.
Bardziej doświadczeni administratorzy sieci wolą korzystać z szeregu dodatkowych opcji w celu ochrony protokołu STP przed atakami lub złożonymi sytuacjami awaryjnymi. Model T2600G-28SQ oferuje całą gamę takich możliwości: Loop Protect i Root Protect, TC Guard, BPDU Protect i BPDU Filter.
Właściwe wykorzystanie powyższych opcji w połączeniu z innymi obsługiwanymi mechanizmami ochrony ustabilizuje sieć lokalną i sprawi, że będzie ona bardziej przewidywalna.
Rezerwacja – LGD
LAG – Grupa Agregacji Linków. Jest to technologia, która pozwala połączyć kilka kanałów fizycznych w jeden logiczny. Wszystkie inne protokoły przestają korzystać z kanałów fizycznych wchodzących w skład LAG oddzielnie i zaczynają „widzieć” jeden logiczny interfejs. Przykładem takiego protokołu jest STP.
Ruch użytkowników jest równoważony pomiędzy kanałami fizycznymi w ramach kanałów logicznych na podstawie sumy skrótu. Aby to obliczyć, można wykorzystać adresy MAC nadawcy, odbiorcy lub parę z nich; a także adresy IP nadawcy, odbiorcy lub ich pary. Informacje o protokole warstwy XNUMX (porty TCP/UDP) nie są brane pod uwagę.
Przełącznik T2600G-28SQ obsługuje statyczne i dynamiczne LAG.
Do negocjacji parametrów pracy grupy dynamicznej wykorzystywany jest protokół LACP.
Bezpieczeństwo — listy dostępu (ACL)
Nasz przełącznik T2600G-28SQ umożliwia filtrowanie ruchu użytkowników za pomocą list dostępu (ACL – Access Control List).
Obsługiwane listy dostępu mogą być kilku różnych typów: MAC i IP (IPv4/IPv6), połączone, a także do wykonywania filtrowania treści. Liczba obsługiwanych typów list dostępu zależy od aktualnie używanego szablonu SDM, który opisaliśmy w innym rozdziale.
Operator może wykorzystać tę opcję do blokowania różnego rodzaju niepożądanego ruchu w sieci. Przykładem takiego ruchu mogą być pakiety IPv6 (wykorzystujące pole EtherType), jeśli odpowiednia usługa nie jest świadczona; lub zablokuj SMB na porcie 445. W sieci z adresowaniem statycznym ruch DHCP/BOOTP nie jest wymagany, więc korzystając z listy ACL, administrator może filtrować datagramy UDP na portach 67 i 68. Możesz także blokować lokalny ruch IPoE za pomocą listy ACL. Takie blokowanie może być pożądane w sieciach operatorskich wykorzystujących PPPoE.
Proces korzystania z list dostępowych jest niezwykle prosty. Po utworzeniu samej listy należy dodać do niej wymaganą liczbę rekordów, których typ zależy bezpośrednio od dostosowywanego arkusza.
Konfigurowanie list dostępu
Warto zaznaczyć, że listy dostępowe mogą nie tylko wykonywać zwykłe operacje zezwalania lub blokowania ruchu, ale także go przekierowywać, odzwierciedlać, a także dodawać uwagi czy ograniczać szybkość.
Po utworzeniu wszystkich wymaganych list ACL administrator może je zainstalować. Możliwe jest dołączenie listy dostępowej zarówno do bezpośredniego portu fizycznego, jak i do konkretnej sieci wirtualnej.
Bezpieczeństwo - liczba adresów MAC
Czasami operatorzy muszą ograniczyć liczbę adresów MAC, których przełącznik nauczy się na określonym porcie. Listy dostępowe pozwalają osiągnąć zamierzony efekt, ale jednocześnie wymagają jednoznacznego wskazania samych adresów MAC. Jeśli potrzebujesz jedynie ograniczyć liczbę adresów kanałów, ale nie określasz ich jawnie, na ratunek przyjdzie ochrona portów.
Takie ograniczenie może być wymagane np. w celu zabezpieczenia przed podłączeniem całej sieci lokalnej do jednego interfejsu przełącznika dostawcy. Warto tutaj wspomnieć, że mówimy o połączeniu dial-up, ponieważ łącząc się za pomocą routera po stronie klienta, T2600G-28SQ pozna tylko jeden adres - jest to MAC, który należy do portu WAN routera klienta .
