Expansiunea marilor orașe și formarea aglomerărilor este una dintre tendințele importante ale dezvoltării sociale astăzi. Numai Moscova ar trebui să se extindă cu 2019 milioane de metri pătrați de locuințe în 4 (și fără a lua în calcul cele 15 așezări care vor fi adăugate până în 2020). De-a lungul acestui vast teritoriu, operatorii de telecomunicații vor trebui să ofere utilizatorilor acces la Internet. Acestea pot fi fie microdistricte urbane cu clădiri dense cu mai multe etaje, fie sate de cabane mai „descărcate”. Pentru aceste cazuri, cerințele hardware sunt ușor diferite. Am analizat fiecare dintre aceste scenarii și am creat un model de comutator optic universal - T2600G-28SQ. În această postare vom analiza în detaliu capacitățile dispozitivului care vor fi de interes pentru operatorii de telecomunicații din toată Rusia.
Așezați în rețea
Comutatorul T2600G-28SQ este proiectat atât pentru funcționarea la nivelul de acces în rețea, cât și pentru agregarea legăturilor de la alte comutatoare de nivel de acces. Acesta este un comutator de nivel 2600 care efectuează comutarea și rutarea statică. Dacă operatorul a schimbat atât agregarea, cât și accesul (rutarea doar în nucleul rețelei), T28G-XNUMXSQ se va potrivi în oricare dintre niveluri. În cazul agregării direcționate dinamic, mai trebuie să țineți cont de unele restricții privind cazurile de utilizare.
Modelul T2600G-28SQ este un comutator Ethernet activ cu drepturi depline, fără restricții suplimentare care apar atunci când se utilizează xPON sau tehnologii similare. De exemplu, fără amenințarea unei scăderi drastice a vitezei cu creșterea numărului de utilizatori sau o compatibilitate slabă între echipamentele de la diferiți furnizori și firmware. Atât utilizatorii finali, cât și comutatoarele de acces subiacente cu legături optice, de exemplu, modelul T2600G-28TS, se pot conecta la interfețele dispozitivului. Diagrama de mai jos prezintă cele mai comune exemple de astfel de conexiuni.
Pentru a accesa rețeaua utilizatorului final, se poate folosi fibră optică sau cablu cu pereche torsadată. Pe partea de abonat, fibra optică poate fi terminată fie folosind un convertor media (convertor media), de exemplu, TP-Link MC220L; și utilizarea interfeței optice într-un router SOHO.
Pentru a conecta un client din apropiere, puteți utiliza patru porturi RJ-45 care funcționează la viteze de 10/100/1000 Mbit/s. Dacă din anumite motive acest lucru nu este suficient, operatorul poate „converti” interfețele optice ale comutatorului în cupru. Acest lucru se poate face folosind SFP-uri specializate „cupru” cu un conector RJ-45. Dar o astfel de soluție nu poate fi numită tipică.
Câteva exemple din practică
Pentru a completa imaginea, vom oferi mai multe exemple de utilizare a comutatoarelor T2600G-28SQ.
Furnizor pentru regiunea Moscova , care, pe lângă Internet, oferă servicii de telefonie și cablu TV, folosește T2600G-28SQ la nivel de acces atunci când construiesc rețele în sectorul privat (cabane și case). Pe partea clientului, conexiunea se face la routere cu port SFP, precum și la convertoare media. În momentul de față, routerele SOHO cu port SFP nu sunt produse în serie la noi, dar ne gândim, desigur, la asta.
Operator de telecomunicații din regiunea Pavlovo-Posad folosește comutatoarele T2600G-28SQ ca o „agregare mică”, folosind comutatoare ale modelelor T2600G-28TS și T2500G-10TS pentru acces.
Grupul companiei oferă acces la internet, TV, telefonie și sisteme de supraveghere video în sud-estul regiunii Moscova (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). Topologia aproximativă aici este aceeași cu cea a ISS: T2600G-28SQ la nivel de agregare și T2600G-28TS și T2500G-10TS la nivel de acces.
Furnizorul de la Krasnoznamensk oferă acces la Internet folosind o rețea cu penetrare optică profundă. De asemenea, se bazează pe T2600G-28SQ.
