A expansão das grandes cidades e a formação de aglomerações é uma das tendências importantes do desenvolvimento social hoje. Só Moscovo deverá expandir 2019 milhões de metros quadrados de habitação em 4 (e isto sem contar os 15 assentamentos que serão adicionados até 2020). Em todo este vasto território, os operadores de telecomunicações terão de proporcionar aos utilizadores acesso à Internet. Podem ser microdistritos urbanos com edifícios densos de vários andares ou vilas rurais mais “descarregadas”. Para estes casos, os requisitos de hardware são ligeiramente diferentes. Analisamos cada um desses cenários e criamos um modelo de switch óptico universal – T2600G-28SQ. Neste post analisaremos detalhadamente as capacidades do dispositivo que será do interesse das operadoras de telecomunicações em toda a Rússia.
Coloque na rede
O switch T2600G-28SQ foi projetado tanto para operação em nível de acesso na rede quanto para agregação de links de outros switches de nível de acesso. Este é um switch de camada 2600 que realiza comutação e roteamento estático. Caso a operadora tenha trocado agregação e acesso (roteamento apenas no núcleo da rede), o T28G-XNUMXSQ se enquadrará em qualquer um dos níveis. No caso de agregação roteada dinamicamente, você ainda precisa levar em consideração algumas restrições nos casos de uso.
O modelo T2600G-28SQ é um switch Ethernet ativo completo, sem restrições adicionais que aparecem ao usar xPON ou tecnologias semelhantes. Por exemplo, sem a ameaça de queda acentuada na velocidade com aumento do número de usuários ou baixa compatibilidade entre equipamentos de diferentes fornecedores e firmware. Tanto os usuários finais quanto os switches de acesso subjacentes com uplinks ópticos, por exemplo, o modelo T2600G-28TS, podem se conectar às interfaces do dispositivo. O diagrama abaixo mostra os exemplos mais comuns de tais conexões.
Para acessar a rede do usuário final, pode-se utilizar fibra óptica ou cabo de par trançado. Do lado do assinante, a fibra óptica pode ser terminada usando um conversor de mídia (conversor de mídia), por exemplo, TP-Link MC220L; e usando a interface óptica em um roteador SOHO.
Para conectar um cliente próximo, você pode usar quatro portas RJ-45 operando em velocidades de 10/100/1000 Mbit/s. Se por algum motivo isso não for suficiente, a operadora pode “converter” as interfaces ópticas do switch para cobre. Isso pode ser feito usando SFPs de “cobre” especializados com um conector RJ-45. Mas tal solução não pode ser chamada de típica.
Alguns exemplos da prática
Para completar, daremos vários exemplos de uso dos switches T2600G-28SQ.
Provedor da região de Moscou , que, além da Internet, presta serviços de telefonia e TV a cabo, utiliza o T2600G-28SQ no nível de acesso na construção de redes no setor privado (chalés e sobrados). Do lado do cliente, a conexão é feita a roteadores com porta SFP, além de conversores de mídia. No momento, os roteadores SOHO com porta SFP não são produzidos em massa em nosso país, mas estamos, é claro, pensando nisso.
Operadora de telecomunicações da região Pavlovo-Posad utiliza switches T2600G-28SQ como uma “pequena agregação”, utilizando switches dos modelos T2600G-28TS e T2500G-10TS para acesso.
Grupo de empresas fornecer sistemas de acesso à Internet, TV, telefonia e videovigilância no sudeste da região de Moscou (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). A topologia aproximada aqui é a mesma do ISS: T2600G-28SQ no nível de agregação e T2600G-28TS e T2500G-10TS no nível de acesso.
Provedor de Krasnoznamensk fornece acesso à Internet usando uma rede com profunda penetração óptica. Também é baseado no T2600G-28SQ.
