大城市的扩张和城市群的形成是当今社会发展的重要趋势之一。 仅在2019年,莫斯科就应该增加400万平方米的住房(这还不包括2020年将加入的15个定居点)。 在这片广阔的土地上,电信运营商将不得不向用户提供访问Internet的权限。 它既可以是拥有密集多层建筑的城市微区,也可以是更多“空置”的平房村。 对于这些情况,硬件要求有所不同。 我们分析了每种情况,并创建了光开关的通用模型-T2600G-28SQ。 在这篇文章中,我们将详细分析该设备的功能,这将是整个俄罗斯电信运营商所感兴趣的。
网络位置
T2600G-28SQ交换机既可以在网络访问级别进行操作,又可以聚合来自其他访问级别交换机的链路。 这是执行交换和静态路由的第二层交换机。 如果聚合和访问都由运营商进行切换(路由仅在网络核心中),则T2600G-28SQ将适合任何级别。 在动态路由聚合的情况下,您仍然需要考虑使用场景的一些限制。
T2600G-28SQ是成熟的有源以太网交换机,使用xPON或类似产品时不会出现其他限制。 例如,在没有用户数量增加或各种厂商的设备与固件之间的兼容性差的情况下,速度不会急剧下降的威胁。 最终用户和具有光上行链路的基础访问交换机(例如T2600G-28TS型号)都可以连接到设备接口。 下图显示了此类连接的最常见示例。
光纤或双绞线可用于访问最终用户网络。 在用户侧,可以使用媒体转换器(媒体转换器)(例如TP-Link MC220L)端接光纤; 并在SOHO路由器中使用光接口。
要连接附近的客户端,可以使用四个以10/100/1000 Mbit / s的速度运行的RJ-45端口。 如果由于某种原因这还不够,操作员可以将交换机的光接口“转换”为铜缆。 这可以通过带有RJ-45连接器的专用“铜” SFP来完成。 但是这种解决方案不能称为典型的解决方案。
一些案例研究
为了使图片更完整,这是使用T2600G-28SQ型号交换机的一些示例。
莫斯科
地区的DIVO提供商(除了Internet外,还提供电话和有线电视服务)在私有部门(山寨和联排别墅)中建立网络时,在访问级别使用T2600G-28SQ。 从客户端,将连接到具有SFP端口的路由器以及媒体转换器。 目前,带有SFP端口的SOHO路由器尚未在市场上出售,但我们当然会考虑一下。
来自Pavlovo-Posadsky District的
ISS电信运营商使用T2600G-28SQ交换机作为“小型聚合”,并在接入时使用T2600G-28TS和T2500G-10TS交换机。
Garantia公司集团在莫斯科地区(Kolomna,Lukhovitsy,Zaraysk,Serebyanye Prudy和Ozyory)的东南部提供Internet访问,电视,电话和视频监视系统。 此处的近似拓扑与ISS的拓扑相同:聚合级别的T2600G-28SQ,访问级别的T2600G-28TS和T2500G-10TS。
来自克拉斯诺兹南斯克的
SKTV提供商通过具有深层光学功能的网络提供Internet访问。 它也基于T2600G-28SQ。
在以下各节中,我们将简要描述T2600G-28SQ的某些功能。 为了不增加内容,我们在面板上留下了很多选择:QinQ(VLAN VPN),路由,QoS等。我们认为有可能在以下文章之一中再次介绍它们。
开关功能
预订-STP
STP-生成树协议。 得益于杰出的Radie Perlman,生成树的协议早已为人所知。 在现代网络中,管理员试图避免以各种方式使用此协议。 是的,STP并非没有缺陷。 如果有替代方案,那就很好了。 但是,经常发生的情况是,此协议的替代方案将高度依赖供应商。 因此,到目前为止,生成树协议几乎仍然是几乎所有制造商都支持的唯一解决方案,并且也是所有网络管理员都知道的。
TP-Link T2600G-28SQ交换机支持三种版本的STP:经典STP(IEEE 802.1D),RSTP(802.1W)和MSTP(802.1S)。
