Büyük kentlerin genişlemesi ve yığılmaların oluşması günümüzün toplumsal kalkınmasındaki önemli eğilimlerden biridir. Yalnızca Moskova'nın 2019'da 4 milyon metrekare konut genişletmesi gerekiyor (ve bu, 15'ye kadar eklenecek 2020 yerleşim birimini saymıyor). Bu geniş bölge boyunca telekom operatörleri kullanıcılara İnternet erişimi sağlamak zorunda kalacak. Bunlar, yoğun çok katlı binaların bulunduğu kentsel mikrobölgeler veya daha fazla "boşaltılan" yazlık köyler olabilir. Bu durumlarda donanım gereksinimleri biraz farklıdır. Bu senaryoların her birini analiz ettik ve evrensel bir optik anahtar modeli olan T2600G-28SQ'yu oluşturduk. Bu yazıda, cihazın Rusya genelindeki telekom operatörlerinin ilgisini çekecek yeteneklerini ayrıntılı olarak analiz edeceğiz.
Ağa yerleştirin
T2600G-28SQ anahtarı, hem ağdaki erişim düzeyinde çalışmak hem de diğer erişim düzeyi anahtarlarından gelen bağlantıları toplamak için tasarlanmıştır. Bu, anahtarlama ve statik yönlendirme gerçekleştiren bir katman 2600 anahtarıdır. Operatör hem toplamayı hem de erişimi (yalnızca ağ çekirdeğinde yönlendirme) değiştirmişse, T28G-XNUMXSQ düzeylerin herhangi birine uyacaktır. Dinamik olarak yönlendirilmiş toplama durumunda, yine de kullanım senaryolarına ilişkin bazı kısıtlamaları dikkate almanız gerekir.
T2600G-28SQ modeli, xPON veya benzeri teknolojileri kullanırken ortaya çıkan ek kısıtlamalara sahip olmayan, tam teşekküllü bir aktif Ethernet anahtarıdır. Örneğin, kullanıcı sayısındaki artışla veya farklı satıcıların ekipmanları ile ürün yazılımı arasındaki zayıf uyumluluk nedeniyle hızda keskin bir düşüş tehdidi olmadan. Hem son kullanıcılar hem de T2600G-28TS modeli gibi optik yukarı bağlantılara sahip temel erişim anahtarları cihaz arayüzlerine bağlanabilir. Aşağıdaki şema bu tür bağlantıların en yaygın örneklerini göstermektedir.
Son kullanıcının ağına erişmek için fiber optik veya çift bükümlü kablo kullanılabilir. Abone tarafında, optik fiber ya bir medya dönüştürücü (medya dönüştürücü), örneğin TP-Link MC220L kullanılarak sonlandırılabilir; ve bir SOHO yönlendiricideki optik arayüzün kullanılması.
Yakındaki bir istemciye bağlanmak için 45/10/100 Mbit/s hızında çalışan dört RJ-1000 bağlantı noktasını kullanabilirsiniz. Herhangi bir nedenle bu yeterli olmazsa operatör, anahtarın optik arayüzlerini bakıra "dönüştürebilir". Bu, RJ-45 konnektörlü özel "bakır" SFP'ler kullanılarak yapılabilir. Ancak böyle bir çözüme tipik denemez.
Uygulamadan bazı örnekler
Resmi tamamlamak için T2600G-28SQ anahtarlarının kullanımına ilişkin birkaç örnek vereceğiz.
Moskova bölgesi sağlayıcısı İnternete ek olarak telefon ve kablolu TV hizmetleri de sağlayan, özel sektörde (kulübeler ve şehir evleri) ağlar kurarken erişim düzeyinde T2600G-28SQ'yu kullanıyor. İstemci tarafında, SFP bağlantı noktasına sahip yönlendiricilerin yanı sıra medya dönüştürücülere bağlantı yapılır. Şu anda SFP portlu SOHO router'ların ülkemizde seri üretimi yok ama elbette düşünüyoruz.
Telekomünikasyon operatörü Pavlovo-Posad bölgesindeki şirketler, erişim için T2600G-28TS ve T2600G-28TS modellerinin anahtarlarını kullanarak "küçük bir toplama" olarak T2500G-10SQ anahtarlarını kullanıyor.
Şirketler Grubu Moskova bölgesinin güneydoğusunda (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory) internet erişimi, TV, telefon ve video gözetim sistemleri sağlamak. Buradaki yaklaşık topoloji ISS'ninkiyle aynıdır: toplama düzeyinde T2600G-28SQ ve erişim düzeyinde T2600G-28TS ve T2500G-10TS.
sağlayan Krasnoznamensk'ten derin optik nüfuza sahip bir ağ kullanarak İnternet erişimi sağlar. Ayrıca T2600G-28SQ'yu temel alır.
Aşağıdaki bölümlerde T2600G-28SQ'nun bazı özelliklerini kısaca anlatacağız. Malzemeyi şişirmemek için bazı seçenekleri dışarıda bıraktık: QinQ (VLAN VPN), yönlendirme, QoS vb. Bunlara aşağıdaki yazılardan birinde dönebileceğimizi düşünüyoruz.