Nas seções a seguir descreveremos brevemente alguns dos recursos do T2600G-28SQ. Para não sobrecarregar o material, deixamos algumas opções de fora: QinQ (VLAN VPN), roteamento, QoS, etc.
Capacidades de comutação
Reserva – STP
STP – Protocolo Spanning Tree. O protocolo spanning tree é conhecido há muito tempo, graças à respeitada Radya Perlman por isso. Nas redes modernas, os administradores tentam de todas as maneiras evitar o uso deste protocolo. Sim, o STP tem suas desvantagens. E é muito bom se houver uma alternativa para isso. No entanto, como costuma acontecer, a alternativa a este protocolo dependerá muito do fornecedor. Portanto, até hoje, o Spanning Tree Protocol continua sendo quase a única solução suportada por quase todos os fabricantes e também conhecida por todos os administradores de rede.
O switch TP-Link T2600G-28SQ suporta três versões de STP: STP clássico (IEEE 802.1D), RSTP (802.1W) e MSTP (802.1S).
Dessas opções, o RSTP regular é bastante adequado para a maioria dos pequenos provedores de Internet na Rússia, que tem uma vantagem inegável sobre a versão clássica - um tempo de convergência significativamente menor.
O protocolo mais flexível atualmente é o MSTP, que suporta redes virtuais (VLANs) e permite diversas árvores diferentes, o que permite utilizar todos os caminhos de backup disponíveis. O administrador cria diversas instâncias de árvore diferentes (até oito), cada uma servindo um conjunto específico de redes virtuais.
Sutilezas do MSTPOs administradores novatos precisam ter muito cuidado ao usar o MSTP. Isso ocorre porque o comportamento do protocolo difere dentro de uma região e entre regiões. Portanto, ao configurar switches, vale a pena permanecer na mesma região.
O que é esta região notória? Em termos de MSTP, uma região é um conjunto de switches conectados entre si que possuem as mesmas características: nome da região, número de revisão e distribuição de redes virtuais (VLANs) entre instâncias de protocolo (instâncias).
Obviamente, o protocolo Spanning Tree (qualquer versão) permite não apenas lidar com loops que surgem ao conectar canais de backup, mas também proteger contra erros de comutação de cabos quando um engenheiro conecta intencionalmente ou não as portas erradas, criando um loop com seu ações.
Administradores de rede mais experientes preferem usar uma variedade de opções adicionais para proteger o protocolo STP contra ataques ou situações de desastre complexas. O modelo T2600G-28SQ oferece uma ampla gama de recursos: Loop Protect e Root Protect, TC Guard, BPDU Protect e BPDU Filter.
O uso adequado das opções listadas acima em conjunto com outros mecanismos de proteção suportados estabilizará a rede local e a tornará mais previsível.
Reserva – LAG
LAG – Grupo de agregação de links. Esta é uma tecnologia que permite combinar vários canais físicos em um só lógico. Todos os outros protocolos param de usar os canais físicos incluídos no LAG separadamente e começam a “ver” uma interface lógica. Um exemplo desse protocolo é o STP.
O tráfego do usuário é equilibrado entre canais físicos dentro de canais lógicos com base na soma de hash. Para calculá-lo, podem ser usados os endereços MAC do remetente, do destinatário ou de um par deles; bem como os endereços IP do remetente, destinatário ou dois deles. As informações do protocolo da camada XNUMX (portas TCP/UDP) não são levadas em consideração.
O switch T2600G-28SQ oferece suporte a LAGs estáticos e dinâmicos.
Para negociar os parâmetros operacionais de um grupo dinâmico, é utilizado o protocolo LACP.
Segurança – Listas de Acesso (ACLs)
Nosso switch T2600G-28SQ permite filtrar o tráfego de usuários usando listas de acesso (ACL - Access Control List).
As listas de acesso suportadas podem ser de vários tipos diferentes: MAC e IP (IPv4/IPv6), combinadas, e também para realizar filtragem de conteúdo. O número de cada tipo de lista de acesso suportado depende do modelo SDM atualmente em uso, que descrevemos em outra seção.
