Yirik shaharlarning kengayishi va aglomeratsiyalarning shakllanishi bugungi kunda ijtimoiy taraqqiyotning muhim tendentsiyalaridan biridir. Faqatgina Moskva 2019 yilda uy-joy maydonini 4 million kvadrat metrga kengaytirishi kerak (va bu 15 yilga kelib qo'shiladigan 2020 ta aholi punktini hisobga olmaydi). Ushbu ulkan hududda aloqa operatorlari foydalanuvchilarga Internetga kirishni ta'minlashi kerak. Bu ko'p qavatli zich binolarga ega shahar mikrorayonlari yoki ko'proq "bo'shatilgan" yozgi qishloqlar bo'lishi mumkin. Bunday holatlar uchun apparat talablari biroz boshqacha. Biz ushbu stsenariylarning har birini tahlil qildik va universal optik kalit modelini yaratdik - T2600G-28SQ. Ushbu postda biz butun Rossiya bo'ylab aloqa operatorlarini qiziqtiradigan qurilmaning imkoniyatlarini batafsil tahlil qilamiz.
Tarmoqqa joylashtiring
T2600G-28SQ kaliti tarmoqdagi kirish darajasida ishlash va boshqa kirish darajasidagi kalitlardan havolalarni yig'ish uchun mo'ljallangan. Bu kommutatsiya va statik marshrutlashni amalga oshiradigan 2600-qavatli kalit. Agar operator birlashma va kirishni o'zgartirgan bo'lsa (faqat tarmoq yadrosida marshrutlash), T28G-XNUMXSQ har qanday darajaga mos keladi. Dinamik yo'naltirilgan agregatsiya holatida siz hali ham foydalanish holatlarida ba'zi cheklovlarni hisobga olishingiz kerak.
T2600G-28SQ modeli xPON yoki shunga o'xshash texnologiyalardan foydalanganda paydo bo'ladigan qo'shimcha cheklovlarsiz to'liq huquqli faol Ethernet kalitidir. Masalan, foydalanuvchilar sonining ko'payishi yoki turli sotuvchilarning uskunalari va proshivka o'rtasida yomon moslashuv bilan tezlikning keskin pasayishi tahdidisiz. Ikkala oxirgi foydalanuvchilar ham, optik ulanishga ega asosiy kirish kalitlari, masalan, T2600G-28TS modeli, qurilma interfeyslariga ulanishi mumkin. Quyidagi diagrammada bunday ulanishlarning eng keng tarqalgan misollari ko'rsatilgan.
Yakuniy foydalanuvchi tarmog'iga kirish uchun optik tolali yoki o'ralgan juftlik kabelidan foydalanish mumkin. Abonent tomonida optik tolali yoki media-konvertor (media-konvertor) yordamida tugatilishi mumkin, masalan, TP-Link MC220L; va SOHO routerida optik interfeysdan foydalanish.
Yaqin atrofdagi mijozni ulash uchun siz 45/10/100 Mbit/s tezlikda ishlaydigan to'rtta RJ-1000 portidan foydalanishingiz mumkin. Agar biron sababga ko'ra bu etarli bo'lmasa, operator kalitning optik interfeyslarini misga "aylantirishi" mumkin. Buni RJ-45 ulagichi bo'lgan maxsus "mis" SFPlar yordamida amalga oshirish mumkin. Ammo bunday yechimni odatiy deb atash mumkin emas.
Amaliyotdan ba'zi misollar
Rasmni to'ldirish uchun biz T2600G-28SQ kalitlaridan foydalanishning bir nechta misollarini keltiramiz.
Moskva viloyati provayderi , Internetga qo'shimcha ravishda telefoniya va kabel televideniesi xizmatlarini taqdim etadi, xususiy sektorda (dachalar va shaharchalar) tarmoqlarni qurishda kirish darajasida T2600G-28SQ dan foydalanadi. Mijoz tomonida ulanish SFP portiga ega marshrutizatorlar, shuningdek, media konvertorlari bilan amalga oshiriladi. Ayni paytda SFP portiga ega SOHO routerlari mamlakatimizda ommaviy ishlab chiqarilmaydi, lekin biz, albatta, bu haqda o'ylayapmiz.
Telekommunikatsiya operatori Pavlovo-Posad viloyatidan kirish uchun T2600G-28TS va T2600G-28TS modellarining kalitlari yordamida "kichik agregat" sifatida T2500G-10SQ kalitlaridan foydalanadi.
Kompaniyalar guruhi Moskva viloyatining janubi-sharqida (Kolomna, Lukhovitsi, Zaraysk, Serebryanye Prudy, Ozyory) Internetga kirish, televidenie, telefoniya va video kuzatuv tizimlari bilan ta'minlash. Bu erda taxminiy topologiya ISS bilan bir xil: agregatsiya darajasida T2600G-28SQ va kirish darajasida T2600G-28TS va T2500G-10TS.
Provajder Krasnoznamenskdan chuqur optik penetratsion tarmoqdan foydalangan holda Internetga kirishni ta'minlaydi. Shuningdek, u T2600G-28SQ ga asoslangan.
Keyingi bo'limlarda biz T2600G-28SQ ning ba'zi xususiyatlarini qisqacha tasvirlab beramiz. Materialni shishirmaslik uchun biz bir qator variantlarni qoldirdik: QinQ (VLAN VPN), marshrutlash, QoS va boshqalar. Biz ularga quyidagi postlardan birida qaytishimiz mumkin deb o'ylaymiz.