Istnieje cała klasa ataków skierowanych na stół przełączający. Może to być przepełnienie tabeli lub fałszowanie adresów MAC. Opcja zabezpieczenia portu pozwoli Ci zabezpieczyć się przed przepełnieniem tabeli mostka i atakami mającymi na celu celowe przeszkolenie przełącznika i zatrucie jego tabeli mostka.
Nie sposób nie wspomnieć po prostu o wadliwym sprzęcie klienta. Często zdarzają się sytuacje, gdy nieprawidłowo działająca karta sieciowa komputera lub router tworzy strumień ramek z całkowicie dowolnymi adresami nadawcy i odbiorcy. Taki przepływ może łatwo opróżnić CAM.
Innym sposobem ograniczenia liczby używanych wpisów w tabeli mostów jest narzędzie MAC VLAN Security, które umożliwia administratorowi określenie maksymalnej liczby wpisów dla określonej sieci wirtualnej.
Oprócz zarządzania wpisami dynamicznymi w tabeli przełączania administrator może także tworzyć wpisy statyczne.
Maksymalna tabela mostkowa modelu T2600G-28SQ może pomieścić do 16 tys. rekordów.
Kolejną opcją przeznaczoną do filtrowania transmisji ruchu użytkowników jest funkcja Port Isolation, która pozwala jednoznacznie określić, w jakim kierunku dozwolone jest przekazywanie.
Bezpieczeństwo – IMPB
Na rozległych obszarach naszej rozległej ojczyzny podejście operatorów telekomunikacyjnych do kwestii zapewnienia bezpieczeństwa sieci waha się od całkowitej niewiedzy do maksymalnego możliwego wykorzystania wszystkich możliwości obsługiwanych przez sprzęt.
Funkcje IPv4 IMPB (IP-MAC-Port Binding) i IPv6 IMPB umożliwiają ochronę przed całą gamą ataków związanych z fałszowaniem adresów IP i MAC przez abonentów poprzez wiązanie adresów IP i MAC sprzętu klienckiego z interfejs przełącznika dostawcy. To powiązanie można wykonać ręcznie lub przy użyciu funkcji skanowania ARP i DHCP Snooping.
Podstawowe ustawienia IMPB
Aby być uczciwym, należy powiedzieć, że do ochrony protokołu DHCP można zastosować specjalną funkcję - Filtr DHCP.
Korzystając z tej funkcji, administrator sieci może ręcznie określić te interfejsy, do których podłączone są rzeczywiste serwery DHCP. Zapobiegnie to zakłócaniu procesu negocjacji IP przez fałszywe serwery DHCP.
Bezpieczeństwo – obrona DoS
Rozważany model pozwala chronić użytkowników przed kilkoma najbardziej znanymi i wcześniej powszechnymi atakami DoS.
Większość z wymienionych ataków nie jest już wcale niebezpieczna dla urządzeń z nowoczesnymi systemami operacyjnymi, jednak w naszych sieciach nadal można spotkać te, dla których ostatnia aktualizacja oprogramowania została dokonana wiele lat temu.
Obsługa DHCP
Przełącznik TP-Link T2600G-28SQ może pełnić zarówno funkcję serwera DHCP lub przekaźnika, jak i wykonywać różnorodne filtrowanie komunikatów DHCP, jeśli inne urządzenie pełni rolę serwera.
Najłatwiejszym sposobem zapewnienia użytkownikom parametrów IP potrzebnych do działania jest skorzystanie z wbudowanego w przełącznik serwera DHCP. Za jego pomocą można już przekazać abonentom podstawowe parametry.
Podłączyliśmy nasz router Archer C6 SOHO do jednego z interfejsów przełącznika i upewniliśmy się, że urządzenie klienckie pomyślnie otrzymało adres.
To wygląda tak
Serwer DHCP wbudowany w przełącznik nie jest może rozwiązaniem najbardziej skalowalnym i elastycznym: nie ma wsparcia dla opcji niestandardowych i nie ma połączenia z IPAM. Jeżeli operator będzie potrzebował większej kontroli nad procesem dystrybucji adresów IP, wówczas wykorzystany zostanie dedykowany serwer DHCP.