A operadora pode usar esta opção para bloquear vários tráfegos indesejados na rede. Um exemplo desse tráfego seriam os pacotes IPv6 (usando o campo EtherType) se o serviço correspondente não for fornecido; ou bloquear SMB na porta 445. Em uma rede com endereçamento estático, o tráfego DHCP/BOOTP não é necessário, portanto, usando uma ACL, o administrador pode filtrar datagramas UDP nas portas 67 e 68. Você também pode bloquear o tráfego IPoE local usando uma ACL. Esse bloqueio pode ser solicitado em redes de operadoras que usam PPPoE.
O processo de utilização de listas de acesso é extremamente simples. Depois de criar a lista propriamente dita, é necessário adicionar a ela a quantidade necessária de registros, cujo tipo depende diretamente da planilha que está sendo customizada.
Configurando listas de acesso
Vale ressaltar que as listas de acesso podem realizar não apenas as operações usuais de permitir ou negar tráfego, mas também redirecioná-lo, espelhá-lo, e também realizar remarking ou limitação de taxa.
Depois que todas as ACLs necessárias forem criadas, o administrador poderá instalá-las. É possível anexar uma lista de acesso a uma porta física direta e a uma rede virtual específica.
Segurança - número de endereços MAC
Às vezes, as operadoras precisam limitar o número de endereços MAC que um switch aprenderá em uma porta específica. As listas de acesso permitem atingir o efeito especificado, mas ao mesmo tempo exigem uma indicação explícita dos próprios endereços MAC. Se você precisar apenas limitar o número de endereços de canal, mas não especificá-los explicitamente, a segurança da porta virá em seu socorro.
Tal restrição pode ser necessária, por exemplo, para proteger contra a conexão de uma rede local inteira a uma interface de switch de provedor. Vale ressaltar aqui que estamos falando de uma conexão dial-up, pois ao conectar usando um roteador do lado cliente, o T2600G-28SQ aprenderá apenas um endereço - este é o MAC que pertence à porta WAN do roteador cliente .
Existe toda uma classe de ataques direcionados contra a mesa de comutação. Isso pode ser um estouro de tabela ou falsificação de MAC. A opção de segurança de porta permitirá que você proteja contra estouro de tabela de ponte e ataques destinados a retreinar deliberadamente o switch e envenenar sua tabela de ponte.
É impossível não mencionar simplesmente equipamentos clientes defeituosos. Freqüentemente, há situações em que uma placa de rede ou roteador de computador com defeito cria um fluxo de quadros com endereços de remetente e destinatário completamente arbitrários. Tal fluxo pode drenar facilmente o CAM.
Outra forma de limitar o número de entradas da tabela de pontes usadas é a ferramenta MAC VLAN Security, que permite que um administrador especifique o número máximo de entradas para uma rede virtual específica.
Além de gerenciar entradas dinâmicas na tabela de comutação, o administrador também pode criar entradas estáticas.
A tabela de ponte máxima do modelo T2600G-28SQ pode acomodar até 16K registros.
Outra opção projetada para filtrar a transmissão do tráfego do usuário é a função Port Isolation, que permite especificar explicitamente em qual direção o encaminhamento é permitido.
Segurança – IMPB
Nas vastas extensões da nossa vasta pátria, a abordagem dos operadores de telecomunicações às questões de garantia da segurança da rede varia desde o total desconhecimento até à utilização máxima possível de todas as opções suportadas pelos equipamentos.
As funções IPv4 IMPB (IP-MAC-Port Binding) e IPv6 IMPB permitem proteger contra toda uma gama de ataques relacionados à falsificação de endereços IP e MAC por parte dos assinantes, vinculando os endereços IP e MAC dos equipamentos clientes a interface de switch do provedor. Essa ligação pode ser feita manualmente ou usando as funções ARP Scanning e DHCP Snooping.