În secțiunile următoare vom descrie pe scurt câteva dintre caracteristicile T2600G-28SQ. Pentru a nu umfla materialul, am lăsat afară o serie de opțiuni: QinQ (VLAN VPN), rutare, QoS, etc. Credem că putem reveni la ele într-una dintre următoarele postări.
Capabilități de comutare
Rezervare – STP
STP – Protocolul Spanning Tree. Protocolul spanning tree este cunoscut de foarte mult timp, datorită respectatei Radya Perlman pentru acest lucru. În rețelele moderne, administratorii încearcă în toate modurile posibile să evite utilizarea acestui protocol. Da, STP nu este lipsit de dezavantaje. Și este foarte bine dacă există o alternativă. Cu toate acestea, așa cum este adesea cazul, alternativa la acest protocol va depinde foarte mult de furnizor. Prin urmare, până în prezent, Spanning Tree Protocol rămâne aproape singura soluție care este susținută de aproape toți producătorii și este cunoscută și de toți administratorii de rețea.
Comutatorul TP-Link T2600G-28SQ acceptă trei versiuni de STP: STP clasic (IEEE 802.1D), RSTP (802.1W) și MSTP (802.1S).
Dintre aceste opțiuni, RSTP obișnuit este destul de potrivit pentru majoritatea furnizorilor de internet mici din Rusia, care are un avantaj incontestabil față de versiunea clasică - timp de convergență semnificativ mai scurt.
Cel mai flexibil protocol de astăzi este MSTP, care acceptă rețele virtuale (VLAN) și permite mai mulți arbori diferiți, ceea ce vă permite să utilizați toate căile de rezervă disponibile. Administratorul creează mai multe instanțe arborescente diferite (până la opt), fiecare dintre ele deservește un set specific de rețele virtuale.
Subtilitățile MSTPAdministratorii începători trebuie să fie foarte atenți când folosesc MSTP. Acest lucru se datorează faptului că comportamentul protocolului diferă în cadrul unei regiuni și între regiuni. Prin urmare, atunci când configurați comutatoarele, merită să vă asigurați că rămâneți în aceeași regiune.
Ce este această regiune notorie? În termeni MSTP, o regiune este un set de comutatoare conectate între ele care au aceleași caracteristici: numele regiunii, numărul de revizuire și distribuția rețelelor virtuale (VLAN) între instanțe de protocol (instanțe).
Desigur, protocolul Spanning Tree (orice versiune) vă permite nu numai să faceți față buclelor care apar la conectarea canalelor de rezervă, ci și să vă protejați împotriva erorilor de comutare a cablurilor atunci când un inginer conectează intenționat sau neintenționat porturile greșite, creând o buclă cu el. actiuni.
Administratorii de rețea mai experimentați preferă să folosească o varietate de opțiuni suplimentare pentru a proteja protocolul STP de atacuri sau situații complexe de dezastru. Modelul T2600G-28SQ oferă o gamă întreagă de astfel de capabilități: Loop Protect și Root Protect, TC Guard, BPDU Protect și BPDU Filter.
Utilizarea corectă a opțiunilor enumerate mai sus împreună cu alte mecanisme de protecție acceptate va stabiliza rețeaua locală și o va face mai previzibilă.
Rezervare – LAG
LAG – Grup de agregare a legăturilor. Aceasta este o tehnologie care vă permite să combinați mai multe canale fizice într-unul logic. Toate celelalte protocoale încetează să mai folosească canalele fizice incluse în LAG separat și încep să „vadă” o interfață logică. Un exemplu de astfel de protocol este STP.
Traficul utilizatorului este echilibrat între canalele fizice din canalele logice pe baza sumei hash. Pentru a-l calcula, pot fi folosite adresele MAC ale expeditorului, destinatarului sau ale unei perechi de ele; precum și adresele IP ale expeditorului, destinatarului sau ale unei perechi dintre acestea. Informațiile de protocol de nivel XNUMX (porturile TCP/UDP) nu sunt luate în considerare.
Comutatorul T2600G-28SQ acceptă LAG-uri statice și dinamice.
Pentru a negocia parametrii de funcționare ai unui grup dinamic, se utilizează protocolul LACP.
Securitate - Liste de acces (ACL)
Comutatorul nostru T2600G-28SQ vă permite să filtrați traficul utilizatorilor folosind liste de acces (ACL - Listă de control al accesului).
