大城市扩张、城市群形成是当今社会发展的重要趋势之一。 仅莫斯科就应该在 2019 年扩建 4 万平方米的住房(这还不包括到 15 年将增加的 2020 个定居点)。 在这片广阔的领土上,电信运营商必须为用户提供互联网接入服务。 这些可以是拥有密集多层建筑的城市微区,也可以是更“放电”的村舍。 对于这些情况,硬件要求略有不同。 我们分析了每个场景并创建了一个通用光交换机模型 - T2600G-28SQ。 在这篇文章中,我们将详细分析俄罗斯各地电信运营商感兴趣的设备的功能。
放置在网络上
T2600G-28SQ 交换机设计用于在网络中的接入层运行以及聚合来自其他接入层交换机的链路。 这是执行交换和静态路由的第 2600 层交换机。 如果运营商同时切换了汇聚和接入(仅在网络核心进行路由),T28G-XNUMXSQ将适合任何级别。 在动态路由聚合的情况下,您仍然需要考虑用例的一些限制。
T2600G-28SQ 型号是一款成熟的有源以太网交换机,没有使用 xPON 或类似技术时出现的额外限制。 例如,不会因用户数量的增加而导致速度急剧下降,或者不同供应商的设备和固件之间的兼容性差。 终端用户和具有光上行链路的底层接入交换机(例如T2600G-28TS型号)都可以连接到设备接口。 下图显示了此类连接的最常见示例。
为了接入最终用户的网络,可以使用光纤或双绞线电缆。 在用户侧,可以使用介质转换器(媒体转换器)端接光纤,例如TP-Link MC220L; 并使用SOHO路由器中的光纤接口。
要连接附近的客户端,您可以使用四个以 45/10/100 Mbit/s 速度运行的 RJ-1000 端口。 如果由于某种原因这还不够,操作员可以将交换机的光纤接口“转换”为铜缆接口。 这可以使用带有 RJ-45 连接器的专用“铜”SFP 来完成。 但这样的解决方案不能称为典型。
一些实践中的例子
为了使图片更加完整,我们将给出几个使用 T2600G-28SQ 交换机的示例。
莫斯科地区供应商 除了互联网之外,该公司还提供电话和有线电视服务,在私营部门(别墅和联排别墅)建设网络时,在接入层使用 T2600G-28SQ。 在客户端,连接到具有 SFP 端口的路由器以及媒体转换器。 目前,带有SFP端口的SOHO路由器在我国还没有大量生产,但我们当然正在考虑。
电信运营商 Pavlovo-Posad地区使用T2600G-28SQ交换机作为“小汇聚”,采用T2600G-28TS和T2500G-10TS型号的交换机进行接入。
企业集团 在莫斯科地区东南部(科洛姆纳、卢霍维齐、扎赖斯克、Serebryanye Prudy、Ozyory)提供互联网接入、电视、电话和视频监控系统。 这里的大致拓扑与ISS的拓扑相同:汇聚层为T2600G-28SQ,接入层为T2600G-28TS和T2500G-10TS。
提供商 来自克拉斯诺兹纳门斯克的公司使用具有深度光纤穿透能力的网络提供互联网接入。 它也是基于T2600G-28SQ。
在下面的章节中,我们将简要介绍 T2600G-28SQ 的一些功能。 为了不使材料变得臃肿,我们省略了许多选项:QinQ(VLAN VPN)、路由、QoS 等。我们认为我们可以在以下帖子之一中再次讨论它们。
开关功能
预订 – STP
STP——生成树协议。 生成树协议早已为人所知,这要归功于受人尊敬的拉迪亚·帕尔曼 (Radya Perlman)。 在现代网络中,管理员会尽一切可能避免使用此协议。 是的,STP 并非没有缺点。 如果有替代方案那就太好了。 然而,正如通常的情况一样,该协议的替代方案将在很大程度上取决于供应商。 因此,直到今天,生成树协议仍然是几乎唯一得到几乎所有制造商支持并且也为所有网络管理员所熟知的解决方案。
TP-Link T2600G-28SQ交换机支持三个版本的STP:经典STP(IEEE 802.1D)、RSTP(802.1W)和MSTP(802.1S)。