T2600G-28SQ umożliwia określenie osobnego dedykowanego serwera DHCP dla każdej podsieci użytkownika, do którego będą przekierowywane komunikaty omawianego protokołu. Podsieć wybiera się poprzez określenie odpowiedniego interfejsu L3: VLAN (SVI), port routowany lub kanał-port.
Aby przetestować działanie przekaźnika, skonfigurowaliśmy osobny router innego producenta do pracy jako serwer DHCP, którego ustawienia przedstawiono poniżej.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Router kliencki ponownie pomyślnie uzyskał adres IP.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticPod spoilerem - zawartość przechwyconego pakietu pomiędzy przełącznikiem a dedykowanym serwerem DHCP.
Zawartość paczki
Należy zauważyć, że przełącznik obsługuje opcję 82. Po włączeniu przełącznik doda informacje o interfejsie użytkownika, z którego odebrano komunikat DHCP Discover. Dodatkowo model T2600G-28SQ umożliwia skonfigurowanie polityki przetwarzania dodanych informacji przy wstawianiu opcji nr 82. Obecność obsługi tej opcji może być przydatna w sytuacji, gdy abonentowi trzeba nadać ten sam adres IP, niezależnie od tego, jaki identyfikator klienta zgłasza o sobie klient.
Poniższy rysunek przedstawia komunikat DHCP Discover (wysłany przez przekaźnik) z dodaną opcją nr 82.
Wiadomość z opcją nr 82
Oczywiście możesz zarządzać opcją nr 82 bez konfigurowania pełnoprawnego przekaźnika DHCP, odpowiednie ustawienia przedstawiono w podsekcji „Przekaźnik DHCP L2”.
Zmieńmy teraz ustawienia serwera DHCP, aby zademonstrować, jak działa opcja nr 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticLubię to
Funkcja przekaźnika interfejsu DHCP przyda się w sytuacji, gdy przełącznik nie tylko posiada interfejs L3 podłączony do konkretnej sieci, ale interfejs ten posiada także adres IP. Jeśli na takim interfejsie nie ma adresu, na ratunek przyjdzie funkcja przekaźnika DHCP VLAN. Informacje o podsieci w tym przypadku pobierane są z interfejsu domyślnego, czyli przestrzenie adresowe w kilku sieciach wirtualnych będą takie same (nakładanie się).
Często operatorzy muszą także chronić abonentów przed błędną lub złośliwą aktywacją serwera DHCP na sprzęcie klienckim. Postanowiliśmy omówić tę funkcjonalność w jednym z działów poświęconych zagadnieniom bezpieczeństwa.
IEEE 802.1X
Jednym ze sposobów uwierzytelniania użytkowników w sieci jest użycie protokołu IEEE 802.1X. Popularność tego protokołu w sieciach operatorów telekomunikacyjnych w Rosji już spada, nadal wykorzystywany jest głównie w sieciach lokalnych dużych firm do uwierzytelniania wewnętrznych użytkowników organizacji. Przełącznik T2600G-28SQ obsługuje standard 802.1X, więc dostawca może z łatwością z niego skorzystać w razie potrzeby.
Aby protokół IEEE 802.1X mógł działać, wymaganych jest trzech uczestników: sprzęt kliencki (suplikant), przełącznik dostępu dostawcy (authenticator) i serwery uwierzytelniające (zwykle serwery RADIUS).
Podstawowa konfiguracja po stronie operatora jest niezwykle prosta. Wystarczy podać adres IP wykorzystywanego serwera RADIUS, na którym będzie przechowywana baza danych użytkowników, a także wybrać interfejsy, dla których wymagane jest uwierzytelnianie.
Podstawowa konfiguracja 802.1X
Drobna konfiguracja jest również wymagana po stronie klienta. Wszystkie nowoczesne systemy operacyjne zawierają już niezbędne oprogramowanie. Jeśli jednak zajdzie taka potrzeba, możesz zainstalować i używać klienta TP-Link 802.1x - aplikacji umożliwiającej uwierzytelnianie klienta w sieci.
Podłączając komputer użytkownika bezpośrednio do sieci dostawcy, należy aktywować ustawienia uwierzytelniania dla karty sieciowej używanej do połączenia.