Imkoniyatlarni almashtirish
Rezervasyon - STP
STP - Spanning Tree Protocol. Daraxt protokoli uzoq vaqtdan beri ma'lum, buning uchun hurmatli Radya Perlmanga rahmat. Zamonaviy tarmoqlarda ma'murlar ushbu protokoldan foydalanmaslik uchun har qanday yo'l bilan harakat qilishadi. Ha, STP ham kamchiliklardan xoli emas. Va agar unga muqobil bo'lsa, bu juda yaxshi. Biroq, tez-tez bo'lgani kabi, ushbu protokolga alternativa juda ko'p sotuvchiga bog'liq bo'ladi. Shu sababli, bugungi kunga qadar Spanning Tree Protocol deyarli barcha ishlab chiqaruvchilar tomonidan qo'llab-quvvatlanadigan va barcha tarmoq ma'murlariga ma'lum bo'lgan deyarli yagona yechim bo'lib qolmoqda.
TP-Link T2600G-28SQ kaliti STP ning uchta versiyasini qo'llab-quvvatlaydi: klassik STP (IEEE 802.1D), RSTP (802.1W) va MSTP (802.1S).
Ushbu variantlardan odatiy RSTP Rossiyadagi ko'pgina kichik Internet-provayderlar uchun juda mos keladi, bu klassik versiyaga nisbatan bitta shubhasiz afzalliklarga ega - konvergentsiya vaqti sezilarli darajada qisqaradi.
Bugungi kunda eng moslashuvchan protokol MSTP bo'lib, u virtual tarmoqlarni (VLAN) qo'llab-quvvatlaydi va bir nechta turli daraxtlarga ruxsat beradi, bu sizga barcha mavjud zaxira yo'llaridan foydalanish imkonini beradi. Administrator bir nechta turli xil daraxt namunalarini yaratadi (sakkiztagacha), ularning har biri ma'lum bir virtual tarmoqlar to'plamiga xizmat qiladi.
MSTP nozikliklariAjam ma'murlar MSTP dan foydalanishda juda ehtiyot bo'lishlari kerak. Buning sababi, protokol xatti-harakatlari mintaqa ichida va mintaqalar o'rtasida farq qiladi. Shuning uchun, kalitlarni sozlashda bir xil hududda qolishga ishonch hosil qilish kerak.
Bu mashhur mintaqa nima? MSTP atamasida mintaqa bir xil xususiyatlarga ega bo'lgan bir-biriga ulangan kalitlar to'plamidir: mintaqa nomi, qayta ko'rib chiqish raqami va protokol namunalari (nasollari) o'rtasida virtual tarmoqlarni (VLAN) taqsimlash.
Albatta, Spanning Tree protokoli (har qanday versiya) nafaqat zaxira kanallarini ulashda paydo bo'ladigan halqalar bilan kurashishga, balki muhandis ataylab yoki bilmasdan noto'g'ri portlarni ulab, o'z portlari bilan halqa hosil qilganda kabelni almashtirish xatolaridan himoya qilishga imkon beradi. harakatlar.
Tajribali tarmoq ma'murlari STP protokolini hujumlardan yoki murakkab falokat holatlaridan himoya qilish uchun turli xil qo'shimcha variantlardan foydalanishni afzal ko'rishadi. T2600G-28SQ modeli shunday imkoniyatlarning butun majmuasini taqdim etadi: Loop Protect va Root Protect, TC Guard, BPDU Protect va BPDU Filter.
Yuqorida sanab o'tilgan variantlardan boshqa qo'llab-quvvatlanadigan himoya mexanizmlari bilan birgalikda to'g'ri foydalanish mahalliy tarmoqni barqarorlashtiradi va uni yanada prognozli qiladi.
Rezervasyon - LAG
LAG - havolalarni yig'ish guruhi. Bu bir nechta jismoniy kanallarni bitta mantiqiy kanalga birlashtirish imkonini beruvchi texnologiya. Boshqa barcha protokollar LAG tarkibiga kiritilgan jismoniy kanallardan alohida foydalanishni to'xtatadi va bitta mantiqiy interfeysni "ko'rishni" boshlaydi. Bunday protokolga STP misol bo'la oladi.
Foydalanuvchi trafiki xesh summasiga asoslangan mantiqiy kanallar ichidagi jismoniy kanallar o'rtasida muvozanatlanadi. Uni hisoblash uchun jo'natuvchining, qabul qiluvchining yoki ularning bir juftining MAC manzillaridan foydalanish mumkin; shuningdek jo'natuvchining, qabul qiluvchining yoki ularning bir juftining IP manzillari. XNUMX-qavat protokoli ma'lumotlari (TCP/UDP portlari) hisobga olinmaydi.
T2600G-28SQ kaliti statik va dinamik LAGlarni qo'llab-quvvatlaydi.
Dinamik guruhning ishlash parametrlarini muhokama qilish uchun LACP protokoli qo'llaniladi.
Xavfsizlik - Kirish ro'yxatlari (ACL)
Bizning T2600G-28SQ kalitimiz kirish ro'yxatlari (ACL - Access Control List) yordamida foydalanuvchi trafigini filtrlash imkonini beradi.