Anahtar Yetenekleri
Rezervasyon – STP
STP – Yayılan Ağaç Protokolü. Yayılan ağaç protokolü, bunun için saygın Radya Perlman sayesinde çok uzun zamandır bilinmektedir. Modern ağlarda yöneticiler bu protokolü kullanmaktan kaçınmak için mümkün olan her yolu denerler. Evet, STP'nin dezavantajları yok değil. Ve eğer buna bir alternatif varsa çok iyi. Ancak çoğu zaman olduğu gibi bu protokolün alternatifi büyük ölçüde satıcıya bağlı olacaktır. Bu nedenle, Spanning Tree Protokolü bugüne kadar neredeyse tüm üreticiler tarafından desteklenen ve aynı zamanda tüm ağ yöneticileri tarafından da bilinen neredeyse tek çözüm olmaya devam ediyor.
TP-Link T2600G-28SQ anahtarı STP'nin üç versiyonunu destekler: klasik STP (IEEE 802.1D), RSTP (802.1W) ve MSTP (802.1S).
Bu seçeneklerden düzenli RSTP, Rusya'daki çoğu küçük İnternet sağlayıcısı için oldukça uygundur ve klasik versiyona göre yadsınamaz bir avantajı vardır - önemli ölçüde daha kısa yakınsama süresi.
Günümüzün en esnek protokolü, sanal ağları (VLAN'lar) destekleyen ve birkaç farklı ağaca izin veren ve mevcut tüm yedekleme yollarını kullanmanıza olanak tanıyan MSTP'dir. Yönetici, her biri belirli bir sanal ağ kümesine hizmet eden birkaç farklı ağaç örneği (en fazla sekiz) oluşturur.
MSTP'nin incelikleriAcemi yöneticilerin MSTP kullanırken çok dikkatli olmaları gerekir. Bunun nedeni, protokol davranışının bir bölge içinde ve bölgeler arasında farklılık göstermesidir. Bu nedenle, anahtarları yapılandırırken aynı bölge içinde kaldığından emin olmakta fayda var.
Bu kötü şöhretli bölge nedir? MSTP açısından bölge, aynı özelliklere sahip, birbirine bağlı bir dizi anahtardır: bölge adı, revizyon numarası ve sanal ağların (VLAN'ların) protokol örnekleri (örnekler) arasındaki dağıtımı.
Elbette, Spanning Tree protokolü (herhangi bir sürüm) yalnızca yedekleme kanallarını bağlarken ortaya çıkan döngülerle başa çıkmanıza değil, aynı zamanda bir mühendisin kasıtlı veya kasıtsız olarak yanlış bağlantı noktalarını bağlayıp kendi sistemiyle bir döngü oluşturması durumunda kablo değiştirme hatalarına karşı koruma sağlamanıza da olanak tanır. hareketler.
Daha deneyimli ağ yöneticileri, STP protokolünü saldırılardan veya karmaşık felaket durumlarından korumak için çeşitli ek seçenekler kullanmayı tercih eder. T2600G-28SQ modeli çok çeşitli yetenekler sunar: Döngü Koruması ve Kök Koruması, TC Guard, BPDU Koruması ve BPDU Filtresi.
Yukarıda listelenen seçeneklerin desteklenen diğer koruma mekanizmalarıyla birlikte doğru kullanımı, yerel ağı stabilize edecek ve daha öngörülebilir hale getirecektir.
Rezervasyon – LAG
LAG – Bağlantı Toplama Grubu. Bu, birkaç fiziksel kanalı tek bir mantıksal kanalda birleştirmenize olanak tanıyan bir teknolojidir. Diğer tüm protokoller, LAG'de bulunan fiziksel kanalları ayrı ayrı kullanmayı bırakır ve tek bir mantıksal arayüzü "görmeye" başlar. Böyle bir protokolün örneği STP'dir.
Kullanıcı trafiği, karma toplamına göre mantıksal kanallar içindeki fiziksel kanallar arasında dengelenir. Bunu hesaplamak için gönderenin, alıcının veya bir çiftinin MAC adresleri kullanılabilir; gönderenin, alıcının veya bunlardan birkaçının IP adreslerinin yanı sıra. Katman XNUMX protokol bilgileri (TCP/UDP bağlantı noktaları) dikkate alınmaz.
T2600G-28SQ anahtarı statik ve dinamik LAG'leri destekler.
Dinamik bir grubun çalışma parametrelerini görüşmek için LACP protokolü kullanılır.
Güvenlik - Erişim Listeleri (ACL'ler)
T2600G-28SQ anahtarımız, erişim listelerini (ACL - Erişim Kontrol Listesi) kullanarak kullanıcı trafiğini filtrelemenize olanak tanır.