Configurações básicas do IMPB
Para ser justo, deve-se dizer que uma função especial pode ser usada para proteger o protocolo DHCP - Filtro DHCP.
Usando esta função, o administrador da rede pode especificar manualmente as interfaces às quais os servidores DHCP reais estão conectados. Isso impedirá que servidores DHCP não autorizados interfiram no processo de negociação de IP.
Segurança – Defesa DoS
O modelo em consideração permite-nos proteger os utilizadores de vários dos ataques DoS mais conhecidos e anteriormente difundidos.
A maioria dos ataques listados não são mais perigosos para dispositivos com sistemas operacionais modernos, mas nossas redes ainda podem encontrar aqueles para os quais a última atualização de software foi feita há muitos anos.
Suporte DHCP
O switch TP-Link T2600G-28SQ pode atuar como servidor ou retransmissor DHCP e realizar diversas filtragens de mensagens DHCP se outro dispositivo atuar como servidor.
A maneira mais fácil de fornecer aos usuários os parâmetros IP necessários para operar é usar o servidor DHCP integrado do switch. Com sua ajuda, os parâmetros básicos já podem ser fornecidos aos assinantes.
Conectamos nosso roteador Archer C6 SOHO a uma das interfaces do switch e garantimos que o dispositivo cliente recebeu um endereço com sucesso.
Se parece com isso
O servidor DHCP integrado ao switch talvez não seja a solução mais escalonável e flexível: não há suporte para opções fora do padrão e não há conexão com IPAM. Se a operadora precisar de mais controle sobre o processo de distribuição de endereços IP, um servidor DHCP dedicado será usado.
O T2600G-28SQ permite especificar um servidor DHCP dedicado separado para cada sub-rede de usuário para o qual as mensagens do protocolo em discussão serão redirecionadas. A sub-rede é selecionada especificando a interface L3 apropriada: VLAN (SVI), porta roteada ou canal de porta.
Para testar o funcionamento do relé, configuramos um roteador separado de outro fornecedor para funcionar como servidor DHCP, cujas configurações são apresentadas a seguir.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8O roteador cliente obteve novamente um endereço IP com sucesso.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSob o spoiler está o conteúdo do pacote interceptado entre o switch e um servidor DHCP dedicado.
Conteúdo do pacote
Deve-se observar que o switch oferece suporte à opção 82. Quando ativado, o switch adicionará informações sobre a interface do usuário da qual a mensagem DHCP Discover foi recebida. Além disso, o modelo T2600G-28SQ permite configurar a política de processamento de informações adicionadas ao inserir a opção nº 82. A presença de suporte para esta opção pode ser útil em uma situação em que o assinante precisa receber o mesmo endereço IP, independentemente do ID do cliente que o cliente informa sobre si mesmo.
A figura abaixo mostra uma mensagem DHCP Discover (enviada por retransmissão) com a opção nº 82 adicionada.
Mensagem com opção nº 82
Claro, você pode gerenciar a opção nº 82 sem configurar um relé DHCP completo; as configurações correspondentes são apresentadas na subseção “DHCP L2 Relay”.
Agora vamos alterar as configurações do servidor DHCP para demonstrar como funciona a opção nº 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticÉ sobre
A função de retransmissão da interface DHCP será útil em uma situação em que o switch não apenas possui uma interface L3 conectada a uma rede específica, mas essa interface também possui um endereço IP. Se não houver endereço em tal interface, a função de retransmissão DHCP VLAN virá em socorro. As informações sobre a sub-rede, neste caso, são retiradas da interface padrão, ou seja, os espaços de endereço em diversas redes virtuais serão iguais (sobreposição).
Freqüentemente, as operadoras também precisam proteger os assinantes contra ativação errônea ou maliciosa do servidor DHCP no equipamento do cliente. Decidimos discutir esta funcionalidade em uma das seções dedicadas a questões de segurança.
