Розширення великих міст та освіта агломерацій – один із важливих трендів соціального розвитку сьогодні. Одна тільки Москва у 2019 році має розширитися на 4 млн. квадратних метрів житла (і це не рахуючи 15 населених пунктів, які приєднаються до 2020 року). На всій цій величезній території операторам зв'язку доведеться надавати користувачам доступ до Інтернету. Це можуть бути як міські мікрорайони з щільною багатоповерховою забудовою, так і більш розряджені котеджні селища. Для цих випадків вимоги до обладнання дещо різняться. Ми проаналізували кожен із цих сценаріїв та створили універсальну модель оптичного комутатора — T2600G-28SQ. У цьому пості ми докладно розберемо можливості пристрою, які будуть цікаві операторам зв'язку по всій Росії.
Місце у мережі
Комутатор T2600G-28SQ призначений для роботи на рівні доступу в мережі, так і для агрегування лінків від інших комутаторів рівня доступу. Це комутатор другого рівня, який виконує комутацію та статичну маршрутизацію. Якщо у оператора зроблено комутовану і агрегацію, і доступ (маршрутизація тільки в ядрі мережі), T2600G-28SQ впишеться на будь-який з рівнів. У разі агрегації, що динамічно маршрутизується, все-таки потрібно враховувати деякі обмеження за сценаріями використання.
Модель T2600G-28SQ – повноцінний активний Ethernet-комутатор без додаткових обмежень, що з'являються під час використання технологій xPON або подібних. Наприклад, без загроз різкого падіння швидкості зі збільшенням кількості користувачів або поганої сумісності між обладнанням різних вендорів та прошивками. До інтерфейсів пристрою можуть підключатися як кінцеві користувачі, так і комутатори доступу з оптичними аплінками, наприклад, модель T2600G-28TS. На схемі нижче представлені найпоширеніші приклади таких підключень.
Для доступу до мережі кінцевого користувача можна використовувати оптичне волокно, або кручена пара. На стороні абонента оптичне волокно може термінуватися як за допомогою конвертера середовища (медіаконвертер), наприклад TP-Link MC220L; так і з використанням оптичного інтерфейсу в SOHO-маршрутизаторі.
Для підключення близького клієнта можна використовувати чотири RJ-45 порти, що працюють на швидкостях 10/100/1000 Мбіт/с. Якщо ж з якоїсь причини цього виявиться недостатньо, оператор може конвертувати оптичні інтерфейси комутатора в мідні. Зробити це можна за допомогою спеціалізованих мідних SFP з роз'ємом RJ-45. Але таке рішення не можна назвати типовим.
Декілька прикладів з практики
Для повноти картини наведемо кілька прикладів використання комутаторів моделі T2600G-28SQ.
Підмосковний провайдер , який крім інтернету надає послуги телефонії та кабельного ТБ, використовує T2600G-28SQ на рівні доступу при побудові мереж у приватному секторі (котеджі та таунхауси). З боку клієнта підключення здійснюється до маршрутизаторів із SFP-портом, а також медіаконвертерів. На даний момент SOHO-маршрутизатори зі SFP-портом не виробляються у нас серійно, але ми, звичайно ж, думаємо про це.
Оператор зв'язку з Павлово-Посадського району застосовує комутатори T2600G-28SQ як «невелику агрегацію», використовуючи на доступі комутатори моделей T2600G-28TS та T2500G-10TS.
Група компаній надають на південному сході Московської області (Коломна, Луховиці, Зарайськ, Срібні ставки, Озери) доступ в інтернет, ТБ, телефонію, системи відеоспостереження. Приблизна топологія тут така сама, як і у МКС: T2600G-28SQ на рівні агрегації, а T2600G-28TS та T2500G-10TS на рівні доступу.
провайдер з Краснознаменська надає доступ до Інтернету за допомогою мережі з глибоким проникненням оптики. У її основі також лежать T2600G-28SQ.