在这些选项中,对于俄罗斯的大多数小型Internet提供商而言,常规的RSTP非常适合,与经典版本相比,它具有不可否认的优势-大大缩短了收敛时间。
当今最灵活的是MSTP协议,它支持虚拟网络(VLAN)并允许多个不同的树,这使您可以使用所有可用的备份路径。 管理员创建几个不同的树实例(最多八个),每个树实例都服务于一组特定的虚拟网络。
MSTP的精妙之处新手管理员在使用MSTP时需要非常小心。 这是由于以下事实:协议在区域内以及区域之间的行为不同。 因此,在配置交换机时,应确保您位于同一区域内。
这个臭名昭著的地区是什么? 以MSTP表示的区域是一组相互连接的交换机,具有以下特征:区域的名称,修订号以及协议实例之间的虚拟网络(VLAN)的分布。
当然,生成树协议(任何版本)都不仅可以处理连接冗余通道时发生的环路,而且还可以防止工程师有意或无意地连接错误的端口时发生电缆切换错误,从而通过其操作来形成环路。
经验丰富的网络管理员更喜欢使用各种其他选项来保护STP协议免受攻击或复杂的紧急情况。 T2600G-28SQ提供一系列功能:环路保护和根保护,TC保护,BPDU保护和BPDU过滤器。
正确使用上述选项以及其他受支持的保护机制,将稳定本地网络并使其更加可预测。
预订-LAG
LAG-链路聚合组。 这是一项允许您将多个物理通道组合为一个逻辑通道的技术。 所有其他协议将停止单独使用LAG中包含的物理通道,并开始“看到”一个逻辑接口。 这种协议的一个示例是STP。
逻辑通道内物理通道之间的用户流量平衡基于哈希量。 为了进行计算,可以使用发送者,接收者或其中几个的MAC地址。 以及发件人,收件人或其中几个的IP地址。 不考虑第4层协议信息(TCP / UDP端口)。
T2600G-28SQ交换机支持静态和动态LAG。
为了协调动态组的参数,使用了LACP协议。
安全性-访问列表(ACL)
我们的T2600G-28SQ交换机使您可以使用访问控制列表(ACL)过滤用户流量。
支持的访问列表可以有几种不同的类型:MAC和IP(IPv4 / IPv6),组合在一起,以及用于执行内容过滤。 每种类型支持的访问列表的数量取决于当前使用的SDM模板,我们在另一部分中对此进行了描述。
运营商可以使用此选项来阻止网络上的各种有害流量。 如果未提供相应的服务,则此类流量的示例可以是IPv6数据包(使用EtherType字段); 或在端口445上阻止SMB。在具有静态DHCP / BOOTP寻址的网络上,不需要流量,因此管理员可以使用ACL过滤端口67和68上的UDP数据报。您还可以使用ACL禁用本地IPoE流量。 在使用PPPoE的运营商网络中可能需要这种阻塞。
使用访问列表的过程非常简单。 在创建列表本身之后,您需要向其中添加必要数量的记录,记录的类型直接取决于自定义工作表。
值得注意的是,访问列表不仅可以执行允许或禁止流量通过的常规操作,而且可以参与其重定向,镜像以及执行其重新标记或速度限制。
创建所有必需的ACL之后,管理员即可执行其安装。 您可以将访问列表附加到直接物理端口和特定的虚拟网络。
安全性-MAC地址数
有时,运营商需要限制交换机在特定端口上学习到的MAC地址数量。 访问列表使您可以实现此效果,但是需要明确指示MAC地址本身。 如果仅需要限制通道地址的数量,而不必明确指定通道地址的数量,则端口安全性将得到解决。
例如,可能需要这种限制,以防止整个本地网络连接到一个提供商交换机接口。 这里值得一提的是这是一个拨号连接,因为当使用客户端上的路由器进行连接时,T2600G-28SQ将仅学习一个地址-这是属于客户端路由器的WAN端口的MAC。
有一整套针对交换表的攻击。 它既可以是表溢出,也可以是MAC欺骗。 端口安全性选项可让您保护自己免受网桥表溢出和攻击的侵害,这些攻击的目的是故意重新训练交换机,从而毒害其网桥表。