IEEE802.1X
Uma forma de autenticar usuários em uma rede é usar o protocolo IEEE 802.1X. A popularidade deste protocolo nas redes das operadoras de telecomunicações da Rússia já está em declínio, ainda é utilizado principalmente nas redes locais de grandes empresas para autenticar usuários internos da organização. O switch T2600G-28SQ possui suporte 802.1X, para que o provedor possa usá-lo facilmente, se necessário.
Para que o protocolo IEEE 802.1X funcione, são necessários três participantes: equipamento cliente (suplicante), switch de acesso do provedor (autenticador) e servidores de autenticação (geralmente servidores RADIUS).
A configuração básica do lado do operador é extremamente simples. Basta especificar o endereço IP do servidor RADIUS utilizado, no qual será armazenado o banco de dados do usuário, e também selecionar as interfaces para as quais a autenticação é necessária.
Configuração básica de 802.1X
A configuração secundária também é necessária no lado do cliente. Todos os sistemas operacionais modernos já contêm o software necessário. Mas se necessário, você pode instalar e usar o TP-Link 802.1x Client - um aplicativo que permite autenticar um cliente na rede.
Ao conectar o PC de um usuário diretamente à rede do provedor, as configurações de autenticação devem ser ativadas para a placa de rede usada para a conexão.
No entanto, atualmente, não é o computador do usuário que normalmente está conectado diretamente à rede da operadora, mas um roteador SOHO que garante o funcionamento da rede local do assinante (segmentos com e sem fio). Neste caso, todas as configurações do protocolo 802.1X devem ser feitas diretamente no roteador.
Parece-nos que este método de autenticação foi esquecido imerecidamente nas redes das operadoras. Sim, vincular estritamente um assinante a uma porta de switch pode ser uma solução mais simples do ponto de vista das configurações do equipamento do usuário. Mas se for necessário o uso de login e senha, então o 802.1X não será um protocolo tão pesado se comparado às conexões utilizadas baseadas em túneis PPTP/L2TP/PPPoE.
Inserção de ID PPPoE
Muitos usuários não só em nosso país, mas em todo o mundo ainda preferem usar senhas extremamente simples. E casos de roubo de credenciais, infelizmente, não são incomuns. Se a operadora usar o protocolo PPPoE em sua rede para autenticar usuários, o switch TP-Link T2600G-28SQ ajudará a resolver o problema associado ao vazamento de credenciais. Isto é conseguido adicionando um rótulo especial à mensagem PPPoE Active Discovery. Desta forma, o provedor pode autenticar o assinante não apenas por login e senha, mas também por dados adicionais. Esses dados adicionais incluem o endereço MAC do dispositivo cliente, bem como a interface do switch à qual ele está conectado.
Algumas operadoras, a princípio, desejam negar ao assinante (um par de login e senha) a capacidade de navegar na rede. A função de inserção de ID PPPoE também ajudará neste caso.
IGMP
O IGMP (Internet Group Management Protocol) existe há décadas. Sua popularidade é bastante compreensível e facilmente explicável. Mas há duas partes envolvidas na interação IGMP: o PC do usuário (ou qualquer outro dispositivo, por exemplo, um STB) e o roteador IP que atende um segmento de rede específico. Os switches não participam dessa troca de forma alguma. É verdade que a última afirmação não é inteiramente verdadeira. Ou nas redes modernas isso não é verdade. Os switches suportam IGMP para otimizar o encaminhamento de tráfego multicast. Ao ouvir o tráfego do usuário, o switch detecta mensagens de relatório IGMP nele, com a ajuda das quais determina portas para encaminhamento de tráfego multicast. A opção descrita é chamada IGMP Snooping.