在这些选项中,常规 RSTP 非常适合俄罗斯大多数小型互联网提供商,它比经典版本有一个不可否认的优势 - 收敛时间显着缩短。
当今最灵活的协议是 MSTP,它支持虚拟网络 (VLAN) 并允许多个不同的树,从而允许您使用所有可用的备份路径。 管理员创建多个不同的树实例(最多八个),每个实例服务于一组特定的虚拟网络。
MSTP 的微妙之处新手管理员在使用 MSTP 时需要非常小心。 这是因为区域内和区域之间的协议行为有所不同。 因此,在配置交换机时,值得确保保持在同一区域内。
这个臭名昭著的地区是什么? 在 MSTP 术语中,区域是一组相互连接的交换机,这些交换机具有相同的特征:区域名称、修订号以及协议实例(实例)之间的虚拟网络 (VLAN) 分布。
当然,生成树协议(任何版本)不仅可以让您处理连接备份通道时出现的环路,还可以防止工程师有意或无意连接错误端口时发生电缆切换错误,从而与他的设备形成环路。行动。
更有经验的网络管理员更喜欢使用各种附加选项来保护 STP 协议免受攻击或复杂的灾难情况。 T2600G-28SQ 型号提供一整套此类功能:环路保护和根保护、TC Guard、BPDU 保护和 BPDU 过滤器。
正确使用上面列出的选项以及其他支持的保护机制将稳定本地网络并使其更具可预测性。
预订 – LAG
LAG——链路聚合组。 这项技术允许您将多个物理通道组合成一个逻辑通道。 所有其他协议均停止使用 LAG 中包含的物理通道,并开始“查看”一个逻辑接口。 此类协议的一个示例是 STP。
用户流量根据哈希和在逻辑通道内的物理通道之间进行平衡。 为了计算它,可以使用发送者、接收者或它们的一对的 MAC 地址; 以及发件人、收件人或两者的 IP 地址。 不考虑第 XNUMX 层协议信息(TCP/UDP 端口)。
T2600G-28SQ交换机支持静态和动态LAG。
为了协商动态组的操作参数,使用LACP协议。
安全 - 访问列表 (ACL)
我们的 T2600G-28SQ 交换机允许您使用访问列表(ACL - 访问控制列表)过滤用户流量。
支持的访问列表可以有多种不同类型:MAC 和 IP (IPv4/IPv6),组合,也用于执行内容过滤。 支持的每种访问列表类型的数量取决于当前使用的SDM模板,我们在另一节中对此进行了描述。
运营商可以使用此选项来阻止网络上的各种不需要的流量。 如果未提供相应的服务,此类流量的一个示例是 IPv6 数据包(使用 EtherType 字段); 或者阻止端口 445 上的 SMB。在具有静态寻址的网络中,不需要 DHCP/BOOTP 流量,因此使用 ACL,管理员可以过滤端口 67 和 68 上的 UDP 数据报。您还可以使用 ACL 阻止本地 IPoE 流量。 使用 PPPoE 的运营商网络可能需要这种阻止。
使用访问列表的过程非常简单。 创建列表本身后,您需要向其中添加所需数量的记录,其类型直接取决于自定义的工作表。
设置访问列表
值得注意的是,访问列表不仅可以执行允许或拒绝流量的常见操作,还可以重定向、镜像、以及执行重新标记或速率限制。
创建所有必需的 ACL 后,管理员就可以安装它们。 可以将访问列表附加到直接物理端口和特定虚拟网络。
安全性 - MAC 地址数量
有时,运营商需要限制交换机在特定端口上学习的 MAC 地址数量。 访问列表允许您实现指定的效果,但同时需要明确指示 MAC 地址本身。 如果您只需要限制通道地址的数量,但不明确指定它们,则端口安全将派上用场。
例如,可能需要这样的限制,以防止将整个本地网络连接到一个提供商交换机接口。 这里值得一提的是,我们谈论的是拨号连接,因为当使用客户端的路由器进行连接时,T2600G-28SQ 将只学习一个地址 - 这是属于客户端路由器的 WAN 端口的 MAC 。
有一整类针对交换表的攻击。 这可能是表溢出或 MAC 欺骗。 端口安全选项将允许您防止桥接表溢出和旨在故意重新训练交换机并毒害其桥接表的攻击。
