L'expansion des grandes villes et la formation d'agglomérations est aujourd'hui l'une des tendances importantes du développement social. Rien qu'en 2019, Moscou devrait agrandir de 4 millions de mètres carrés de logements (et cela sans compter les 15 colonies qui se joindront à 2020). Sur tout ce vaste territoire, les opérateurs de télécommunications devront fournir aux utilisateurs un accès à Internet. Il peut s'agir à la fois de microdistricts urbains avec des bâtiments denses à plusieurs étages et de villages de chalets plus «déchargés». Pour ces cas, la configuration matérielle requise est quelque peu différente. Nous avons analysé chacun de ces scénarios et créé un modèle universel du commutateur optique - T2600G-28SQ. Dans cet article, nous analyserons en détail les capacités de l'appareil qui intéresseront les opérateurs de télécommunications de toute la Russie.
Emplacement du réseau
Le commutateur T2600G-28SQ est conçu à la fois pour un fonctionnement au niveau d'accès au réseau et pour l'agrégation de liens à partir d'autres commutateurs de niveau d'accès. Il s'agit d'un commutateur de deuxième niveau qui effectue la commutation et le routage statique. Si l'agrégation et l'accès sont tous deux commutés par l'opérateur (le routage est uniquement dans le cœur du réseau), le T2600G-28SQ s'intégrera dans l'un des niveaux. Dans le cas d'une agrégation à routage dynamique, vous devez toujours tenir compte de certaines restrictions sur les scénarios d'utilisation.
Le T2600G-28SQ est un commutateur Ethernet actif à part entière sans restrictions supplémentaires qui apparaissent lors de l'utilisation de xPON ou similaire. Par exemple, sans la menace d'une forte baisse de vitesse avec une augmentation du nombre d'utilisateurs ou une mauvaise compatibilité entre les équipements des différents constructeurs et les firmware. Les utilisateurs finaux et les commutateurs d'accès sous-jacents avec liaisons montantes optiques, par exemple, le modèle T2600G-28TS, peuvent se connecter aux interfaces des appareils. Le diagramme ci-dessous montre les exemples les plus courants de telles connexions.
La fibre optique ou la paire torsadée peuvent être utilisées pour accéder au réseau de l'utilisateur final. Côté abonné, la fibre optique peut être terminée à l'aide d'un convertisseur de média (convertisseur de média), par exemple, TP-Link MC220L; et en utilisant l'interface optique dans le routeur SOHO.
Pour connecter un client à proximité, vous pouvez utiliser quatre ports RJ-45 fonctionnant à des vitesses de 10/100/1000 Mbit / s. Si pour une raison quelconque, cela ne suffit pas, l'opérateur peut "convertir" les interfaces optiques du commutateur en cuivre. Cela peut être fait en utilisant des SFP «cuivre» spécialisés avec un connecteur RJ-45. Mais une telle solution ne peut pas être qualifiée de typique.
Quelques études de cas
Pour compléter l'image, voici quelques exemples d'utilisation des commutateurs du modèle T2600G-28SQ.
Le fournisseur
DIVO de la région de Moscou, qui, en plus d'Internet, fournit des services de téléphonie et de télévision par câble, utilise le T2600G-28SQ au niveau de l'accès lors de la construction de réseaux dans le secteur privé (chalets et maisons de ville). Du côté client, la connexion est établie avec des routeurs avec un port SFP, ainsi qu'avec des convertisseurs de médias. Pour le moment, les routeurs SOHO avec un port SFP ne sont pas disponibles dans le commerce, mais nous y pensons bien sûr.
L'opérateur de télécommunications
ISS du district de Pavlovo-Posadsky utilise les commutateurs T2600G-28SQ comme une «petite agrégation» en utilisant les commutateurs T2600G-28TS et T2500G-10TS lors de l'accès.
Garantia Group of Companies fournit des systèmes d'accès à Internet, de télévision, de téléphonie et de vidéosurveillance dans le sud-est de la région de Moscou (Kolomna, Lukhovitsy, Zaraysk, Serebryanye Prudy, Ozyory). La topologie approximative ici est la même que celle de l'ISS: T2600G-28SQ au niveau d'agrégation, et T2600G-28TS et T2500G-10TS au niveau d'accès.