O suporte ao protocolo IGMP pode ser usado não apenas para otimizar o tráfego como tal, mas também para determinar os assinantes que podem receber um determinado serviço, por exemplo, IPTV. Você pode atingir o objetivo desejado definindo manualmente os parâmetros de filtragem ou usando autenticação.
O suporte para tráfego multicast em switches TP-Link é implementado de forma bastante flexível. Por exemplo, todos os parâmetros podem ser definidos para cada rede virtual separadamente.
Se diversas sub-redes contendo destinatários de tráfego multicast estiverem conectadas a uma interface de roteador, esse roteador será forçado a enviar diversas cópias de pacotes por meio dessa interface (uma para cada rede virtual).
Neste caso, você pode otimizar o procedimento de encaminhamento de tráfego multicast utilizando a tecnologia MVR - Multicast VLAN Registration.
A essência da solução é criar uma rede virtual que una todos os destinatários. No entanto, esta rede virtual é utilizada apenas para tráfego multicast. Esta abordagem permite que o roteador envie apenas uma cópia do tráfego multicast através da interface.
DDM, OAM e DLDP
DDM – Monitoramento Diagnóstico Digital. Durante a operação de módulos ópticos, muitas vezes é necessário monitorar a condição do próprio módulo, bem como do canal óptico ao qual ele está conectado. A função DDM irá ajudá-lo a lidar com esta tarefa. Com sua ajuda, os engenheiros operadores poderão monitorar a temperatura de cada módulo que suporta esta funcionalidade, sua tensão e corrente, bem como a potência dos sinais ópticos enviados e recebidos.
Definir níveis de limite para os parâmetros descritos anteriormente permitirá gerar um evento se eles estiverem fora do intervalo aceitável.
Configurando limites de resposta do DDM
Naturalmente, o administrador pode visualizar os valores atuais dos parâmetros especificados.
O switch TP-Link T2600G-28SQ possui um sistema de refrigeração de ar ativo. Além disso, nunca encontramos superaquecimento de módulos SFP em nossos switches devido à densidade das portas. Porém, se, puramente em teoria, tal possibilidade for permitida (por exemplo, devido a algum problema dentro do módulo SFP), então com a ajuda do DDM o administrador será imediatamente notificado de uma situação potencialmente perigosa. O perigo aqui, obviamente, não é do switch em si, mas do diodo/laser dentro do SFP, pois à medida que sua temperatura aumenta, a potência do sinal óptico emitido pode degradar, o que levará a uma diminuição no orçamento óptico.
É importante notar aqui que os switches TP-Link não possuem uma “função” de bloqueio de fornecedor, ou seja, quaisquer módulos SFP compatíveis são suportados, o que, claro, será muito conveniente para administradores de rede.
OAM - Operação, Administração e Manutenção (IEEE 802.3ah). OAM é um protocolo de segunda camada do modelo OSI projetado para monitorar e solucionar problemas de redes Ethernet. Utilizando este protocolo, o switch pode monitorar o desempenho de uma conexão específica e erros, além de gerar alertas para que o administrador da rede possa gerenciar a rede com mais eficiência.
Configuração básica do OAM
Detalhes funcionais do OAMDois dispositivos vizinhos habilitados para OAM trocam mensagens periodicamente enviando OAMPDUs, que vêm em três tipos: Informativo, Notificação de Evento e Controle de Loopback. Usando OAMPDUs informativos, os switches vizinhos enviam informações estatísticas entre si, bem como dados definidos pelo administrador. Este tipo de mensagem também é utilizado para manter uma conexão via protocolo OAM. As mensagens de notificação de eventos são usadas pela função de monitoramento de conexão para notificar a outra parte sobre a ocorrência de falhas. Mensagens de controle de loopback são usadas para detectar um loop em uma linha.
Abaixo decidimos listar os principais recursos fornecidos pelo protocolo OAM:
- monitoramento ambiental (detecção e contagem de frames quebrados),
- RFI – Indicação Remota de Falha (envio de notificação de falha no canal),
- Loopback remoto (teste de canal para medir latência, variação de atraso (jitter), número de quadros perdidos).