У наступних розділах ми коротко опишемо деякі можливості моделі T2600G-28SQ. Щоб не роздмухувати матеріал, ряд опцій ми залишили за бортом: QinQ (VLAN VPN), маршрутизацію, QoS та ін. Думаємо, що можна буде повернутися до них в одному з наступних постів.
Можливості комутатора
Резервування – STP
STP – Spanning Tree Protocol. Протокол сполучного (що покриває) дерева відомий вже дуже давно, дякую за це шановній Радьє Перлман. У сучасних мережах адміністратори намагаються всіляко уникнути використання цього протоколу. Так, STP не позбавлений недоліків. І дуже добре, якщо є альтернатива. Однак, як це часто буває, альтернатива цьому протоколу сильно залежатиме від вендора. Тому досі Spanning Tree Protocol залишається чи не єдиним рішенням, яке підтримується практично всіма виробниками, а також відоме всім мережевим адміністраторам.
Комутатор TP-Link T2600G-28SQ підтримує три версії STP: класичний STP (IEEE 802.1D), RSTP (802.1W) та MSTP (802.1S).
З цих варіантів для більшості невеликих інтернет-провайдерів в Росії цілком підходить звичайний RSTP, який має перед класичною версією одну незаперечну перевагу значно менший час збіжності.
Найбільш гнучким на сьогоднішній день є протокол MSTP, який підтримує віртуальні мережі (VLAN) і допускає кілька дерев, що дозволяє задіяти всі доступні резервні шляхи. Адміністратор створює кілька різних екземплярів дерева (до восьми), кожен із яких обслуговує певний набір віртуальних мереж.
Тонкощі MSTPАдміністраторам-початківцям при використанні MSTP потрібно бути дуже уважними. Це з тим, що поведінка протоколу всередині регіону та між регіонами відрізняється. Тому при конфігуруванні комутаторів варто стежити, щоб залишатися в рамках одного регіону.
Що ж таке цей горезвісний регіон? Регіоном у термінах MSTP називається набір з'єднаних один з одним комутаторів, у яких збігаються такі характеристики: ім'я регіону, номер ревізії та розподіл віртуальних мереж (VLAN) між екземплярами протоколу (instance).
Звичайно ж, протокол Spanning Tree (будь-якої версії) дозволяє не тільки боротися з петлями, що виникають при підключенні резервних каналів, але також захиститися від помилок кабельної комутації, коли інженер спеціально або ненавмисно з'єднує неправильні порти, створюючи своїми діями петлю.
Більш досвідчені мережеві адміністратори вважають за краще використовувати різноманітні додаткові опції для захисту протоколу STP від атак чи складних аварійних ситуацій. Модель T2600G-28SQ пропонує цілий набір таких можливостей: Loop Protect та Root Protect, TC Guard, BPDU Protect та BPDU Filter.
Правильне використання перелічених вище опцій разом з іншими підтримуваними механізмами захисту дозволить стабілізувати локальну мережу і зробити більш передбачуваною.
Резервування - LAG
LAG - Link Aggregation Group. Це технологія, що дозволяє об'єднати кілька фізичних каналів на один логічний. Всі інші протоколи перестають використовувати фізичні канали, що входять до LAG, окремо і починають "бачити" один логічний інтерфейс. Приклад такого протоколу є STP.
Балансування трафіку користувача між фізичними каналами всередині логічного проводиться на підставі хеш-суми. Для її розрахунку можна використовувати MAC-адреси відправника, одержувача, чи його пара; а також IP-адреси відправника, одержувача або їх пара. Інформація протоколів четвертого рівня (порти TCP/UDP) не враховується.
Комутатор T2600G-28SQ підтримує статичні та динамічні LAG.
Для узгодження параметрів динамічної групи використовується протокол LACP.
Безпека – списки доступу (ACL)
Наш комутатор T2600G-28SQ дозволяє фільтрувати трафік користувача за допомогою списків доступу (ACL – Access Control List).