Le fournisseur
SKTV de Krasnoznamensk fournit un accès Internet via un réseau avec une pénétration profonde de l'optique. Il est également basé sur le T2600G-28SQ.
Dans les sections suivantes, nous décrivons brièvement certaines des caractéristiques du T2600G-28SQ. Afin de ne pas gonfler le matériel, nous avons laissé un certain nombre d'options à la mer: QinQ (VPN VLAN), routage, QoS, etc. Nous pensons qu'il sera possible d'y revenir dans l'un des articles suivants.
Caractéristiques du commutateur
Réservation - STP
STP - Protocole Spanning Tree. Le protocole de l'arbre couvrant est connu depuis très longtemps, merci pour cela au distingué Radie Perlman. Dans les réseaux modernes, les administrateurs essaient d'éviter d'utiliser ce protocole de toutes les manières. Oui, STP n'est pas sans défauts. Et c’est très bien s’il existe une alternative. Cependant, comme cela arrive souvent, une alternative à ce protocole dépendra fortement du fournisseur. Par conséquent, jusqu'à présent, le protocole Spanning Tree reste presque la seule solution prise en charge par presque tous les fabricants et également connue de tous les administrateurs réseau.
Le commutateur TP-Link T2600G-28SQ prend en charge trois versions de STP: Classic STP (IEEE 802.1D), RSTP (802.1W) et MSTP (802.1S).
Parmi ces options, pour la plupart des petits fournisseurs Internet en Russie, le RSTP habituel est tout à fait approprié, ce qui présente un avantage indéniable par rapport à la version classique - un temps de convergence considérablement plus court.
Le plus flexible aujourd'hui est le protocole MSTP, qui prend en charge les réseaux virtuels (VLAN) et permet plusieurs arborescences différentes, ce qui vous permet d'utiliser tous les chemins de sauvegarde disponibles. L'administrateur crée plusieurs instances d'arborescence différentes (jusqu'à huit), chacune servant à un ensemble spécifique de réseaux virtuels.
Subtilités de MSTPLes administrateurs débutants doivent être très prudents lors de l'utilisation de MSTP. Cela est dû au fait que le comportement du protocole au sein de la région et entre les régions est différent. Par conséquent, lors de la configuration des commutateurs, vous devez vous assurer de rester dans la même région.
Quelle est cette région notoire? Une région en termes de MSTP est un ensemble de commutateurs connectés les uns aux autres qui ont les caractéristiques suivantes: le nom de la région, le numéro de révision et la distribution des réseaux virtuels (VLAN) entre les instances de protocole.
Bien sûr, le protocole Spanning Tree (de n'importe quelle version) permet non seulement de traiter les boucles qui se produisent lors de la connexion de canaux redondants, mais également de se protéger contre les erreurs de commutation de câbles lorsqu'un ingénieur connecte intentionnellement ou non les mauvais ports, créant une boucle avec ses actions.
Les administrateurs réseau plus expérimentés préfèrent utiliser une variété d'options supplémentaires pour protéger le protocole STP contre les attaques ou les urgences complexes. Le T2600G-28SQ offre une gamme de fonctionnalités: Loop Protect et Root Protect, TC Guard, BPDU Protect et BPDU Filter.
L'utilisation correcte des options ci-dessus avec d'autres mécanismes de protection pris en charge stabilisera le réseau local et le rendra plus prévisible.
Réservation - LAG
LAG - Groupe d'agrégation de liens. Il s'agit d'une technologie qui vous permet de combiner plusieurs canaux physiques en un seul canal logique. Tous les autres protocoles cessent d'utiliser séparément les canaux physiques inclus dans le LAG et commencent à «voir» une interface logique. Un exemple d'un tel protocole est STP.
L'équilibrage du trafic utilisateur entre les canaux physiques au sein du canal logique est basé sur la quantité de hachage. Pour son calcul, les adresses MAC de l'expéditeur, du destinataire ou de quelques-unes peuvent être utilisées; ainsi que les adresses IP de l'expéditeur, du destinataire ou de quelques-uns d'entre eux. Les informations de protocole de couche 4 (ports TCP / UDP) ne sont pas prises en compte.
Le commutateur T2600G-28SQ prend en charge les LAG statiques et dynamiques.
Pour coordonner les paramètres du groupe dynamique, le protocole LACP est utilisé.