Outra opção muito procurada nos switches ópticos é a capacidade de detectar problemas no canal de comunicação, fazendo com que o canal se torne simplex, ou seja, os dados só podem ser enviados em uma direção. Nossos switches utilizam o DLDP - Device Link Detection Protocol para detectar links unidirecionais. Para ser justo, é importante notar que o protocolo DLDP é compatível com interfaces ópticas e de cobre, mas, em nossa opinião, será mais popular ao usar linhas de fibra óptica.
Quando um link unidirecional é detectado, o switch pode desligar automaticamente a interface problemática, o que levará à reconstrução da árvore STP e ao uso de canais de comunicação de backup.
Em nosso arsenal existem módulos SFP que recebem e transmitem sinais através de uma fibra. Eles operam exclusivamente em pares e utilizam sinais ópticos em diferentes comprimentos de onda para transmissão dentro do par. Um exemplo é o par TL-SM321A e TL-SM321B. Ao usar tais módulos, danos a uma fibra levarão à completa inoperabilidade de todo o canal óptico. Porém, mesmo nesses canais o protocolo DLDP será solicitado, pois, embora isso aconteça muito raramente, o canal pode ter diferentes características de transparência para diferentes comprimentos de onda. Um problema mais provável é que a transparência do canal varia dependendo da direção de propagação da luz. Um reflectograma ajudará a detectar esses problemas, mas essa é uma história completamente diferente.
LLDP
Em grandes redes corporativas ou de operadoras, surgem periodicamente problemas com a obsolescência da documentação da rede ou imprecisões na sua preparação. Um administrador de rede pode se deparar com uma situação em que seja necessário descobrir qual equipamento da operadora está realmente conectado a uma interface de switch específica. O LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) virá em socorro.
Parâmetros de operação LLDP
Nossos switches suportam LLDP não apenas para descobrir switches vizinhos ou outros dispositivos de rede, mas também para determinar suas capacidades.
Os equivalentes de cobre do nosso switch podem usar LLDP-MED para simplificar o procedimento de conexão de telefones IP. Além disso, usando esta opção, o switch PoE pode negociar parâmetros de energia com o dispositivo energizado. Já falamos sobre isso com algum detalhe em um de nossos .
SDM e excesso de assinaturas
Quase todos os switches modernos processam quadros e pacotes sem usar um processador central. O processamento (cálculo de checksums, aplicação de listas de acesso e realização de outras verificações de segurança, bem como tomada de decisões de comutação/roteamento) é realizado por meio de chips especializados, o que permite altas velocidades de transmissão do tráfego de usuários. A opção em discussão permite processar o tráfego em velocidade média. Isso significa que o desempenho do dispositivo é suficiente para enviar dados nas velocidades mais altas possíveis em todas as portas ao mesmo tempo. O modelo T2600G-28SQ possui 24 portas downlink (em direção aos usuários), operando a velocidades de 1 Gbit/s, bem como 4 portas uplink (em direção ao núcleo da rede) de 10 Gbit/s. Ao mesmo tempo, o desempenho do barramento cruzado do switch é de 128 Gbit/s, o que é suficiente para processar a quantidade máxima de tráfego de entrada.
Para ser justo, é importante notar que o desempenho da matriz de comutação é de 95,2 milhões de pacotes por segundo. Ou seja, ao utilizar o mínimo de frames possíveis com comprimento de apenas 64 bytes, o desempenho total do dispositivo será de 97,5 Gbit/s. No entanto, tal perfil de tráfego é quase impossível para redes de operadoras de telecomunicações.