Списки доступу, що підтримуються, можуть бути декількох різних типів: MAC і IP (IPv4/IPv6), комбіновані, а також для виконання контентної фільтрації. Кількість підтримуваних списків доступу кожного типу залежить від шаблону SDM, який ми використовуємо на даний момент, який ми описали в іншому розділі.
Оператор може використовувати цю опцію для блокування різного небажаного трафіку в мережі. Прикладом такого трафіку можуть бути пакети IPv6 (за допомогою поля EtherType), якщо послуга не надається; або блокувати SMB по порту 445. У мережі зі статичною адресацією DHCP/BOOTP трафік не потрібно, тому за допомогою ACL адміністратор може відфільтрувати UDP-датаграми по портах 67 та 68. Заборонити локальний IPoE трафік також можна за допомогою ACL. Таке блокування може бути затребуваним у мережах операторів, що застосовують PPPoE.
Процес використання списків доступу дуже простий. Після створення самого списку, необхідно додати в нього потрібну кількість записів, тип яких безпосередньо залежить від аркуша, що настроюється.
Налаштування списків доступу
Варто зауважити, що списки доступу можуть виконувати не тільки звичайні операції з дозволу або заборони проходження трафіку, але також займатися його перенаправленням, дзеркалюванням, а також перемаркування або обмежувати за швидкістю.
Після того, як всі необхідні ACL створені, адміністратор може виконати їхнє встановлення. Допускається прикріплення списку доступу як безпосередньому фізичному порту, так і до певної віртуальної мережі.
Безпека – кількість MAC-адрес
Іноді у операторів виникає потреба обмежити кількість MAC-адрес, які комутатор вивчить на певному порту. Списки доступу дозволяють досягти зазначеного ефекту, але при цьому вимагають явної вказівки самих MAC-адрес. Якщо ж потрібно лише обмежити кількість канальних адрес, але не вказувати їх у явному вигляді, на допомогу прийде port security.
Таке обмеження може бути потрібним, наприклад, для захисту від підключення цілої локальної мережі до одного інтерфейсу комутатора провайдера. Тут же варто зазначити, що мова йде про підключення, що комутується, тому що при підключенні за допомогою маршрутизатора на стороні клієнта T2600G-28SQ вивчить тільки одну адресу - це MAC, що належить WAN-порту клієнтського роутера.
Існує цілий клас атак, спрямованих проти таблиці комутації. Це може бути переповнення таблиці, і MAC-spoofing. Опція port security дозволить захиститися від переповнення бруківки та від атак, метою яких є навмисне перенавчання комутатора, отруєння його бруківки.
Не можна не згадати і про просто збояче клієнтське обладнання. Нерідкі ситуації, коли мережна карта комп'ютера або маршрутизатор, що неправильно функціонує, створюють потік кадрів з абсолютно довільними адресами відправника і одержувача. Такий потік може з легкістю виснажити CAM.
Ще одним способом обмеження кількості записів, що використовуються в мостовій таблиці служить інструмент MAC VLAN Security, за допомогою якого адміністратор може вказати максимальну кількість записів для певної віртуальної мережі.
Крім управління динамічними записами в таблиці комутації, адміністратор може також створювати статичні.
Максимально бруківка таблиці моделі T2600G-28SQ дозволяє вмістити до 16К записів.
Ще однією опцією, призначеною для фільтрації передачі трафіку користувача, є функція Port Isolation, що дозволяє в явному вигляді вказати, в якому напрямку дозволено пересилання.
Безпека – IMPB
На просторах нашої неосяжної батьківщини підхід операторів зв'язку до питань безпеки в мережі відрізняється від повного ігнорування до максимально можливого застосування всіх опцій, що підтримуються обладнанням.
Функції IPv4 IMPB (IP-MAC-Port Binding) та IPv6 IMPB дозволяють захиститися від цілого спектру атак, пов'язаних із заміною IP та MAC-адрес з боку абонентів шляхом прив'язки IP та MAC-адрес клієнтського обладнання до інтерфейсу комутатора провайдера. Така прив'язка може здійснюватися вручну або з використанням функцій ARP Scanning та DHCP Snooping.