Sécurité - Listes d'accès (ACL)
Notre commutateur T2600G-28SQ vous permet de filtrer le trafic utilisateur à l'aide des listes de contrôle d'accès (ACL).
Les listes d'accès prises en charge peuvent être de plusieurs types différents: MAC et IP (IPv4 / IPv6), combinées, ainsi que pour effectuer un filtrage de contenu. Le nombre de listes d'accès prises en charge de chaque type dépend du modèle SDM actuellement utilisé, que nous avons décrit dans une autre section.
L'opérateur peut utiliser cette option pour bloquer divers trafics indésirables sur le réseau. Un exemple de ce trafic peut être les paquets IPv6 (en utilisant le champ EtherType) si le service correspondant n'est pas fourni; ou bloquez SMB sur le port 445. Sur un réseau avec un adressage DHCP / BOOTP statique, le trafic n'est pas requis, donc en utilisant une ACL, un administrateur peut filtrer les datagrammes UDP sur les ports 67 et 68. Vous pouvez également désactiver le trafic IPoE local à l'aide d'une ACL. Un tel blocage peut être demandé dans les réseaux d'opérateurs utilisant PPPoE.
Le processus d'utilisation des listes d'accès est extrêmement simple. Après avoir créé la liste elle-même, vous devez y ajouter le nombre nécessaire d'enregistrements, dont le type dépend directement de la feuille personnalisée.
Configurer les listes d'accès Il convient de noter que les listes d'accès peuvent effectuer non seulement les opérations habituelles pour autoriser ou interdire le passage du trafic, mais également s'engager dans sa redirection, la mise en miroir, ainsi que pour effectuer un nouveau marquage ou une limitation de vitesse.
Une fois toutes les ACL nécessaires créées, l'administrateur peut effectuer leur installation. Vous pouvez attacher une liste d'accès au port physique direct et à un réseau virtuel spécifique.
Sécurité - Nombre d'adresses MAC
Parfois, les opérateurs doivent limiter le nombre d'adresses MAC que le commutateur apprend sur un port particulier. Les listes d'accès vous permettent d'obtenir cet effet, mais nécessitent une indication explicite des adresses MAC elles-mêmes. S'il est seulement nécessaire de limiter le nombre d'adresses de canaux, mais pas de les spécifier explicitement, la sécurité des ports viendra à la rescousse.
Une telle restriction peut être nécessaire, par exemple, pour se protéger contre la connexion d'un réseau local entier à une interface de commutation de fournisseur. Il convient de mentionner ici qu'il s'agit d'une connexion d'accès à distance, car lors de la connexion à l'aide d'un routeur côté client, le T2600G-28SQ n'apprendra qu'une seule adresse - il s'agit du MAC appartenant au port WAN du routeur client.
Il existe toute une classe d'attaques dirigées contre la table de commutation. Cela peut être à la fois un débordement de table et une usurpation d'adresse MAC. L'option de sécurité du port vous permettra de vous protéger des débordements de la table de bridge et des attaques dont le but est de recycler intentionnellement le commutateur, empoisonnant sa table de bridge.
On ne peut que mentionner tout simplement l'équipement client défaillant. Il n'est pas rare qu'une carte réseau défectueuse d'un ordinateur ou d'un routeur crée un flux de trames avec des adresses d'expéditeur et de récepteur complètement arbitraires. Un tel flux peut facilement épuiser la CAM.
Un autre moyen de limiter le nombre d'entrées utilisées dans la table de pontage est l'outil de sécurité MAC VLAN, avec lequel l'administrateur peut spécifier le nombre maximal d'entrées pour un réseau virtuel particulier.
En plus de gérer les entrées dynamiques dans la table de commutation, l'administrateur peut également créer des entrées statiques.
La table de bridge maximale du modèle T2600G-28SQ vous permet d'accueillir jusqu'à 16 000 entrées.
Une autre option conçue pour filtrer la transmission du trafic utilisateur est la fonction d'isolation de port, qui vous permet de spécifier explicitement dans quelle direction le transfert est autorisé.
Sécurité - IMPB
Dans l'immensité de notre vaste patrie, l'approche des opérateurs de télécommunications pour assurer la sécurité du réseau varie du mépris total à l'utilisation maximale possible de toutes les options prises en charge par l'équipement.