Desteklenen erişim listeleri birkaç farklı türde olabilir: MAC ve IP (IPv4/IPv6), birleştirilmiş ve ayrıca içerik filtreleme gerçekleştirmek için. Desteklenen her erişim listesi tipinin sayısı, başka bir bölümde açıkladığımız, halihazırda kullanımda olan SDM şablonuna bağlıdır.
Operatör, ağdaki çeşitli istenmeyen trafiği engellemek için bu seçeneği kullanabilir. Bu tür trafiğe bir örnek, karşılık gelen hizmetin sağlanmaması durumunda IPv6 paketleri (EtherType alanını kullanan) olabilir; veya 445 numaralı bağlantı noktasında SMB'yi engelleyin. Statik adreslemeli bir ağda DHCP/BOOTP trafiği gerekli değildir; bu nedenle, bir ACL kullanarak yönetici 67 ve 68 numaralı bağlantı noktalarındaki UDP datagramlarını filtreleyebilir. Ayrıca bir ACL kullanarak yerel IPoE trafiğini de engelleyebilirsiniz. Bu tür bir engelleme, PPPoE kullanan operatör ağlarında talep edilebilir.
Erişim listelerini kullanma süreci son derece basittir. Listenin kendisini oluşturduktan sonra, türü doğrudan özelleştirilen sayfaya bağlı olan gerekli sayıda kaydı ona eklemeniz gerekir.
Erişim listelerini ayarlama
Erişim listelerinin yalnızca trafiğe izin verme veya trafiği reddetme gibi olağan işlemleri değil, aynı zamanda trafiği yeniden yönlendirme, yansıtma ve ayrıca açıklama veya hız sınırlama işlemlerini de gerçekleştirebildiğini belirtmekte fayda var.
Gerekli tüm ACL'ler oluşturulduktan sonra yönetici bunları yükleyebilir. Hem doğrudan bir fiziksel bağlantı noktasına hem de belirli bir sanal ağa erişim listesi eklemek mümkündür.
Güvenlik - MAC adresi sayısı
Bazen operatörlerin, bir anahtarın belirli bir bağlantı noktasında öğreneceği MAC adresi sayısını sınırlaması gerekir. Erişim listeleri belirtilen etkiyi elde etmenize olanak tanır, ancak aynı zamanda MAC adreslerinin açık bir şekilde belirtilmesini gerektirir. Yalnızca kanal adreslerinin sayısını sınırlamanız gerekiyorsa ancak bunları açıkça belirtmemeniz gerekiyorsa, bağlantı noktası güvenliği kurtarmaya gelecektir.
Böyle bir kısıtlama, örneğin tüm yerel ağın tek bir sağlayıcı anahtar arayüzüne bağlanmasına karşı koruma sağlamak için gerekli olabilir. Burada çevirmeli bağlantıdan bahsettiğimizi belirtmekte fayda var, çünkü istemci tarafında bir yönlendirici kullanarak bağlanırken T2600G-28SQ yalnızca bir adres öğrenecektir - bu, istemci yönlendiricinin WAN bağlantı noktasına ait olan MAC'dir. .
Anahtarlama masasına yönelik bir dizi saldırı vardır. Bu bir tablo taşması veya MAC sahteciliği olabilir. Bağlantı noktası güvenliği seçeneği, köprü tablosu taşmasına ve anahtarı kasıtlı olarak yeniden eğitmeyi ve köprü tablosunu zehirlemeyi amaçlayan saldırılara karşı koruma sağlamanıza olanak tanır.
Basitçe hatalı müşteri ekipmanından bahsetmemek imkansızdır. Arızalı bir bilgisayar ağ kartının veya yönlendiricisinin, tamamen rastgele gönderen ve alıcı adreslerine sahip bir çerçeve akışı oluşturduğu durumlar sıklıkla vardır. Böyle bir akış CAM'ı kolayca boşaltabilir.
Kullanılan köprü tablosu girişlerinin sayısını sınırlamanın başka bir yolu da yöneticinin belirli bir sanal ağ için maksimum giriş sayısını belirlemesine olanak tanıyan MAC VLAN Güvenlik aracıdır.
Yönetici, anahtarlama tablosundaki dinamik girişleri yönetmenin yanı sıra statik girişler de oluşturabilir.
T2600G-28SQ modelinin maksimum köprü tablosu 16K'ya kadar kayıt barındırabilir.
Kullanıcı trafiğinin aktarımını filtrelemek için tasarlanan diğer bir seçenek, hangi yönde iletime izin verildiğini açıkça belirtmenize olanak tanıyan Bağlantı Noktası Yalıtımı işlevidir.
Güvenlik – IMPB
Geniş vatanımızın geniş alanlarında, telekom operatörlerinin ağ güvenliğini sağlama konularına yaklaşımı, tamamen cehaletten, ekipman tarafından desteklenen tüm seçeneklerin mümkün olan maksimum kullanımına kadar değişmektedir.
IPv4 IMPB (IP-MAC-Port Bağlama) ve IPv6 IMPB işlevleri, istemci ekipmanının IP ve MAC adreslerini sağlayıcının anahtar arayüzü. Bu bağlama manuel olarak veya ARP Tarama ve DHCP Gözetleme işlevleri kullanılarak yapılabilir.