不可能不提及简单的客户端设备故障。 通常,出现故障的计算机网卡或路由器会创建具有完全任意的发送者和接收者地址的帧流。 这样的流量很容易耗尽 CAM 的资源。
限制使用的桥接表条目数量的另一种方法是 MAC VLAN 安全工具,它允许管理员指定特定虚拟网络的最大条目数。
除了管理交换表中的动态条目外,管理员还可以创建静态条目。
T2600G-28SQ型号的桥接表最大可容纳16K条记录。
另一个旨在过滤用户流量传输的选项是端口隔离功能,它允许您明确指定允许在哪个方向转发。
安全 – IMPB
在我们幅员辽阔的祖国,电信运营商在确保网络安全问题上的做法各不相同,从完全无知到最大限度地利用设备支持的所有选项。
IPv4 IMPB(IP-MAC-端口绑定)和 IPv6 IMPB 功能允许您通过将客户端设备的 IP 和 MAC 地址绑定到与用户端的 IP 和 MAC 地址欺骗相关的一系列攻击。提供商的交换机接口。 这种绑定可以手动完成,也可以使用 ARP 扫描和 DHCP 监听功能完成。
IMPB 基本设置
公平地说,应该说可以使用一个特殊的功能来保护DHCP协议——DHCP Filter。
使用此功能,网络管理员可以手动指定连接真实 DHCP 服务器的接口。 这将防止恶意 DHCP 服务器干扰 IP 协商过程。
安全 – DoS 防御
正在考虑的模型使我们能够保护用户免受几种最知名且先前广泛传播的 DoS 攻击。
大多数列出的攻击对于具有现代操作系统的设备来说不再有危险,但我们的网络仍然可能遇到那些多年前最后一次软件更新的攻击。
DHCP支持
TP-Link T2600G-28SQ 交换机既可以充当 DHCP 服务器,也可以充当中继,如果另一台设备充当服务器,则还可以对 DHCP 消息执行各种过滤。
为用户提供操作所需的IP参数的最简单方法是使用交换机内置的DHCP服务器。 在它的帮助下,基本参数已经可以提供给订阅者。
我们将 Archer C6 SOHO 路由器连接到其中一个交换机接口,并确保客户端设备成功接收地址。
看起来像这样
交换机内置的 DHCP 服务器可能不是最具可扩展性和灵活性的解决方案:不支持非标准选项,并且不与 IPAM 连接。 如果运营商需要对IP地址分配过程进行更多控制,则将使用专用的DHCP服务器。
T2600G-28SQ允许您为每个用户子网指定一个单独的专用DHCP服务器,所讨论的协议的消息将被重定向到该服务器。 通过指定适当的 L3 接口来选择子网:VLAN (SVI)、路由端口或端口通道。
为了测试中继的功能,我们配置了另一个供应商的单独路由器作为 DHCP 服务器,其设置如下所示。
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8客户端路由器再次成功获取IP地址。
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic下面是剧透 - 交换机和专用 DHCP 服务器之间截获的数据包的内容。
包装内容
需要说明的是,交换机支持Option 82。 启用后,交换机将添加有关接收 DHCP 发现消息的用户界面的信息。 此外,T2600G-28SQ机型还支持配置插入82号选件时添加信息的处理策略。 在需要为订阅者提供相同 IP 地址的情况下,无论客户端报告其自身的客户端 ID 是什么,对此选项的支持都非常有用。
下图显示了添加了 82 号选项的 DHCP Discover 消息(通过中继发送)。
选项号为 82 的消息
当然,您可以在不设置成熟的 DHCP 中继的情况下管理选项 82;相应的设置在“DHCP L2 中继”小节中介绍。
现在让我们更改 DHCP 服务器设置来演示选项 82 的工作原理。
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic那就是