Les fonctions IPv4 IMPB (IP-MAC-Port Binding) et IPv6 IMPB vous permettent de vous protéger contre toute une gamme d'attaques liées à la substitution d'adresses IP et MAC par les abonnés en liant les adresses IP et MAC de l'équipement client à l'interface de commutation du fournisseur. Cette liaison peut être effectuée manuellement ou à l'aide des fonctions de numérisation ARP et de surveillance DHCP.
Pour être honnête, il faut dire qu'une fonction spéciale peut être utilisée pour protéger le protocole DHCP - le filtre DHCP.
En utilisant cette fonction, l'administrateur réseau peut spécifier manuellement les interfaces auxquelles ces serveurs DHCP sont connectés. Ainsi, les faux serveurs DHCP ne peuvent pas s'insérer dans le processus de négociation des paramètres IP.
Sécurité - DoS Defend
Ce modèle vous permet de protéger les utilisateurs de plusieurs des attaques DoS les plus connues et les plus courantes.
La plupart de ces attaques ne font pas du tout peur aux appareils dotés de systèmes d'exploitation modernes, mais jusqu'à présent, il peut y avoir ceux de nos réseaux pour lesquels la dernière mise à jour logicielle a été effectuée il y a de nombreuses années.
Prise en charge DHCP
Le commutateur TP-Link T2600G-28SQ peut agir en tant que serveur ou relais DHCP et effectuer une variété de filtrage des messages DHCP si un autre périphérique agit en tant que serveur.
Le moyen le plus simple de fournir aux utilisateurs les paramètres IP nécessaires au travail consiste à utiliser le serveur DHCP intégré au commutateur. Les paramètres de base avec son aide peuvent déjà être donnés aux abonnés.
Nous avons connecté notre routeur Archer C6 SOHO à l'une des interfaces de commutation et nous nous sommes assurés que le périphérique client a bien reçu l'adresse.
Le serveur DHCP intégré au commutateur n'est peut-être pas la solution la plus évolutive et flexible: il n'y a pas de support pour les options non standard, il n'y a pas de connexion avec IPAM. Si l'opérateur a besoin de plus de contrôle sur le processus d'attribution des adresses IP, un serveur DHCP dédié sera utilisé.
T2600G-28SQ permet à chaque sous-réseau utilisateur de spécifier un serveur DHCP dédié distinct vers lequel les messages du protocole en discussion seront redirigés. Le sous-réseau est sélectionné en spécifiant l'interface L3 appropriée: VLAN (SVI), port routé ou port-canal.
Pour vérifier le fonctionnement du relais, nous avons configuré un routeur séparé d'un autre fournisseur pour fonctionner comme un serveur DHCP, dont les paramètres sont présentés ci-dessous.
R1#sho run | s pool ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8
Le routeur client a de nouveau reçu avec succès l'adresse IP.
R1#sho ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic
Sous le spoiler - le contenu du paquet intercepté entre le commutateur et le serveur DHCP dédié.
Il convient de noter la disponibilité de la prise en charge de l'option 82 par le commutateur. Lorsqu'il est activé, le commutateur ajoute des informations sur l'interface utilisateur à partir de laquelle le message DHCP Discover a été reçu. De plus, le modèle T2600G-28SQ vous permet de configurer une politique de traitement des informations ajoutées lors de l'insertion de l'option n ° 82. La présence d'une prise en charge de cette option peut être utile dans une situation où l'abonné doit émettre la même adresse IP, quel que soit l'identifiant que le client (client-id) signale à son sujet.
La figure ci-dessous montre le message DHCP Discover (relayé) avec l'option 82 ajoutée.
Message avec option n ° 82 Bien sûr, l'option 82 peut être contrôlée sans configurer un relais DHCP à part entière, les paramètres correspondants sont présentés dans le sous-élément «Relais DHCP L2».
Et maintenant, nous allons modifier les paramètres du serveur DHCP afin de démontrer le fonctionnement de l'option n ° 82.