Jednak obecnie to nie komputer użytkownika jest zwykle podłączany bezpośrednio do sieci operatora, ale router SOHO zapewniający funkcjonowanie lokalnej sieci abonenta (zarówno segmentu przewodowego, jak i bezprzewodowego). W takim przypadku wszystkie ustawienia protokołu 802.1X należy dokonać bezpośrednio na routerze.
Wydaje nam się, że w sieciach operatorskich niezasłużenie zapomniano o tej metodzie uwierzytelniania. Tak, ścisłe związanie abonenta z portem przełącznika może być rozwiązaniem prostszym z punktu widzenia ustawień sprzętu użytkownika. Jeśli jednak konieczne będzie użycie loginu i hasła, to 802.1X nie będzie aż tak obciążającym protokołem w porównaniu do połączeń wykorzystywanych w oparciu o tunele PPTP/L2TP/PPPoE.
Wstawienie identyfikatora PPPoE
Wielu użytkowników nie tylko w naszym kraju, ale na całym świecie nadal woli posługiwać się wyjątkowo prostymi hasłami. Niestety, przypadki kradzieży danych uwierzytelniających nie są rzadkością. Jeśli operator wykorzystuje w swojej sieci protokół PPPoE do uwierzytelniania użytkowników, to przełącznik TP-Link T2600G-28SQ pomoże rozwiązać problem związany z wyciekiem danych uwierzytelniających. Osiąga się to poprzez dodanie specjalnej etykiety do wiadomości PPPoE Active Discovery. W ten sposób dostawca może uwierzytelnić abonenta nie tylko loginem i hasłem, ale także dodatkowymi danymi. Te dodatkowe dane obejmują adres MAC urządzenia klienckiego, a także interfejs przełącznika, do którego jest ono podłączone.
Niektórzy operatorzy w zasadzie chcą pozbawić abonenta (para loginu i hasła) możliwości poruszania się po sieci. Funkcja wstawiania identyfikatora PPPoE również będzie pomocna w tym przypadku.
IGMP
Protokół IGMP (Internet Group Management Protocol) istnieje od dziesięcioleci. Jego popularność jest całkiem zrozumiała i łatwa do wyjaśnienia. Jednak w interakcję IGMP zaangażowane są dwie strony: komputer użytkownika (lub dowolne inne urządzenie, na przykład STB) i router IP obsługujący określony segment sieci. Switche nie uczestniczą w tej wymianie w żaden sposób. To prawda, że ostatnie stwierdzenie nie jest do końca prawdą. Lub w nowoczesnych sieciach wcale nie jest to prawdą. Przełączniki obsługują protokół IGMP w celu optymalizacji przekazywania ruchu multiemisji. Nasłuchując ruchu użytkowników, przełącznik wykrywa w nim komunikaty IGMP Report, za pomocą których określa porty do przekazywania ruchu multiemisji. Opisana opcja nosi nazwę IGMP Snooping.
Obsługa protokołu IGMP może służyć nie tylko do optymalizacji ruchu jako takiego, ale także do określenia abonentów, którym można świadczyć określoną usługę, na przykład IPTV. Zamierzony cel możesz osiągnąć albo ręcznie ustawiając parametry filtrowania, albo stosując uwierzytelnianie.
Obsługa ruchu multicast na przełącznikach TP-Link jest realizowana dość elastycznie. Na przykład wszystkie parametry można ustawić osobno dla każdej sieci wirtualnej.
Jeśli do jednego interfejsu routera podłączonych jest wiele podsieci zawierających odbiorców ruchu multiemisji, router ten będzie zmuszony do wysyłania wielu kopii pakietów przez ten interfejs (po jednej dla każdej sieci wirtualnej).
W takim przypadku możesz zoptymalizować procedurę przekazywania ruchu multicast przy użyciu technologii MVR - Rejestracja Multicast VLAN.
Istotą rozwiązania jest utworzenie jednej wirtualnej sieci, która jednoczy wszystkich odbiorców. Jednak ta sieć wirtualna jest używana tylko dla ruchu multiemisji. Dzięki takiemu podejściu router może wysyłać przez interfejs tylko jedną kopię ruchu multiemisji.