一个人只能提及失败的客户端设备。 故障的计算机或路由器网卡创建具有完全任意发送者和接收者地址的帧流的情况并不少见。 这样的流很容易耗尽CAM。
限制桥接表中使用的条目数的另一种方法是MAC VLAN安全性工具,管理员可以使用该工具指定特定虚拟网络的最大条目数。
除管理交换表中的动态条目外,管理员还可以创建静态条目。
T2600G-28SQ型号的最大桥接表允许您容纳多达16K条目。
旨在过滤用户流量传输的另一个选项是端口隔离功能,该功能可让您明确指定允许转发的方向。
安全性-IMPB
在我们广阔的家园中,电信运营商确保网络安全的方法从完全无视到最大程度地使用设备支持的所有选项。
通过将客户端设备的IP和MAC地址绑定到提供商的交换机接口,IPv4 IMPB(IP-MAC-端口绑定)和IPv6 IMPB功能使您可以保护自己免受与订户替换IP和MAC地址有关的所有攻击。 可以手动完成绑定,也可以使用ARP扫描和DHCP侦听功能进行绑定。
公平地说,应该说可以使用一种特殊功能来保护DHCP协议-DHCP过滤器。
使用此功能,网络管理员可以手动指定这些DHCP服务器所连接的接口。 因此,伪造的DHCP服务器无法介入IP参数的协商过程。
安全性-DoS防御
使用此模型,您可以保护用户免受几种最著名和常见的DoS攻击。
这些攻击中的大多数并没有吓到具有现代操作系统的设备,但是到目前为止,我们网络中可能存在许多多年前才进行了最新软件更新的攻击。
DHCP支持
TP-Link T2600G-28SQ交换机可以充当DHCP服务器或中继,并且如果另一台设备充当服务器,则可以执行多种DHCP消息过滤。
为用户提供工作所需的IP参数的最简单方法是使用交换机内置的DHCP服务器。 基本参数及其帮助已经可以提供给订户。
我们将Archer C6 SOHO路由器连接到其中一个交换机接口,并确保客户端设备成功接收到该地址。
交换机中内置的DHCP服务器可能不是最具扩展性和灵活性的解决方案:不支持非标准选项,不与IPAM连接。 如果运营商需要对IP地址分配过程进行更多控制,则将使用专用的DHCP服务器。
T2600G-28SQ允许每个用户子网指定单独的专用DHCP服务器,所讨论协议的消息将重定向到该服务器。 通过指定适当的L3接口来选择子网:VLAN(SVI),路由端口或端口通道。
为了检查中继的功能,我们配置了另一家供应商的单独路由器作为DHCP服务器,其设置如下所示。
R1#sho run | s pool ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8
客户端路由器再次成功接收IP地址。
R1#sho ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.0.2 010c.8063.f0c2.6a May 24 2019 05:07 PM Automatic
在扰流器下-交换机和专用DHCP服务器之间截获的数据包的内容。
应该注意的是,该交换机提供了Option 82支持。 激活后,交换机将添加有关从其接收DHCP发现消息的用户界面的信息。 此外,T2600G-28SQ型号允许您配置一个策略,以便在插入选项号82时处理添加的信息。 在订户需要发布相同IP地址的情况下,不管客户端(client-id)报告有关其自身的标识符是什么,都可以使用此选项的支持。
下图显示了添加了选项82的DHCP Discover消息(中继)。
当然,可以在不设置成熟的DHCP中继的情况下控制选项82;相应的设置显示在“ DHCP L2中继”子项目中。
现在,我们将更改DHCP服务器设置,以演示选项号82的操作。