R1#sho run | s dhcp ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8 class option82_test address range 192.168.0.222 192.168.0.222 ip dhcp class option82_test relay agent information relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675 R1#sho ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic
La fonction de relais d'interface DHCP sera utile dans une situation où le commutateur a non seulement une interface L3 connectée à un réseau spécifique, mais également que cette interface a une adresse IP. S'il n'y a pas d'adresse sur une telle interface, la fonction de relais DHCP VLAN viendra à la rescousse. Dans ce cas, les informations sur le sous-réseau proviennent de l'interface par défaut, c'est-à-dire que les espaces d'adressage de plusieurs réseaux virtuels seront les mêmes (chevauchement).
Souvent, les opérateurs doivent également protéger les abonnés contre l'inclusion erronée ou malveillante d'un serveur DHCP sur l'équipement client. Nous avons décidé de discuter de cette fonctionnalité dans l'une des sections consacrées aux problèmes de sécurité.
IEEE 802.1X
Une façon d'authentifier les utilisateurs sur le réseau consiste à utiliser le protocole IEEE 802.1X. La popularité de ce protocole dans les réseaux des opérateurs de télécommunications en Russie est déjà en baisse; il est encore utilisé principalement dans les réseaux locaux des grandes entreprises pour authentifier les utilisateurs internes d'une organisation. Le commutateur T2600G-28SQ prend en charge 802.1X, donc si nécessaire, le fournisseur peut facilement l'utiliser.
Pour que le protocole IEEE 802.1X fonctionne, trois participants sont requis: équipement client (demandeur), commutateur d'accès fournisseur (authentificateur) et serveur d'authentification (généralement un serveur RADIUS).
La configuration de base côté opérateur est extrêmement simple. Il vous suffit de spécifier l'adresse IP du serveur RADIUS utilisé, sur lequel la base de données utilisateur sera stockée, ainsi que de sélectionner les interfaces pour lesquelles l'authentification est requise.
Configuration de base 802.1X Côté client, un petit ajustement est également nécessaire. Tous les systèmes d'exploitation modernes contiennent déjà le logiciel nécessaire. Mais si nécessaire, vous pouvez installer et utiliser le client TP-Link 802.1x - une application qui permet l'authentification du client sur le réseau.
Lorsque vous connectez un PC utilisateur directement au réseau du fournisseur, les paramètres d'authentification doivent être activés pour la carte réseau utilisée pour la connexion.
Cependant, à l'heure actuelle, le réseau de l'opérateur est généralement connecté non pas directement à l'ordinateur de l'utilisateur, mais à un routeur SOHO, ce qui garantit le fonctionnement du réseau local de l'abonné (segments filaires et sans fil). Dans ce cas, tous les paramètres du protocole 802.1X doivent être effectués directement sur le routeur.
Il nous semble que dans les réseaux des opérateurs, cette méthode d'authentification est injustement oubliée. Oui, la liaison étroite des abonnés au port du commutateur peut être une solution plus simple en termes de paramètres d'équipement utilisateur. Mais si l'utilisation d'un identifiant et d'un mot de passe est nécessaire, le 802.1X ne sera pas un protocole aussi lourd que les connexions utilisées basées sur les tunnels PPTP / L2TP / PPPoE.
Insertion d'ID PPPoE
De nombreux utilisateurs, non seulement dans notre pays, mais dans le monde entier, préfèrent encore utiliser des mots de passe extrêmement simples. Et les cas de vol d'identité, hélas, ne sont pas rares. Si l'opérateur utilise le protocole PPPoE pour l'authentification des utilisateurs dans son réseau, le commutateur TP-Link T2600G-28SQ aidera à résoudre le problème associé à la fuite d'informations d'identification. Ceci est réalisé en ajoutant une étiquette spéciale au message PPPoE Active Discovery. Ainsi, le fournisseur peut authentifier l'abonné non seulement par identifiant et mot de passe, mais également par des données supplémentaires. Ces données supplémentaires incluent l'adresse MAC du périphérique client, ainsi que l'interface du commutateur auquel il est connecté.
Certains opérateurs, en principe, veulent interdire à l'abonné (une paire de nom d'utilisateur et de mot de passe) la possibilité de naviguer sur le réseau. La fonction d'insertion d'ID PPPoE sera également utile dans ce cas.