Qo'llab-quvvatlanadigan kirish ro'yxatlari bir nechta turli xil bo'lishi mumkin: MAC va IP (IPv4/IPv6), birlashtirilgan, shuningdek, kontentni filtrlashni amalga oshirish uchun. Qo'llab-quvvatlanadigan har bir kirish ro'yxati turining soni biz boshqa bo'limda tasvirlangan hozirda ishlatilayotgan SDM shabloniga bog'liq.
Operator ushbu parametrdan tarmoqdagi turli kiruvchi trafikni bloklash uchun foydalanishi mumkin. Tegishli xizmat ko'rsatilmagan bo'lsa, bunday trafikning misoli IPv6 paketlari (EtherType maydonidan foydalangan holda) bo'lishi mumkin; yoki 445-portda SMB-ni bloklash. Statik manzilli tarmoqda DHCP/BOOTP trafigi talab qilinmaydi, shuning uchun ACL-dan foydalanib, administrator 67 va 68-portlarda UDP datagrammalarini filtrlashi mumkin. Shuningdek, siz mahalliy IPoE trafigini ACL yordamida bloklashingiz mumkin. Bunday blokirovka PPPoE-dan foydalanadigan operator tarmoqlarida talabga ega bo'lishi mumkin.
Kirish ro'yxatidan foydalanish jarayoni juda oddiy. Ro'yxatni o'zi yaratgandan so'ng, unga kerakli miqdordagi yozuvlarni qo'shishingiz kerak, ularning turi to'g'ridan-to'g'ri moslashtirilgan varaqga bog'liq.
Kirish ro'yxatlarini sozlash
Shuni ta'kidlash kerakki, kirish ro'yxatlari nafaqat trafikga ruxsat berish yoki rad etish bo'yicha odatiy operatsiyalarni, balki uni qayta yo'naltirish, aks ettirish, shuningdek, remarking yoki tarifni cheklashni ham amalga oshirishi mumkin.
Barcha kerakli ACLlar yaratilgandan so'ng, administrator ularni o'rnatishi mumkin. To'g'ridan-to'g'ri jismoniy portga ham, ma'lum bir virtual tarmoqqa ham kirish ro'yxatini biriktirish mumkin.
Xavfsizlik - MAC manzillar soni
Ba'zan operatorlar ma'lum bir portda kalit o'rganadigan MAC manzillari sonini cheklashlari kerak. Kirish ro'yxatlari sizga belgilangan effektga erishishga imkon beradi, lekin ayni paytda MAC manzillarining o'zlarini aniq ko'rsatishni talab qiladi. Agar siz faqat kanal manzillari sonini cheklashingiz kerak bo'lsa, lekin ularni aniq ko'rsatmasangiz, port xavfsizligi yordamga keladi.
Bunday cheklash, masalan, butun mahalliy tarmoqni bitta provayderni almashtirish interfeysiga ulashdan himoya qilish uchun talab qilinishi mumkin. Bu erda aytib o'tish joizki, biz dial-up ulanishi haqida gapiramiz, chunki mijoz tomonidagi router yordamida ulanishda T2600G-28SQ faqat bitta manzilni o'rganadi - bu mijoz routerining WAN portiga tegishli MAC. .
Kommutatsiya jadvaliga qarshi qaratilgan hujumlarning butun sinfi mavjud. Bu jadvalning to'lib-toshgani yoki MAC spoofing bo'lishi mumkin. Port xavfsizligi opsiyasi sizga ko'prik stolining to'lib ketishidan va kalitni ataylab qayta tayyorlashga va uning ko'prigi stolini zaharlashga qaratilgan hujumlardan himoyalanish imkonini beradi.
Mijozning noto'g'ri jihozlari haqida gapirmaslik mumkin emas. Ko'pincha noto'g'ri ishlayotgan kompyuter tarmoq kartasi yoki yo'riqnoma yuboruvchi va qabul qiluvchi manzillari mutlaqo o'zboshimchalik bilan ramkalar oqimini yaratadigan holatlar mavjud. Bunday oqim CAMni osongina to'kib yuborishi mumkin.
Amaldagi ko'prik jadvali yozuvlari sonini cheklashning yana bir usuli bu MAC VLAN Security vositasi bo'lib, u ma'murga ma'lum bir virtual tarmoq uchun maksimal yozuvlar sonini belgilash imkonini beradi.
Kommutatsiya jadvalidagi dinamik yozuvlarni boshqarishdan tashqari, administrator statik yozuvlarni ham yaratishi mumkin.
T2600G-28SQ modelining maksimal ko'prigi jadvali 16K gacha yozuvlarni sig'dira oladi.
Foydalanuvchi trafigini uzatishni filtrlash uchun mo'ljallangan yana bir variant - Port izolyatsiyasi funksiyasi, qaysi yo'nalishda yo'naltirishga ruxsat berilganligini aniq belgilash imkonini beradi.
Xavfsizlik - IMPB
Bizning ulkan vatanimizning keng hududlarida aloqa operatorlarining tarmoq xavfsizligini ta'minlash masalalariga yondashuvi to'liq bexabarlikdan tortib jihoz tomonidan qo'llab-quvvatlanadigan barcha variantlardan maksimal darajada foydalanishgacha o'zgarib turadi.
IPv4 IMPB (IP-MAC-Port Binding) va IPv6 IMPB funksiyalari mijoz uskunasining IP va MAC manzillarini bogβlash orqali abonentlar tomonidan IP va MAC manzillarini aldash bilan bogβliq boβlgan bir qator hujumlardan himoyalanish imkonini beradi. provayderning almashtirish interfeysi. Bu ulanish qo'lda yoki ARP Scanning va DHCP Snooping funksiyalari yordamida amalga oshirilishi mumkin.