Основні налаштування IMPB
Задля справедливості варто сказати, що для захисту протоколу DHCP може застосовуватися спеціальна функція – DHCP Filter.
За допомогою цієї функції мережний адміністратор може вручну вказати ті інтерфейси, до яких підключено справжні DHCP-сервери. Таким чином, підроблені сервери DHCP не зможуть вклинитися в процес узгодження IP-параметрів.
Безпека – DoS Defend
Ця модель дозволяє захищати користувачів від декількох найбільш відомих і поширених раніше DoS-атак.
Більшість перелічених атак вже зовсім не страшна пристроям із сучасними операційними системами, проте досі в наших мережах можуть зустрічатися і такі, для яких останнє оновлення програмного забезпечення було зроблено багато років тому.
Підтримка DHCP
Комутатор TP-Link T2600G-28SQ може виступати як DHCP-сервер або релей, так і виконувати різноманітну фільтрацію DHCP-повідомлень, якщо в якості сервера виступає інший пристрій.
Найпростіший спосіб надати користувачам необхідні для роботи IP-параметри - використовувати вбудований в комутатор DHCP-сервер. Основні параметри з його допомогою можна віддати абонентам.
Ми підключили наш SOHO-маршрутизатор Archer C6 до одного з інтерфейсів комутатора та переконалися в успішності отримання адреси клієнтським пристроєм.
Це виглядає так
Вбудований в комутатор DHCP-сервер - мабуть, не найбільш масштабоване і гнучке рішення: немає підтримки нестандартних опцій, немає зв'язку з IPAM. Якщо ж оператору потрібно більше контролю над процесом розподілу IP-адрес, то буде використано якийсь виділений DHCP-сервер.
T2600G-28SQ дозволяє для кожної підмережі користувача вказати окремий виділений DHCP-сервер, на який будуть перенаправлятися повідомлення обговорюваного протоколу. Вибір підмережі відбувається за допомогою відповідного L3-інтерфейсу: VLAN (SVI), routed port або port-channel.
Щоб перевірити функціонування релея, ми налаштували окремий маршрутизатор іншого вендора для роботи в якості DHCP-сервера, налаштування якого представлені нижче.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Клієнтський маршрутизатор знову успішно отримав IP-адресу.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticПід спойлером – вміст перехопленого пакета між комутатором та виділеним DHCP-сервером.
Вміст пакету
Не можна не наголосити на наявності підтримки Option 82 з боку комутатора. При її активації комутатор буде додавати інформацію про інтерфейс користувача, з якого було отримано повідомлення DHCP Discover. Крім того, модель T2600G-28SQ дозволяє налаштувати політику обробки інформації, що додається при вставці опції №82. Наявність підтримки зазначеної опції може стати в нагоді в ситуації, коли абоненту необхідно видавати одну і ту ж IP-адресу незалежно від того, який ідентифікатор клієнт (client-id) про себе повідомляє.
Нижче наведено повідомлення DHCP Discover (передане релеєм) з доданою опцією №82.
Повідомлення з опцією №82
Звичайно ж, керувати опцією №82 можна і без налаштування повноцінного DHCP-релею, відповідні налаштування представлені в підпункті DHCP L2 Relay.
А тепер змінимо налаштування DHCP-сервера так, щоб продемонструвати роботу опції №82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticОсь приблизно так
Функція DHCP interface relay буде корисною в ситуації, коли на комутаторі не тільки присутній L3-інтерфейс, підключений до певної мережі, але ще й цей інтерфейс має IP-адресу. У разі відсутності адреси на такому інтерфейсі допоможе прийде функція DHCP VLAN relay. Інформація про підмережі в цьому випадку береться з стандартного інтерфейсу, тобто адресні простори в декількох віртуальних мережах будуть однаковими (перекриватися).
Найчастіше операторам потрібно також убезпечити абонентів від помилкового чи зловмисного включення DHCP-сервера на клієнтському устаткуванні. Обговорення цієї функціональності ми вирішили винести в один із розділів, присвячених питанням безпеки.