DDM, OAM i DLDP
DDM – Cyfrowy Monitoring Diagnostyczny. Podczas pracy modułów optycznych często konieczne jest monitorowanie stanu samego modułu, a także kanału optycznego, do którego jest on podłączony. Funkcja DDM pomoże Ci poradzić sobie z tym zadaniem. Za jego pomocą inżynierowie operatorzy będą mogli monitorować temperaturę każdego modułu obsługującego tę funkcjonalność, jego napięcie i prąd, a także moc wysyłanych i odbieranych sygnałów optycznych.
Ustawienie poziomów progowych dla wcześniej opisanych parametrów umożliwi wygenerowanie zdarzenia w przypadku ich wykroczenia poza dopuszczalny zakres.
Ustawianie progów odpowiedzi DDM
Oczywiście administrator może przeglądać aktualne wartości określonych parametrów.
Przełącznik TP-Link T2600G-28SQ posiada aktywny układ chłodzenia powietrzem. Co więcej, nigdy nie spotkaliśmy się z przegrzaniem modułów SFP w naszych przełącznikach z powodu gęstości portów. Jeśli jednak czysto teoretycznie dopuszczana jest taka możliwość (np. ze względu na jakiś problem wewnątrz modułu SFP), to przy pomocy DDM administrator zostanie natychmiast powiadomiony o potencjalnie niebezpiecznej sytuacji. Niebezpieczeństwo nie dotyczy oczywiście samego przełącznika, ale diody/lasera wewnątrz SFP, ponieważ wraz ze wzrostem jego temperatury moc emitowanego sygnału optycznego może się pogorszyć, co doprowadzi do zmniejszenia budżetu optycznego.
Warto tutaj zaznaczyć, że przełączniki TP-Link nie posiadają „funkcji blokady dostawcy”, czyli obsługiwane są dowolne kompatybilne moduły SFP, co oczywiście będzie bardzo wygodne dla administratorów sieci.
OAM — obsługa, administracja i konserwacja (IEEE 802.3ah). OAM to protokół drugiej warstwy modelu OSI przeznaczony do monitorowania i rozwiązywania problemów w sieciach Ethernet. Korzystając z tego protokołu, przełącznik może monitorować wydajność określonego połączenia i błędy oraz generować alerty, dzięki czemu administrator sieci może efektywniej zarządzać siecią.
Podstawowa konfiguracja OAM
Szczegóły funkcjonalne OAMDwa sąsiednie urządzenia obsługujące technologię OAM okresowo wymieniają komunikaty, wysyłając jednostki OAMPDU, które są dostępne w trzech typach: informacyjne, powiadamiające o zdarzeniach i kontroli pętli zwrotnej. Korzystając z informacyjnych jednostek OAMPDU, sąsiednie przełączniki przesyłają sobie nawzajem informacje statystyczne oraz dane zdefiniowane przez administratora. Wiadomość tego typu wykorzystywana jest także do utrzymywania połączenia poprzez protokół OAM. Komunikaty powiadomień o zdarzeniach są wykorzystywane przez funkcję monitorowania połączenia do powiadamiania drugiej strony o wystąpieniu awarii. Komunikaty kontroli pętli zwrotnej służą do wykrywania pętli na linii.
Poniżej postanowiliśmy wymienić główne funkcje udostępniane przez protokół OAM:
- monitorowanie środowiska (wykrywanie i zliczanie uszkodzonych ramek),
- RFI – Remote Failure Indication (wysłanie powiadomienia o awarii na kanale),
- Remote Loopback (testowanie kanału w celu pomiaru opóźnienia, zmienności opóźnienia (jitter), liczby utraconych klatek).
Inną opcją wymaganą w przypadku przełączników optycznych jest możliwość wykrywania problemów w kanale komunikacyjnym, co prowadzi do tego, że kanał staje się simpleksowy, to znaczy dane mogą być przesyłane tylko w jednym kierunku. Nasze przełączniki wykorzystują protokół DLDP – Device Link Detection Protocol do wykrywania łączy jednokierunkowych. Gwoli ścisłości warto zaznaczyć, że protokół DLDP obsługiwany jest zarówno na interfejsach optycznych, jak i miedzianych, choć naszym zdaniem najpopularniejszy będzie przy wykorzystaniu łączy światłowodowych.