O que é excesso de assinaturasOutra questão importante é a relação entre as velocidades dos canais upstream e downstream (oversubscription). Aqui, obviamente, tudo depende da topologia. Se o administrador usar todas as quatro interfaces 10 GE para se conectar ao núcleo da rede e combiná-las usando LAG (Link Aggregation Group) ou tecnologia Port-Channel, então a velocidade obtida estatisticamente em direção ao núcleo será de 40 Gbit/s, o que será mais do que suficiente para satisfazer as necessidades de todos os assinantes conectados. Além disso, não é necessário que todos os quatro uplinks se conectem a um dispositivo físico. A conexão pode ser feita a uma pilha de switches ou a dois dispositivos combinados em um cluster (usando tecnologia vPC ou similar). Neste caso não há excesso de assinaturas.
Você pode usar todos os quatro uplinks simultaneamente, não apenas combinando-os usando LAG. Um efeito semelhante pode ser alcançado configurando corretamente o MSTP, mas isso é uma história completamente diferente.
O segundo método de conexão L2 comumente usado é usar dois LAGs independentes (um para cada switch de agregação). Neste caso, muito provavelmente, um dos links virtuais será bloqueado pelo protocolo STP (ao usar STP ou RSTP). O excesso de assinatura será de 5:6.
Uma situação mais rara, mas ainda bastante provável: o T2600G-28SQ é conectado por canais independentes a um switch ou switches upstream. O protocolo STP/RSTP deixará apenas um desses links em estado desbloqueado. O excesso de assinatura será às 5:12.
Tarefa com asterisco: calcular excesso de assinatura para as situações descritas na seção STP, onde vimos um exemplo de topologia quando dois switches de acesso estão conectados ao mesmo dispositivo de agregação e interconectados.
Os chips programáveis que permitem velocidades de transferência tão altas são um recurso bastante caro, por isso tentamos otimizar seu uso distribuindo adequadamente os recursos entre as diferentes funções. SDM - Switch Database Management é responsável pela distribuição.
A distribuição é feita através do perfil SDM. Existem atualmente três perfis disponíveis para uso, listados abaixo.
- O Default oferece uma solução balanceada para uso de listas de acesso MAC e IP, bem como entradas de detecção ARP.
- O EnterpriseV4 permite maximizar os recursos disponíveis para uso pelas listas de acesso MAC e IP.
- O EnterpriseV6 aloca alguns recursos para uso pelas listas de acesso IPv6.
O switch deve ser reinicializado para aplicar o novo perfil.
Conclusão
De acordo com o posicionamento inicial, este switch é mais adequado para operadoras de telecomunicações que enfrentam a tarefa de fornecer acesso à rede em longas distâncias. O dispositivo pode ser utilizado tanto ao nível do acesso, por exemplo, em comunidades de chalés e moradias geminadas, como para agregação de canais provenientes de comutadores de acesso localizados em edifícios de apartamentos; isto é, onde quer que sejam necessárias conexões com objetos remotos. Ao usar canais de comunicação óptica, o assinante conectado pode estar localizado a uma distância de vários quilômetros.
No lado do cliente, os links ópticos podem ser terminados em pequenos switches com interfaces ópticas ou em conversores de mídia.
Um grande número de protocolos e opções suportados permitirá que o T2600G-28SQ seja usado na rede Ethernet de uma operadora com qualquer topologia e qualquer conjunto de tecnologias utilizadas e serviços fornecidos. O switch é gerenciado remotamente usando a interface da web ou linha de comando. Se for necessária configuração local, você pode usar a porta console; o modelo T2600G-28SQ possui duas delas: RJ-45 e micro-USB. Como uma pequena mosca na sopa, notamos a falta de suporte para empilhamento e uma segunda fonte de alimentação. É verdade que geralmente fora dos data centers dos provedores, a presença de uma segunda linha elétrica será rara.
Suas vantagens incluem preço baixo, grande número de portas ópticas de assinantes, presença de uplinks ópticos de 10 GE, além de quatro portas combinadas e encaminhamento de tráfego em velocidade média.
Fonte: habr.com