Temel IMPB ayarları
Adil olmak gerekirse, DHCP protokolünü - DHCP Filtresini korumak için özel bir işlevin kullanılabileceği söylenmelidir.
Bu işlevi kullanarak ağ yöneticisi, gerçek DHCP sunucularının bağlı olduğu arayüzleri manuel olarak belirleyebilir. Bu, hileli DHCP sunucularının IP anlaşma sürecine müdahale etmesini önleyecektir.
Güvenlik – DoS Savunması
Söz konusu model, kullanıcıları en iyi bilinen ve daha önce yaygın olan DoS saldırılarının çoğundan korumamıza olanak tanıyor.
Listelenen saldırıların çoğu, modern işletim sistemine sahip cihazlar için artık hiç tehlikeli değil, ancak ağlarımız, son yazılım güncellemesinin yıllar önce yapıldığı saldırılarla hâlâ karşılaşabiliyor.
DHCP desteği
TP-Link T2600G-28SQ anahtarı hem DHCP sunucusu hem de röle olarak görev yapabilir ve başka bir cihazın sunucu görevi görmesi durumunda DHCP mesajlarının çeşitli filtrelenmesini gerçekleştirebilir.
Kullanıcılara çalıştırmaları için ihtiyaç duydukları IP parametrelerini sağlamanın en kolay yolu, anahtarın yerleşik DHCP sunucusunu kullanmaktır. Onun yardımıyla abonelere temel parametreler zaten verilebilir.
Archer C6 SOHO yönlendiricimizi switch arayüzlerinden birine bağladık ve istemci cihazın başarıyla adres aldığından emin olduk.
Şuna benziyor
Anahtarda yerleşik DHCP sunucusu belki de en ölçeklenebilir ve esnek çözüm değildir: standart dışı seçenekler için destek yoktur ve IPAM ile bağlantı yoktur. Operatörün IP adresi dağıtım süreci üzerinde daha fazla kontrole ihtiyacı varsa, özel bir DHCP sunucusu kullanılacaktır.
T2600G-28SQ, tartışılan protokolün mesajlarının yeniden yönlendirileceği her kullanıcı alt ağı için ayrı bir özel DHCP sunucusu belirtmenize olanak tanır. Alt ağ, uygun L3 arayüzü belirtilerek seçilir: VLAN (SVI), yönlendirilmiş bağlantı noktası veya bağlantı noktası kanalı.
Rölenin çalışmasını test etmek için, başka bir satıcıdan ayrı bir yönlendiriciyi, ayarları aşağıda sunulan DHCP sunucusu olarak çalışacak şekilde yapılandırdık.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8İstemci yönlendiricisi tekrar başarıyla bir IP adresi aldı.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSpoylerin altında - anahtar ile özel bir DHCP sunucusu arasında ele geçirilen paketin içeriği.
Paket içeriği
Anahtarın Seçenek 82'yi desteklediğine dikkat edilmelidir. Etkinleştirildiğinde anahtar, DHCP Discover mesajının alındığı kullanıcı arayüzü hakkında bilgi ekleyecektir. Ayrıca T2600G-28SQ modeli, 82 numaralı seçeneği eklerken eklenen bilgilerin işlenmesine ilişkin politikayı yapılandırmanıza olanak tanır. Bu seçenek için desteğin varlığı, müşterinin kendisi hakkında hangi istemci kimliğini bildirdiğine bakılmaksızın aboneye aynı IP adresinin verilmesinin gerektiği bir durumda yararlı olabilir.
Aşağıdaki şekil, seçenek No. 82'nin eklendiği bir DHCP Keşif mesajını (röle tarafından gönderilen) göstermektedir.
82 numaralı seçeneği içeren mesaj
Elbette, tam teşekküllü bir DHCP rölesi kurmadan 82 numaralı seçeneği yönetebilirsiniz, ilgili ayarlar “DHCP L2 Rölesi” alt bölümünde sunulmaktadır.
Şimdi 82 numaralı seçeneğin nasıl çalıştığını göstermek için DHCP sunucu ayarlarını değiştirelim.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticGibi yaklaşık İşte
DHCP arayüzü röle işlevi, anahtarın yalnızca belirli bir ağa bağlı bir L3 arayüzüne sahip olmadığı, aynı zamanda bu arayüzün de bir IP adresine sahip olduğu durumlarda faydalı olacaktır. Böyle bir arayüzde adres yoksa DHCP VLAN röle fonksiyonu imdadımıza yetişecektir. Bu durumda alt ağ hakkındaki bilgiler varsayılan arayüzden alınır, yani birkaç sanal ağdaki adres alanları aynı olacaktır (örtüşme).
Çoğu zaman operatörlerin aboneleri, istemci ekipmanındaki DHCP sunucusunun hatalı veya kötü niyetli olarak etkinleştirilmesinden de koruması gerekir. Bu işlevselliği güvenlik konularına ayrılmış bölümlerden birinde tartışmaya karar verdik.