Po wykryciu łącza jednokierunkowego przełącznik może automatycznie zamknąć problematyczny interfejs, co doprowadzi do odbudowania drzewa STP i wykorzystania zapasowych kanałów komunikacyjnych.
W naszym arsenale znajdują się moduły SFP odbierające i przesyłające sygnały jednym włóknem. Działają wyłącznie parami i do transmisji w parze wykorzystują sygnały optyczne o różnych długościach fal. Przykładem jest para TL-SM321A i TL-SM321B. Przy zastosowaniu takich modułów uszkodzenie jednego włókna doprowadzi do całkowitej niesprawności całego kanału optycznego. Jednak nawet na takich kanałach protokół DLDP będzie pożądany, ponieważ chociaż zdarza się to niezwykle rzadko, kanał może mieć inną charakterystykę przezroczystości dla różnych długości fal. Bardziej prawdopodobnym problemem jest to, że przezroczystość kanału zmienia się w zależności od kierunku propagacji światła. Reflektogram pomoże wykryć te problemy, ale to zupełnie inna historia.
LLDP
W dużych sieciach korporacyjnych lub operatorskich okresowo pojawiają się problemy związane z dezaktualizacją dokumentacji sieciowej lub nieścisłościami w jej przygotowaniu. Administrator sieci może znaleźć się w sytuacji, w której konieczne będzie sprawdzenie, który sprzęt operatora jest faktycznie podłączony do konkretnego interfejsu przełącznika. Na ratunek przyjdzie LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).
Parametry działania LLDP
Nasze przełączniki obsługują LLDP nie tylko w celu wykrywania sąsiadujących przełączników lub innych urządzeń sieciowych, ale także w celu określenia ich możliwości.
Miedziane odpowiedniki naszych przełączników mogą wykorzystywać LLDP-MED w celu uproszczenia procedury podłączania telefonów IP. Ponadto wykorzystując tę opcję, switch PoE może negocjować parametry zasilania z zasilanym urządzeniem. Mówiliśmy już o tym szczegółowo w jednym z naszych .
SDM i nadsubskrypcja
Prawie wszystkie nowoczesne przełączniki przetwarzają przesyłane ramki i pakiety bez użycia centralnego procesora. Przetwarzanie (obliczanie sum kontrolnych, stosowanie list dostępowych i wykonywanie innych kontroli bezpieczeństwa, a także podejmowanie decyzji o przełączaniu/routowaniu) odbywa się przy użyciu wyspecjalizowanych chipów, co pozwala na uzyskanie dużych prędkości transmisji ruchu użytkowników. Omawiany przełącznik umożliwia przetwarzanie ruchu ze średnią szybkością. Oznacza to, że wydajność urządzenia jest wystarczająca, aby przesyłać dane z największą możliwą szybkością na wszystkich portach jednocześnie. Model T2600G-28SQ posiada 24 porty downlink (w kierunku użytkowników), działające z szybkością 1 Gbit/s, a także 4 porty uplink (w stronę rdzenia sieci) o szybkości 10 Gbit/s. Jednocześnie wydajność magistrali przełączającej wynosi 128 Gbit/s, co jest wystarczające do przetworzenia maksymalnej ilości ruchu przychodzącego.
Gwoli ścisłości warto zaznaczyć, że wydajność macierzy przełączającej wynosi 95,2 mln pakietów na sekundę. Oznacza to, że przy zastosowaniu minimalnej możliwej liczby ramek o długości zaledwie 64 bajtów całkowita wydajność urządzenia wyniesie 97,5 Gbit/s. Jednak taki profil ruchu jest prawie niemożliwy w przypadku sieci operatorów telekomunikacyjnych.
Co to jest nadsubskrypcjaKolejną ważną kwestią jest stosunek prędkości kanałów upstream i downstream (nadsubskrypcja). Tutaj oczywiście wszystko zależy od topologii. Jeżeli administrator do połączenia z rdzeniem sieci wykorzysta wszystkie cztery interfejsy 10 GE i połączy je przy pomocy technologii LAG (Link Aggregation Group) lub Port-Channel, to statystycznie uzyskana prędkość w kierunku rdzenia wyniesie 40 Gbit/s, co będzie więcej niż wystarczająco, aby zaspokoić potrzeby wszystkich podłączonych abonentów. Co więcej, nie jest konieczne, aby wszystkie cztery łącza nadrzędne łączyły się z jednym urządzeniem fizycznym. Połączenie można nawiązać ze stosem przełączników lub z dwoma urządzeniami połączonymi w klaster (przy użyciu technologii vPC lub podobnej). W tym przypadku nie ma mowy o nadsubskrypcji.
