Хабрахабр

Оптический коммутатор TP-Link T2600G-28SQ для сервис-провайдеров: подробный обзор 

Расширение больших городов и образование агломераций — один из важных трендов социального развития сегодня. Одна только Москва в 2019 году должна расшириться на 4 млн квадратных метров жилья (и это не считая 15 населенных пунктов, которые присоединятся к 2020 году). На всей этой огромной территории операторам связи придется предоставлять пользователям доступ к интернету. Это могут быть как городские микрорайоны с плотной многоэтажной застройкой, так и более «разряженные» коттеджные поселки. Для этих случаев требования к оборудованию несколько различаются. Мы проанализировали каждый из этих сценариев и создали универсальную модель оптического коммутатора — T2600G-28SQ. В этом посте мы подробно разберем возможности устройства, которые будут интересны операторам связи по всей России.

Место в сети

Коммутатор T2600G-28SQ предназначен как для работы на уровне доступа в сети, так и для агрегирования линков от других коммутаторов уровня доступа. Это коммутатор второго уровня, который выполняет коммутацию и статическую маршрутизацию. Если у оператора сделана коммутируемой и агрегация, и доступ (маршрутизация только в ядре сети), T2600G-28SQ впишется на любой из уровней. В случае динамически маршрутизируемой агрегации все-таки нужно учитывать некоторые ограничения по сценариям использования.

Например, без угроз резкого падения скорости с увеличением количества пользователей или плохой совместимости между оборудованием различных вендоров и прошивками. Модель T2600G-28SQ – полноценный активный Ethernet-коммутатор без дополнительных ограничений, появляющихся при использовании технологий xPON или подобных. На схеме ниже представлены наиболее распространенные примеры таких подключений. К интерфейсам устройства могут подключаться как конечные пользователи, так и нижележащие коммутаторы доступа с оптическими аплинками, например, модель T2600G-28TS.

На стороне абонента оптическое волокно может терминироваться как при помощи конвертера среды (медиаконвертер), например, TP-Link MC220L; так и с использованием оптического интерфейса в SOHO-маршрутизаторе. Для доступа к сети конечного пользователя может использоваться оптическое волокно, либо витая пара.

Если же по какой-то причине этого окажется недостаточно, оператор может «конвертировать» оптические интерфейсы коммутатора в медные. Для подключения близкорасположенного клиента можно использовать четыре RJ-45 порта, работающих на скоростях 10/100/1000 Мбит/с. Но такое решение нельзя назвать типовым. Сделать это можно с помощью специализированных «медных» SFP с разъёмом RJ-45.

Несколько примеров из практики

Для полноты картины приведем несколько примеров использования коммутаторов модели T2600G-28SQ.

Со стороны клиента подключение производится к маршрутизаторам с SFP-портом, а также медиаконвертерам. Подмосковный провайдер «ДИВО», который кроме интернета предоставляет услуги телефонии и кабельного ТВ, использует T2600G-28SQ на уровне доступа при построении сетей в частном секторе (коттеджи и таунхаусы). На данный момент SOHO-маршрутизаторы с SFP-портом не производятся у нас серийно, но мы, конечно же, думаем об этом.

Оператор связи МКС из Павлово-Посадского района применяет коммутаторы T2600G-28SQ в качестве «небольшой агрегации», используя на доступе коммутаторы моделей T2600G-28TS и T2500G-10TS.

Примерная топология здесь такая же, как и у МКС: T2600G-28SQ на уровне агрегации, а T2600G-28TS и T2500G-10TS на уровне доступа. Группа компаний «Гарантия» предоставляют на юго-востоке Московской области (Коломна, Луховицы, Зарайск, Серебряные пруды, Озёры) доступ в интернет, ТВ, телефонию, системы видеонаблюдения.

В ее основе также лежат T2600G-28SQ. Провайдер СКТВ из Краснознаменска предоставляет доступ в интернет с помощью сети с глубоким проникновением оптики.

Чтобы не раздувать материал, ряд опций мы оставили за бортом: QinQ (VLAN VPN), маршрутизацию, QoS и др. В следующих разделах мы вкратце опишем некоторые возможности модели T2600G-28SQ. Думаем, что можно будет вернуться к ним в одном из следующих постов.