IEEE 802.1X
Bir ağdaki kullanıcıların kimliğini doğrulamanın bir yolu IEEE 802.1X protokolünü kullanmaktır. Bu protokolün Rusya'daki telekom operatörlerinin ağlarındaki popülaritesi zaten düşüşte; hala esas olarak büyük şirketlerin yerel ağlarında kuruluşun dahili kullanıcılarının kimliğini doğrulamak için kullanılıyor. T2600G-28SQ anahtarı 802.1X desteğine sahip olduğundan sağlayıcı gerektiğinde rahatlıkla kullanabilir.
IEEE 802.1X protokolünün çalışması için üç katılımcı gereklidir: istemci ekipmanı (istemci), sağlayıcı erişim anahtarı (kimlik doğrulayıcı) ve kimlik doğrulama sunucuları (genellikle RADIUS sunucuları).
Operatör tarafındaki temel konfigürasyon son derece basittir. Yalnızca, kullanıcı veritabanının depolanacağı, kullanılan RADIUS sunucusunun IP adresini belirtmeniz ve ayrıca kimlik doğrulamanın gerekli olduğu arayüzleri seçmeniz gerekir.
Temel 802.1X kurulumu
İstemci tarafında da küçük yapılandırma gereklidir. Tüm modern işletim sistemleri zaten gerekli yazılımı içerir. Ancak gerekirse, istemcinin ağda kimliğini doğrulamanıza olanak tanıyan bir uygulama olan TP-Link 802.1x Client'ı yükleyebilir ve kullanabilirsiniz.
Kullanıcının bilgisayarını doğrudan sağlayıcının ağına bağlarken, bağlantı için kullanılan ağ kartı için kimlik doğrulama ayarlarının etkinleştirilmesi gerekir.
Ancak şu anda operatörün ağına genellikle doğrudan bağlanan kullanıcı bilgisayarı değil, abonenin yerel ağının (hem kablolu hem de kablosuz segmentler) çalışmasını sağlayan bir SOHO yönlendiricidir. Bu durumda tüm 802.1X protokolü ayarlarının doğrudan yönlendirici üzerinde yapılması gerekir.
Bize öyle geliyor ki bu kimlik doğrulama yöntemi operatör ağlarında haksız yere unutulmuş. Evet, bir aboneyi kesinlikle bir anahtar bağlantı noktasına bağlamak, kullanıcı ekipmanı ayarları açısından daha basit bir çözüm olabilir. Ancak kullanıcı adı ve şifre kullanılması gerekiyorsa, 802.1X, PPTP/L2TP/PPPoE tünellerine dayalı olarak kullanılan bağlantılarla karşılaştırıldığında bu kadar ağır bir protokol olmayacaktır.
PPPoE Kimliği Ekleme
Sadece ülkemizde değil dünya genelinde pek çok kullanıcı hala son derece basit şifreler kullanmayı tercih ediyor. Ne yazık ki, kimlik bilgileri hırsızlığı vakaları da nadir değil. Operatör, kullanıcıların kimliğini doğrulamak için ağında PPPoE protokolünü kullanıyorsa, TP-Link T2600G-28SQ anahtarı, kimlik bilgilerinin sızmasıyla ilgili sorunun çözülmesine yardımcı olacaktır. Bu, PPPoE Aktif Keşif mesajına özel bir etiket eklenerek elde edilir. Bu şekilde sağlayıcı, abonenin kimliğini yalnızca kullanıcı adı ve şifreyle değil, aynı zamanda ek verilerle de doğrulayabilir. Bu ek veriler, istemci cihazının MAC adresinin yanı sıra bağlı olduğu anahtar arayüzünü de içerir.
Bazı operatörler, prensip olarak, abonenin (bir çift kullanıcı adı ve şifre) ağda gezinme yeteneğini reddetmek ister. PPPoE Kimlik Ekleme işlevi bu durumda da yardımcı olacaktır.
IGMP
IGMP (İnternet Grup Yönetimi Protokolü) on yıllardır ortalıkta. Popülerliği oldukça anlaşılır ve kolayca açıklanabilir. Ancak IGMP etkileşiminde iki taraf yer alır: kullanıcının bilgisayarı (veya başka herhangi bir cihaz, örneğin bir STB) ve belirli bir ağ bölümüne hizmet veren IP yönlendirici. Switchler hiçbir şekilde bu değişime katılmamaktadır. Doğru, son ifade tamamen doğru değil. Veya modern ağlarda bu hiç de doğru değil. Anahtarlar, çok noktaya yayın trafiği iletmeyi optimize etmek için IGMP'yi destekler. Kullanıcı trafiğini dinleyen anahtar, içindeki IGMP Rapor mesajlarını algılar ve bunun yardımıyla çok noktaya yayın trafiğini iletmek için bağlantı noktalarını belirler. Açıklanan seçeneğe IGMP Gözetleme adı verilir.