IEEE 802.1X
Одним із способів автентифікації користувачів у мережі є використання протоколу IEEE 802.1X. Популярність цього протоколу в мережах операторів зв'язку в Росії вже йде на спад, він все ще використовується переважно в локальних мережах великих компаній для аутентифікації внутрішніх користувачів організації. У комутаторі T2600G-28SQ є підтримка 802.1X, тому за потреби провайдер може з легкістю задіяти його.
Для роботи протоколу IEEE 802.1X необхідно три учасники: клієнтське обладнання (supplicant), комутатор доступу провайдера (authenticator) та сервер аутентифікації (зазвичай RADIUS-сервера).
Базова конфігурація з боку оператора дуже проста. Потрібно лише вказати IP-адресу використовуваного RADIUS-сервера, на якій буде зберігатися база даних користувача, а також вибрати інтерфейси, для яких необхідна аутентифікація.
Базове налаштування 802.1X
З клієнтської сторони також потрібне незначне налаштування. Усі сучасні операційні системи містять необхідне програмне забезпечення. Але за потреби можна встановити та використовувати TP-Link 802.1x Client – додаток, що дозволяє здійснювати аутентифікацію клієнта в мережі.
При підключенні ПК безпосередньо до мережі провайдера, налаштування автентифікації необхідно активувати для тієї мережної карти, яка використовується для підключення.
Однак в даний час до мережі оператора зазвичай підключається не комп'ютер користувача безпосередньо, а SOHO-маршрутизатор, що забезпечує функціонування локальної мережі абонента (як провідного, так і бездротового сегментів). У цьому випадку всі налаштування протоколу 802.1X повинні виконуватись безпосередньо на маршрутизаторі.
Нам здається, що в операторських мережах такий спосіб автентифікації незаслужено забутий. Так, жорстка прив'язка абонента до порту комутатора, можливо, буде більш простим рішенням з точки зору налаштувань обладнання. Але якщо використання логіну і пароля необхідне, то 802.1X буде не настільки важким протоколом в порівнянні з підключеннями на базі тунелів PPTP/L2TP/PPPoE.
PPPoE ID Insertion
Багато користувачів не тільки в нашій країні, але й у всьому світі досі вважають за краще використовувати гранично прості паролі. Та й випадки крадіжки облікових даних, на жаль, не є рідкістю. Якщо у мережі оператор використовує протокол PPPoE для аутентифікації користувачів, то комутатор TP-Link T2600G-28SQ допоможе вирішити проблему, пов'язану з витоком облікових даних. Це досягається за рахунок додавання спеціальної мітки до повідомлення PPPoE Active Discovery. Таким чином провайдер може аутентифікувати абонента не тільки за логіном та паролем, але ще й додатковими даними. До таких додаткових даних належать MAC-адреса клієнтського пристрою, а також інтерфейс комутатора, до якого він підключений.
Деякі оператори в принципі бажають заборонити абоненту (пара логін та пароль) можливість переміщатися по мережі. Функція PPPoE ID Insertion допоможе і в цьому випадку також.
IGMP
Протокол IGMP (Internet Group Management Protocol) існує не одне десятиліття. Популярність його цілком зрозуміла і легко зрозуміла. Але в IGMP-взаємодії беруть участь дві сторони: ПК користувача (або будь-який інший пристрій, наприклад, STB) та IP-маршрутизатор, який обслуговує певний сегмент мережі. Комутатори не беруть участь у цьому обміні. Щоправда, останнє твердження не зовсім вірне. Або в сучасних мережах зовсім не правильно. Підтримка протоколу IGMP з боку комутаторів потрібна для того, щоб оптимізувати пересилання групового трафіку. Прослуховуючи трафік користувача комутатор виявляє в ньому повідомлення IGMP Report, за допомогою яких визначає порти для пересилання групового трафіку. Описана опція називається IGMP Snooping.