IGMP
IGMP (Internet Group Management Protocol) existe depuis des décennies. Sa popularité est compréhensible et facile à expliquer. Mais deux aspects sont impliqués dans l'interaction IGMP: le PC de l'utilisateur (ou tout autre appareil, par exemple, STB) et le routeur IP desservant un segment de réseau spécifique. Les commutateurs ne participent en aucune façon à cet échange. Certes, la dernière affirmation n'est pas entièrement vraie. Ou dans les réseaux modernes n'est pas du tout vrai. La prise en charge du commutateur IGMP est requise pour optimiser la transmission du trafic de multidiffusion. En écoutant le trafic des utilisateurs, le commutateur y détecte les messages de rapport IGMP, à l'aide desquels il détermine les ports pour l'envoi du trafic de multidiffusion. L'option décrite est appelée IGMP Snooping.
La prise en charge d'IGMP peut être utilisée non seulement pour optimiser le trafic en soi, mais également pour déterminer les abonnés à qui un service particulier peut être fourni, par exemple IPTV. Vous pouvez atteindre l'objectif souhaité en ajustant manuellement les paramètres de filtrage ou en utilisant l'authentification.
La prise en charge du trafic de groupe sur les commutateurs TP-Link est implémentée de manière très flexible. Ainsi, par exemple, tous les paramètres peuvent être définis individuellement pour chaque réseau virtuel.
Si plusieurs sous-réseaux avec des destinataires du trafic de groupe sont connectés à une interface du routeur, ce routeur sera alors obligé d'envoyer plusieurs copies de paquets via cette interface (une pour chaque réseau virtuel).
Dans ce cas, il est possible d'optimiser la procédure d'envoi du trafic de groupe à l'aide de la technologie MVR - Multicast VLAN Registration.
L'essence de la solution est la création d'un réseau virtuel, réunissant tous les destinataires. Cependant, ce réseau virtuel est utilisé uniquement pour le trafic de groupe. Cette approche permet au routeur d'envoyer une seule copie du trafic de multidiffusion via l'interface.
DDM, OAM et DLDP
DDM - Surveillance diagnostique numérique. Lors du fonctionnement des modules optiques, il est souvent nécessaire de surveiller l'état du module lui-même, ainsi que le canal optique auquel il est connecté. La fonction DDM vous aidera à faire face à cette tâche. Avec son aide, les ingénieurs de l'opérateur pourront surveiller la température de chaque module prenant en charge cette fonctionnalité, la tension sur celui-ci et le courant, ainsi que la puissance des signaux optiques envoyés et reçus.
La définition de niveaux de seuil pour les paramètres décrits ci-dessus permettra de générer un événement s’ils dépassent la plage autorisée.
Naturellement, l'administrateur peut afficher les valeurs actuelles des paramètres spécifiés.
Le commutateur TP-Link T2600G-28SQ dispose d'un système de refroidissement à air actif. De plus, nous n'avons jamais rencontré de surchauffe des modules SFP dans nos commutateurs liée à la densité des ports. Cependant, s'il est purement théorique de permettre cette possibilité (par exemple, en raison d'un problème à l'intérieur du module SFP), alors avec l'aide de DDM, l'administrateur sera immédiatement informé d'une situation potentiellement dangereuse. Le danger ici, évidemment, n'est pas pour le commutateur lui-même, mais pour la diode / laser à l'intérieur du SFP, car la puissance du signal optique émis peut se dégrader avec une augmentation de sa température, ce qui entraînera une diminution du budget optique.
Il convient de noter ici que les commutateurs TP-Link n'ont pas de «fonction» de verrouillage du fournisseur, c'est-à-dire que tous les modules SFP compatibles sont pris en charge, ce qui, bien sûr, sera très pratique pour les administrateurs réseau.
OAM - Fonctionnement, administration et maintenance (IEEE 802.3ah). OAM est le protocole de deuxième couche du modèle OSI pour la surveillance et le dépannage des réseaux Ethernet. À l'aide de ce protocole, le commutateur peut surveiller les performances d'une connexion particulière et les erreurs, générer des alertes afin que l'administrateur réseau puisse gérer plus efficacement le réseau.