Listele de acces acceptate pot fi de mai multe tipuri diferite: MAC și IP (IPv4/IPv6), combinate și, de asemenea, pentru efectuarea de filtrare a conținutului. Numărul fiecărui tip de listă de acces acceptat depinde de șablonul SDM utilizat în prezent, pe care l-am descris într-o altă secțiune.
Operatorul poate folosi această opțiune pentru a bloca diferite trafic nedorit în rețea. Un exemplu de astfel de trafic ar fi pachetele IPv6 (folosind câmpul EtherType) dacă serviciul corespunzător nu este furnizat; sau blocați SMB pe portul 445. Într-o rețea cu adresare statică, traficul DHCP/BOOTP nu este necesar, deci folosind un ACL, administratorul poate filtra datagramele UDP pe porturile 67 și 68. De asemenea, puteți bloca traficul IPoE local folosind un ACL. O astfel de blocare poate fi solicitată în rețelele de operator care utilizează PPPoE.
Procesul de utilizare a listelor de acces este extrem de simplu. După crearea listei în sine, trebuie să adăugați la ea numărul necesar de înregistrări, al căror tip depinde direct de foaia care este personalizată.
Configurarea listelor de acces
Este de remarcat faptul că listele de acces pot efectua nu numai operațiunile obișnuite de a permite sau de a refuza traficul, ci și de redirecționare, oglindire și, de asemenea, să efectueze remarcarea sau limitarea ratei.
Odată ce toate ACL-urile necesare au fost create, administratorul le poate instala. Este posibil să atașați o listă de acces atât la un port fizic direct, cât și la o anumită rețea virtuală.
Securitate - numărul de adrese MAC
Uneori, operatorii trebuie să limiteze numărul de adrese MAC pe care un comutator le va învăța pe un anumit port. Listele de acces vă permit să obțineți efectul specificat, dar în același timp necesită o indicare explicită a adreselor MAC în sine. Dacă trebuie doar să limitați numărul de adrese de canal, dar nu să le specificați în mod explicit, securitatea portului va veni în ajutor.
O astfel de restricție poate fi necesară, de exemplu, pentru a proteja împotriva conectării unei întregi rețele locale la o interfață de comutare a furnizorului. Merită menționat aici că vorbim despre o conexiune dial-up, deoarece atunci când se conectează folosind un router din partea clientului, T2600G-28SQ va învăța o singură adresă - acesta este MAC-ul care aparține portului WAN al routerului client. .
Există o întreagă clasă de atacuri îndreptate împotriva mesei de comutare. Acesta ar putea fi o depășire a mesei sau o falsificare MAC. Opțiunea de securitate a portului vă va permite să vă protejați împotriva depășirii mesei de bridge și a atacurilor care vizează reantrenarea în mod deliberat a comutatorului și otrăvirea tabelului de bridge.
Este imposibil să nu menționăm pur și simplu echipamentul client defecte. Există adesea situații în care o placă de rețea sau un router care funcționează defectuos creează un flux de cadre cu adrese complet arbitrare ale expeditorului și destinatarului. Un astfel de flux poate scurge cu ușurință CAM.
O altă modalitate de a limita numărul de intrări din tabelul bridge utilizate este instrumentul MAC VLAN Security, care permite unui administrator să specifice numărul maxim de intrări pentru o anumită rețea virtuală.
Pe lângă gestionarea intrărilor dinamice din tabelul de comutare, administratorul poate crea și altele statice.
Masa de punte maximă a modelului T2600G-28SQ poate găzdui până la 16K înregistrări.
O altă opțiune concepută pentru a filtra transmisia traficului utilizatorului este funcția Port Isolation, care vă permite să specificați în mod explicit în ce direcție este permisă redirecționarea.
Securitate – IMPB
În vastele întinderi ale vastei noastre patrii, abordarea operatorilor de telecomunicații cu privire la problemele de asigurare a securității rețelei variază de la ignorarea completă până la utilizarea maximă posibilă a tuturor opțiunilor suportate de echipament.
Funcțiile IPv4 IMPB (IP-MAC-Port Binding) și IPv6 IMPB vă permit să vă protejați împotriva unei game întregi de atacuri legate de falsificarea adreselor IP și MAC din partea abonaților prin legarea adreselor IP și MAC ale echipamentelor client la interfața de comutare a furnizorului. Această legare se poate face manual sau folosind funcțiile de scanare ARP și DHCP Snooping.