Возможности коммутатора

Резервирование – STP

STP – Spanning Tree Protocol. Протокол связующего (покрывающего) дерева известен уже очень давно, спасибо за это уважаемой Радье Перлман. В современных сетях администраторы стараются всячески избежать использование данного протокола. Да, STP не лишен недостатков. И очень хорошо, если есть ему альтернатива. Однако, как это часто бывает, альтернатива данному протоколу будет сильно зависеть от вендора. Поэтому до сих пор Spanning Tree Protocol остаётся чуть ли не единственным решением, которое поддерживается практически всеми производителями, а также известно всем сетевым администраторам.

1D), RSTP (802. Коммутатор TP-Link T2600G-28SQ поддерживает три версии STP: классический STP (IEEE 802. 1S). 1W) и MSTP (802.

Из этих вариантов для большинства небольших интернет-провайдеров в России вполне подходит обычный RSTP, имеющий перед классической версией одно неоспоримое преимущество — значительно меньшее время сходимости.

Администратор создаёт несколько различных экземпляров дерева (до восьми), каждый из которых обслуживает определенный набор виртуальных сетей. Наиболее гибким на сегодняшний день является протокол MSTP, поддерживающий виртуальные сети (VLAN) и допускающий несколько различных деревьев, что позволяет задействовать все доступные резервные пути.


Тонкости MSTP

Начинающим администраторам при использовании MSTP нужно быть очень внимательными. Это связано с тем, что поведение протокола внутри региона и между регионами отличается. Поэтому при конфигурировании коммутаторов стоит следить за тем, чтобы оставаться в рамках одного региона.

Регионом в терминах MSTP называется набор соединенных друг с другом коммутаторов, у которых совпадают следующие характеристики: имя региона, номер ревизии и распределение виртуальных сетей (VLAN) между экземплярами протокола (instance).
Что же такое этот пресловутый регион?

Конечно же, протокол Spanning Tree (любой версии) позволяет не только бороться с петлями, возникающими при подключении резервных каналов, но также защититься от ошибок кабельной коммутации, когда инженер специально или неумышленно соединяет неправильные порты, создавая своими действиями петлю.

Модель T2600G-28SQ предлагает целый набор таких возможностей: Loop Protect и Root Protect, TC Guard, BPDU Protect и BPDU Filter. Более опытные сетевые администраторы предпочитают использовать разнообразные дополнительные опции для защиты протокола STP от атак или сложных аварийных ситуаций.

Правильное использование перечисленных выше опций совместно с другими поддерживаемыми механизмами защиты позволит стабилизировать локальную сеть и сделать её более предсказуемой.

Резервирование – LAG

LAG – Link Aggregation Group. Это технология, позволяющая объединить несколько физических каналов в один логический. Все остальные протоколы перестают использовать физические каналы, входящие в LAG, по отдельности и начинают «видеть» один логический интерфейс. Примером такого протокола является STP.

Для её расчёта могут использоваться MAC-адреса отправителя, получателя, либо их пара; а также IP-адреса отправителя, получателя, либо их пара. Балансировка пользовательского трафика между физическими каналами внутри логического производится на основании хэш-суммы. Информация протоколов четвёртого уровня (порты TCP/UDP) не учитывается.

Коммутатор T2600G-28SQ поддерживает статические и динамические LAG.

Для согласования параметров работы динамической группы используется протокол LACP.

Безопасность – списки доступа (ACL)

Наш коммутатор  T2600G-28SQ позволяет фильтровать пользовательский трафик с помощью списков доступа (ACL – Access Control List).

Количество поддерживаемых списков доступа каждого типа зависит от используемого в данный момент шаблона SDM, который мы описали в другом разделе. Поддерживаемые списки доступа могут быть нескольких разных типов: MAC и IP (IPv4/IPv6), комбинированные, а также для выполнения контентной фильтрации.

Примером такого трафика могут являться пакеты IPv6 (с помощью поля EtherType), если соответствующая услуга не предоставляется; либо блокировать SMB по порту 445. Оператор может использовать данную опцию для блокирования различного нежелательного трафика в сети. Запретить локальный IPoE трафик также можно с помощью ACL. В сети со статической адресацией DHCP/BOOTP трафик не требуется, поэтому с помощью ACL администратор может отфильтровать UDP-датаграммы по портам 67 и 68. Такая блокировка может быть востребованной в сетях операторов, применяющих PPPoE.

После создания самого списка, необходимо добавить в него нужное количество записей, тип которых напрямую зависит от настраиваемого листа. Процесс использование списков доступа предельно прост.