Możesz używać wszystkich czterech uplinków jednocześnie, nie tylko łącząc je za pomocą LAG. Podobny efekt można osiągnąć odpowiednio konfigurując MSTP, ale to już zupełnie inna historia.
Drugą powszechnie stosowaną metodą połączenia L2 jest użycie dwóch niezależnych grup LAG (po jednej dla każdego przełącznika agregującego). W takim przypadku najprawdopodobniej jedno z łączy wirtualnych zostanie zablokowane przez protokół STP (w przypadku korzystania z protokołu STP lub RSTP). Nadsubskrypcja wyniesie 5:6.
Rzadsza, ale wciąż dość prawdopodobna sytuacja: T2600G-28SQ jest podłączony niezależnymi kanałami do poprzedzającego przełącznika lub przełączników. Protokół STP/RSTP pozostawi tylko jedno takie łącze w stanie odblokowanym. Nadsubskrypcja wyniesie 5:12.
Zadanie z gwiazdką: oblicz nadsubskrypcję dla sytuacji opisanych w sekcji STP, gdzie przyjrzeliśmy się przykładowej topologii, gdy dwa przełączniki dostępowe są podłączone do tego samego urządzenia agregującego i połączone ze sobą.
Programowalne chipy, które umożliwiają tak duże prędkości transferu, są dość drogim zasobem, dlatego staramy się optymalizować ich wykorzystanie, odpowiednio rozdzielając zasoby pomiędzy różne funkcje. Za dystrybucję odpowiada SDM - Switch Database Management.
Dystrybucja odbywa się przy wykorzystaniu profilu SDM. Obecnie dostępne są trzy profile, wymienione poniżej.
- Default oferuje zrównoważone rozwiązanie do korzystania z list dostępu MAC i IP, a także wpisów wykrywających ARP.
- EnterpriseV4 pozwala zmaksymalizować zasoby dostępne do wykorzystania przez listy dostępu MAC i IP.
- EnterpriseV6 przydziela część zasobów do wykorzystania przez listy dostępu IPv6.
Aby zastosować nowy profil, należy ponownie uruchomić przełącznik.
wniosek
Zgodnie z pierwotnym położeniem przełącznik ten najlepiej sprawdzi się dla operatorów telekomunikacyjnych, którzy stoją przed zadaniem zapewnienia dostępu do sieci na duże odległości. Urządzenie można zastosować zarówno na poziomie dostępowym np. w osiedlach domków letniskowych i kamienicach, jak i do agregacji kanałów pochodzących z przełączników dostępowych zlokalizowanych w apartamentowcach; czyli wszędzie tam, gdzie wymagane są połączenia z odległymi obiektami. W przypadku korzystania z optycznych kanałów komunikacji podłączony abonent może znajdować się w odległości nawet kilku kilometrów.
Po stronie klienta łącza optyczne można zakończyć na małych przełącznikach z interfejsami optycznymi lub na konwerterach mediów.
Duża liczba obsługiwanych protokołów i opcji umożliwi wykorzystanie T2600G-28SQ w sieci Ethernet operatora o dowolnej topologii oraz dowolnym zestawie zastosowanych technologii i świadczonych usług. Przełącznikiem można zarządzać zdalnie za pomocą interfejsu internetowego lub wiersza poleceń. Jeżeli konieczna jest konfiguracja lokalna, można wykorzystać port konsoli, model T2600G-28SQ posiada dwa z nich: RJ-45 oraz micro-USB. Jako małą muchę w maści odnotowujemy brak wsparcia dla stackowania i drugiego zasilacza. To prawda, że zwykle poza centrami danych dostawców obecność drugiej linii elektrycznej będzie rzadka.
Do jego zalet należy niska cena, duża liczba abonenckich portów optycznych, obecność optycznych uplinków 10 GE, a także cztery połączone porty i przekazywanie ruchu ze średnią prędkością.
Źródło: www.habr.com