Setări IMPB de bază
Pentru a fi corect, trebuie spus că o funcție specială poate fi folosită pentru a proteja protocolul DHCP - DHCP Filter.
Folosind această funcție, administratorul de rețea poate specifica manual acele interfețe la care sunt conectate servere DHCP reale. Acest lucru va împiedica serverele DHCP necinstite să interfereze cu procesul de negociere IP.
Securitate – DoS Defend
Modelul luat în considerare ne permite să protejăm utilizatorii de câteva dintre cele mai cunoscute și răspândite atacuri DoS anterior.
Majoritatea atacurilor enumerate nu mai sunt deloc periculoase pentru dispozitivele cu sisteme de operare moderne, dar rețelele noastre încă le pot întâlni pe acelea pentru care ultima actualizare de software a fost făcută cu mulți ani în urmă.
Suport DHCP
Comutatorul TP-Link T2600G-28SQ poate acționa atât ca server DHCP, cât și ca releu și poate efectua diferite filtre de mesaje DHCP dacă un alt dispozitiv acționează ca server.
Cel mai simplu mod de a oferi utilizatorilor parametrii IP de care au nevoie pentru a opera este de a utiliza serverul DHCP încorporat al comutatorului. Cu ajutorul acestuia, parametrii de bază pot fi deja dați abonaților.
Am conectat routerul nostru Archer C6 SOHO la una dintre interfețele switch-ului și ne-am asigurat că dispozitivul client a primit cu succes o adresă.
Arata cam asa
Serverul DHCP încorporat în comutator nu este, probabil, cea mai scalabilă și flexibilă soluție: nu există suport pentru opțiuni non-standard și nu există nicio conexiune cu IPAM. Dacă operatorul necesită mai mult control asupra procesului de distribuire a adresei IP, atunci va fi utilizat un server DHCP dedicat.
T2600G-28SQ vă permite să specificați un server DHCP dedicat separat pentru fiecare subrețea de utilizator către care vor fi redirecționate mesajele protocolului în discuție. Subrețeaua este selectată prin specificarea interfeței L3 corespunzătoare: VLAN (SVI), port rutat sau port-canal.
Pentru a testa funcționarea releului, am configurat un router separat de la alt furnizor pentru a funcționa ca server DHCP, ale cărui setări sunt prezentate mai jos.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Routerul client a obținut din nou o adresă IP.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSub spoiler - conținutul pachetului interceptat între comutator și un server DHCP dedicat.
Continutul pachetului
Trebuie remarcat faptul că comutatorul acceptă Opțiunea 82. Când este activat, comutatorul va adăuga informații despre interfața cu utilizatorul de la care a fost primit mesajul DHCP Discover. În plus, modelul T2600G-28SQ vă permite să configurați politica de procesare a informațiilor adăugate la introducerea opțiunii nr. 82. Prezența suportului pentru această opțiune poate fi utilă într-o situație în care abonatului trebuie să i se dea aceeași adresă IP, indiferent de ID-ul clientului pe care clientul îl raportează despre sine.
Figura de mai jos arată un mesaj DHCP Discover (trimis prin releu) cu opțiunea nr. 82 adăugată.
Mesaj cu opțiunea nr. 82
Desigur, puteți gestiona opțiunea nr. 82 fără a configura un releu DHCP cu drepturi depline, setările corespunzătoare sunt prezentate în subsecțiunea „Releu DHCP L2”.
Acum să modificăm setările serverului DHCP pentru a demonstra cum funcționează opțiunea nr. 82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticCa aceasta
Funcția de releu a interfeței DHCP va fi utilă într-o situație în care comutatorul nu numai că are o interfață L3 conectată la o anumită rețea, dar această interfață are și o adresă IP. Dacă nu există nicio adresă pe o astfel de interfață, funcția de releu DHCP VLAN va veni în ajutor. Informațiile despre subrețea în acest caz sunt preluate din interfața implicită, adică spațiile de adrese din mai multe rețele virtuale vor fi aceleași (suprapunere).