Настройка списков доступа

Стоит заметить, что списки доступа могут выполнять не только обычные операции по разрешению или запрещению прохождения трафика, но также заниматься его перенаправлением, зеркалированием, а также выполнять его перемаркировку или ограничивать по скорости.
После того, как все необходимые ACL созданы, администратор может выполнить их установку. Допускается прикрепление списка доступа как к непосредственному физическому порту, так и к определенной виртуальной сети.

Безопасность – количество MAC-адресов

Иногда у операторов возникает необходимость ограничить количество MAC-адресов, которые коммутатор выучит на определённом порту. Списки доступа позволяют добиться указанного эффекта, но при этом требуют явного указания самих MAC-адресов. Если же требуется лишь ограничить количество канальных адресов, но не указывать их в явном виде, — на помощь придёт port security.

Здесь же стоит оговориться, что речь идёт о коммутируемом подключении, потому что при подключении с помощью маршрутизатора на стороне клиента T2600G-28SQ выучит только один адрес – это MAC, принадлежащий WAN-порту клиентского роутера. Такое ограничение может потребоваться, например, для защиты от подключения целой локальной сети к одному интерфейсу коммутатора провайдера.

Это может быть и переполнение таблицы, и MAC-spoofing. Существует целый класс атак, направленных против таблицы коммутации. Опция port security позволит защититься от переполнения мостовой таблицы и от атак, целью которых является предумышленное переобучение коммутатора, отравление его мостовой таблицы.

Нередки ситуации, когда неправильно функционирующая сетевая карта компьютера или маршрутизатор создают поток кадров с совершенно произвольными адресами отправителя и получателя. Нельзя не упомянуть и о просто сбоящем клиентском оборудовании. Такой поток может с лёгкостью истощить CAM.

Еще одним способом ограничения количества используемых записей в мостовой таблице служит инструмент MAC VLAN Security, с помощью которого администратор может указать максимальное количество записей для определенной виртуальной сети.

Кроме управления динамическими записями в таблице коммутации администратор может также создавать статические.

Максимально мостовая таблица модели T2600G-28SQ позволяет вместить до 16К записей.
Еще одной опцией, предназначенной для фильтрации передачи пользовательского трафика, является функция Port Isolation, позволяющая в явном виде указать, в каком направлении разрешена пересылка.

Безопасность – IMPB

На просторах нашей необъятной родины подход операторов связи к вопросам обеспечения безопасности в сети разнится от полного игнорирования до максимально возможного применения всех поддерживаемых оборудованием опций.

Такая привязка может осуществляться вручную, либо с использованием функций ARP Scanning и DHCP Snooping. Функции IPv4 IMPB (IP-MAC-Port Binding) и IPv6 IMPB позволяют защититься от целого спектра атак, связанных с подменой IP и MAC-адресов со стороны абонентов путём привязки IP и MAC-адресов клиентского оборудования к интерфейсу коммутатора провайдера.

Основные настройки IMPB

Справедливости ради стоит сказать, что для защиты протокола DHCP может применяться специальная функция – DHCP Filter.

Таким образом подложные сервера DHCP не смогут вклиниться в процесс согласования IP-параметров. С помощью данной функции сетевой администратор может вручную указать те интерфейсы, к которым подключены настоящие DHCP-сервера.

Безопасность – DoS Defend

Рассматриваемая модель позволяет защищать пользователей от нескольких наиболее известных и распространённых ранее DoS-атак.

Большая часть из перечисленных атак уже совершенно не страшна устройствам с современными операционными системами, однако до сих пор в наших сетях могут встречаться и такие, для которых последнее обновление программного обеспечение было произведено много лет назад.

Поддержка DHCP

Коммутатор TP-Link T2600G-28SQ может выступать как в качестве DHCP-сервера или релея, так и выполнять разнообразную фильтрацию DHCP-сообщений, если в качестве сервера выступает другое устройство.

Основные параметры с его помощью уже можно отдать абонентам. Самый простой способ предоставить пользователям необходимые для работы IP-параметры — задействовать встроенный в коммутатор DHCP-сервер.

Мы подключили наш SOHO-маршрутизатор Archer C6 к одному из интерфейсов коммутатора и убедились в успешности получения адреса клиентским устройством.

Это выглядит так

Встроенный в коммутатор DHCP-сервер — пожалуй, не самое масштабируемое и гибкое решение: нет поддержки нестандартных опций, отсутствует связь с IPAM. Если же оператору требуется больше контроля над процессом распределения IP-адресов, то будет использован какой-либо выделенный DHCP-сервер.