当交换机不仅具有连接到特定网络的 L3 接口,而且该接口还具有 IP 地址的情况下,DHCP 接口中继功能将非常有用。 如果该接口上没有地址,则 DHCP VLAN 中继功能将发挥作用。 这种情况下的子网信息取自默认接口,即多个虚拟网络中的地址空间将是相同的(重叠)。
通常,运营商还需要保护用户免遭错误或恶意激活客户端设备上的 DHCP 服务器的影响。 我们决定在专门讨论安全问题的部分中讨论此功能。
IEEE 802.1X
对网络上的用户进行身份验证的一种方法是使用 IEEE 802.1X 协议。 该协议在俄罗斯电信运营商网络中的受欢迎程度已经在下降;它仍然主要用于大公司的本地网络中,以对组织的内部用户进行身份验证。 T2600G-28SQ交换机支持802.1X,因此提供商可以在需要时轻松使用它。
为了使 IEEE 802.1X 协议发挥作用,需要三个参与者:客户端设备(请求者)、提供商接入交换机(验证器)和验证服务器(通常是 RADIUS 服务器)。
操作员端的基本配置非常简单。 您只需指定所使用的 RADIUS 服务器的 IP 地址(将在该服务器上存储用户数据库),并选择需要身份验证的接口。
基本 802.1X 设置
客户端也需要进行少量配置。 所有现代操作系统都已经包含必要的软件。 但如有必要,您可以安装并使用 TP-Link 802.1x 客户端 - 一个允许您对网络上的客户端进行身份验证的应用程序。
将用户的 PC 直接连接到提供商的网络时,必须为用于连接的网卡激活身份验证设置。
然而,目前,通常不是直接连接到运营商网络的用户计算机,而是确保用户本地网络(有线和无线网段)正常运行的SOHO路由器。 在这种情况下,所有 802.1X 协议设置都必须直接在路由器上进行。
在我们看来,这种身份验证方法在运营商网络中已被不应地遗忘。 是的,从用户设备设置的角度来看,将订户严格绑定到交换机端口可能是更简单的解决方案。 但如果需要使用登录名和密码,那么与基于 PPTP/L802.1TP/PPPoE 隧道的连接相比,2X 就不会是一个如此繁重的协议。
PPPoE ID 插入
不仅在我国,而且在世界各地,许多用户仍然喜欢使用极其简单的密码。 唉,凭证被盗的情况并不少见。 如果运营商在其网络中使用 PPPoE 协议对用户进行身份验证,那么 TP-Link T2600G-28SQ 交换机将有助于解决与凭据泄露相关的问题。 这是通过向 PPPoE Active Discovery 消息添加特殊标签来实现的。 这样,提供商不仅可以通过登录名和密码,还可以通过附加数据来验证订户的身份。 这些附加数据包括客户端设备的 MAC 地址及其所连接的交换机接口。
一些运营商原则上希望拒绝订阅者(一对登录名和密码)浏览网络的能力。 PPPoE ID 插入功能在这种情况下也会有所帮助。
生产管理规范
IGMP(互联网组管理协议)已经存在了几十年。 它的流行是很容易理解和解释的。 但 IGMP 交互涉及两方:用户的 PC(或任何其他设备,例如机顶盒)和服务于特定网段的 IP 路由器。 交换机不以任何方式参与此交换。 确实,最后的陈述并不完全正确。 或者在现代网络中,这根本不是事实。 交换机支持 IGMP 以优化组播流量转发。 交换机监听用户流量,检测其中的 IGMP 报告消息,并在此帮助下确定转发组播流量的端口。 所描述的选项称为 IGMP 侦听。
对 IGMP 协议的支持不仅可以用于优化流量本身,还可以用于确定可以向哪些用户提供某种服务(例如 IPTV)。 您可以通过手动设置过滤参数或使用身份验证来达到预期目的。
TP-Link 交换机上对组播流量的支持实现得相当灵活。 例如,可以为每个虚拟网络单独设置所有参数。
如果包含多播流量接收者的多个子网连接到一个路由器接口,则该路由器将被迫通过该接口发送多个数据包副本(每个虚拟网络一个)。
此时,可以通过MVR技术——组播VLAN注册来优化组播流量的转发流程。