Adesea, operatorii trebuie, de asemenea, să protejeze abonații de activarea eronată sau rău intenționată a serverului DHCP pe echipamentele client. Am decis să discutăm despre această funcționalitate într-una dintre secțiunile dedicate problemelor de securitate.
IEEE 802.1X
O modalitate de a autentifica utilizatorii dintr-o rețea este utilizarea protocolului IEEE 802.1X. Popularitatea acestui protocol în rețelele operatorilor de telecomunicații din Rusia este deja în scădere; este încă folosit în principal în rețelele locale ale companiilor mari pentru autentificarea utilizatorilor interni ai organizației. Comutatorul T2600G-28SQ are suport 802.1X, astfel încât furnizorul îl poate utiliza cu ușurință dacă este necesar.
Pentru ca protocolul IEEE 802.1X să funcționeze, sunt necesari trei participanți: echipament client (solicitant), comutator de acces furnizor (autentificator) și servere de autentificare (de obicei servere RADIUS).
Configurația de bază pe partea operatorului este extrem de simplă. Trebuie doar să specificați adresa IP a serverului RADIUS utilizat, pe care va fi stocată baza de date a utilizatorilor și, de asemenea, să selectați interfețele pentru care este necesară autentificarea.
Configurare de bază 802.1X
De asemenea, este necesară o configurație minoră pe partea clientului. Toate sistemele de operare moderne conțin deja software-ul necesar. Dar dacă este necesar, puteți instala și utiliza TP-Link 802.1x Client - o aplicație care vă permite să autentificați clientul în rețea.
Când conectați PC-ul unui utilizator direct la rețeaua furnizorului, setările de autentificare trebuie să fie activate pentru placa de rețea utilizată pentru conexiune.
Cu toate acestea, în prezent, nu computerul utilizatorului este de obicei conectat direct la rețeaua operatorului, ci un router SOHO care asigură funcționarea rețelei locale a abonatului (atât segmentele cu fir, cât și fără fir). În acest caz, toate setările protocolului 802.1X trebuie făcute direct pe router.
Ni se pare că această metodă de autentificare a fost uitată nemeritat în rețelele de operatori. Da, legarea strictă a unui abonat la un port de comutare poate fi o soluție mai simplă din punctul de vedere al setărilor echipamentului utilizatorului. Dar dacă este necesară utilizarea unui login și a unei parole, atunci 802.1X nu va fi un protocol atât de greu în comparație cu conexiunile utilizate pe baza tunelurilor PPTP/L2TP/PPPoE.
Inserarea ID PPPoE
Mulți utilizatori nu numai din țara noastră, ci din întreaga lume încă preferă să folosească parole extrem de simple. Iar cazurile de furt de acreditări, din păcate, nu sunt neobișnuite. Dacă operatorul folosește protocolul PPPoE în rețeaua sa pentru a autentifica utilizatorii, atunci comutatorul TP-Link T2600G-28SQ va ajuta la rezolvarea problemei asociate cu scurgerea acreditărilor. Acest lucru se realizează prin adăugarea unei etichete speciale la mesajul PPPoE Active Discovery. În acest fel, furnizorul poate autentifica abonatul nu numai prin autentificare și parolă, ci și prin date suplimentare. Aceste date suplimentare includ adresa MAC a dispozitivului client, precum și interfața comutatorului la care este conectat.
Unii operatori, în principiu, doresc să refuze abonatului (o pereche de autentificare și parolă) capacitatea de a naviga în rețea. Funcția PPPoE ID Insertion va ajuta și în acest caz.
IGMP
IGMP (Internet Group Management Protocol) există de zeci de ani. Popularitatea sa este destul de de înțeles și ușor de explicat. Dar există două părți implicate în interacțiunea IGMP: computerul utilizatorului (sau orice alt dispozitiv, de exemplu, un STB) și routerul IP care deservește un anumit segment de rețea. Switch-urile nu participă în niciun fel la acest schimb. Adevărat, ultima afirmație nu este în întregime adevărată. Sau în rețelele moderne acest lucru nu este deloc adevărat. Switch-urile acceptă IGMP pentru a optimiza redirecționarea traficului multicast. Ascultând traficul utilizatorilor, comutatorul detectează mesajele IGMP Report în el, cu ajutorul cărora determină porturile pentru redirecționarea traficului multicast. Opțiunea descrisă se numește IGMP Snooping.