IGMP protokolü desteği yalnızca trafiği bu şekilde optimize etmek için değil, aynı zamanda IPTV gibi belirli bir hizmetin sağlanabileceği aboneleri belirlemek için de kullanılabilir. Filtreleme parametrelerini manuel olarak ayarlayarak veya kimlik doğrulamayı kullanarak istediğiniz hedefe ulaşabilirsiniz.
TP-Link anahtarlarında çok noktaya yayın trafiği desteği oldukça esnek bir şekilde uygulanmaktadır. Örneğin tüm parametreler her sanal ağ için ayrı ayrı ayarlanabilir.
Çok noktaya yayın trafiği alıcıları içeren birden fazla alt ağ bir yönlendirici arabirimine bağlıysa, bu durumda yönlendirici, bu arabirim aracılığıyla paketlerin birden çok kopyasını (her sanal ağ için bir tane) göndermeye zorlanacaktır.
Bu durumda, MVR teknolojisini (Çok Noktaya Yayın VLAN Kaydı) kullanarak çok noktaya yayın trafiğini iletme prosedürünü optimize edebilirsiniz.
Çözümün özü, tüm alıcıları birleştiren tek bir sanal ağın oluşturulmasıdır. Ancak bu sanal ağ yalnızca çok noktaya yayın trafiği için kullanılır. Bu yaklaşım, yönlendiricinin arayüz üzerinden çok noktaya yayın trafiğinin yalnızca bir kopyasını göndermesine olanak tanır.
DDM, OAM ve DLDP
DDM – Dijital Tanısal İzleme. Optik modüllerin çalışması sırasında, modülün kendisinin ve bağlı olduğu optik kanalın durumunu izlemek genellikle gereklidir. DDM işlevi bu görevle başa çıkmanıza yardımcı olacaktır. Bunun yardımıyla operatör mühendisler, bu işlevselliği destekleyen her bir modülün sıcaklığını, voltajını ve akımını, ayrıca gönderilen ve alınan optik sinyallerin gücünü izleyebilecekler.
Daha önce açıklanan parametreler için eşik seviyelerinin ayarlanması, kabul edilebilir aralığın dışına çıkmaları durumunda bir etkinlik oluşturmanıza olanak tanır.
DDM yanıt eşiklerini ayarlama
Doğal olarak yönetici belirtilen parametrelerin mevcut değerlerini görüntüleyebilir.
TP-Link T2600G-28SQ anahtarı aktif bir hava soğutma sistemine sahiptir. Üstelik switchlerimizde SFP modüllerinin port yoğunluğundan dolayı aşırı ısınmasına da hiç rastlamadık. Bununla birlikte, tamamen teoride böyle bir olasılığa izin veriliyorsa (örneğin, SFP modülü içindeki bir sorun nedeniyle), o zaman DDM'nin yardımıyla yönetici potansiyel olarak tehlikeli bir durum hakkında derhal bilgilendirilecektir. Buradaki tehlike elbette anahtarın kendisi için değil, SFP'nin içindeki diyot/lazer içindir, çünkü sıcaklığı arttıkça yayılan optik sinyalin gücü düşebilir ve bu da optik bütçenin azalmasına yol açacaktır.
Burada, TP-Link anahtarlarının bir satıcı kilitleme "işlevine" sahip olmadığını, yani herhangi bir uyumlu SFP modülünün desteklendiğini ve bunun da elbette ağ yöneticileri için çok uygun olacağını belirtmekte fayda var.
OAM - Çalıştırma, Yönetim ve Bakım (IEEE 802.3ah). OAM, Ethernet ağlarını izlemek ve sorun gidermek için tasarlanmış OSI modelinin ikinci katman protokolüdür. Bu protokolü kullanarak anahtar, belirli bir bağlantının performansını ve hataları izleyebilir ve ağ yöneticisinin ağı daha verimli bir şekilde yönetebilmesi için uyarılar oluşturabilir.
Temel OAM kurulumu
OAM İşlevsel Ayrıntılarİki komşu OAM özellikli cihaz, üç türde gelen OAMPDU'lar göndererek periyodik olarak mesaj alışverişinde bulunur: Bilgilendirme, Olay Bildirimi ve Geri Döngü Kontrolü. Bilgilendirici OAMPDU'ları kullanarak komşu anahtarlar, yönetici tanımlı verilerin yanı sıra istatistiksel bilgileri de birbirlerine gönderir. Bu mesaj türü aynı zamanda OAM protokolü aracılığıyla bağlantıyı sürdürmek için de kullanılır. Olay Bildirimi mesajları, bağlantı izleme işlevi tarafından diğer tarafa arızaların meydana geldiğini bildirmek için kullanılır. Loopback Control mesajları bir hattaki döngüyü tespit etmek için kullanılır.
Aşağıda OAM protokolünün sağladığı ana özellikleri listelemeye karar verdik:
- Ortam izleme (kırık çerçevelerin tespiti ve sayılması),
- RFI – Uzaktan Arıza Göstergesi (kanalda arıza bildirimi gönderilmesi),
- Uzaktan Geri Döngü (gecikmeyi, gecikme değişimini (titreşim), kayıp kare sayısını ölçmek için kanal testi).