该解决方案的本质是创建一个将所有接收者联合起来的虚拟网络。 但是,此虚拟网络仅用于多播流量。 这种方法允许路由器通过接口仅发送一份多播流量副本。
DDM、OAM 和 DLDP
DDM – 数字诊断监控。 光模块在运行过程中,常常需要监控模块本身的状况,以及其所连接的光通道的状况。 DDM功能将帮助您应对这一任务。 在它的帮助下,运营商工程师将能够监控支持此功能的每个模块的温度、电压和电流,以及发送和接收的光信号的功率。
为前面描述的参数设置阈值水平将允许您在它们超出可接受范围时生成事件。
设置 DDM 响应阈值
自然,管理员可以查看指定参数的当前值。
TP-Link T2600G-28SQ 交换机具有主动风冷系统。 此外,我们的交换机中从未遇到过由于端口密度而导致 SFP 模块过热的情况。 然而,如果纯粹在理论上允许这种可能性(例如,由于 SFP 模块内部的某些问题),那么在 DDM 的帮助下,管理员将立即收到潜在危险情况的通知。 显然,这里的危险不是针对交换机本身,而是针对 SFP 内部的二极管/激光器,因为随着其温度的升高,发射的光信号的功率可能会降低,这将导致光学预算的减少。
这里值得注意的是,TP-Link交换机不具有供应商锁定“功能”,即支持任何兼容的SFP模块,这对于网络管理员来说当然会非常方便。
OAM - 操作、管理和维护 (IEEE 802.3ah)。 OAM 是 OSI 模型的第二层协议,设计用于监控以太网并进行故障排除。 使用该协议,交换机可以监控特定连接的性能和错误,并生成警报,以便网络管理员可以更有效地管理网络。
基本 OAM 设置
OAM功能细节两个相邻的启用 OAM 的设备通过发送 OAMPDU 定期交换消息,OAMPDU 分为三种类型:信息型、事件通知型和环回控制型。 相邻交换机使用信息性 OAMPDU 相互发送统计信息以及管理员定义的数据。 这种类型的消息还用于通过 OAM 协议维持连接。 连接监视功能使用事件通知消息来通知对方发生了故障。 环回控制消息用于检测线路上的环路。
下面我们决定列出OAM协议提供的主要功能:
- 环境监控(断帧检测和计数),
- RFI – 远程故障指示(发送通道故障通知),
- 远程环回(通道测试以测量延迟、延迟变化(抖动)、丢失帧数)。
光开关需要的另一种选择是能够检测通信通道上的问题,从而导致通道变得单一,即数据只能在一个方向上发送。 我们的交换机使用 DLDP - 设备链路检测协议来检测单向链路。 公平地说,值得注意的是,光纤和铜缆接口都支持 DLDP 协议,但我们认为,在使用光纤线路时它会最受欢迎。
当检测到单向链路时,交换机可以自动关闭有问题的接口,这将导致STP树的重建和备份通信通道的使用。
在我们的武器库中,有一些 SFP 模块可以通过一根光纤接收和传输信号。 它们专门成对运行,并使用不同波长的光信号在对内传输。 一个例子是 TL-SM321A 和 TL-SM321B 对。 使用此类模块时,一根光纤的损坏将导致整个光通道完全无法工作。 然而,即使在这样的信道上,也需要 DLDP 协议,因为尽管这种情况很少发生,但信道对于不同的波长可能具有不同的透明度特性。 一个更可能的问题是通道的透明度根据光传播的方向而变化。 反射图将有助于检测这些问题,但这是一个完全不同的故事。
低密度聚乙烯
在大型企业或运营商网络中,由于网络文档的过时或准备过程中的不准确,会定期出现问题。 网络管理员可能面临这样的情况:需要查明哪个操作员设备实际上连接到特定交换机接口。 LLDP – 链路层发现协议 (IEEE 802.1AB) 将发挥作用。
LLDP 运行参数
我们的交换机支持 LLDP 不仅可以发现相邻交换机或其他网络设备,还可以确定它们的功能。
我们的交换机的铜缆对应设备可以使用 LLDP-MED 来简化连接 IP 电话的过程。 此外,使用此选项,PoE 交换机可以与受电设备协商功率参数。 我们已经在我们的一篇文章中详细讨论过这一点 .