Suportul pentru protocolul IGMP poate fi folosit nu numai pentru a optimiza traficul ca atare, ci și pentru a determina abonații cărora li se poate furniza un anumit serviciu, de exemplu, IPTV. Puteți atinge obiectivul dorit fie prin setarea manuală a parametrilor de filtrare, fie prin utilizarea autentificării.
Suportul pentru traficul multicast pe comutatoarele TP-Link este implementat destul de flexibil. De exemplu, toți parametrii pot fi setați separat pentru fiecare rețea virtuală.
Dacă mai multe subrețele care conțin destinatari de trafic multicast sunt conectate la o interfață de router, atunci acel router va fi forțat să trimită mai multe copii ale pachetelor prin acea interfață (una pentru fiecare rețea virtuală).
În acest caz, puteți optimiza procedura de redirecționare a traficului multicast folosind tehnologia MVR - Multicast VLAN Registration.
Esența soluției este că este creată o singură rețea virtuală care unește toți destinatarii. Cu toate acestea, această rețea virtuală este utilizată numai pentru trafic multicast. Această abordare permite routerului să trimită o singură copie a traficului multicast prin interfață.
DDM, OAM și DLDP
DDM – Monitorizare digitală de diagnostic. În timpul funcționării modulelor optice, este adesea necesară monitorizarea stării modulului în sine, precum și a canalului optic la care este conectat. Funcția DDM vă va ajuta să faceți față acestei sarcini. Cu ajutorul acestuia, inginerii operatori vor putea monitoriza temperatura fiecărui modul care suportă această funcționalitate, tensiunea și curentul acestuia, precum și puterea semnalelor optice trimise și primite.
Setarea nivelurilor de prag pentru parametrii descriși anterior vă va permite să generați un eveniment dacă nu se încadrează în intervalul acceptabil.
Setarea pragurilor de răspuns DDM
Desigur, administratorul poate vizualiza valorile curente ale parametrilor specificați.
Comutatorul TP-Link T2600G-28SQ are un sistem activ de răcire cu aer. În plus, nu am întâlnit niciodată supraîncălzirea modulelor SFP în switch-urile noastre din cauza densității portului. Cu toate acestea, dacă, pur în teorie, o astfel de posibilitate este permisă (de exemplu, din cauza unei probleme în interiorul modulului SFP), atunci cu ajutorul DDM administratorul va fi imediat informat despre o situație potențial periculoasă. Pericolul aici, evident, nu este pentru comutatorul în sine, ci pentru dioda/laserul din interiorul SFP, deoarece pe măsură ce temperatura acestuia crește, puterea semnalului optic emis se poate degrada, ceea ce va duce la o scădere a bugetului optic.
Merită remarcat aici că comutatoarele TP-Link nu au o „funcție” de blocare a furnizorului, adică orice module SFP compatibile sunt acceptate, ceea ce, desigur, va fi foarte convenabil pentru administratorii de rețea.
OAM - Operare, Administrare și Întreținere (IEEE 802.3ah). OAM este un protocol de al doilea strat al modelului OSI conceput pentru monitorizarea și depanarea rețelelor Ethernet. Folosind acest protocol, comutatorul poate monitoriza performanța unei anumite conexiuni și erori și poate genera alerte, astfel încât administratorul de rețea să poată gestiona rețeaua mai eficient.
Configurare OAM de bază
Detalii funcționale OAMDouă dispozitive învecinate compatibile cu OAM schimbă periodic mesaje prin trimiterea de OAMPDU, care vin în trei tipuri: Informațional, Notificare evenimente și Control Loopback. Folosind OAMPDU-uri informaționale, comutatoarele vecine își trimit reciproc informații statistice, precum și date definite de administrator. Acest tip de mesaj este folosit și pentru a menține o conexiune prin protocolul OAM. Mesajele de notificare a evenimentelor sunt utilizate de funcția de monitorizare a conexiunii pentru a notifica cealaltă parte că au avut loc erori. Mesajele de control Loopback sunt folosite pentru a detecta o buclă pe o linie.
Mai jos am decis să enumerăm principalele caracteristici oferite de protocolul OAM:
- monitorizarea mediului (detecția și numărarea cadrelor rupte),
- RFI – Indicație de eroare de la distanță (trimiterea notificării unei defecțiuni pe canal),
- Remote Loopback (testarea canalului pentru a măsura latența, variația întârzierii (jitter), numărul de cadre pierdute).