Optik anahtarlarda talep gören bir diğer seçenek ise iletişim kanalındaki sorunları tespit ederek kanalın simpleks hale gelmesine, yani verilerin yalnızca tek yöne gönderilebilmesine olanak sağlamasıdır. Anahtarlarımız, tek yönlü bağlantıları algılamak için DLDP - Cihaz Bağlantısı Algılama Protokolünü kullanır. Adil olmak gerekirse, DLDP protokolünün hem optik hem de bakır arayüzlerde desteklendiğini belirtmekte fayda var, ancak bizce en popüler olanı fiber optik hatlar kullanıldığında olacaktır.
Tek yönlü bir bağlantı tespit edildiğinde anahtar, sorunlu arayüzü otomatik olarak kapatabilir, bu da STP ağacının yeniden oluşturulmasına ve yedek iletişim kanallarının kullanılmasına yol açacaktır.
Cephaneliğimizde sinyalleri tek fiber üzerinden alan ve ileten SFP modülleri bulunmaktadır. Yalnızca çiftler halinde çalışırlar ve çift içinde iletim için farklı dalga boylarındaki optik sinyalleri kullanırlar. Bir örnek TL-SM321A ve TL-SM321B çiftidir. Bu tür modülleri kullanırken, bir fiberin hasar görmesi, tüm optik kanalın tamamen çalışamaz hale gelmesine yol açacaktır. Bununla birlikte, bu tür kanallarda bile DLDP protokolü talep edilecektir, çünkü bu çok nadir olmasına rağmen, kanal farklı dalga boyları için farklı şeffaflık özelliklerine sahip olabilir. Daha olası bir sorun, ışığın yayılma yönüne bağlı olarak kanal şeffaflığının değişmesidir. Reflektogram bu sorunların tespit edilmesine yardımcı olacaktır ancak bu tamamen farklı bir hikaye.
LLDP
Büyük kurumsal veya operatör ağlarında, ağ belgelerinin eskimesi veya hazırlanmasındaki yanlışlıklar nedeniyle periyodik olarak sorunlar ortaya çıkar. Bir ağ yöneticisi, belirli bir anahtar arayüzüne gerçekte hangi operatör ekipmanının bağlı olduğunu bulmanın gerekli olduğu bir durumla karşı karşıya kalabilir. LLDP – Bağlantı Katmanı Keşif Protokolü (IEEE 802.1AB) kurtarmaya gelecek.
LLDP Çalışma Parametreleri
Anahtarlarımız, yalnızca komşu anahtarları veya diğer ağ cihazlarını keşfetmek için değil, aynı zamanda yeteneklerini belirlemek için de LLDP'yi destekler.
Anahtarımızın bakır karşılıkları, IP telefonları bağlama prosedürünü basitleştirmek için LLDP-MED'i kullanabilir. Ayrıca bu seçeneği kullanarak PoE anahtarı, güç sağlanan cihazla güç parametreleri üzerinde anlaşabilir. Bu konuyu daha önce detaylı olarak bir yazımızda konuşmuştuk. .
SDM ve aşırı abonelik
Hemen hemen tüm modern anahtarlar, geçen çerçeveleri ve paketleri merkezi bir işlemci kullanmadan işler. İşleme (sağlama toplamlarının hesaplanması, erişim listelerinin uygulanması ve diğer güvenlik kontrollerinin gerçekleştirilmesinin yanı sıra anahtarlama/yönlendirme kararlarının alınması), kullanıcı trafiğinin yüksek iletim hızlarına izin veren özel çipler kullanılarak gerçekleştirilir. Tartışılan anahtar, trafiğin orta hızda işlenmesine olanak tanıyor. Bu, cihazın performansının, tüm bağlantı noktalarından aynı anda mümkün olan en yüksek hızlarda veri göndermeye yeterli olduğu anlamına gelir. T2600G-28SQ modeli, 24 Gbit/s hızında çalışan 1 aşağı bağlantı bağlantı noktasına (kullanıcılara yönelik) ve ayrıca 4 Gbit/s'lik 10 yukarı bağlantı bağlantı noktasına (ağ çekirdeğine doğru) sahiptir. Aynı zamanda, anahtar çapraz veriyolunun performansı 128 Gbit/s'dir ve bu, gelen trafiğin maksimum miktarını işlemek için yeterlidir.
Adil olmak gerekirse, anahtarlama matrisinin performansının saniyede 95,2 milyon paket olduğunu belirtmekte fayda var. Yani, yalnızca 64 bayt uzunluğunda mümkün olan minimum çerçeveler kullanıldığında cihazın toplam performansı 97,5 Gbit/s olacaktır. Ancak telekom operatörü ağları için böyle bir trafik profili neredeyse imkansızdır.