SDM 和超额认购
几乎所有现代交换机都无需使用中央处理器即可处理传递的帧和数据包。 处理(计算校验和、应用访问列表和执行其他安全检查,以及做出交换/路由决策)是使用专用芯片进行的,这允许用户流量的高传输速度。 所讨论的交换机允许以中等速度处理流量。 这意味着设备的性能足以同时在所有端口上以尽可能高的速度发送数据。 T2600G-28SQ型号有24个下行端口(面向用户),运行速度为1 Gbit/s,以及4个上行端口(面向网络核心),运行速度为10 Gbit/s。 同时,交换机交叉总线的性能为128 Gbit/s,足以处理最大量的传入流量。
公平地说,值得注意的是,交换矩阵的性能为每秒 95,2 万个数据包。 也就是说,当使用长度仅为 64 字节的最小可能帧时,设备的总性能将为 97,5 Gbit/s。 然而,这样的流量分布对于电信运营商网络来说几乎是不可能的。
什么是超额认购另一个重要问题是上下行通道的速度比(超额认购)。 显然,这里一切都取决于拓扑。 如果管理员使用所有四个 10 GE 接口连接到网络核心,并使用 LAG(链路聚合组)或端口通道技术将它们组合起来,那么统计得到的到核心的速度将为 40 Gbit/s,这将更多足以满足所有连接订户的需求。 此外,没有必要将所有四个上行链路都连接到一台物理设备。 连接可以连接到交换机堆栈,也可以连接到组合成集群的两个设备(使用 vPC 技术或类似技术)。 在这种情况下,不存在超额认购。
您可以同时使用所有四个上行链路,而不仅仅是使用 LAG 组合它们。 通过正确配置 MSTP 也可以达到类似的效果,但那是完全不同的情况。
第二种常用的 L2 连接方法是使用两个独立的 LAG(每个聚合交换机一个)。 在这种情况下,最有可能的是,其中一条虚拟链路将被 STP 协议阻止(使用 STP 或 RSTP 时)。 超额认购比例为5:6。
一种较罕见但仍然很可能的情况:T2600G-28SQ 通过独立通道连接到一个或多个上游交换机。 STP/RSTP 协议将仅使一个此类链路处于畅通状态。 超额认购将为5点12分。
带星号的任务:计算 STP 部分中描述的情况的超额订阅,其中我们查看了两个接入交换机连接到同一聚合设备并互连时的拓扑示例。
实现如此高传输速度的可编程芯片是相当昂贵的资源,因此我们尝试通过在不同功能之间正确分配资源来优化其使用。 SDM——交换机数据库管理负责分发。
使用SDM 配置文件进行分发。 目前有三个配置文件可供使用,如下所列。
- Default 提供了使用 MAC 和 IP 访问列表以及 ARP 检测条目的平衡解决方案。
- EnterpriseV4 允许您最大限度地利用 MAC 和 IP 访问列表可使用的资源。
- EnterpriseV6 分配一些资源供 IPv6 访问列表使用。
必须重新启动交换机才能应用新配置文件。
结论
按照最初的定位,这款交换机最适合面临提供长距离网络接入任务的电信运营商。 该设备既可用于接入层,例如别墅社区和联排别墅,也可用于聚合来自公寓楼接入交换机的通道; 也就是说,任何需要连接到远程对象的地方。 当使用光通信信道时,连接的用户可以位于长达几公里的距离处。
在客户端,光链路可以终止于带有光接口的小型交换机或介质转换器上。
大量支持的协议和选项将使 T2600G-28SQ 能够在运营商的以太网中使用,该网络具有任何拓扑以及使用的任何技术和提供的服务。 使用 Web 界面或命令行远程管理交换机。 如果需要本地配置,可以使用控制台端口;T2600G-28SQ 型号有两个:RJ-45 和 micro-USB。 美中不足的是,我们注意到缺乏对堆叠和第二个电源的支持。 确实,通常在提供商的数据中心之外,很少有第二条电线。
其优点包括价格低廉、大量用户光端口、10GE光上行链路、以及四个组合端口和中速流量转发。
来源: habr.com