O altă opțiune care este solicitată pe comutatoarele optice este capacitatea de a detecta probleme pe canalul de comunicație, ceea ce duce la transformarea canalului simplex, adică datele pot fi trimise doar într-o singură direcție. Switch-urile noastre folosesc DLDP - Device Link Detection Protocol pentru a detecta legăturile unidirecționale. Pentru a fi corect, este de remarcat faptul că protocolul DLDP este acceptat atât pe interfețele optice, cât și pe cupru, dar, în opinia noastră, va fi cel mai popular atunci când se utilizează linii de fibră optică.
Când este detectată o legătură unidirecțională, comutatorul poate închide automat interfața problematică, ceea ce va duce la reconstruirea arborelui STP și la utilizarea canalelor de comunicare de rezervă.
În arsenalul nostru există module SFP care primesc și transmit semnale pe o singură fibră. Aceștia funcționează exclusiv în perechi și folosesc semnale optice la lungimi de undă diferite pentru transmiterea în pereche. Un exemplu este perechea TL-SM321A și TL-SM321B. Atunci când utilizați astfel de module, deteriorarea unei fibre va duce la inoperabilitatea completă a întregului canal optic. Cu toate acestea, chiar și pe astfel de canale protocolul DLDP va fi solicitat, deoarece, deși acest lucru se întâmplă extrem de rar, canalul poate avea caracteristici de transparență diferite pentru lungimi de undă diferite. O problemă mai probabilă este că transparența canalului variază în funcție de direcția de propagare a luminii. O reflectogramă va ajuta la detectarea acestor probleme, dar aceasta este o poveste complet diferită.
LLDP
În rețelele mari de corporații sau de operatori, apar periodic probleme cu învechirea documentației rețelei sau inexactități în pregătirea acesteia. Un administrator de rețea se poate confrunta cu o situație în care este necesar să afle ce echipament de operator este de fapt conectat la o anumită interfață de comutare. LLDP – Link Layer Discovery Protocol (IEEE 802.1AB) va veni în ajutor.
Parametrii de operare LLDP
Switch-urile noastre acceptă LLDP nu numai pentru a descoperi comutatoarele învecinate sau alte dispozitive de rețea, ci și pentru a determina capacitățile acestora.
Omologul nostru din cupru ai comutatorului poate folosi LLDP-MED pentru a simplifica procedura de conectare a telefoanelor IP. De asemenea, folosind această opțiune, comutatorul PoE poate negocia parametrii de putere cu dispozitivul alimentat. Am vorbit deja despre acest lucru în detaliu într-unul dintre noi .
SDM și supraabonament
Aproape toate comutatoarele moderne procesează cadre și pachete care trec fără a utiliza un procesor central. Prelucrarea (calcularea sumelor de control, aplicarea listelor de acces și efectuarea altor verificări de securitate, precum și luarea deciziilor de comutare/rutare) se realizează cu ajutorul cipurilor specializate, ceea ce permite viteze mari de transmisie a traficului utilizatorilor. Comutatorul aflat în discuție permite procesarea traficului la viteză medie. Aceasta înseamnă că performanța dispozitivului este suficientă pentru a trimite date la cele mai mari viteze posibile pe toate porturile în același timp. Modelul T2600G-28SQ are 24 de porturi downlink (spre utilizatori), care funcționează la viteze de 1 Gbit/s, precum și 4 porturi uplink (spre nucleul rețelei) de 10 Gbit/s. În același timp, performanța switch-ului cross-bus este de 128 Gbit/s, ceea ce este suficient pentru a procesa cantitatea maximă de trafic de intrare.
Pentru dreptate, este de remarcat faptul că performanța matricei de comutare este de 95,2 milioane de pachete pe secundă. Adică, atunci când se folosesc cadre minime posibile cu o lungime de doar 64 de octeți, performanța totală a dispozitivului va fi de 97,5 Gbit/s. Cu toate acestea, un astfel de profil de trafic este aproape imposibil pentru rețelele operatorilor de telecomunicații.