Выбор подсети происходит путем указания соответствующего L3-интерфейса: VLAN (SVI), routed port или port-channel. T2600G-28SQ позволяет для каждой пользовательской подсети указать отдельный выделенный DHCP-сервер, на который будут перенаправляться сообщения обсуждаемого протокола.

Чтобы проверить функционирование релея мы сконфигурировали отдельный маршрутизатор другого вендора для работы в качестве DHCP-сервера, настройки которого представлены ниже.

R1#sho run | s pool
ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8

Клиентский маршрутизатор вновь успешно получил IP-адрес.

R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type Hardware address/ User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic

Под спойлером — содержимое перехваченного пакета между коммутатором и выделенным DHCP-сервером.

Содержимое пакета

Нельзя не отметить наличие поддержки Option 82 со стороны коммутатора. При её активации коммутатор будет добавлять информацию о пользовательском интерфейсе, с которого было получено сообщение DHCP Discover. Кроме того, модель T2600G-28SQ позволяет настроить политику обработки добавляемой информации при вставке опции №82. Наличие поддержки указанной опции может пригодиться в ситуации, когда абоненту необходимо выдавать один и тот же IP-адрес вне зависимости от того, какой идентификатор клиент (client-id) о себе сообщает.
На рисунке ниже представлено сообщение DHCP Discover (переданное релеем) c добавленной опцией №82.

Сообщение c опцией №82

Конечно же, управлять опцией №82 можно и без настройки полноценного DHCP-релея, соответствующие настройки представлены в подпункте «DHCP L2 Relay».

А теперь изменим настройки DHCP-сервера так, чтобы продемонстрировать работу опции №82.

R1#sho run | s dhcp
ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8 class option82_test address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test relay agent information relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type Hardware address/ User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic

Вот примерно так

Функция DHCP interface relay будет полезна в ситуации, когда на коммутаторе не только присутствует L3-интерфейс, подключенный к определенной сети, но еще и этот интерфейс обладает IP-адресом. В случае же отсутствия адреса на таком интерфейсе на помощь придет функция DHCP VLAN relay. Информация о подсети в этом случае берется из интерфейса по умолчанию, то есть адресные пространства в нескольких виртуальных сетях будут одинаковыми (перекрываться).

Обсуждение этой функциональности мы решили вынести в один из разделов, посвященных вопросам безопасности. Зачастую операторам требуется также обезопасить абонентов от ошибочного или злонамеренного включения DHCP-сервера на клиентском оборудовании.

IEEE 802.1X

Одним из способов аутентификации пользователей в сети является использование протокола IEEE 802.1X. Популярность этого протокола в сетях операторов связи в России уже идет на спад, он все еще используется в основном в локальных сетях крупных компаний для аутентификации внутренних пользователей организации. В коммутаторе  T2600G-28SQ есть поддержка 802.1X, поэтому при необходимости провайдер может с лёгкостью его задействовать.

1X необходимо три участника: клиентское оборудование (supplicant), коммутатор доступа провайдера (authenticator) и сервера аутентификации (обычно RADIUS-сервера). Для работы протокола IEEE 802.

Требуется лишь указать IP-адрес используемого RADIUS-сервера, на котором будет храниться пользовательская база данных, а также выбрать интерфейсы, для которых необходима аутентификация. Базовая конфигурация со стороны оператора предельно проста.

Базовая настройка 802.1X

С клиентской стороны также требуется незначительная настройка. Все современные операционные системы уже содержат необходимое программное обеспечение. Но при необходимости можно установить и использовать TP-Link 802.1x Client – приложение, позволяющее производить аутентификацию клиента в сети.

При подключении пользовательского ПК напрямую к сети провайдера, настройки аутентификации необходимо активировать для той сетевой карты, которая используется для подключения.

В этом случае все настройки протокола 802. Однако в настоящее время к сети оператора обычно подключается не компьютер пользователя напрямую, а некий SOHO-маршрутизатор, обеспечивающий функционирование локальной сети абонента (как проводного, так и беспроводного сегментов). 1X должны выполняться непосредственно на маршрутизаторе.