Aşırı abonelik nedirBir diğer önemli konu ise upstream ve downstream kanalların hızlarının oranıdır (aşırı abonelik). Burada elbette her şey topolojiye bağlıdır. Yönetici, ağ çekirdeğine bağlanmak için dört 10 GE arayüzünün tamamını kullanıyorsa ve bunları LAG (Link Aggregation Group) veya Port-Channel teknolojisini kullanarak birleştiriyorsa, çekirdeğe doğru istatistiksel olarak elde edilen hız 40 Gbit/s olacaktır; bu, daha fazla olacaktır. bağlı tüm abonelerin ihtiyaçlarını karşılamak için fazlasıyla yeterli. Ayrıca, dört bağlantının tamamının tek bir fiziksel cihaza bağlanması gerekli değildir. Bağlantı, bir anahtar yığınına veya bir küme halinde birleştirilmiş iki cihaza (vPC teknolojisi veya benzeri kullanılarak) yapılabilir. Bu durumda fazla abonelik söz konusu değildir.
Dört uplink'in tümünü yalnızca LAG kullanarak birleştirerek değil aynı anda kullanabilirsiniz. MSTP'yi doğru şekilde yapılandırarak benzer bir etki elde edilebilir, ancak bu tamamen farklı bir hikaye.
Yaygın olarak kullanılan ikinci L2 bağlantı yöntemi, iki bağımsız LAG (her toplama anahtarına bir tane) kullanmaktır. Bu durumda, büyük olasılıkla sanal bağlantılardan biri STP protokolü tarafından engellenecektir (STP veya RSTP kullanılırken). Aşırı abonelik 5:6 olacaktır.
Daha nadir ama yine de oldukça olası bir durum: T2600G-28SQ bağımsız kanallar aracılığıyla bir yukarı akış anahtarına veya anahtarlara bağlanır. STP/RSTP protokolü bu türden yalnızca bir bağlantıyı engellenmemiş durumda bırakacaktır. Abonelik fazlası 5:12 olacaktır.
Yıldız işaretli görev: İki erişim anahtarının aynı toplama cihazına bağlandığı ve birbirine bağlandığı örnek bir topolojiye baktığımız STP bölümünde açıklanan durumlar için aşırı aboneliği hesaplayın.
Bu kadar yüksek aktarım hızlarına olanak tanıyan programlanabilir çipler oldukça pahalı bir kaynaktır, bu nedenle kaynakları farklı işlevler arasında doğru şekilde dağıtarak kullanımlarını optimize etmeye çalışıyoruz. SDM - Switch Database Management dağıtımdan sorumludur.
Dağıtım SDM profili kullanılarak yapılır. Şu anda aşağıda listelenen üç profil kullanıma açıktır.
- Varsayılan, MAC ve IP erişim listelerinin yanı sıra ARP algılama girişlerini kullanmak için dengeli bir çözüm sunar.
- EnterpriseV4, MAC ve IP erişim listeleri tarafından kullanılabilen kaynakları en üst düzeye çıkarmanıza olanak tanır.
- EnterpriseV6, bazı kaynakları IPv6 erişim listeleri tarafından kullanılmak üzere tahsis eder.
Yeni profili uygulamak için anahtarın yeniden başlatılması gerekir.
Sonuç
İlk konumlandırmaya uygun olarak bu anahtar, uzun mesafelerde ağ erişimi sağlama göreviyle karşı karşıya kalan telekom operatörleri için en uygunudur. Cihaz hem erişim düzeyinde (örneğin yazlık topluluklarda hem de şehir evlerinde) ve apartman binalarında bulunan erişim anahtarlarından gelen kanalların toplanması için kullanılabilir; yani uzak nesnelere bağlantıların gerekli olduğu her yerde. Optik iletişim kanallarını kullanırken, bağlı abone birkaç kilometreye kadar bir mesafeye yerleştirilebilir.
İstemci tarafında optik bağlantılar, optik arayüzlere sahip küçük anahtarlar veya medya dönüştürücüler üzerinde sonlandırılabilir.
Çok sayıda desteklenen protokol ve seçenek, T2600G-28SQ'nun bir operatörün Ethernet ağında herhangi bir topoloji ve kullanılan herhangi bir teknoloji seti ve sağlanan hizmetlerle kullanılmasına olanak tanıyacak. Anahtar, web arayüzü veya komut satırı kullanılarak uzaktan yönetilir. Yerel yapılandırma gerekiyorsa konsol bağlantı noktasını kullanabilirsiniz; T2600G-28SQ modelinde bunlardan iki tane bulunur: RJ-45 ve mikro USB. Merhemdeki küçük bir sinek olarak, istifleme ve ikinci bir güç kaynağı için destek eksikliğine dikkat çekiyoruz. Doğru, genellikle sağlayıcıların veri merkezleri dışında ikinci bir elektrik hattının varlığı nadir olacaktır.
Avantajları arasında düşük fiyat, çok sayıda abone optik bağlantı noktası, 10 GE optik bağlantı noktasının varlığı, ayrıca dört birleşik bağlantı noktası ve orta hızda trafik iletimi yer alıyor.
Kaynak: habr.com