Підтримка протоколу IGMP може використовуватися не тільки для оптимізації трафіку як такого, але й для визначення абонентів, яким може надаватись певна послуга, наприклад IPTV. Досягти бажаної мети можна як за допомогою параметрів фільтрації вручну, так і шляхом використання аутентифікації.
Підтримка групового трафіку на комутаторах TP-Link реалізована досить гнучко. Наприклад, всі параметри можуть бути задані для кожної віртуальної мережі окремо.
Якщо до одного інтерфейсу маршрутизатора підключено кілька підмереж, у яких розташовані одержувачі групового трафіку, цей маршрутизатор буде змушений відправити кілька копій пакетів через цей інтерфейс (по одному для кожної віртуальної мережі).
Оптимізувати процедуру пересилання групового трафіку в даному випадку можна за допомогою технології MVR – Multicast VLAN Registration.
Суть рішення полягає в тому, що створюється одна віртуальна мережа, яка поєднує всіх одержувачів. Однак ця віртуальна мережа використовується лише для групового трафіку. Такий підхід дозволяє маршрутизатору надсилати лише одну копію групового трафіку через інтерфейс.
DDM, OAM та DLDP
DDM – Digital Diagnostic Monitoring. У процесі експлуатації оптичних модулів часто буває необхідно стежити станом самого модуля, і навіть оптичного каналу, якого він підключений. Упоратися з цим завданням допоможе функція DDM. З її допомогою інженери оператора зможуть відстежувати температуру кожного модуля, що підтримує дану функціональність, напруга на ньому і струм, а також потужності оптичного сигналів, що відправляється і приймається.
Встановлення порогових рівнів для описаних раніше параметрів дозволить генерувати подію у разі виходу за допустимий діапазон.
Налаштування порогів спрацьовування DDM
Звичайно, адміністратор може переглянути поточні значення вказаних параметрів.
Комутатор TP-Link T2600G-28SQ має активну систему повітряного охолодження. Більше того, ми жодного разу не стикалися з перегріванням SFP-модулів у наших комутаторах, пов'язаних із щільністю портів. Однак якщо чисто теоретично допустити таку можливість (наприклад, через будь-яку проблему всередині SFP-модуля), то за допомогою DDM адміністратор буде негайно оповіщений про потенційно небезпечну ситуацію. Небезпека тут, очевидно, не для самого комутатора, а для діода/лазера всередині SFP, оскільки зі зростанням його температури може відбуватися деградація потужності оптичного сигналу, що випромінюється, що призведе до зниження оптичного бюджету.
Тут варто зауважити, що комутатори TP-Link не мають «функції» vendor lock, тобто підтримуються будь-які сумісні SFP-модулі, що, звичайно ж, буде дуже зручно для мережевих адміністраторів.
OAM - Operation, Administration, і Maintenance (IEEE 802.3ah). OAM – протокол другого рівня моделі OSI, призначений для моніторингу та пошуку несправностей у мережах Ethernet. За допомогою даного протоколу комутатор може відстежувати продуктивність певного з'єднання та помилки, генерувати оповіщення для того, щоб адміністратор мережі міг більш ефективно керувати мережею.
Базове налаштування OAM
Деталі функціонування OAMДва сусідні пристрої, що підтримують OAM, здійснюють періодичний обмін повідомленнями шляхом відправлення OAMPDU, які бувають трьох типів: Informational, Event Notification та Loopback Control. За допомогою інформаційних OAMPDU сусідні комутатори надсилають один одному статистичну інформацію, а також дані, які визначаються адміністратором. Також цей тип повідомлень використовується для підтримки з'єднання протоколу OAM. Повідомлення Event Notification використовуються функцією моніторингу з'єднання для повідомлення протилежної сторони про збої. Для визначення петлі лінії використовуються повідомлення Loopback Control.
Нижче ми вирішили перерахувати основні можливості, які надає протокол OAM:
- моніторинг середовища (виявлення та підрахунок битих кадрів),
- RFI – Remote Failure Indication (надсилання повідомлення про збій на каналі),
- Remote Loopback (тестування каналу для виміру затримки, варіації затримки (jitter), кількості втрачених кадрів).