R1#sho run | s dhcp ip dhcp pool test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 8.8.8.8 class option82_test address range 192.168.0.222 192.168.0.222 ip dhcp class option82_test relay agent information relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675 R1#sho ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.0.222 010c.8063.f0c2.6a May 24 2019 05:33 PM Automatic
如果交换机不仅具有连接到特定网络的L3接口,而且该接口具有IP地址,则DHCP接口中继功能将非常有用。 如果在这样的接口上没有地址,则DHCP VLAN中继功能将可以挽救。 在这种情况下,有关子网的信息是从默认接口获取的,即,多个虚拟网络中的地址空间将是相同的(重叠)。
通常,运营商还需要保护订户免受客户端设备上DHCP服务器的错误或恶意包含。 我们决定在专门讨论安全性问题的部分之一中讨论此功能。
IEEE 802.1X
验证网络上用户的一种方法是使用IEEE 802.1X协议。 该协议在俄罗斯电信运营商网络中的流行度已经在下降;它仍主要用于大型公司的本地网络中以对组织的内部用户进行身份验证。 T2600G-28SQ交换机支持802.1X,因此如有必要,提供商可以轻松使用它。
为了使IEEE 802.1X协议正常工作,需要三个参与者:客户端设备(请求方),提供商访问交换机(身份验证器)和身份验证服务器(通常为RADIUS服务器)。
操作员侧的基本配置非常简单。 您只需要指定所使用的RADIUS服务器的IP地址(将在该IP地址上存储用户数据库),然后选择需要进行身份验证的接口即可。
在客户端,还需要进行一些小的调整。 所有现代操作系统已经包含必需的软件。 但是,如果需要,您可以安装和使用TP-Link 802.1x客户端-一种允许对网络上的客户端进行身份验证的应用程序。
将用户PC直接连接到提供商的网络时,必须激活用于连接的网卡的身份验证设置。
但是,目前,运营商的网络通常不直接连接到用户计算机,而是连接到某些SOHO路由器,以确保用户本地网络(有线和无线网段)的正常运行。 在这种情况下,必须直接在路由器上执行所有802.1X协议设置。
在我们看来,在运营商网络中,这种身份验证方法被人们遗忘了。 是的,就用户设备设置而言,将订户紧密绑定到交换机端口可能是一个更简单的解决方案。 但是,如果必须使用登录名和密码,则与基于PPTP / L2TP / PPPoE隧道的已使用连接相比,802.1X不会是一个重量级协议。
PPPoE ID插入
不仅在我们国家,而且在世界各地,许多用户仍然喜欢使用极其简单的密码。 而且,身份盗用的情况并不少见。 如果运营商在其网络中使用PPPoE协议进行用户身份验证,则TP-Link T2600G-28SQ交换机将有助于解决与凭证泄漏相关的问题。 这可以通过在PPPoE Active Discovery消息中添加特殊标签来实现。 因此,提供者不仅可以通过登录名和密码,还可以通过其他数据来认证订户。 此类附加数据包括客户端设备的MAC地址以及与其连接的交换机的接口。
原则上,某些运营商希望禁止用户(一对用户名和密码)浏览网络。 PPPoE ID插入功能在这种情况下也有帮助。
IGMP
IGMP(Internet组管理协议)已经存在了数十年。 它的流行是可以理解的,并且易于解释。 但是IGMP交互涉及两个方面:用户的PC(或任何其他设备,例如STB)和服务于特定网段的IP路由器。 交换机不以任何方式参与此交换。 是的,最后一个陈述并不完全正确。 或在现代网络中根本不是真的。 需要交换机IGMP支持,以优化多播流量的转发。 交换机侦听用户流量,在其中检测IGMP报告消息,并借助它确定发送多播流量的端口。 所描述的选项称为IGMP侦听。