Ce este supraabonamentulO altă problemă importantă este raportul dintre vitezele canalelor din amonte și din aval (suprasubscriere). Aici, evident, totul depinde de topologie. Dacă administratorul folosește toate cele patru interfețe 10 GE pentru a se conecta la nucleul rețelei și le combină folosind tehnologia LAG (Link Aggregation Group) sau Port-Channel, atunci viteza obținută statistic către nucleu va fi de 40 Gbit/s, ceea ce va fi mai mare. suficient pentru a satisface nevoile tuturor abonaților conectați. În plus, nu este necesar ca toate cele patru legături în sus să se conecteze la un singur dispozitiv fizic. Conexiunea se poate face la o stivă de comutatoare sau la două dispozitive combinate într-un cluster (folosind tehnologia vPC sau similar). În acest caz, nu există supraabonament.
Puteți utiliza toate cele patru legături în sus simultan nu numai combinându-le folosind LAG. Un efect similar poate fi obținut prin configurarea corectă a MSTP, dar aceasta este o cu totul altă poveste.
A doua metodă de conectare L2 utilizată în mod obișnuit este utilizarea a două LAG-uri independente (câte unul pentru fiecare comutator de agregare). În acest caz, cel mai probabil, una dintre legăturile virtuale va fi blocată de protocolul STP (când se utilizează STP sau RSTP). Supraabonamentul va fi 5:6.
O situație mai rară, dar totuși destul de probabilă: T2600G-28SQ este conectat prin canale independente la un comutator sau comutatoare din amonte. Protocolul STP/RSTP va lăsa doar o astfel de legătură într-o stare deblocata. Supraabonamentul va fi 5:12.
Sarcină cu asterisc: calculați supraabonamentul pentru situațiile descrise în secțiunea STP, unde am analizat un exemplu de topologie când două switch-uri de acces sunt conectate la același dispozitiv de agregare și interconectate.
Cipurile programabile care permit viteze de transfer atât de mari sunt o resursă destul de costisitoare, așa că încercăm să le optimizăm utilizarea prin distribuirea corectă a resurselor între diferite funcții. SDM - Switch Database Management este responsabil de distribuție.
Distribuția se face folosind profilul SDM. În prezent, există trei profiluri disponibile pentru utilizare, enumerate mai jos.
- Default oferă o soluție echilibrată pentru utilizarea listelor de acces MAC și IP, precum și a intrărilor de detectare ARP.
- EnterpriseV4 vă permite să maximizați resursele disponibile pentru utilizare de către listele de acces MAC și IP.
- EnterpriseV6 alocă unele resurse pentru a fi utilizate de către listele de acces IPv6.
Comutatorul trebuie repornit pentru a aplica noul profil.
Concluzie
În conformitate cu poziționarea inițială, acest comutator este cel mai potrivit pentru operatorii de telecomunicații care se confruntă cu sarcina de a oferi acces la rețea pe distanțe lungi. Dispozitivul poate fi utilizat atât la nivel de acces, de exemplu, în comunități de cabane și case de oraș, cât și pentru agregarea canalelor provenite de la comutatoarele de acces situate în blocurile de apartamente; adică oriunde sunt necesare conexiuni la obiecte la distanță. Când utilizați canale optice de comunicație, abonatul conectat poate fi localizat la o distanță de până la câțiva kilometri.
Pe partea clientului, legăturile optice pot fi terminate pe switch-uri mici cu interfețe optice sau pe convertoare media.
Un număr mare de protocoale și opțiuni acceptate vor permite ca T2600G-28SQ să fie utilizat în rețeaua Ethernet a unui operator cu orice topologie și orice set de tehnologii utilizate și servicii furnizate. Comutatorul este gestionat de la distanță folosind interfața web sau linia de comandă. Dacă este necesară configurarea locală, puteți utiliza portul de consolă; modelul T2600G-28SQ are două dintre ele: RJ-45 și micro-USB. Ca o mică muscă în unguent, observăm lipsa suportului pentru stivuire și o a doua sursă de alimentare. Adevărat, de obicei în afara centrelor de date ale furnizorilor, prezența unei a doua linii electrice va fi rară.
Avantajele sale includ un preț scăzut, un număr mare de porturi optice de abonat, prezența a 10 uplink-uri optice GE, precum și patru porturi combinate și redirecționarea traficului la viteză medie.
Sursa: www.habr.com