Détails de l'opération OAMDeux périphériques compatibles OAM voisins échangent périodiquement des messages en envoyant des OAMPDU, qui sont de trois types: informationnel, notification d'événement et contrôle de boucle. À l'aide des OAMPDU informatifs, les commutateurs voisins s'envoient des informations statistiques, ainsi que des données définies par l'administrateur. Ce type de message est également utilisé pour maintenir la connexion OAM. Les messages de notification d'événement sont utilisés par la fonction de surveillance de connexion pour informer l'autre partie des échecs qui se sont produits. Les messages de contrôle de boucle sont utilisés pour définir une boucle sur la ligne.
Ci-dessous, nous avons décidé d'énumérer les principales fonctionnalités fournies par le protocole OAM:
- surveillance de l'environnement (détection et comptage des cadavres),
- RFI - Indication de panne à distance (envoi d'une notification de panne de canal),
- Boucle à distance (test de canal pour mesurer le retard, variation de retard (gigue), nombre de trames perdues).
Une autre option qui est demandée sur les commutateurs optiques est la capacité de détecter les problèmes sur le canal de communication, conduisant au canal à devenir simplex, c'est-à-dire que les données ne peuvent être envoyées que dans une seule direction. Nos commutateurs utilisent DLDP - Device Link Detection Protocol pour la détection des liaisons unidirectionnelles. En toute honnêteté, il convient de noter que le protocole DLDP est pris en charge à la fois sur les interfaces optique et cuivre, mais à notre avis, il sera le plus populaire lors de l'utilisation de lignes à fibre optique.
Si un canal unidirectionnel est détecté, le commutateur peut automatiquement désactiver l'interface problématique, ce qui entraînera la reconstruction de l'arborescence STP et l'utilisation de canaux de communication redondants.
Dans notre arsenal, il existe des modules SFP qui reçoivent et transmettent un signal sur une seule fibre. Ils fonctionnent exclusivement par paires et utilisent un signal optique à différentes longueurs d'onde pour la transmission au sein de la paire. Un exemple est une paire de TL-SM321A et TL-SM321B. Lors de l'utilisation de ces types de modules, l'endommagement d'une fibre entraînera une inopérabilité complète de l'ensemble du canal optique. Cependant, le protocole DLDP sera également requis sur ces canaux, car, bien que cela se produise extrêmement rarement, le canal peut avoir des caractéristiques de transparence différentes pour différentes longueurs d'onde. Un problème plus probable est la transparence différente du canal en fonction de la direction de propagation de la lumière. Une trace peut aider à détecter ces problèmes, mais c'est une tout autre histoire.
LLDP
Dans les grands réseaux d'entreprises ou d'opérateurs, il y a périodiquement des problèmes d'obsolescence de la documentation du réseau ou des inexactitudes dans sa préparation. L'administrateur réseau peut rencontrer une situation dans laquelle il est nécessaire de savoir quel équipement opérateur est lui-même connecté à une interface de commutateur particulière. LLDP - Link Layer Discovery Protocol (IEEE 802.1AB) viendra à la rescousse.
Paramètres de performance LLDP Nos commutateurs prennent en charge le protocole LLDP, non seulement pour découvrir des commutateurs voisins ou d'autres périphériques réseau, mais également pour déterminer leurs capacités.
Les frères cuivre de notre commutateur peuvent utiliser LLDP-MED pour simplifier le processus de connexion des téléphones IP. De plus, avec cette option, le commutateur PoE peut coordonner les paramètres d'alimentation avec l'appareil alimenté. Nous en avons déjà parlé en détail dans l'un de nos
documents précédents .
SDM et sursouscription
Presque tous les commutateurs modernes gèrent les trames et les paquets qui passent sans utiliser de processeur central. Le traitement (calcul de la somme de contrôle, application des listes d'accès et autres contrôles de sécurité, ainsi que la décision de commutation / routage) est effectué à l'aide de microcircuits spécialisés, ce qui permet d'atteindre des vitesses de transmission élevées du trafic des utilisateurs. Le commutateur en discussion vous permet de traiter le trafic à une vitesse moyenne. Cela signifie que les performances de l'appareil sont suffisantes pour envoyer simultanément des données aux vitesses les plus élevées possibles de tous les ports. Le modèle T2600G-28SQ possède 24 ports de liaison descendante (vers les utilisateurs) fonctionnant à des vitesses de 1 Gbit / s, ainsi que 4 ports de liaison montante (vers le cœur du réseau) de 10 Gbit / s. Dans le même temps, les performances cross-bus du commutateur sont de 128 Gb / s, ce qui est suffisant pour gérer la quantité maximale de trafic entrant.