对IGMP的支持不仅可以用来优化流量本身,还可以用来确定可以向其提供特定服务的订户,例如IPTV。 您可以通过手动调整过滤参数或使用身份验证来实现所需的目标。
TP-Link交换机上的组流量支持非常灵活地实现。 因此,例如,可以为每个虚拟网络分别设置所有参数。
如果将多个具有组通信接收者的子网连接到路由器的一个接口,则将迫使该路由器通过该接口发送多个数据包副本(每个虚拟网络一个)。
在这种情况下,可以优化使用MVR技术发送组流量的过程-组播VLAN注册。
解决方案的实质是创建一个虚拟网络,将所有接收者联合在一起。 但是,此虚拟网络仅用于组流量。 这种方法允许路由器仅通过接口发送多播流量的一个副本。
DDM,OAM和DLDP
DDM-数字诊断监控。 在光模块运行期间,通常需要监视模块本身的状态以及与其连接的光通道。 DDM功能将有助于完成此任务。 在它的帮助下,操作员的工程师将能够监控支持该功能的每个模块的温度,其上的电压和电流以及发送和接收的光信号的功率。
如果为上述参数设置阈值级别超出允许范围,则将生成事件。
自然,管理员可以查看指定参数的当前值。
TP-Link T2600G-28SQ交换机有一个主动空气冷却系统。 此外,我们从未在交换机中遇到与端口密度有关的SFP模块过热的情况。 但是,如果从理论上讲完全允许这种可能性(例如,由于SFP模块内部的某些问题),那么在DDM的帮助下,管理员会立即收到有关潜在危险情况的通知。 显然,这里的危险不是开关本身,而是SFP内部的二极管/激光器,因为发射的光信号的功率会随着温度的升高而降低,这将导致光预算的减少。
此处值得注意的是TP-Link交换机没有供应商锁“功能”,也就是说,支持任何兼容的SFP模块,这对于网络管理员来说非常方便。
OAM-操作,管理和维护(IEEE 802.3ah)。 OAM是OSI模型的第二层协议,用于监视以太网和对其进行故障排除。 使用此协议,交换机可以监视特定连接和错误的性能,生成警报,以便网络管理员可以更有效地管理网络。
OAM操作细节两个相邻的启用OAM的设备通过发送OAMPDU定期交换消息,该OAMPDU属于三种类型:信息性,事件通知和环回控制。 相邻的交换机使用信息性OAMPDU相互发送统计信息以及管理员定义的数据。 此类型的消息还用于维护OAM连接。 连接监视功能使用事件通知消息将发生的故障通知另一方。 回送控制消息用于定义线路上的循环。
下面我们决定列出OAM协议提供的主要功能:
- 远程环回(用于测量延迟,延迟变化(抖动),丢失帧数的通道测试)。
光开关所需要的另一种选择是能够检测通信信道上的问题,从而导致信道变得单一,即只能在一个方向上发送数据。 我们的交换机使用DLDP-设备链接检测协议来检测单向链接。 公平地说,值得注意的是,光接口和铜接口都支持DLDP协议,但是,在我们看来,当使用光纤线路时,它将是最受欢迎的协议。
如果检测到单向通道,则交换机可以自动关闭有问题的接口,这将导致STP树的重建和冗余通信通道的使用。
在我们的军械库中,有SFP模块可通过单根光纤收发信号。 它们专门成对工作,并使用不同波长的光信号在该对内传输。 一对TL-SM321A和TL-SM321B就是一个例子。 使用这些类型的模块时,一根光纤的损坏将导致整个光通道完全无法使用。 但是,在这种通道上也将需要DLDP协议,因为尽管这种情况极少发生,但是该通道对于不同的波长可能具有不同的透明性。 一个更可能的问题是取决于光传播方向的通道的不同透明度。 跟踪可以帮助检测这些问题,但这是一个完全不同的故事。
低密度聚乙烯
在大型公司或运营商网络中,经常会出现网络文档过时或准备不准确的问题。 网络管理员可能会遇到需要找出哪些操作员设备本身连接到特定交换机接口的情况。 LLDP-链路层发现协议(IEEE 802.1AB)将可以解决。
我们的交换机支持LLDP协议,不仅可以发现相邻的交换机或其他网络设备,还可以确定其功能。