Да, жесткая привязка абонента к порту коммутатора, возможно, будет более простым решением с точки зрения настроек пользовательского оборудования. Нам кажется, что в операторских сетях такой способ аутентификации незаслуженно забыт. 1X будет не столь тяжеловесным протоколом по сравнению с используемыми подключениями на базе туннелей PPTP/L2TP/PPPoE. Но если использование логина и пароля необходимо, то 802.

PPPoE ID Insertion

Многие пользователи не только в нашей стране, но и во всём мире до сих пор предпочитают использовать предельно простые пароли. Да и случаи кражи учетных данных, увы, не являются редкостью. Если в своей сети оператор использует протокол PPPoE для аутентификации пользователей, то коммутатор TP-Link T2600G-28SQ поможет решить проблему, связанную с утечкой учетных данных. Достигается это за счёт добавления специальной метки к сообщению PPPoE Active Discovery. Таким образом провайдер может аутентифицировать абонента не только по логину и паролю, но еще и дополнительным данным. К таким дополнительным данным относятся MAC-адрес клиентского устройства, а также интерфейс коммутатора, к которому оно подключено.

Функция PPPoE ID Insertion поможет и в этом случае тоже. Некоторые операторы в принципе желают запретить абоненту (пара логин и пароль) возможность перемещаться по сети.

IGMP

Протокол IGMP (Internet Group Management Protocol) существует уже не одно десятилетие. Популярность его вполне понятна и легко объяснима. Но в IGMP-взаимодействии участвуют две стороны: ПК пользователя (или любое другое устройство, например, STB) и IP-маршрутизатор, обслуживающий определенный сегмент сети. Коммутаторы никак не участвуют в этом обмене. Правда, последнее утверждение не совсем верно. Или в современных сетях совсем не верно. Поддержка протокола IGMP со стороны коммутаторов необходима для того, чтобы оптимизировать пересылку группового трафика. Прослушивая пользовательский трафик коммутатор обнаруживает в нем сообщения IGMP Report, с помощью которых определяет порты для пересылки группового трафика. Описанная опция называется IGMP Snooping.

Достичь желаемой цели можно как с помощью настройки параметров фильтрации вручную, так и путем использования аутентификации. Поддержка протокола IGMP может использоваться не только для оптимизации трафика как такового, но и для определения абонентов, которым может предоставляться определенная услуга, например, IPTV.


Так, например, все параметры могут быть заданы для каждой виртуальной сети в отдельности. Поддержка группового трафика на коммутаторах TP-Link реализована достаточно гибко.

Если к одному интерфейсу маршрутизатора подключено несколько подсетей, в которых расположены получатели группового трафика, то этот маршрутизатор будет вынужден отправить несколько копий пакетов через этот интерфейс (по одному для каждой виртуальной сети).
Оптимизировать процедуру пересылки группового трафика в данном случае можно с помощью технологии MVR – Multicast VLAN Registration.

Однако эта виртуальная сеть используется только для группового трафика. Суть решения состоит в том, что создается одна виртуальная сеть, объединяющая всех получателей. Такой подход позволяет маршрутизатору отправлять лишь одну копию группового трафика через интерфейс.

DDM, OAM и DLDP

DDM – Digital Diagnostic Monitoring. В процессе эксплуатации оптических модулей часто бывает необходимо следить за состоянием самого модуля, а также оптического канала, к которому он подключен. Справиться с этой задачей поможет функция DDM. С её помощью инженеры оператора смогут отслеживать температуру каждого поддерживающего данную функциональность модуля, напряжение на нём и ток, а также мощности отправляемого и принимаемого оптического сигналов.

Установка пороговых уровней для описанных ранее параметров позволит генерировать событие в случае их выхода за допустимый диапазон.

Настройка порогов срабатывания DDM

Естественно, администратор может просмотреть текущие значения указанных параметров.

Более того, мы ни разу не сталкивались с перегревом SFP-модулей в наших коммутаторах, связанных с плотностью портов. Коммутатор TP-Link T2600G-28SQ обладает активной системой воздушного охлаждения. Опасность здесь, очевидно, не для самого коммутатора, а для диода/лазера внутри SFP, так как с ростом его температуры может происходить деградация мощности излучаемого оптического сигнала, что приведет к снижению оптического бюджета. Однако если чисто в теории допустить такую возможность (например, из-за какой-либо проблемы внутри SFP-модуля), то с помощью DDM администратор будет немедленно оповещен о потенциально опасной ситуации.

Здесь же стоит заметить, что коммутаторы TP-Link не имеют «функции» vendor lock, то есть поддерживаются любые совместимые SFP-модули, что, конечно же, будет очень удобно для сетевых администраторов.