Ще однією опцією, що потрібна на оптичних комутаторах, є можливість виявлення проблем на каналі зв'язку, що призводять до того, що канал стає симплексним, тобто відправлення даних може проводитися тільки в один бік. Наші комутатори використовують для виявлення односпрямованих лінків протокол DLDP – Device Link Detection Protocol. Задля справедливості варто зазначити, що протокол DLDP підтримується як на оптичних, так і на мідних інтерфейсах, проте, на наш погляд, він буде найбільш затребуваним при використанні оптоволоконних ліній.
У разі виявлення односпрямованого каналу комутатор може автоматично вимкнути проблемний інтерфейс, що призведе до перебудови STP дерева та використання резервних каналів зв'язку.
У нашому арсеналі існують SFP-модулі, які здійснюють прийом та передачу сигналу по одному волокну. Працюють вони виключно парами і передачі всередині пари використовують оптичний сигнал на різних довжинах хвиль. Прикладом може бути пара TL-SM321A і TL-SM321B. У разі використання такого роду модулів пошкодження одного волокна призведе до повної непрацездатності всього оптичного каналу. Однак і на таких каналах протокол DLDP буде затребуваний, оскільки, хоча це і трапляється вкрай рідко, канал може мати різні прозорості характеристики для різних довжин хвиль. Найімовірніша проблема полягає у різній прозорості каналу залежно від напряму поширення світла. Виявити зазначені проблеми допоможе рефлектограма, але це зовсім інша історія.
LLDP
У великих корпоративних чи операторських мережах періодично виникають проблеми зі старінням документації на мережу чи неточностями під час її складання. Мережевий адміністратор може зіткнутися з ситуацією, коли необхідно з'ясувати, яке операторське обладнання на самому підключено до того чи іншого інтерфейсу комутатора. На допомогу прийде LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).
Параметри функціонування LLDP
Наші комутатори підтримують протокол LLDP як для виявлення сусідніх комутаторів чи інших мережевих пристроїв, але й визначення їх можливостей.
Мідні побратими нашого комутатора можуть використовувати LLDP-MED для спрощення процедури підключення IP-телефонів. Також за допомогою даної опції PoE-комутатор може узгоджувати параметри живлення з пристроєм, що живиться. Про це ми вже досить докладно розповідали в одному із наших .
SDM та перепідписка
Практично всі сучасні комутатори обробляють кадри, що проходять і пакети без використання центрального процесора. Обробка (розрахунок контрольної суми, застосування списків доступу та проведення інших перевірок системи безпеки, а також прийняття рішення про комутацію/маршрутизацію) проводиться за допомогою спеціалізованих мікросхем, що дозволяє досягти високих швидкостей передачі трафіку користувача. Комутатор, що обговорюється, дозволяє обробляти трафік на швидкості середовища. Це означає, що продуктивності пристрою достатньо, щоб надсилати дані на максимально можливих швидкостях всіх портів одночасно. У моделі T2600G-28SQ є 24 downlink порти (у бік користувачів), що працюють на швидкостях 1 Гбіт/с, а також 4 uplink порти (у бік ядра мережі) по 10 Гбіт/с. При цьому продуктивність крос-шини комутатора становить 128 Гбіт/с, чого достатньо для обробки максимальної кількості трафіку, що входить.
Заради справедливості варто відзначити, що продуктивність комутаційної матриці становить 95,2 мільйонів пакетів на секунду. Тобто при використанні мінімально можливих кадрів завдовжки всього 64 байти сумарна продуктивність пристрою становитиме 97,5 Гбіт/с. Однак, такий профіль трафіку практично неймовірний для мереж операторів зв'язку.