Pour être juste, il convient de noter que les performances de la matrice de commutation sont de 95,2 millions de paquets par seconde. Autrement dit, lorsque vous utilisez les trames minimales possibles avec une longueur de seulement 64 octets, les performances totales de l'appareil seront de 97,5 Gbit / s. Cependant, un tel profil de trafic est presque incroyable pour les réseaux d'opérateurs télécoms.
Qu'est-ce que la sursouscription?Un autre problème important est le rapport des vitesses des canaux ascendants et descendants (sursouscription). Ici, évidemment, tout dépend de la topologie. Si l'administrateur utilise les quatre interfaces 10 GE pour se connecter au cœur du réseau et les combine à l'aide de la technologie LAG (Link Aggregation Group) ou Port-Channel, la vitesse statistiquement obtenue vers le cœur sera de 40 Gb / s, ce qui sera plus que suffisant pour satisfaire les besoins de tous les abonnés connectés. De plus, il n'est pas nécessaire que les quatre liaisons en amont soient connectées au même périphérique physique. La connexion peut être établie avec la pile de commutateurs ou avec deux périphériques combinés dans un cluster (à l'aide de la technologie vPC ou similaire). Il n'y a pas de réabonnement dans ce cas.
L'utilisation des quatre canaux en amont en même temps est possible non seulement en les combinant à l'aide du LAG. Un effet similaire peut être obtenu en configurant correctement MSTP, mais c'est une histoire complètement différente.
La deuxième méthode de connexion L2 commune consiste à utiliser deux LAG indépendants (un pour chaque commutateur d'agrégation). Dans ce cas, très probablement, l'un des liens virtuels sera bloqué par le protocole STP (lors de l'utilisation de STP ou RSTP). La réabonnement sera de 5: 6.
Une situation plus rare, mais tout à fait probable: le T2600G-28SQ est connecté par des canaux indépendants à un ou plusieurs commutateurs de niveau supérieur. STP / RSTP ne laissera qu'un seul de ces liens dans un état non bloqué. La réinscription sera à 5h12.
Tâche avec un astérisque: calculez la sursouscription pour les situations décrites dans la section STP, où nous avons examiné un exemple de topologie lorsque deux commutateurs d'accès sont connectés au même périphérique d'agrégation et sont interconnectés.
Les microcircuits programmables, à l'aide desquels une vitesse de transfert aussi élevée est atteinte, sont une ressource assez coûteuse, c'est pourquoi nous essayons d'optimiser leur utilisation en raison de la répartition correcte des ressources entre les différentes fonctions. La distribution est responsable de SDM - Switch Database Management.
La distribution se fait à l'aide du profil SDM. Les trois profils répertoriés ci-dessous sont actuellement disponibles.
- Default offre une solution équilibrée pour l'utilisation des listes d'accès MAC et IP, ainsi que des enregistrements de détection ARP.
- EnterpriseV4 maximise les ressources disponibles pour une utilisation par les listes d'accès MAC et IP.
- EnterpriseV6 alloue une partie des ressources à utiliser par les listes d'accès IPv6.
Pour appliquer le nouveau profil, un redémarrage du commutateur est requis.
Conclusion
Conformément au positionnement initial, ce commutateur est le mieux adapté aux opérateurs télécoms confrontés à la tâche de fournir un accès au réseau sur de longues distances. Le dispositif peut être utilisé à la fois au niveau de l'accès, par exemple, dans des villages et des maisons de ville, et pour l'agrégation de canaux provenant de commutateurs d'accès situés dans des immeubles d'appartements; c'est-à-dire partout où des connexions d'objets distantes sont requises. Lors de l'utilisation de canaux de communication optiques, l'abonné connecté peut être localisé à une distance de plusieurs kilomètres.
Côté client, les liaisons optiques peuvent être terminées sur de petits commutateurs à interfaces optiques ou sur des convertisseurs de média.
Un grand nombre de protocoles et d'options pris en charge permettra l'utilisation du T2600G-28SQ dans le réseau Ethernet de l'opérateur avec toute topologie et tout ensemble de technologies et services fournis. - . , T2600G-28SQ : RJ-45 micro-USB. . , - .
, , 10 GE, .