3ah). OAM — Operation, Administration, and Maintenance (IEEE 802. С помощью данного протокола коммутатор может отслеживать производительность определённого соединения и ошибки, генерировать оповещения для того, чтобы сетевой администратор мог более эффективно управлять сетью. OAM – протокол второго уровня модели OSI, предназначенный для мониторинга и поиска неисправностей в сетях Ethernet.

Базовая настройка OAM

Детали функционирования OAM

Два соседних устройства, поддерживающих OAM, производят периодический обмен сообщениями путем отправки OAMPDU, которые бывают трёх типов: Informational, Event Notification и Loopback Control. С помощью информационных OAMPDU соседние коммутаторы отправляют друг другу статистическую информацию, а также данные, определяемые администратором. Также данный тип сообщений используется для поддержания соединения по протоколу OAM. Сообщения Event Notification используются функцией мониторинга соединения для уведомления противоположной стороны о произошедших сбоях. Для определения петли на линии используются сообщения Loopback Control.

Ниже мы решили перечислить основные возможности, предоставляемые протоколом OAM:

  • мониторинг среды (обнаружение и подсчёт битых кадров),

  • RFI – Remote Failure Indication (отправка уведомления о сбое на канале),

  • Remote Loopback (тестирование канала для измерения задержки, вариации задержки (jitter), количества потерянных фреймов).

Ещё одной опцией, востребованной на оптических коммутаторах, является возможность обнаружения проблем на канале связи, приводящих к тому, что канал становится симплексным, то есть отправка данных может производиться только в одну сторону. Наши коммутаторы используют для целей обнаружения однонаправленных линков протокол DLDP – Device Link Detection Protocol. Справедливости ради стоит отметить, что протокол DLDP поддерживается как на оптических, так и на медных интерфейсах, однако на наш взгляд, он будет наиболее востребованным при использовании оптоволоконных линий.

При обнаружении однонаправленного канала коммутатор может автоматически выключить проблемный интерфейс, что приведёт к перестроению STP дерева и использованию резервных каналов связи.

Работают они исключительно парами и для передачи внутри пары используют оптический сигнал на разных длинах волн. В нашем арсенале существуют SFP-модули, осуществляющие приём и передачу сигнала по одному волокну. При использовании такого рода модулей повреждение одного волокна приведёт к полной неработоспособности всего оптического канала. Примером может служить пара TL-SM321A и TL-SM321B. Более вероятная проблема состоит в различной прозрачности канала в зависимости от направления распространения света. Однако и на таких каналах протокол DLDP будет востребован, так как, хотя это и случается крайне редко, канал может иметь разные характеристики прозрачности для разных длин волн. Обнаружить указанные проблемы поможет рефлектограмма, но это уже совсем другая история.

LLDP

В крупных корпоративных или операторских сетях периодически возникают проблемы с устареванием документации на сеть или неточностями при её составлении. Сетевой администратор может столкнуться с ситуацией, когда необходимо выяснить, какое операторское оборудование на самом подключено к тому или иному интерфейсу коммутатора. На помощь придёт протокол LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).

Параметры функционирования LLDP

Наши коммутаторы поддерживают протокол LLDP не только для обнаружения соседних коммутаторов или других сетевых устройств, но также и для определения их возможностей.

Также с помощью данной опции PoE-коммутатор может согласовывать параметры питания с питаемым устройством. Медные собратья нашего коммутатора могут использовать LLDP-MED для упрощения процедуры подключения IP-телефонов. Об этом мы уже довольно подробно рассказывали в одном из наших прошлых материалов.

SDM и переподписка

Практически все современные коммутаторы обрабатывают проходящие фреймы и пакеты без использование центрального процессора. Обработка (расчет контрольной суммы, применение списков доступа и проведение прочих проверок системы безопасности, а также принятие решение о коммутации/маршрутизации) производится с помощью специализированных микросхем, что позволяет добиться высоких скоростей передачи пользовательского трафика. Обсуждаемый коммутатор позволяет обрабатывать трафик на скорости среды. Это означает, что производительности устройства достаточно, чтобы пересылать данные на максимально возможных скоростях всех портов одновременно. У модели T2600G-28SQ есть 24 downlink порта (в сторону пользователей), работающих на скоростях 1 Гбит/с, а также 4 uplink порта (в сторону ядра сети) по 10 Гбит/с. При этом производительность кросс-шины коммутатора составляет 128 Гбит/с, чего достаточно для обработки максимального количества входящего трафика.