我们交换机的铜缆兄弟可以使用LLDP-MED简化IP电话的连接过程。 同样,使用此选项,PoE交换机可以与受电设备协调电源设置。 我们已经在
过去的一种材料中对此进行了详细讨论。
SDM和超额订购
几乎所有现代交换机都无需使用中央处理器即可处理传递的帧和数据包。 使用专用的微电路进行处理(校验和的计算,访问列表的应用和其他安全性检查以及交换/路由的决定),从而可以实现用户流量的高传输速度。 所讨论的交换机可让您以中等速度处理流量。 这意味着设备的性能足以同时以所有端口的最高速度发送数据。 T2600G-28SQ型号具有以1 Gbit / s的速度运行的24个下行端口(向用户),以及4个10 Gbit / s的上行端口(向网络核心)。 同时,交换机的交叉总线性能为128 Gb / s,足以应付最大的传入流量。
公平地讲,交换矩阵的性能为每秒9520万个数据包。 也就是说,当使用最小可能的长度仅为64字节的帧时,设备的总性能将为97.5 Gbit / s。 但是,这种流量概况对于电信运营商的网络来说几乎是难以置信的。
什么是超额认购?另一个重要问题是上升通道和下降通道的速度之比(超额订购)。 在这里,显然,这全都取决于拓扑。 如果管理员使用所有四个10 GE接口来连接到网络核心,并使用LAG(链路聚合组)或端口通道技术将它们组合在一起,则统计得出的到达核心的速度将为40 Gb / s,足以满足所有连接订户的需求。 此外,不必将所有四个上游链路都连接到同一物理设备。 可以连接到交换机堆栈,也可以连接到群集中组合的两个设备(使用vPC技术或类似技术)。 在这种情况下,没有重新订阅。
不仅可以通过使用LAG进行组合,还可以同时使用所有四个上游通道。 通过正确配置MSTP可以达到类似的效果,但这是完全不同的故事。
第二种常见的L2连接方法是使用两个独立的LAG(每个聚合交换机一个)。 在这种情况下,最有可能的是,一条虚拟链接将被STP协议阻止(使用STP或RSTP时)。 重新订阅将为5:6。
罕见但仍然很可能的情况:T2600G-28SQ通过独立的通道连接到一个或多个更高级别的交换机。 STP / RSTP只会使一个这样的链路处于未阻塞状态。 重新订阅将是5:12。
带星号的任务:针对STP部分中描述的情况计算超额预订,在此我们检查了两个接入交换机连接到同一聚合设备并互连时的拓扑示例。
可编程微电路是一种相当昂贵的资源,借助它可以实现如此高的传输速度,因此,由于各种功能之间资源的正确分配,我们试图优化其使用。 该分发负责SDM-交换数据库管理。
使用SDM配置文件完成分发。 以下列出的三个配置文件目前可供使用。
- Default为使用MAC和IP访问列表以及ARP检测记录提供了一种平衡的解决方案。
- EnterpriseV4最大化了可供MAC和IP访问列表使用的资源。
- EnterpriseV6分配部分资源供IPv6访问列表使用。
要应用新的配置文件,需要重启交换机。
结论
根据最初的定位,此交换机最适合面临着提供长距离访问网络任务的电信运营商。 该设备既可以用于访问级别(例如,在平房村和联排别墅中),也可以用于聚合来自位于公寓楼中的访问开关的信道; 也就是说,在需要远程对象连接的任何地方。 当使用光通信信道时,连接的用户可以位于几公里的距离处。
在客户端,可以在具有光接口的小型交换机或媒体转换器上终止光链路。
大量受支持的协议和选件将允许在运营商的以太网中使用T2600G-28SQ,并提供任何拓扑以及所提供的任何技术和服务。
可以使用Web界面或命令行对开关进行远程控制。如果需要本地配置,则可以使用控制台端口,在T2600G-28SQ中有两个:RJ-45和micro-USB。美中不足的是,我们注意到对堆叠和第二个电源的支持不足。但是,通常在提供商的数据中心之外,第二条电线的存在还是很罕见的。我们将其优势归功于价格低廉,大量的用户光端口,10个GE光上行链路的存在以及四个组合端口和中速转发流量。