Що таке перепідпискаІншим важливим питанням є співвідношення швидкостей висхідних та низхідних каналів (перепідписка). Тут, очевидно, все залежить від топології. Якщо адміністратор задіяє всі чотири інтерфейси 10 GE для підключення до ядра мережі та об'єднає їх за технологією LAG (Link Aggregation Group) або Port-Channel, то статистично отримувана швидкість у бік ядра складе 40 Гбіт/с, чого виявиться більш ніж достатньо для задоволення потреб усіх підключених абонентів. Причому не обов'язково, щоб усі чотири висхідні лінки підключалися до одного фізичного пристрою. Підключення може здійснюватися до стека комутаторів або до двох пристроїв, об'єднаних у кластер (за допомогою технології vPC або подібних). Перепідписка у разі відсутня.
Використовувати всі чотири висхідні канали одночасно можна не тільки шляхом об'єднання їх за допомогою LAG. Схожого ефекту можна досягти за допомогою правильного настроювання MSTP, проте це вже зовсім інша історія.
Другим способом L2-підключення, що часто зустрічається, є використання двох незалежних LAG (по одному до кожного комутатора агрегації). У цьому випадку, швидше за все, один із віртуальних лінків виявиться заблокованим протоколом STP (при використанні STP або RSTP). Перепідписка становитиме 5:6.
Більш рідкісна, але все-таки цілком ймовірна ситуація: T2600G-28SQ підключений незалежними каналами до вищого комутатора або комутатора. Протокол STP/RSTP залишить лише один такий лінк у незаблокованому стані. Перепідписка становитиме 5:12.
Завдання зі зірочкою: розрахувати перепідписку для ситуацій, описаних у розділі STP, де ми розглянули приклад топології, коли два комутатори доступу підключені до одного пристрою агрегації та з'єднані між собою.
Програмовані мікросхеми, за допомогою яких досягається така висока швидкість пересилання, ресурс досить дорогий, тому ми намагаємося оптимізувати їх використання за рахунок правильного розподілу ресурсів між різними функціями. За розподіл відповідає SDM - Switch Database Management.
Розподіл здійснюється за допомогою профілю SDM. На даний момент доступно для використання три профілю, наведені нижче.
- Default пропонує збалансоване рішення для використання MAC та IP списків доступу, а також записів ARP-детектування.
- EnterpriseV4 дозволяє максимізувати ресурси, доступні для використання MAC та IP списками доступу.
- EnterpriseV6 частина ресурсів виділяє для використання списками доступу IPv6.
Для застосування нового профілю потрібне перезавантаження комутатора.
Висновок
Відповідно до початкового позиціонування цей комутатор найкраще підійде операторам зв'язку, перед якими стоять завдання забезпечення доступу до мережі на великих відстанях. Пристрій може використовуватися як на рівні доступу, наприклад, у котеджних селищах та таун-хаусах, так і для агрегації каналів, що надходять від комутаторів доступу, розташованих у багатоквартирних будинках; тобто скрізь, де потрібні підключення віддалених об'єктів. При використанні оптичних каналів зв'язку абонент може розташовуватися на відстані до кількох кілометрів.
З боку клієнтів оптичні лінки можуть термінуватися на невеликих комутаторах з оптичними інтерфейсами або на медіаконвертерах.
Велика кількість протоколів і опцій, що підтримуються, дозволить використовувати T2600G-28SQ в Ethernet-мережі оператора з будь-якою топологією і будь-яким набором використовуваних технологій і послуг. Комутатор керується віддалено за допомогою веб-інтерфейсу або командного рядка. При необхідності локального налаштування можна використовувати консольний порт, у моделі T2600G-28SQ їх два: RJ-45 та micro-USB. Як невелика ложка дьогтю відзначимо відсутність підтримки стекування і другого блоку живлення. Щоправда, зазвичай поза дата-центрів провайдерів наявність другої електричної лінії і так буде рідкістю.
До його переваг ми відносимо низьку ціну, велику кількість абонентських оптичних портів, наявність оптичних аплінків 10 GE, а також чотири комбіновані порти та пересилання трафіку на швидкості середовища.
Джерело: habr.com