То есть при использовании минимально возможных кадров длиной всего 64 байта суммарная производительность устройства составит 97,5 Гбит/с. Справедливости ради стоит отметить, что производительность коммутационной матрицы составляет 95,2 миллионов пакетов в секунду. Однако такой профиль трафика практически невероятен для сетей операторов связи.

Что такое переподписка

Другим немаловажным вопросом является соотношение скоростей восходящих и нисходящих каналов (переподписка). Здесь уже, очевидно, всё зависит от топологии. Если администратор задействует все четыре интерфейса 10 GE для подключения к ядру сети и объединит их по технологии LAG (Link Aggregation Group) или Port-Channel, то статистически получаемая скорость в сторону ядра составит 40 Гбит/с, чего окажется более, чем достаточно для удовлетворения потребностей всех подключенных абонентов. Причем не обязательно, чтобы все четыре восходящие линка подключались к одному физическому устройству. Подключение может производиться к стеку коммутаторов, либо к двум устройствам, объединённым в кластер (с помощью технологии vPC или подобных). Переподписка в этом случае отсутствует.

Похожего эффекта можно достичь с помощью правильной настройки MSTP, однако это уже совсем другая история.
Использовать все четыре восходящих канала одновременно можно не только путем объединения их с помощью LAG.

В этом случае, скорее всего, один из виртуальных линков окажется заблокированным протоколом STP (при использовании STP или RSTP). Вторым часто встречающимся способом L2-подключения является использование двух независимых LAG (по одному до каждого коммутатора агрегации). Переподписка составит 5:6.

Протокол STP/RSTP оставит лишь один такой линк в незаблокированном состоянии. Более редкая, но все-таки вполне вероятная ситуация: T2600G-28SQ подключён независимыми каналами к вышестоящему коммутатору или коммутаторам. Переподписка составит 5:12.

Задание со звёздочкой: рассчитать переподписку для ситуаций, описанных в разделе STP, где мы рассмотрели пример топологии, когда два коммутатора доступа подключены к одному устройству агрегации и соединены между собой.

Программируемые микросхемы, с помощью которых достигается столь высокая скорость пересылки, — ресурс довольно дорогой, поэтому мы стараемся оптимизировать их использование за счет правильного распределения ресурсов между различными функциями. За распределение отвечает SDM — Switch Database Management.

На данный момент доступно для использования три профиля, перечисленных ниже. Распределение производится с помощью профиля SDM.

  • Default предлагает сбалансированное решение, для использования MAC и IP списков доступа, а также записей ARP-детектирования.
  • EnterpriseV4 позволяет максимизировать ресурсы, доступные для использования MAC и IP списками доступа.
  • EnterpriseV6 часть ресурсов выделяет для использования списками доступа IPv6.

Для применения нового профиля необходима перезагрузка коммутатора.

Заключение

В соответствии с изначальным позиционированием данный коммутатор наилучшим образом подойдет операторам связи, перед которыми стоят задачи обеспечения доступа к сети на больших расстояниях. Устройство может использоваться как на уровне доступа, например, в коттеджных поселках и таун-хаусах, так и для агрегации каналов, приходящих от коммутаторов доступа, расположенных в многоквартирных домах; то есть везде, где требуются подключения удалённых объектов. При использовании оптических каналов связи подключаемый абонент может располагаться на расстоянии до нескольких километров.

Со стороны клиентов оптические линки могут терминироваться на небольших коммутаторах с оптическими интерфейсами, либо на медиаконвертерах.

Управляется коммутатор удалённо с помощью веб-интерфейса или командной строки. Большое количество поддерживаемых протоколов и опций позволит использовать T2600G-28SQ в Ethernet-сети оператора с любой топологией и любым набором используемых технологий и предоставляемых услуг. В качестве небольшой ложки дегтя отметим отсутствие поддержки стекирования и второго блока питания. При необходимости локальной настройки можно использовать консольный порт, в модели T2600G-28SQ их два: RJ-45 и micro-USB. Правда, обычно за пределами дата-центров провайдеров наличие второй электрической линии и так будет редкостью.

К его преимуществам мы относим низкую цену, большое количество абонентских оптических портов, наличие оптических аплинков 10 GE, а также четыре комбинированных порта и пересылку трафика на скорости среды.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть