Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Расширение больших городов и образование агломераций — один из важных трендов социального развития сегодня. Одна только Москва в 2019 году должна расшириться на 4 млн квадратных метров жилья (и это не считая 15 населенных пунктов, которые присоединятся к 2020 году). На всей этой огромной территории операторам связи придется предоставлять пользователям доступ к интернету. Это могут быть как городские микрорайоны с плотной многоэтажной застройкой, так и более «разряженные» коттеджные поселки. Для этих случаев требования к оборудованию несколько различаются. Мы проанализировали каждый из этих сценариев и создали универсальную модель оптического коммутатора — T2600G-28SQ. В этом посте мы подробно разберем возможности устройства, которые будут интересны операторам связи по всей России.
Коммутатор T2600G-28SQ предназначен как для работы на уровне доступа в сети, так и для агрегирования линков от других коммутаторов уровня доступа. Это коммутатор второго уровня, который выполняет коммутацию и статическую маршрутизацию. Если у оператора сделана коммутируемой и агрегация, и доступ (маршрутизация только в ядре сети), T2600G-28SQ впишется на любой из уровней. В случае динамически маршрутизируемой агрегации все-таки нужно учитывать некоторые ограничения по сценариям использования.
Модель T2600G-28SQ – полноценный активный Ethernet-коммутатор без дополнительных ограничений, появляющихся при использовании технологий xPON или подобных. Например, без угроз резкого падения скорости с увеличением количества пользователей или плохой совместимости между оборудованием различных вендоров и прошивками. К интерфейсам устройства могут подключаться как конечные пользователи, так и нижележащие коммутаторы доступа с оптическими аплинками, например, модель T2600G-28TS. На схеме ниже представлены наиболее распространенные примеры таких подключений.
Для доступа к сети конечного пользователя может использоваться оптическое волокно, либо витая пара. На стороне абонента оптическое волокно может терминироваться как при помощи конвертера среды (медиаконвертер), например, TP-Link MC220L; так и с использованием оптического интерфейса в SOHO-маршрутизаторе.
Для подключения близкорасположенного клиента можно использовать четыре RJ-45 порта, работающих на скоростях 10/100/1000 Мбит/с. Если же по какой-то причине этого окажется недостаточно, оператор может «конвертировать» оптические интерфейсы коммутатора в медные. Сделать это можно с помощью специализированных «медных» SFP с разъёмом RJ-45. Но такое решение нельзя назвать типовым.
Для полноты картины приведем несколько примеров использования коммутаторов модели T2600G-28SQ.
Подмосковный провайдер «ДИВО», который кроме интернета предоставляет услуги телефонии и кабельного ТВ, использует T2600G-28SQ на уровне доступа при построении сетей в частном секторе (коттеджи и таунхаусы). Со стороны клиента подключение производится к маршрутизаторам с SFP-портом, а также медиаконвертерам. На данный момент SOHO-маршрутизаторы с SFP-портом не производятся у нас серийно, но мы, конечно же, думаем об этом.
Оператор связи МКС из Павлово-Посадского района применяет коммутаторы T2600G-28SQ в качестве «небольшой агрегации», используя на доступе коммутаторы моделей T2600G-28TS и T2500G-10TS.
Группа компаний «Гарантия» предоставляют на юго-востоке Московской области (Коломна, Луховицы, Зарайск, Серебряные пруды, Озёры) доступ в интернет, ТВ, телефонию, системы видеонаблюдения. Примерная топология здесь такая же, как и у МКС: T2600G-28SQ на уровне агрегации, а T2600G-28TS и T2500G-10TS на уровне доступа.
Провайдер СКТВ из Краснознаменска предоставляет доступ в интернет с помощью сети с глубоким проникновением оптики. В ее основе также лежат T2600G-28SQ.
В следующих разделах мы вкратце опишем некоторые возможности модели T2600G-28SQ. Чтобы не раздувать материал, ряд опций мы оставили за бортом: QinQ (VLAN VPN), маршрутизацию, QoS и др. Думаем, что можно будет вернуться к ним в одном из следующих постов.
STP – Spanning Tree Protocol. Протокол связующего (покрывающего) дерева известен уже очень давно, спасибо за это уважаемой Радье Перлман. В современных сетях администраторы стараются всячески избежать использование данного протокола. Да, STP не лишен недостатков. И очень хорошо, если есть ему альтернатива. Однако, как это часто бывает, альтернатива данному протоколу будет сильно зависеть от вендора. Поэтому до сих пор Spanning Tree Protocol остаётся чуть ли не единственным решением, которое поддерживается практически всеми производителями, а также известно всем сетевым администраторам.
Коммутатор TP-Link T2600G-28SQ поддерживает три версии STP: классический STP (IEEE 802.1D), RSTP (802.1W) и MSTP (802.1S).
Из этих вариантов для большинства небольших интернет-провайдеров в России вполне подходит обычный RSTP, имеющий перед классической версией одно неоспоримое преимущество — значительно меньшее время сходимости.
Наиболее гибким на сегодняшний день является протокол MSTP, поддерживающий виртуальные сети (VLAN) и допускающий несколько различных деревьев, что позволяет задействовать все доступные резервные пути. Администратор создаёт несколько различных экземпляров дерева (до восьми), каждый из которых обслуживает определенный набор виртуальных сетей.
Конечно же, протокол Spanning Tree (любой версии) позволяет не только бороться с петлями, возникающими при подключении резервных каналов, но также защититься от ошибок кабельной коммутации, когда инженер специально или неумышленно соединяет неправильные порты, создавая своими действиями петлю.
Более опытные сетевые администраторы предпочитают использовать разнообразные дополнительные опции для защиты протокола STP от атак или сложных аварийных ситуаций. Модель T2600G-28SQ предлагает целый набор таких возможностей: Loop Protect и Root Protect, TC Guard, BPDU Protect и BPDU Filter.
Правильное использование перечисленных выше опций совместно с другими поддерживаемыми механизмами защиты позволит стабилизировать локальную сеть и сделать её более предсказуемой.
LAG – Link Aggregation Group. Это технология, позволяющая объединить несколько физических каналов в один логический. Все остальные протоколы перестают использовать физические каналы, входящие в LAG, по отдельности и начинают «видеть» один логический интерфейс. Примером такого протокола является STP.
Балансировка пользовательского трафика между физическими каналами внутри логического производится на основании хэш-суммы. Для её расчёта могут использоваться MAC-адреса отправителя, получателя, либо их пара; а также IP-адреса отправителя, получателя, либо их пара. Информация протоколов четвёртого уровня (порты TCP/UDP) не учитывается.
Коммутатор T2600G-28SQ поддерживает статические и динамические LAG.
Для согласования параметров работы динамической группы используется протокол LACP.
Наш коммутатор T2600G-28SQ позволяет фильтровать пользовательский трафик с помощью списков доступа (ACL – Access Control List).
Поддерживаемые списки доступа могут быть нескольких разных типов: MAC и IP (IPv4/IPv6), комбинированные, а также для выполнения контентной фильтрации. Количество поддерживаемых списков доступа каждого типа зависит от используемого в данный момент шаблона SDM, который мы описали в другом разделе.
Оператор может использовать данную опцию для блокирования различного нежелательного трафика в сети. Примером такого трафика могут являться пакеты IPv6 (с помощью поля EtherType), если соответствующая услуга не предоставляется; либо блокировать SMB по порту 445. В сети со статической адресацией DHCP/BOOTP трафик не требуется, поэтому с помощью ACL администратор может отфильтровать UDP-датаграммы по портам 67 и 68. Запретить локальный IPoE трафик также можно с помощью ACL. Такая блокировка может быть востребованной в сетях операторов, применяющих PPPoE.
Процесс использование списков доступа предельно прост. После создания самого списка, необходимо добавить в него нужное количество записей, тип которых напрямую зависит от настраиваемого листа.
Стоит заметить, что списки доступа могут выполнять не только обычные операции по разрешению или запрещению прохождения трафика, но также заниматься его перенаправлением, зеркалированием, а также выполнять его перемаркировку или ограничивать по скорости.
После того, как все необходимые ACL созданы, администратор может выполнить их установку. Допускается прикрепление списка доступа как к непосредственному физическому порту, так и к определенной виртуальной сети.
Иногда у операторов возникает необходимость ограничить количество MAC-адресов, которые коммутатор выучит на определённом порту. Списки доступа позволяют добиться указанного эффекта, но при этом требуют явного указания самих MAC-адресов. Если же требуется лишь ограничить количество канальных адресов, но не указывать их в явном виде, — на помощь придёт port security.
Такое ограничение может потребоваться, например, для защиты от подключения целой локальной сети к одному интерфейсу коммутатора провайдера. Здесь же стоит оговориться, что речь идёт о коммутируемом подключении, потому что при подключении с помощью маршрутизатора на стороне клиента T2600G-28SQ выучит только один адрес – это MAC, принадлежащий WAN-порту клиентского роутера.
Существует целый класс атак, направленных против таблицы коммутации. Это может быть и переполнение таблицы, и MAC-spoofing. Опция port security позволит защититься от переполнения мостовой таблицы и от атак, целью которых является предумышленное переобучение коммутатора, отравление его мостовой таблицы.
Нельзя не упомянуть и о просто сбоящем клиентском оборудовании. Нередки ситуации, когда неправильно функционирующая сетевая карта компьютера или маршрутизатор создают поток кадров с совершенно произвольными адресами отправителя и получателя. Такой поток может с лёгкостью истощить CAM.
Еще одним способом ограничения количества используемых записей в мостовой таблице служит инструмент MAC VLAN Security, с помощью которого администратор может указать максимальное количество записей для определенной виртуальной сети.
Кроме управления динамическими записями в таблице коммутации администратор может также создавать статические.
Максимально мостовая таблица модели T2600G-28SQ позволяет вместить до 16К записей.
Еще одной опцией, предназначенной для фильтрации передачи пользовательского трафика, является функция Port Isolation, позволяющая в явном виде указать, в каком направлении разрешена пересылка.
На просторах нашей необъятной родины подход операторов связи к вопросам обеспечения безопасности в сети разнится от полного игнорирования до максимально возможного применения всех поддерживаемых оборудованием опций.
Функции IPv4 IMPB (IP-MAC-Port Binding) и IPv6 IMPB позволяют защититься от целого спектра атак, связанных с подменой IP и MAC-адресов со стороны абонентов путём привязки IP и MAC-адресов клиентского оборудования к интерфейсу коммутатора провайдера. Такая привязка может осуществляться вручную, либо с использованием функций ARP Scanning и DHCP Snooping.
Справедливости ради стоит сказать, что для защиты протокола DHCP может применяться специальная функция – DHCP Filter.
С помощью данной функции сетевой администратор может вручную указать те интерфейсы, к которым подключены настоящие DHCP-сервера. Таким образом подложные сервера DHCP не смогут вклиниться в процесс согласования IP-параметров.
Рассматриваемая модель позволяет защищать пользователей от нескольких наиболее известных и распространённых ранее DoS-атак.
Большая часть из перечисленных атак уже совершенно не страшна устройствам с современными операционными системами, однако до сих пор в наших сетях могут встречаться и такие, для которых последнее обновление программного обеспечение было произведено много лет назад.
Коммутатор TP-Link T2600G-28SQ может выступать как в качестве DHCP-сервера или релея, так и выполнять разнообразную фильтрацию DHCP-сообщений, если в качестве сервера выступает другое устройство.
Самый простой способ предоставить пользователям необходимые для работы IP-параметры — задействовать встроенный в коммутатор DHCP-сервер. Основные параметры с его помощью уже можно отдать абонентам.
Мы подключили наш SOHO-маршрутизатор Archer C6 к одному из интерфейсов коммутатора и убедились в успешности получения адреса клиентским устройством.
Встроенный в коммутатор DHCP-сервер — пожалуй, не самое масштабируемое и гибкое решение: нет поддержки нестандартных опций, отсутствует связь с IPAM. Если же оператору требуется больше контроля над процессом распределения IP-адресов, то будет использован какой-либо выделенный DHCP-сервер.
T2600G-28SQ позволяет для каждой пользовательской подсети указать отдельный выделенный DHCP-сервер, на который будут перенаправляться сообщения обсуждаемого протокола. Выбор подсети происходит путем указания соответствующего L3-интерфейса: VLAN (SVI), routed port или port-channel.
Чтобы проверить функционирование релея мы сконфигурировали отдельный маршрутизатор другого вендора для работы в качестве DHCP-сервера, настройки которого представлены ниже.
Клиентский маршрутизатор вновь успешно получил IP-адрес.
Под спойлером — содержимое перехваченного пакета между коммутатором и выделенным DHCP-сервером.
Нельзя не отметить наличие поддержки Option 82 со стороны коммутатора. При её активации коммутатор будет добавлять информацию о пользовательском интерфейсе, с которого было получено сообщение DHCP Discover. Кроме того, модель T2600G-28SQ позволяет настроить политику обработки добавляемой информации при вставке опции №82. Наличие поддержки указанной опции может пригодиться в ситуации, когда абоненту необходимо выдавать один и тот же IP-адрес вне зависимости от того, какой идентификатор клиент (client-id) о себе сообщает.
На рисунке ниже представлено сообщение DHCP Discover (переданное релеем) c добавленной опцией №82.
Конечно же, управлять опцией №82 можно и без настройки полноценного DHCP-релея, соответствующие настройки представлены в подпункте «DHCP L2 Relay».
А теперь изменим настройки DHCP-сервера так, чтобы продемонстрировать работу опции №82.
Функция DHCP interface relay будет полезна в ситуации, когда на коммутаторе не только присутствует L3-интерфейс, подключенный к определенной сети, но еще и этот интерфейс обладает IP-адресом. В случае же отсутствия адреса на таком интерфейсе на помощь придет функция DHCP VLAN relay. Информация о подсети в этом случае берется из интерфейса по умолчанию, то есть адресные пространства в нескольких виртуальных сетях будут одинаковыми (перекрываться).
Зачастую операторам требуется также обезопасить абонентов от ошибочного или злонамеренного включения DHCP-сервера на клиентском оборудовании. Обсуждение этой функциональности мы решили вынести в один из разделов, посвященных вопросам безопасности.
Одним из способов аутентификации пользователей в сети является использование протокола IEEE 802.1X. Популярность этого протокола в сетях операторов связи в России уже идет на спад, он все еще используется в основном в локальных сетях крупных компаний для аутентификации внутренних пользователей организации. В коммутаторе T2600G-28SQ есть поддержка 802.1X, поэтому при необходимости провайдер может с лёгкостью его задействовать.
Для работы протокола IEEE 802.1X необходимо три участника: клиентское оборудование (supplicant), коммутатор доступа провайдера (authenticator) и сервера аутентификации (обычно RADIUS-сервера).
Базовая конфигурация со стороны оператора предельно проста. Требуется лишь указать IP-адрес используемого RADIUS-сервера, на котором будет храниться пользовательская база данных, а также выбрать интерфейсы, для которых необходима аутентификация.
С клиентской стороны также требуется незначительная настройка. Все современные операционные системы уже содержат необходимое программное обеспечение. Но при необходимости можно установить и использовать TP-Link 802.1x Client – приложение, позволяющее производить аутентификацию клиента в сети.
При подключении пользовательского ПК напрямую к сети провайдера, настройки аутентификации необходимо активировать для той сетевой карты, которая используется для подключения.
Однако в настоящее время к сети оператора обычно подключается не компьютер пользователя напрямую, а некий SOHO-маршрутизатор, обеспечивающий функционирование локальной сети абонента (как проводного, так и беспроводного сегментов). В этом случае все настройки протокола 802.1X должны выполняться непосредственно на маршрутизаторе.
Нам кажется, что в операторских сетях такой способ аутентификации незаслуженно забыт. Да, жесткая привязка абонента к порту коммутатора, возможно, будет более простым решением с точки зрения настроек пользовательского оборудования. Но если использование логина и пароля необходимо, то 802.1X будет не столь тяжеловесным протоколом по сравнению с используемыми подключениями на базе туннелей PPTP/L2TP/PPPoE.
Многие пользователи не только в нашей стране, но и во всём мире до сих пор предпочитают использовать предельно простые пароли. Да и случаи кражи учетных данных, увы, не являются редкостью. Если в своей сети оператор использует протокол PPPoE для аутентификации пользователей, то коммутатор TP-Link T2600G-28SQ поможет решить проблему, связанную с утечкой учетных данных. Достигается это за счёт добавления специальной метки к сообщению PPPoE Active Discovery. Таким образом провайдер может аутентифицировать абонента не только по логину и паролю, но еще и дополнительным данным. К таким дополнительным данным относятся MAC-адрес клиентского устройства, а также интерфейс коммутатора, к которому оно подключено.
Некоторые операторы в принципе желают запретить абоненту (пара логин и пароль) возможность перемещаться по сети. Функция PPPoE ID Insertion поможет и в этом случае тоже.
Протокол IGMP (Internet Group Management Protocol) существует уже не одно десятилетие. Популярность его вполне понятна и легко объяснима. Но в IGMP-взаимодействии участвуют две стороны: ПК пользователя (или любое другое устройство, например, STB) и IP-маршрутизатор, обслуживающий определенный сегмент сети. Коммутаторы никак не участвуют в этом обмене. Правда, последнее утверждение не совсем верно. Или в современных сетях совсем не верно. Поддержка протокола IGMP со стороны коммутаторов необходима для того, чтобы оптимизировать пересылку группового трафика. Прослушивая пользовательский трафик коммутатор обнаруживает в нем сообщения IGMP Report, с помощью которых определяет порты для пересылки группового трафика. Описанная опция называется IGMP Snooping.
Поддержка протокола IGMP может использоваться не только для оптимизации трафика как такового, но и для определения абонентов, которым может предоставляться определенная услуга, например, IPTV. Достичь желаемой цели можно как с помощью настройки параметров фильтрации вручную, так и путем использования аутентификации.
Поддержка группового трафика на коммутаторах TP-Link реализована достаточно гибко. Так, например, все параметры могут быть заданы для каждой виртуальной сети в отдельности.
Если к одному интерфейсу маршрутизатора подключено несколько подсетей, в которых расположены получатели группового трафика, то этот маршрутизатор будет вынужден отправить несколько копий пакетов через этот интерфейс (по одному для каждой виртуальной сети).
Оптимизировать процедуру пересылки группового трафика в данном случае можно с помощью технологии MVR – Multicast VLAN Registration.
Суть решения состоит в том, что создается одна виртуальная сеть, объединяющая всех получателей. Однако эта виртуальная сеть используется только для группового трафика. Такой подход позволяет маршрутизатору отправлять лишь одну копию группового трафика через интерфейс.
DDM – Digital Diagnostic Monitoring. В процессе эксплуатации оптических модулей часто бывает необходимо следить за состоянием самого модуля, а также оптического канала, к которому он подключен. Справиться с этой задачей поможет функция DDM. С её помощью инженеры оператора смогут отслеживать температуру каждого поддерживающего данную функциональность модуля, напряжение на нём и ток, а также мощности отправляемого и принимаемого оптического сигналов.
Установка пороговых уровней для описанных ранее параметров позволит генерировать событие в случае их выхода за допустимый диапазон.
Естественно, администратор может просмотреть текущие значения указанных параметров.
Коммутатор TP-Link T2600G-28SQ обладает активной системой воздушного охлаждения. Более того, мы ни разу не сталкивались с перегревом SFP-модулей в наших коммутаторах, связанных с плотностью портов. Однако если чисто в теории допустить такую возможность (например, из-за какой-либо проблемы внутри SFP-модуля), то с помощью DDM администратор будет немедленно оповещен о потенциально опасной ситуации. Опасность здесь, очевидно, не для самого коммутатора, а для диода/лазера внутри SFP, так как с ростом его температуры может происходить деградация мощности излучаемого оптического сигнала, что приведет к снижению оптического бюджета.
Здесь же стоит заметить, что коммутаторы TP-Link не имеют «функции» vendor lock, то есть поддерживаются любые совместимые SFP-модули, что, конечно же, будет очень удобно для сетевых администраторов.
OAM — Operation, Administration, and Maintenance (IEEE 802.3ah). OAM – протокол второго уровня модели OSI, предназначенный для мониторинга и поиска неисправностей в сетях Ethernet. С помощью данного протокола коммутатор может отслеживать производительность определённого соединения и ошибки, генерировать оповещения для того, чтобы сетевой администратор мог более эффективно управлять сетью.
Ещё одной опцией, востребованной на оптических коммутаторах, является возможность обнаружения проблем на канале связи, приводящих к тому, что канал становится симплексным, то есть отправка данных может производиться только в одну сторону. Наши коммутаторы используют для целей обнаружения однонаправленных линков протокол DLDP – Device Link Detection Protocol. Справедливости ради стоит отметить, что протокол DLDP поддерживается как на оптических, так и на медных интерфейсах, однако на наш взгляд, он будет наиболее востребованным при использовании оптоволоконных линий.
При обнаружении однонаправленного канала коммутатор может автоматически выключить проблемный интерфейс, что приведёт к перестроению STP дерева и использованию резервных каналов связи.
В нашем арсенале существуют SFP-модули, осуществляющие приём и передачу сигнала по одному волокну. Работают они исключительно парами и для передачи внутри пары используют оптический сигнал на разных длинах волн. Примером может служить пара TL-SM321A и TL-SM321B. При использовании такого рода модулей повреждение одного волокна приведёт к полной неработоспособности всего оптического канала. Однако и на таких каналах протокол DLDP будет востребован, так как, хотя это и случается крайне редко, канал может иметь разные характеристики прозрачности для разных длин волн. Более вероятная проблема состоит в различной прозрачности канала в зависимости от направления распространения света. Обнаружить указанные проблемы поможет рефлектограмма, но это уже совсем другая история.
В крупных корпоративных или операторских сетях периодически возникают проблемы с устареванием документации на сеть или неточностями при её составлении. Сетевой администратор может столкнуться с ситуацией, когда необходимо выяснить, какое операторское оборудование на самом подключено к тому или иному интерфейсу коммутатора. На помощь придёт протокол LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).
Наши коммутаторы поддерживают протокол LLDP не только для обнаружения соседних коммутаторов или других сетевых устройств, но также и для определения их возможностей.
Медные собратья нашего коммутатора могут использовать LLDP-MED для упрощения процедуры подключения IP-телефонов. Также с помощью данной опции PoE-коммутатор может согласовывать параметры питания с питаемым устройством. Об этом мы уже довольно подробно рассказывали в одном из наших прошлых материалов.
Практически все современные коммутаторы обрабатывают проходящие фреймы и пакеты без использование центрального процессора. Обработка (расчет контрольной суммы, применение списков доступа и проведение прочих проверок системы безопасности, а также принятие решение о коммутации/маршрутизации) производится с помощью специализированных микросхем, что позволяет добиться высоких скоростей передачи пользовательского трафика. Обсуждаемый коммутатор позволяет обрабатывать трафик на скорости среды. Это означает, что производительности устройства достаточно, чтобы пересылать данные на максимально возможных скоростях всех портов одновременно. У модели T2600G-28SQ есть 24 downlink порта (в сторону пользователей), работающих на скоростях 1 Гбит/с, а также 4 uplink порта (в сторону ядра сети) по 10 Гбит/с. При этом производительность кросс-шины коммутатора составляет 128 Гбит/с, чего достаточно для обработки максимального количества входящего трафика.
Справедливости ради стоит отметить, что производительность коммутационной матрицы составляет 95,2 миллионов пакетов в секунду. То есть при использовании минимально возможных кадров длиной всего 64 байта суммарная производительность устройства составит 97,5 Гбит/с. Однако такой профиль трафика практически невероятен для сетей операторов связи.
Программируемые микросхемы, с помощью которых достигается столь высокая скорость пересылки, — ресурс довольно дорогой, поэтому мы стараемся оптимизировать их использование за счет правильного распределения ресурсов между различными функциями. За распределение отвечает SDM — Switch Database Management.
Распределение производится с помощью профиля SDM. На данный момент доступно для использования три профиля, перечисленных ниже.
Для применения нового профиля необходима перезагрузка коммутатора.
В соответствии с изначальным позиционированием данный коммутатор наилучшим образом подойдет операторам связи, перед которыми стоят задачи обеспечения доступа к сети на больших расстояниях. Устройство может использоваться как на уровне доступа, например, в коттеджных поселках и таун-хаусах, так и для агрегации каналов, приходящих от коммутаторов доступа, расположенных в многоквартирных домах; то есть везде, где требуются подключения удалённых объектов. При использовании оптических каналов связи подключаемый абонент может располагаться на расстоянии до нескольких километров.
Со стороны клиентов оптические линки могут терминироваться на небольших коммутаторах с оптическими интерфейсами, либо на медиаконвертерах.
Большое количество поддерживаемых протоколов и опций позволит использовать T2600G-28SQ в Ethernet-сети оператора с любой топологией и любым набором используемых технологий и предоставляемых услуг. Управляется коммутатор удалённо с помощью веб-интерфейса или командной строки. При необходимости локальной настройки можно использовать консольный порт, в модели T2600G-28SQ их два: RJ-45 и micro-USB. В качестве небольшой ложки дегтя отметим отсутствие поддержки стекирования и второго блока питания. Правда, обычно за пределами дата-центров провайдеров наличие второй электрической линии и так будет редкостью.
К его преимуществам мы относим низкую цену, большое количество абонентских оптических портов, наличие оптических аплинков 10 GE, а также четыре комбинированных порта и пересылку трафика на скорости среды.
Место в сети
Коммутатор T2600G-28SQ предназначен как для работы на уровне доступа в сети, так и для агрегирования линков от других коммутаторов уровня доступа. Это коммутатор второго уровня, который выполняет коммутацию и статическую маршрутизацию. Если у оператора сделана коммутируемой и агрегация, и доступ (маршрутизация только в ядре сети), T2600G-28SQ впишется на любой из уровней. В случае динамически маршрутизируемой агрегации все-таки нужно учитывать некоторые ограничения по сценариям использования.
Модель T2600G-28SQ – полноценный активный Ethernet-коммутатор без дополнительных ограничений, появляющихся при использовании технологий xPON или подобных. Например, без угроз резкого падения скорости с увеличением количества пользователей или плохой совместимости между оборудованием различных вендоров и прошивками. К интерфейсам устройства могут подключаться как конечные пользователи, так и нижележащие коммутаторы доступа с оптическими аплинками, например, модель T2600G-28TS. На схеме ниже представлены наиболее распространенные примеры таких подключений.
Для доступа к сети конечного пользователя может использоваться оптическое волокно, либо витая пара. На стороне абонента оптическое волокно может терминироваться как при помощи конвертера среды (медиаконвертер), например, TP-Link MC220L; так и с использованием оптического интерфейса в SOHO-маршрутизаторе.
Для подключения близкорасположенного клиента можно использовать четыре RJ-45 порта, работающих на скоростях 10/100/1000 Мбит/с. Если же по какой-то причине этого окажется недостаточно, оператор может «конвертировать» оптические интерфейсы коммутатора в медные. Сделать это можно с помощью специализированных «медных» SFP с разъёмом RJ-45. Но такое решение нельзя назвать типовым.
Несколько примеров из практики
Для полноты картины приведем несколько примеров использования коммутаторов модели T2600G-28SQ.
Подмосковный провайдер «ДИВО», который кроме интернета предоставляет услуги телефонии и кабельного ТВ, использует T2600G-28SQ на уровне доступа при построении сетей в частном секторе (коттеджи и таунхаусы). Со стороны клиента подключение производится к маршрутизаторам с SFP-портом, а также медиаконвертерам. На данный момент SOHO-маршрутизаторы с SFP-портом не производятся у нас серийно, но мы, конечно же, думаем об этом.
Оператор связи МКС из Павлово-Посадского района применяет коммутаторы T2600G-28SQ в качестве «небольшой агрегации», используя на доступе коммутаторы моделей T2600G-28TS и T2500G-10TS.
Группа компаний «Гарантия» предоставляют на юго-востоке Московской области (Коломна, Луховицы, Зарайск, Серебряные пруды, Озёры) доступ в интернет, ТВ, телефонию, системы видеонаблюдения. Примерная топология здесь такая же, как и у МКС: T2600G-28SQ на уровне агрегации, а T2600G-28TS и T2500G-10TS на уровне доступа.
Провайдер СКТВ из Краснознаменска предоставляет доступ в интернет с помощью сети с глубоким проникновением оптики. В ее основе также лежат T2600G-28SQ.
В следующих разделах мы вкратце опишем некоторые возможности модели T2600G-28SQ. Чтобы не раздувать материал, ряд опций мы оставили за бортом: QinQ (VLAN VPN), маршрутизацию, QoS и др. Думаем, что можно будет вернуться к ним в одном из следующих постов.
Возможности коммутатора
Резервирование – STP
STP – Spanning Tree Protocol. Протокол связующего (покрывающего) дерева известен уже очень давно, спасибо за это уважаемой Радье Перлман. В современных сетях администраторы стараются всячески избежать использование данного протокола. Да, STP не лишен недостатков. И очень хорошо, если есть ему альтернатива. Однако, как это часто бывает, альтернатива данному протоколу будет сильно зависеть от вендора. Поэтому до сих пор Spanning Tree Protocol остаётся чуть ли не единственным решением, которое поддерживается практически всеми производителями, а также известно всем сетевым администраторам.
Коммутатор TP-Link T2600G-28SQ поддерживает три версии STP: классический STP (IEEE 802.1D), RSTP (802.1W) и MSTP (802.1S).
Из этих вариантов для большинства небольших интернет-провайдеров в России вполне подходит обычный RSTP, имеющий перед классической версией одно неоспоримое преимущество — значительно меньшее время сходимости.
Наиболее гибким на сегодняшний день является протокол MSTP, поддерживающий виртуальные сети (VLAN) и допускающий несколько различных деревьев, что позволяет задействовать все доступные резервные пути. Администратор создаёт несколько различных экземпляров дерева (до восьми), каждый из которых обслуживает определенный набор виртуальных сетей.
Тонкости MSTP
Начинающим администраторам при использовании MSTP нужно быть очень внимательными. Это связано с тем, что поведение протокола внутри региона и между регионами отличается. Поэтому при конфигурировании коммутаторов стоит следить за тем, чтобы оставаться в рамках одного региона.
Что же такое этот пресловутый регион? Регионом в терминах MSTP называется набор соединенных друг с другом коммутаторов, у которых совпадают следующие характеристики: имя региона, номер ревизии и распределение виртуальных сетей (VLAN) между экземплярами протокола (instance).
Что же такое этот пресловутый регион? Регионом в терминах MSTP называется набор соединенных друг с другом коммутаторов, у которых совпадают следующие характеристики: имя региона, номер ревизии и распределение виртуальных сетей (VLAN) между экземплярами протокола (instance).
Конечно же, протокол Spanning Tree (любой версии) позволяет не только бороться с петлями, возникающими при подключении резервных каналов, но также защититься от ошибок кабельной коммутации, когда инженер специально или неумышленно соединяет неправильные порты, создавая своими действиями петлю.
Более опытные сетевые администраторы предпочитают использовать разнообразные дополнительные опции для защиты протокола STP от атак или сложных аварийных ситуаций. Модель T2600G-28SQ предлагает целый набор таких возможностей: Loop Protect и Root Protect, TC Guard, BPDU Protect и BPDU Filter.
Правильное использование перечисленных выше опций совместно с другими поддерживаемыми механизмами защиты позволит стабилизировать локальную сеть и сделать её более предсказуемой.
Резервирование – LAG
LAG – Link Aggregation Group. Это технология, позволяющая объединить несколько физических каналов в один логический. Все остальные протоколы перестают использовать физические каналы, входящие в LAG, по отдельности и начинают «видеть» один логический интерфейс. Примером такого протокола является STP.
Балансировка пользовательского трафика между физическими каналами внутри логического производится на основании хэш-суммы. Для её расчёта могут использоваться MAC-адреса отправителя, получателя, либо их пара; а также IP-адреса отправителя, получателя, либо их пара. Информация протоколов четвёртого уровня (порты TCP/UDP) не учитывается.
Коммутатор T2600G-28SQ поддерживает статические и динамические LAG.
Для согласования параметров работы динамической группы используется протокол LACP.
Безопасность – списки доступа (ACL)
Наш коммутатор T2600G-28SQ позволяет фильтровать пользовательский трафик с помощью списков доступа (ACL – Access Control List).
Поддерживаемые списки доступа могут быть нескольких разных типов: MAC и IP (IPv4/IPv6), комбинированные, а также для выполнения контентной фильтрации. Количество поддерживаемых списков доступа каждого типа зависит от используемого в данный момент шаблона SDM, который мы описали в другом разделе.
Оператор может использовать данную опцию для блокирования различного нежелательного трафика в сети. Примером такого трафика могут являться пакеты IPv6 (с помощью поля EtherType), если соответствующая услуга не предоставляется; либо блокировать SMB по порту 445. В сети со статической адресацией DHCP/BOOTP трафик не требуется, поэтому с помощью ACL администратор может отфильтровать UDP-датаграммы по портам 67 и 68. Запретить локальный IPoE трафик также можно с помощью ACL. Такая блокировка может быть востребованной в сетях операторов, применяющих PPPoE.
Процесс использование списков доступа предельно прост. После создания самого списка, необходимо добавить в него нужное количество записей, тип которых напрямую зависит от настраиваемого листа.
Настройка списков доступа
Стоит заметить, что списки доступа могут выполнять не только обычные операции по разрешению или запрещению прохождения трафика, но также заниматься его перенаправлением, зеркалированием, а также выполнять его перемаркировку или ограничивать по скорости.
После того, как все необходимые ACL созданы, администратор может выполнить их установку. Допускается прикрепление списка доступа как к непосредственному физическому порту, так и к определенной виртуальной сети.
Безопасность – количество MAC-адресов
Иногда у операторов возникает необходимость ограничить количество MAC-адресов, которые коммутатор выучит на определённом порту. Списки доступа позволяют добиться указанного эффекта, но при этом требуют явного указания самих MAC-адресов. Если же требуется лишь ограничить количество канальных адресов, но не указывать их в явном виде, — на помощь придёт port security.
Такое ограничение может потребоваться, например, для защиты от подключения целой локальной сети к одному интерфейсу коммутатора провайдера. Здесь же стоит оговориться, что речь идёт о коммутируемом подключении, потому что при подключении с помощью маршрутизатора на стороне клиента T2600G-28SQ выучит только один адрес – это MAC, принадлежащий WAN-порту клиентского роутера.
Существует целый класс атак, направленных против таблицы коммутации. Это может быть и переполнение таблицы, и MAC-spoofing. Опция port security позволит защититься от переполнения мостовой таблицы и от атак, целью которых является предумышленное переобучение коммутатора, отравление его мостовой таблицы.
Нельзя не упомянуть и о просто сбоящем клиентском оборудовании. Нередки ситуации, когда неправильно функционирующая сетевая карта компьютера или маршрутизатор создают поток кадров с совершенно произвольными адресами отправителя и получателя. Такой поток может с лёгкостью истощить CAM.
Еще одним способом ограничения количества используемых записей в мостовой таблице служит инструмент MAC VLAN Security, с помощью которого администратор может указать максимальное количество записей для определенной виртуальной сети.
Кроме управления динамическими записями в таблице коммутации администратор может также создавать статические.
Максимально мостовая таблица модели T2600G-28SQ позволяет вместить до 16К записей.
Еще одной опцией, предназначенной для фильтрации передачи пользовательского трафика, является функция Port Isolation, позволяющая в явном виде указать, в каком направлении разрешена пересылка.
Безопасность – IMPB
На просторах нашей необъятной родины подход операторов связи к вопросам обеспечения безопасности в сети разнится от полного игнорирования до максимально возможного применения всех поддерживаемых оборудованием опций.
Функции IPv4 IMPB (IP-MAC-Port Binding) и IPv6 IMPB позволяют защититься от целого спектра атак, связанных с подменой IP и MAC-адресов со стороны абонентов путём привязки IP и MAC-адресов клиентского оборудования к интерфейсу коммутатора провайдера. Такая привязка может осуществляться вручную, либо с использованием функций ARP Scanning и DHCP Snooping.
Основные настройки IMPB
Справедливости ради стоит сказать, что для защиты протокола DHCP может применяться специальная функция – DHCP Filter.
С помощью данной функции сетевой администратор может вручную указать те интерфейсы, к которым подключены настоящие DHCP-сервера. Таким образом подложные сервера DHCP не смогут вклиниться в процесс согласования IP-параметров.
Безопасность – DoS Defend
Рассматриваемая модель позволяет защищать пользователей от нескольких наиболее известных и распространённых ранее DoS-атак.
Большая часть из перечисленных атак уже совершенно не страшна устройствам с современными операционными системами, однако до сих пор в наших сетях могут встречаться и такие, для которых последнее обновление программного обеспечение было произведено много лет назад.
Поддержка DHCP
Коммутатор TP-Link T2600G-28SQ может выступать как в качестве DHCP-сервера или релея, так и выполнять разнообразную фильтрацию DHCP-сообщений, если в качестве сервера выступает другое устройство.
Самый простой способ предоставить пользователям необходимые для работы IP-параметры — задействовать встроенный в коммутатор DHCP-сервер. Основные параметры с его помощью уже можно отдать абонентам.
Мы подключили наш SOHO-маршрутизатор Archer C6 к одному из интерфейсов коммутатора и убедились в успешности получения адреса клиентским устройством.
Это выглядит так
Встроенный в коммутатор DHCP-сервер — пожалуй, не самое масштабируемое и гибкое решение: нет поддержки нестандартных опций, отсутствует связь с IPAM. Если же оператору требуется больше контроля над процессом распределения IP-адресов, то будет использован какой-либо выделенный DHCP-сервер.
T2600G-28SQ позволяет для каждой пользовательской подсети указать отдельный выделенный DHCP-сервер, на который будут перенаправляться сообщения обсуждаемого протокола. Выбор подсети происходит путем указания соответствующего L3-интерфейса: VLAN (SVI), routed port или port-channel.
Чтобы проверить функционирование релея мы сконфигурировали отдельный маршрутизатор другого вендора для работы в качестве DHCP-сервера, настройки которого представлены ниже.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
Клиентский маршрутизатор вновь успешно получил IP-адрес.
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic
Под спойлером — содержимое перехваченного пакета между коммутатором и выделенным DHCP-сервером.
Содержимое пакета
Нельзя не отметить наличие поддержки Option 82 со стороны коммутатора. При её активации коммутатор будет добавлять информацию о пользовательском интерфейсе, с которого было получено сообщение DHCP Discover. Кроме того, модель T2600G-28SQ позволяет настроить политику обработки добавляемой информации при вставке опции №82. Наличие поддержки указанной опции может пригодиться в ситуации, когда абоненту необходимо выдавать один и тот же IP-адрес вне зависимости от того, какой идентификатор клиент (client-id) о себе сообщает.
На рисунке ниже представлено сообщение DHCP Discover (переданное релеем) c добавленной опцией №82.
Сообщение c опцией №82
Конечно же, управлять опцией №82 можно и без настройки полноценного DHCP-релея, соответствующие настройки представлены в подпункте «DHCP L2 Relay».
А теперь изменим настройки DHCP-сервера так, чтобы продемонстрировать работу опции №82.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic
Вот примерно так
Функция DHCP interface relay будет полезна в ситуации, когда на коммутаторе не только присутствует L3-интерфейс, подключенный к определенной сети, но еще и этот интерфейс обладает IP-адресом. В случае же отсутствия адреса на таком интерфейсе на помощь придет функция DHCP VLAN relay. Информация о подсети в этом случае берется из интерфейса по умолчанию, то есть адресные пространства в нескольких виртуальных сетях будут одинаковыми (перекрываться).
Зачастую операторам требуется также обезопасить абонентов от ошибочного или злонамеренного включения DHCP-сервера на клиентском оборудовании. Обсуждение этой функциональности мы решили вынести в один из разделов, посвященных вопросам безопасности.
IEEE 802.1X
Одним из способов аутентификации пользователей в сети является использование протокола IEEE 802.1X. Популярность этого протокола в сетях операторов связи в России уже идет на спад, он все еще используется в основном в локальных сетях крупных компаний для аутентификации внутренних пользователей организации. В коммутаторе T2600G-28SQ есть поддержка 802.1X, поэтому при необходимости провайдер может с лёгкостью его задействовать.
Для работы протокола IEEE 802.1X необходимо три участника: клиентское оборудование (supplicant), коммутатор доступа провайдера (authenticator) и сервера аутентификации (обычно RADIUS-сервера).
Базовая конфигурация со стороны оператора предельно проста. Требуется лишь указать IP-адрес используемого RADIUS-сервера, на котором будет храниться пользовательская база данных, а также выбрать интерфейсы, для которых необходима аутентификация.
Базовая настройка 802.1X
С клиентской стороны также требуется незначительная настройка. Все современные операционные системы уже содержат необходимое программное обеспечение. Но при необходимости можно установить и использовать TP-Link 802.1x Client – приложение, позволяющее производить аутентификацию клиента в сети.
При подключении пользовательского ПК напрямую к сети провайдера, настройки аутентификации необходимо активировать для той сетевой карты, которая используется для подключения.
Однако в настоящее время к сети оператора обычно подключается не компьютер пользователя напрямую, а некий SOHO-маршрутизатор, обеспечивающий функционирование локальной сети абонента (как проводного, так и беспроводного сегментов). В этом случае все настройки протокола 802.1X должны выполняться непосредственно на маршрутизаторе.
Нам кажется, что в операторских сетях такой способ аутентификации незаслуженно забыт. Да, жесткая привязка абонента к порту коммутатора, возможно, будет более простым решением с точки зрения настроек пользовательского оборудования. Но если использование логина и пароля необходимо, то 802.1X будет не столь тяжеловесным протоколом по сравнению с используемыми подключениями на базе туннелей PPTP/L2TP/PPPoE.
PPPoE ID Insertion
Многие пользователи не только в нашей стране, но и во всём мире до сих пор предпочитают использовать предельно простые пароли. Да и случаи кражи учетных данных, увы, не являются редкостью. Если в своей сети оператор использует протокол PPPoE для аутентификации пользователей, то коммутатор TP-Link T2600G-28SQ поможет решить проблему, связанную с утечкой учетных данных. Достигается это за счёт добавления специальной метки к сообщению PPPoE Active Discovery. Таким образом провайдер может аутентифицировать абонента не только по логину и паролю, но еще и дополнительным данным. К таким дополнительным данным относятся MAC-адрес клиентского устройства, а также интерфейс коммутатора, к которому оно подключено.
Некоторые операторы в принципе желают запретить абоненту (пара логин и пароль) возможность перемещаться по сети. Функция PPPoE ID Insertion поможет и в этом случае тоже.
IGMP
Протокол IGMP (Internet Group Management Protocol) существует уже не одно десятилетие. Популярность его вполне понятна и легко объяснима. Но в IGMP-взаимодействии участвуют две стороны: ПК пользователя (или любое другое устройство, например, STB) и IP-маршрутизатор, обслуживающий определенный сегмент сети. Коммутаторы никак не участвуют в этом обмене. Правда, последнее утверждение не совсем верно. Или в современных сетях совсем не верно. Поддержка протокола IGMP со стороны коммутаторов необходима для того, чтобы оптимизировать пересылку группового трафика. Прослушивая пользовательский трафик коммутатор обнаруживает в нем сообщения IGMP Report, с помощью которых определяет порты для пересылки группового трафика. Описанная опция называется IGMP Snooping.
Поддержка протокола IGMP может использоваться не только для оптимизации трафика как такового, но и для определения абонентов, которым может предоставляться определенная услуга, например, IPTV. Достичь желаемой цели можно как с помощью настройки параметров фильтрации вручную, так и путем использования аутентификации.
Поддержка группового трафика на коммутаторах TP-Link реализована достаточно гибко. Так, например, все параметры могут быть заданы для каждой виртуальной сети в отдельности.
Если к одному интерфейсу маршрутизатора подключено несколько подсетей, в которых расположены получатели группового трафика, то этот маршрутизатор будет вынужден отправить несколько копий пакетов через этот интерфейс (по одному для каждой виртуальной сети).
Оптимизировать процедуру пересылки группового трафика в данном случае можно с помощью технологии MVR – Multicast VLAN Registration.
Суть решения состоит в том, что создается одна виртуальная сеть, объединяющая всех получателей. Однако эта виртуальная сеть используется только для группового трафика. Такой подход позволяет маршрутизатору отправлять лишь одну копию группового трафика через интерфейс.
DDM, OAM и DLDP
DDM – Digital Diagnostic Monitoring. В процессе эксплуатации оптических модулей часто бывает необходимо следить за состоянием самого модуля, а также оптического канала, к которому он подключен. Справиться с этой задачей поможет функция DDM. С её помощью инженеры оператора смогут отслеживать температуру каждого поддерживающего данную функциональность модуля, напряжение на нём и ток, а также мощности отправляемого и принимаемого оптического сигналов.
Установка пороговых уровней для описанных ранее параметров позволит генерировать событие в случае их выхода за допустимый диапазон.
Настройка порогов срабатывания DDM
Естественно, администратор может просмотреть текущие значения указанных параметров.
Коммутатор TP-Link T2600G-28SQ обладает активной системой воздушного охлаждения. Более того, мы ни разу не сталкивались с перегревом SFP-модулей в наших коммутаторах, связанных с плотностью портов. Однако если чисто в теории допустить такую возможность (например, из-за какой-либо проблемы внутри SFP-модуля), то с помощью DDM администратор будет немедленно оповещен о потенциально опасной ситуации. Опасность здесь, очевидно, не для самого коммутатора, а для диода/лазера внутри SFP, так как с ростом его температуры может происходить деградация мощности излучаемого оптического сигнала, что приведет к снижению оптического бюджета.
Здесь же стоит заметить, что коммутаторы TP-Link не имеют «функции» vendor lock, то есть поддерживаются любые совместимые SFP-модули, что, конечно же, будет очень удобно для сетевых администраторов.
OAM — Operation, Administration, and Maintenance (IEEE 802.3ah). OAM – протокол второго уровня модели OSI, предназначенный для мониторинга и поиска неисправностей в сетях Ethernet. С помощью данного протокола коммутатор может отслеживать производительность определённого соединения и ошибки, генерировать оповещения для того, чтобы сетевой администратор мог более эффективно управлять сетью.
Базовая настройка OAM
Детали функционирования OAM
Два соседних устройства, поддерживающих OAM, производят периодический обмен сообщениями путем отправки OAMPDU, которые бывают трёх типов: Informational, Event Notification и Loopback Control. С помощью информационных OAMPDU соседние коммутаторы отправляют друг другу статистическую информацию, а также данные, определяемые администратором. Также данный тип сообщений используется для поддержания соединения по протоколу OAM. Сообщения Event Notification используются функцией мониторинга соединения для уведомления противоположной стороны о произошедших сбоях. Для определения петли на линии используются сообщения Loopback Control.
Ниже мы решили перечислить основные возможности, предоставляемые протоколом OAM:
Ниже мы решили перечислить основные возможности, предоставляемые протоколом OAM:
- мониторинг среды (обнаружение и подсчёт битых кадров),
- RFI – Remote Failure Indication (отправка уведомления о сбое на канале),
- Remote Loopback (тестирование канала для измерения задержки, вариации задержки (jitter), количества потерянных фреймов).
Ещё одной опцией, востребованной на оптических коммутаторах, является возможность обнаружения проблем на канале связи, приводящих к тому, что канал становится симплексным, то есть отправка данных может производиться только в одну сторону. Наши коммутаторы используют для целей обнаружения однонаправленных линков протокол DLDP – Device Link Detection Protocol. Справедливости ради стоит отметить, что протокол DLDP поддерживается как на оптических, так и на медных интерфейсах, однако на наш взгляд, он будет наиболее востребованным при использовании оптоволоконных линий.
При обнаружении однонаправленного канала коммутатор может автоматически выключить проблемный интерфейс, что приведёт к перестроению STP дерева и использованию резервных каналов связи.
В нашем арсенале существуют SFP-модули, осуществляющие приём и передачу сигнала по одному волокну. Работают они исключительно парами и для передачи внутри пары используют оптический сигнал на разных длинах волн. Примером может служить пара TL-SM321A и TL-SM321B. При использовании такого рода модулей повреждение одного волокна приведёт к полной неработоспособности всего оптического канала. Однако и на таких каналах протокол DLDP будет востребован, так как, хотя это и случается крайне редко, канал может иметь разные характеристики прозрачности для разных длин волн. Более вероятная проблема состоит в различной прозрачности канала в зависимости от направления распространения света. Обнаружить указанные проблемы поможет рефлектограмма, но это уже совсем другая история.
LLDP
В крупных корпоративных или операторских сетях периодически возникают проблемы с устареванием документации на сеть или неточностями при её составлении. Сетевой администратор может столкнуться с ситуацией, когда необходимо выяснить, какое операторское оборудование на самом подключено к тому или иному интерфейсу коммутатора. На помощь придёт протокол LLDP – Link Layer Discovery Protocol (IEEE 802.1AB).
Параметры функционирования LLDP
Наши коммутаторы поддерживают протокол LLDP не только для обнаружения соседних коммутаторов или других сетевых устройств, но также и для определения их возможностей.
Медные собратья нашего коммутатора могут использовать LLDP-MED для упрощения процедуры подключения IP-телефонов. Также с помощью данной опции PoE-коммутатор может согласовывать параметры питания с питаемым устройством. Об этом мы уже довольно подробно рассказывали в одном из наших прошлых материалов.
SDM и переподписка
Практически все современные коммутаторы обрабатывают проходящие фреймы и пакеты без использование центрального процессора. Обработка (расчет контрольной суммы, применение списков доступа и проведение прочих проверок системы безопасности, а также принятие решение о коммутации/маршрутизации) производится с помощью специализированных микросхем, что позволяет добиться высоких скоростей передачи пользовательского трафика. Обсуждаемый коммутатор позволяет обрабатывать трафик на скорости среды. Это означает, что производительности устройства достаточно, чтобы пересылать данные на максимально возможных скоростях всех портов одновременно. У модели T2600G-28SQ есть 24 downlink порта (в сторону пользователей), работающих на скоростях 1 Гбит/с, а также 4 uplink порта (в сторону ядра сети) по 10 Гбит/с. При этом производительность кросс-шины коммутатора составляет 128 Гбит/с, чего достаточно для обработки максимального количества входящего трафика.
Справедливости ради стоит отметить, что производительность коммутационной матрицы составляет 95,2 миллионов пакетов в секунду. То есть при использовании минимально возможных кадров длиной всего 64 байта суммарная производительность устройства составит 97,5 Гбит/с. Однако такой профиль трафика практически невероятен для сетей операторов связи.
Что такое переподписка
Другим немаловажным вопросом является соотношение скоростей восходящих и нисходящих каналов (переподписка). Здесь уже, очевидно, всё зависит от топологии. Если администратор задействует все четыре интерфейса 10 GE для подключения к ядру сети и объединит их по технологии LAG (Link Aggregation Group) или Port-Channel, то статистически получаемая скорость в сторону ядра составит 40 Гбит/с, чего окажется более, чем достаточно для удовлетворения потребностей всех подключенных абонентов. Причем не обязательно, чтобы все четыре восходящие линка подключались к одному физическому устройству. Подключение может производиться к стеку коммутаторов, либо к двум устройствам, объединённым в кластер (с помощью технологии vPC или подобных). Переподписка в этом случае отсутствует.
Использовать все четыре восходящих канала одновременно можно не только путем объединения их с помощью LAG. Похожего эффекта можно достичь с помощью правильной настройки MSTP, однако это уже совсем другая история.
Вторым часто встречающимся способом L2-подключения является использование двух независимых LAG (по одному до каждого коммутатора агрегации). В этом случае, скорее всего, один из виртуальных линков окажется заблокированным протоколом STP (при использовании STP или RSTP). Переподписка составит 5:6.
Более редкая, но все-таки вполне вероятная ситуация: T2600G-28SQ подключён независимыми каналами к вышестоящему коммутатору или коммутаторам. Протокол STP/RSTP оставит лишь один такой линк в незаблокированном состоянии. Переподписка составит 5:12.
Задание со звёздочкой: рассчитать переподписку для ситуаций, описанных в разделе STP, где мы рассмотрели пример топологии, когда два коммутатора доступа подключены к одному устройству агрегации и соединены между собой.
Использовать все четыре восходящих канала одновременно можно не только путем объединения их с помощью LAG. Похожего эффекта можно достичь с помощью правильной настройки MSTP, однако это уже совсем другая история.
Вторым часто встречающимся способом L2-подключения является использование двух независимых LAG (по одному до каждого коммутатора агрегации). В этом случае, скорее всего, один из виртуальных линков окажется заблокированным протоколом STP (при использовании STP или RSTP). Переподписка составит 5:6.
Более редкая, но все-таки вполне вероятная ситуация: T2600G-28SQ подключён независимыми каналами к вышестоящему коммутатору или коммутаторам. Протокол STP/RSTP оставит лишь один такой линк в незаблокированном состоянии. Переподписка составит 5:12.
Задание со звёздочкой: рассчитать переподписку для ситуаций, описанных в разделе STP, где мы рассмотрели пример топологии, когда два коммутатора доступа подключены к одному устройству агрегации и соединены между собой.
Программируемые микросхемы, с помощью которых достигается столь высокая скорость пересылки, — ресурс довольно дорогой, поэтому мы стараемся оптимизировать их использование за счет правильного распределения ресурсов между различными функциями. За распределение отвечает SDM — Switch Database Management.
Распределение производится с помощью профиля SDM. На данный момент доступно для использования три профиля, перечисленных ниже.
- Default предлагает сбалансированное решение, для использования MAC и IP списков доступа, а также записей ARP-детектирования.
- EnterpriseV4 позволяет максимизировать ресурсы, доступные для использования MAC и IP списками доступа.
- EnterpriseV6 часть ресурсов выделяет для использования списками доступа IPv6.
Для применения нового профиля необходима перезагрузка коммутатора.
Заключение
В соответствии с изначальным позиционированием данный коммутатор наилучшим образом подойдет операторам связи, перед которыми стоят задачи обеспечения доступа к сети на больших расстояниях. Устройство может использоваться как на уровне доступа, например, в коттеджных поселках и таун-хаусах, так и для агрегации каналов, приходящих от коммутаторов доступа, расположенных в многоквартирных домах; то есть везде, где требуются подключения удалённых объектов. При использовании оптических каналов связи подключаемый абонент может располагаться на расстоянии до нескольких километров.
Со стороны клиентов оптические линки могут терминироваться на небольших коммутаторах с оптическими интерфейсами, либо на медиаконвертерах.
Большое количество поддерживаемых протоколов и опций позволит использовать T2600G-28SQ в Ethernet-сети оператора с любой топологией и любым набором используемых технологий и предоставляемых услуг. Управляется коммутатор удалённо с помощью веб-интерфейса или командной строки. При необходимости локальной настройки можно использовать консольный порт, в модели T2600G-28SQ их два: RJ-45 и micro-USB. В качестве небольшой ложки дегтя отметим отсутствие поддержки стекирования и второго блока питания. Правда, обычно за пределами дата-центров провайдеров наличие второй электрической линии и так будет редкостью.
К его преимуществам мы относим низкую цену, большое количество абонентских оптических портов, наличие оптических аплинков 10 GE, а также четыре комбинированных порта и пересылку трафика на скорости среды.