Asosiy IMPB sozlamalari
Adolat uchun, shuni aytish kerakki, DHCP protokolini himoya qilish uchun maxsus funktsiyadan foydalanish mumkin - DHCP filtri.
Ushbu funktsiyadan foydalanib, tarmoq ma'muri haqiqiy DHCP serverlari ulangan interfeyslarni qo'lda belgilashi mumkin. Bu noto'g'ri DHCP serverlarining IP muzokaralar jarayoniga aralashishini oldini oladi.
Xavfsizlik - DoS Defend
Ko'rib chiqilayotgan model bizga foydalanuvchilarni bir nechta eng mashhur va ilgari keng tarqalgan DoS hujumlaridan himoya qilish imkonini beradi.
Ro'yxatda keltirilgan hujumlarning aksariyati zamonaviy operatsion tizimlarga ega qurilmalar uchun endi umuman xavfli emas, ammo bizning tarmoqlarimiz hali ham ko'p yillar oldin so'nggi dasturiy ta'minot yangilanishi amalga oshirilganlarga duch kelishi mumkin.
DHCP qo'llab-quvvatlash
TP-Link T2600G-28SQ kaliti ham DHCP serveri, ham o'rni vazifasini bajarishi va agar boshqa qurilma server vazifasini bajarsa, DHCP xabarlarini turli xil filtrlashni amalga oshirishi mumkin.
Foydalanuvchilarga ishlashlari kerak bo'lgan IP parametrlarini taqdim etishning eng oson yo'li bu switchning o'rnatilgan DHCP serveridan foydalanishdir. Uning yordami bilan asosiy parametrlar allaqachon abonentlarga berilishi mumkin.
Biz Archer C6 SOHO routerimizni switch interfeyslaridan biriga uladik va mijoz qurilmasi manzilni muvaffaqiyatli olganiga ishonch hosil qildik.
Bu shunday ko'rinadi
Kommutatorga o'rnatilgan DHCP serveri, ehtimol, eng kengaytiriladigan va moslashuvchan yechim emas: nostandart variantlarni qo'llab-quvvatlamaydi va IPAM bilan aloqa yo'q. Agar operator IP-manzilni tarqatish jarayoni ustidan ko'proq nazorat talab qilsa, u holda maxsus DHCP server ishlatiladi.
T2600G-28SQ har bir foydalanuvchi quyi tarmog'i uchun muhokama qilinayotgan protokol xabarlari qayta yo'naltiriladigan alohida ajratilgan DHCP serverini belgilash imkonini beradi. Pastki tarmoq tegishli L3 interfeysini belgilash orqali tanlanadi: VLAN (SVI), yo'naltirilgan port yoki port-kanal.
O'rnimizni ishlashini tekshirish uchun biz boshqa sotuvchidan DHCP serveri sifatida ishlash uchun alohida routerni sozladik, uning sozlamalari quyida keltirilgan.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Mijoz marshrutizatori yana IP manzilini muvaffaqiyatli oldi.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM AutomaticSpoyler ostida - kalit va ajratilgan DHCP serveri o'rtasida tutilgan paketning mazmuni.
Paket tarkibi
Shuni ta'kidlash kerakki, kalit 82-variantni qo'llab-quvvatlaydi. Yoqilganda, kalit DHCP Discover xabari olingan foydalanuvchi interfeysi haqida ma'lumot qo'shadi. Bundan tashqari, T2600G-28SQ modeli 82-variantni kiritishda qo'shilgan ma'lumotlarni qayta ishlash siyosatini sozlash imkonini beradi. Ushbu parametrni qo'llab-quvvatlashning mavjudligi, mijozning o'zi haqida qaysi mijoz-identifikatori haqida xabar berishidan qat'i nazar, abonentga bir xil IP-manzil berilishi kerak bo'lgan vaziyatda foydali bo'lishi mumkin.
Quyidagi rasmda 82-opsiya qo'shilgan DHCP Discover xabari (rele orqali yuborilgan) ko'rsatilgan.
82-variant bilan xabar
Albatta, siz 82-variantni to'liq DHCP o'rni o'rnatmasdan boshqarishingiz mumkin, tegishli sozlamalar "DHCP L2 Relay" bo'limida keltirilgan.
Endi 82-variantning qanday ishlashini ko'rsatish uchun DHCP server sozlamalarini o'zgartiramiz.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM AutomaticShunga o'xshash narsa
DHCP interfeysi o'rni funksiyasi kalitda nafaqat ma'lum bir tarmoqqa ulangan L3 interfeysi, balki ushbu interfeys IP manziliga ham ega bo'lgan vaziyatda foydali bo'ladi. Agar bunday interfeysda manzil bo'lmasa, DHCP VLAN o'rni funktsiyasi yordamga keladi. Bu holda pastki tarmoq haqidagi ma'lumotlar standart interfeysdan olinadi, ya'ni bir nechta virtual tarmoqlardagi manzillar bir xil bo'ladi (bir-biriga o'xshash).
Ko'pincha operatorlar abonentlarni mijoz uskunasida DHCP serverini noto'g'ri yoki zararli faollashtirishdan himoya qilishlari kerak. Biz ushbu funksiyani xavfsizlik masalalariga bag'ishlangan bo'limlardan birida muhokama qilishga qaror qildik.
IEEE 802.1X
Tarmoqdagi foydalanuvchilarni autentifikatsiya qilish usullaridan biri IEEE 802.1X protokolidan foydalanishdir. Rossiyadagi aloqa operatorlari tarmoqlarida ushbu protokolning mashhurligi allaqachon pasaymoqda, u hanuzgacha tashkilotning ichki foydalanuvchilarini autentifikatsiya qilish uchun yirik kompaniyalarning mahalliy tarmoqlarida qo'llaniladi. T2600G-28SQ kaliti 802.1X qo'llab-quvvatlashiga ega, shuning uchun provayder kerak bo'lganda undan osongina foydalanishi mumkin.
IEEE 802.1X protokoli ishlashi uchun uchta ishtirokchi talab qilinadi: mijoz uskunasi (so'rovchi), provayderga kirish kaliti (autentifikator) va autentifikatsiya serverlari (odatda RADIUS serverlari).
Operator tomonidagi asosiy konfiguratsiya juda oddiy. Siz faqat foydalanuvchi ma'lumotlar bazasi saqlanadigan RADIUS serverining IP manzilini ko'rsatishingiz kerak, shuningdek autentifikatsiya talab qilinadigan interfeyslarni tanlashingiz kerak.
Asosiy 802.1X sozlamalari
Mijoz tomonida kichik konfiguratsiya ham talab qilinadi. Barcha zamonaviy operatsion tizimlar allaqachon kerakli dasturlarni o'z ichiga oladi. Ammo agar kerak bo'lsa, siz TP-Link 802.1x Client-ni o'rnatishingiz va foydalanishingiz mumkin - bu sizga tarmoqdagi mijozni autentifikatsiya qilish imkonini beruvchi dastur.
Foydalanuvchining shaxsiy kompyuterini to'g'ridan-to'g'ri provayder tarmog'iga ulashda ulanish uchun ishlatiladigan tarmoq kartasi uchun autentifikatsiya sozlamalari faollashtirilgan bo'lishi kerak.
Biroq, hozirgi vaqtda, odatda, operator tarmog'iga bevosita ulangan foydalanuvchi kompyuteri emas, balki abonentning mahalliy tarmog'ining (ham simli, ham simsiz segmentlar) ishlashini ta'minlaydigan SOHO routeri. Bunday holda, barcha 802.1X protokoli sozlamalari to'g'ridan-to'g'ri routerda amalga oshirilishi kerak.
Bizningcha, ushbu autentifikatsiya usuli operator tarmoqlarida unutilgan. Ha, abonentni kommutator portiga qat'iy ravishda bog'lash foydalanuvchi uskuna sozlamalari nuqtai nazaridan oddiyroq echim bo'lishi mumkin. Ammo login va paroldan foydalanish zarur bo'lsa, PPTP/L802.1TP/PPPoE tunnellari asosida foydalaniladigan ulanishlarga nisbatan 2X unchalik og'ir protokol bo'lmaydi.
PPPoE identifikatorini kiritish
Nafaqat mamlakatimizda, balki butun dunyoda ko'plab foydalanuvchilar hali ham juda oddiy parollardan foydalanishni afzal ko'rishadi. Va hisob ma'lumotlarini o'g'irlash holatlari, afsuski, kamdan-kam uchraydi. Agar operator foydalanuvchilarni autentifikatsiya qilish uchun o'z tarmog'ida PPPoE protokolidan foydalansa, u holda TP-Link T2600G-28SQ kaliti hisob ma'lumotlarining sizib chiqishi bilan bog'liq muammoni hal qilishga yordam beradi. Bunga PPPoE Active Discovery xabariga maxsus yorliq qo'shish orqali erishiladi. Shunday qilib, provayder abonentni nafaqat login va parol orqali, balki qo'shimcha ma'lumotlar orqali ham autentifikatsiya qilishi mumkin. Ushbu qo'shimcha ma'lumotlar mijoz qurilmasining MAC manzilini, shuningdek u ulangan o'tish interfeysini o'z ichiga oladi.
Ba'zi operatorlar, qoida tariqasida, abonentga (login va parol juftligi) tarmoq bo'ylab harakatlanish imkoniyatini rad etishni xohlashadi. PPPoE identifikatorini kiritish funksiyasi bu holatda ham yordam beradi.
IGMP
IGMP (Internet Group Management Protocol) o'nlab yillar davomida mavjud. Uning mashhurligi juda tushunarli va oson tushuntiriladi. Ammo IGMP o'zaro ta'sirida ikkita tomon ishtirok etadi: foydalanuvchining shaxsiy kompyuteri (yoki boshqa har qanday qurilma, masalan, STB) va ma'lum bir tarmoq segmentiga xizmat ko'rsatadigan IP router. Kalitlar bu almashinuvda hech qanday tarzda ishtirok etmaydi. To'g'ri, oxirgi bayonot mutlaqo to'g'ri emas. Yoki zamonaviy tarmoqlarda bu umuman to'g'ri emas. Ko'p tarmoqli trafikni yo'naltirishni optimallashtirish uchun kalitlar IGMP ni qo'llab-quvvatlaydi. Foydalanuvchi trafigini tinglab, kalit undagi IGMP Report xabarlarini aniqlaydi, uning yordamida multicast trafikni yo'naltirish uchun portlarni aniqlaydi. Ta'riflangan variant IGMP Snooping deb ataladi.
IGMP protokolini qo'llab-quvvatlash nafaqat trafikni optimallashtirish uchun, balki ma'lum bir xizmat, masalan, IPTV bilan ta'minlanishi mumkin bo'lgan abonentlarni aniqlash uchun ham ishlatilishi mumkin. Filtrlash parametrlarini qo'lda o'rnatish yoki autentifikatsiyadan foydalanish orqali kerakli maqsadga erishishingiz mumkin.
TP-Link kalitlarida multicast trafikni qo'llab-quvvatlash juda moslashuvchan tarzda amalga oshiriladi. Misol uchun, barcha parametrlar har bir virtual tarmoq uchun alohida o'rnatilishi mumkin.
Agar ko'p tarmoqli trafik qabul qiluvchilarni o'z ichiga olgan bir nechta pastki tarmoqlar bitta yo'riqnoma interfeysiga ulangan bo'lsa, u holda ushbu yo'riqnoma ushbu interfeys orqali paketlarning bir nechta nusxalarini yuborishga majbur bo'ladi (har bir virtual tarmoq uchun bittadan).
Bunday holda siz MVR texnologiyasi - Multicast VLAN Registration yordamida multicast trafikni yo'naltirish tartibini optimallashtirishingiz mumkin.
Yechimning mohiyati shundaki, barcha qabul qiluvchilarni birlashtiradigan bitta virtual tarmoq yaratilgan. Biroq, bu virtual tarmoq faqat multicast trafik uchun ishlatiladi. Ushbu yondashuv routerga interfeys orqali multicast trafikning faqat bitta nusxasini yuborish imkonini beradi.
DDM, OAM va DLDP
DDM - Raqamli diagnostika monitoringi. Optik modullarning ishlashi davomida ko'pincha modulning o'zi, shuningdek, u ulangan optik kanalning holatini kuzatish kerak. DDM funksiyasi bu vazifani engishingizga yordam beradi. Uning yordami bilan operator muhandislari ushbu funksiyani qo'llab-quvvatlovchi har bir modulning haroratini, uning kuchlanishi va oqimini, shuningdek yuborilgan va qabul qilingan optik signallarning kuchini kuzatishi mumkin.
Oldin tavsiflangan parametrlar uchun chegara darajalarini belgilash, agar ular maqbul diapazondan tashqariga chiqsa, hodisani yaratishga imkon beradi.
DDM javob chegaralarini o'rnatish
Tabiiyki, ma'mur belgilangan parametrlarning joriy qiymatlarini ko'rishi mumkin.
TP-Link T2600G-28SQ kaliti faol havo sovutish tizimiga ega. Bundan tashqari, biz hech qachon port zichligi tufayli kalitlarimizdagi SFP modullarining haddan tashqari qizib ketishiga duch kelmadik. Biroq, agar faqat nazariy jihatdan bunday imkoniyatga ruxsat berilsa (masalan, SFP modulidagi ba'zi muammo tufayli), u holda DDM yordamida administrator potentsial xavfli vaziyat haqida darhol xabardor qilinadi. Bu erda xavf, shubhasiz, kalitning o'zi uchun emas, balki SFP ichidagi diod/lazer uchundir, chunki uning harorati oshishi bilan chiqarilgan optik signalning kuchi yomonlashishi mumkin, bu esa optik byudjetning pasayishiga olib keladi.
Shuni ta'kidlash kerakki, TP-Link kalitlarida sotuvchi blokirovkasi "funktsiyasi" yo'q, ya'ni har qanday mos keluvchi SFP modullari qo'llab-quvvatlanadi, bu, albatta, tarmoq ma'murlari uchun juda qulay bo'ladi.
OAM - Operatsion, Administration, and Maintenance (IEEE 802.3ah). OAM Ethernet tarmoqlarini kuzatish va nosozliklarni bartaraf etish uchun moΚ»ljallangan OSI modelining ikkinchi darajali protokoli. Ushbu protokoldan foydalanib, kalit ma'lum bir ulanish va xatolarning ishlashini kuzatishi va tarmoq ma'muri tarmoqni yanada samarali boshqarishi uchun ogohlantirishlarni yaratishi mumkin.
Asosiy OAM sozlamalari
OAM funktsional tafsilotlariIkki qo'shni OAM-ni qo'llab-quvvatlaydigan qurilmalar vaqti-vaqti bilan OAMPDU-larni yuborish orqali xabar almashadilar, ular uchta turga ega: Axborot, Voqealar haqida bildirishnoma va Loopback Control. Axborotli OAMPDUlardan foydalanib, qo'shni kalitlar bir-biriga statistik ma'lumotlarni, shuningdek, ma'mur tomonidan belgilangan ma'lumotlarni yuboradi. Ushbu turdagi xabar OAM protokoli orqali ulanishni ta'minlash uchun ham ishlatiladi. Voqealar haqida xabarnomalar ulanish monitoringi funksiyasi tomonidan boshqa tomonni nosozliklar haqida xabardor qilish uchun ishlatiladi. Loopback Control xabarlari chiziqdagi tsiklni aniqlash uchun ishlatiladi.
Quyida biz OAM protokoli tomonidan taqdim etilgan asosiy xususiyatlarni sanab o'tishga qaror qildik:
- atrof-muhit monitoringi (singan ramkalarni aniqlash va hisoblash),
- RFI - Masofadan ishlamay qolishi ko'rsatkichi (kanaldagi nosozlik haqida bildirishnoma yuborish),
- Remote Loopback (kechikish, kechikish o'zgarishi (jitter), yo'qolgan kadrlar sonini o'lchash uchun kanal testi).
Optik kalitlarga talab qilinadigan yana bir variant - aloqa kanalidagi muammolarni aniqlash qobiliyati, bu kanalning simpleksga aylanishiga olib keladi, ya'ni ma'lumotlar faqat bitta yo'nalishda yuborilishi mumkin. Bizning kalitlarimiz bir tomonlama havolalarni aniqlash uchun DLDP - Device Link Detection Protocol-dan foydalanadi. Adolat uchun shuni ta'kidlash kerakki, DLDP protokoli ham optik, ham mis interfeyslarda qo'llab-quvvatlanadi, ammo bizning fikrimizcha, u optik tolali liniyalardan foydalanganda eng mashhur bo'ladi.
Bir tomonlama aloqa aniqlanganda, kalit avtomatik ravishda muammoli interfeysni o'chirib qo'yishi mumkin, bu STP daraxtini qayta qurishga va zaxira aloqa kanallaridan foydalanishga olib keladi.
Bizning arsenalimizda signallarni bitta tola orqali qabul qiluvchi va uzatuvchi SFP modullari mavjud. Ular faqat juftlikda ishlaydi va juftlik ichida uzatish uchun turli to'lqin uzunliklarida optik signallardan foydalanadi. Misol tariqasida TL-SM321A va TL-SM321B juftliklarini keltirish mumkin. Bunday modullardan foydalanganda bitta tolaning shikastlanishi butun optik kanalning to'liq ishlamasligiga olib keladi. Biroq, bunday kanallarda ham DLDP protokoli talabga ega bo'ladi, chunki bu juda kamdan-kam hollarda sodir bo'lsa ham, kanal turli to'lqin uzunliklari uchun turli xil shaffoflik xususiyatlariga ega bo'lishi mumkin. Muammo shundaki, kanalning shaffofligi yorug'lik tarqalish yo'nalishiga qarab o'zgaradi. Refletogramma bu muammolarni aniqlashga yordam beradi, ammo bu butunlay boshqacha hikoya.
LLDP
Katta korporativ yoki operator tarmoqlarida vaqti-vaqti bilan tarmoq hujjatlarining eskirganligi yoki uni tayyorlashdagi noaniqliklar bilan bog'liq muammolar paydo bo'ladi. Tarmoq ma'muri qaysi operator uskunasi aslida ma'lum bir kalit interfeysiga ulanganligini aniqlash kerak bo'lgan vaziyatga duch kelishi mumkin. LLDP β Link Layer Discovery Protocol (IEEE 802.1AB) yordamga keladi.
LLDP ish parametrlari
Bizning kalitlarimiz LLDP-ni nafaqat qo'shni kalitlarni yoki boshqa tarmoq qurilmalarini topish, balki ularning imkoniyatlarini aniqlash uchun ham qo'llab-quvvatlaydi.
Kommutatorimizning mis hamkasblari IP telefonlarini ulash tartibini soddalashtirish uchun LLDP-MED-dan foydalanishi mumkin. Bundan tashqari, ushbu parametrdan foydalanib, PoE kaliti quvvat parametrlarini quvvatlangan qurilma bilan kelishib olishi mumkin. Bu haqda biz allaqachon birida batafsil gaplashdik .
SDM va ortiqcha obuna
Deyarli barcha zamonaviy kalitlar markaziy protsessordan foydalanmasdan o'tish freymlari va paketlarini qayta ishlaydi. Qayta ishlash (nazorat summalarini hisoblash, kirish ro'yxatlarini qo'llash va boshqa xavfsizlik tekshiruvlarini bajarish, shuningdek, kommutatsiya/marshrutlash qarorlarini qabul qilish) foydalanuvchi trafigini uzatishning yuqori tezligini ta'minlaydigan maxsus chiplar yordamida amalga oshiriladi. Muhokama qilinayotgan kalit trafikni o'rtacha tezlikda qayta ishlash imkonini beradi. Bu shuni anglatadiki, qurilmaning ishlashi barcha portlarda bir vaqtning o'zida ma'lumotlarni maksimal tezlikda yuborish uchun etarli. T2600G-28SQ modelida 24 Gbit/s tezlikda ishlaydigan 1 ta pastga ulanish portlari (foydalanuvchilar tomon), shuningdek, 4 Gbit/s tezlikda 10 ta yuqoriga ulanish portlari (tarmoq yadrosi tomon) mavjud. Shu bilan birga, o'zaro faoliyat kommutatorning ishlashi 128 Gbit / s ni tashkil qiladi, bu kiruvchi trafikning maksimal miqdorini qayta ishlash uchun etarli.
Adolat uchun shuni ta'kidlash kerakki, kommutatsiya matritsasi sekundiga 95,2 million paketni tashkil qiladi. Ya'ni, uzunligi atigi 64 bayt bo'lgan minimal mumkin bo'lgan freymlardan foydalanilganda, qurilmaning umumiy ishlashi 97,5 Gbit / s ni tashkil qiladi. Biroq, bunday trafik profili aloqa operatorlari tarmoqlari uchun deyarli mumkin emas.
Ortiqcha obuna nimaYana bir muhim masala - yuqori va quyi oqim kanallari tezligining nisbati (ortiqcha obuna). Bu erda, shubhasiz, hamma narsa topologiyaga bog'liq. Agar ma'mur tarmoq yadrosiga ulanish uchun barcha to'rtta 10 GE interfeysidan foydalansa va ularni LAG (Link Aggregation Group) yoki Port-Channel texnologiyasidan foydalangan holda birlashtirsa, yadroga nisbatan statistik ravishda olingan tezlik 40 Gbit/s ni tashkil qiladi, bu ko'proq bo'ladi. barcha ulangan abonentlarning ehtiyojlarini qondirish uchun etarli. Bundan tashqari, barcha to'rtta yuqori ulanishlar bitta jismoniy qurilmaga ulanishi shart emas. Ulanish kalitlar to'plamiga yoki klasterga birlashtirilgan ikkita qurilmaga (vPC texnologiyasi yoki shunga o'xshash) ulanishi mumkin. Bunday holda, ortiqcha obuna bo'lmaydi.
Siz faqat LAG yordamida ularni birlashtiribgina qolmay, bir vaqtning o'zida barcha to'rtta yuqoriga ulanishdan foydalanishingiz mumkin. MSTP-ni to'g'ri sozlash orqali shunga o'xshash effektga erishish mumkin, ammo bu butunlay boshqacha hikoya.
Ikkinchi tez-tez ishlatiladigan L2 ulanish usuli ikkita mustaqil LAGdan foydalanishdir (har bir yig'ish kalitiga bittadan). Bunday holda, virtual havolalardan biri STP protokoli tomonidan bloklanadi (STP yoki RSTP dan foydalanilganda). Ortiqcha obuna 5:6 bo'ladi.
Kamroq, ammo hali ham ehtimoliy holat: T2600G-28SQ mustaqil kanallar orqali yuqori oqim kalitiga yoki kalitlarga ulangan. STP/RSTP protokoli faqat bitta shunday havolani bloklanmagan holatda qoldiradi. Ortiqcha obuna 5:12 bo'ladi.
Yulduzcha bilan vazifa: STP bo'limida tavsiflangan holatlar uchun ortiqcha obunani hisoblang, bu erda biz ikkita kirish kaliti bir xil yig'ish moslamasiga ulangan va o'zaro bog'langan bo'lsa, topologiya misolini ko'rib chiqdik.
Bunday yuqori uzatish tezligini ta'minlaydigan dasturlashtiriladigan chiplar juda qimmat resursdir, shuning uchun biz resurslarni turli funktsiyalar o'rtasida to'g'ri taqsimlash orqali ulardan foydalanishni optimallashtirishga harakat qilamiz. SDM - Switch Database Management tarqatish uchun javobgardir.
Tarqatish SDM profili yordamida amalga oshiriladi. Hozirda foydalanish uchun uchta profil mavjud, ular quyida keltirilgan.
- Standart MAC va IP kirish ro'yxatlarini, shuningdek, ARP aniqlash yozuvlarini ishlatish uchun muvozanatli yechim taklif qiladi.
- EnterpriseV4 MAC va IP kirish ro'yxatlari tomonidan foydalanish uchun mavjud resurslarni maksimal darajada oshirish imkonini beradi.
- EnterpriseV6 ba'zi resurslarni IPv6 kirish ro'yxatidan foydalanish uchun ajratadi.
Yangi profilni qo'llash uchun kalitni qayta ishga tushirish kerak.
xulosa
Dastlabki joylashuvga ko'ra, ushbu kalit uzoq masofalarda tarmoqqa kirishni ta'minlash vazifasiga duch kelgan aloqa operatorlari uchun eng mos keladi. Qurilma kirish darajasida ham, masalan, kottejlar va shahar uylarida, shuningdek, ko'p qavatli uylarda joylashgan kirish kalitlaridan keladigan kanallarni birlashtirish uchun ishlatilishi mumkin; ya'ni masofaviy ob'ektlarga ulanish talab qilinadigan joylarda. Optik aloqa kanallaridan foydalanganda ulangan abonent bir necha kilometrgacha bo'lgan masofada joylashgan bo'lishi mumkin.
Mijoz tomonida optik aloqalar optik interfeysli kichik kalitlarda yoki media konvertorlarida tugatilishi mumkin.
Ko'p sonli qo'llab-quvvatlanadigan protokollar va variantlar T2600G-28SQ-ni operatorning Ethernet tarmog'ida har qanday topologiya va foydalaniladigan texnologiyalar va taqdim etilgan xizmatlar to'plamida foydalanishga imkon beradi. Kalit veb-interfeys yoki buyruq qatori yordamida masofadan boshqariladi. Mahalliy konfiguratsiya zarur bo'lsa, siz konsol portidan foydalanishingiz mumkin; T2600G-28SQ modelida ulardan ikkitasi mavjud: RJ-45 va micro-USB. Malhamda kichik bir chivin sifatida biz stacking va ikkinchi quvvat manbai uchun qo'llab-quvvatlash etishmasligini qayd etamiz. To'g'ri, odatda provayderlarning ma'lumotlar markazlaridan tashqarida, ikkinchi elektr liniyasining mavjudligi kamdan-kam hollarda bo'ladi.
Uning afzalliklari past narx, ko'p sonli abonent optik portlari, 10 ta GE optik ulanishining mavjudligi, shuningdek, to'rtta kombinatsiyalangan port va o'rtacha tezlikda trafikni yo'naltirishni o'z ichiga oladi.
Manba: www.habr.com