Коммутатор доступа – Ethernet коммутаторы доступа Cisco

Ethernet коммутаторы доступа Cisco

.02

Структура сети

Стоит отметить, что для повышенной степени надежности необходимо организовать отказоустойчивость (то есть, установить резервное оборудование) на каждом уровней сетевой инфраструктуры. Рассмотрим структуру сети на основе иерархической модели:

Коммутаторы ядра

Данные устройства обеспечивают обработку всей входящей информации и обмен с каналами провайдера услуг. На этом уровне важна надежность и резервирование устройств, а также наличие запасных блоков питания, вентиляторов (2 и более) и кабельных соединений. Коммутатор ядра должен обладать высокой пропускной способностью (благодаря портам 1 Гбит, 10 Гбит или 40 Гбит), чтобы эффективно распределять пакеты данных между отдельными сегментами сетевой инфраструктуры. Кроме того, устройства уровня ядра должны поддерживать технологии агрегирования подключений, для того, чтобы обеспечить отказоустойчивость сети в случае обрыва соединения на одном из каналов связи.

Коммутаторы доступа

Это более простые в своей конфигурации устройства (в сравнении с устройствами вышестоящих уровней), которые собирают на себе все клиентское оборудование. Они снабжены портами доступа Fast Ethernet или Gigabit Ethernet, медными портами и оптическими\медными аплинками. Коммутаторы доступа могут поддерживать стэкирование, а также технологии питания PoE и PoE+, подавая на подключенные устройства различную мощность. В случае, когда доступ к сети выделяется исключительно для корпоративных клиентов, необходимо, чтобы коммутаторы уровня доступа дополнительно поддерживали такие технологии, как QinQ, VPLS (Virtual Private LAN Service), E-Line и E-LAN.

Коммутаторы агрегации

Коммутаторы агрегации поддерживают большое количество VLAN, стэкирование и различные аплинк-модули. Они должны распознавать и обрабатывать большое количество MAC адресов (всех пользователей). Коммутаторы агрегации также позволяют значительно снизить нагрузку на сеть за счет распределения трафика между отдельными VPN без задействования коммутаторов уровня ядра. Эти устройства имеют минимум два аплинк канала: для доступа и для ядра. Обычно они снабжены скоростными портами (Gigabit Ethernet), а для аплинк-подключений используют порты стандарта 10 Gigabit Ethernet или 40 Gigabit Ethernet. Функционал данных устройств не предусматривает поддержку технологии PoE на портах.

www.vtkt.ru

Коммутаторы Cisco для небольших предприятий / Cisco corporate blog / Habr

Прошло время долгих изысканий на тему, нужна ли типовому среднему бизнесу ИТ-инфраструктура корпоративного класса?
Статья для тех, кто дал себе ответ: «Да, нужна» и кому интересно, как правильно сделать выбор компонентов на базе решений Cisco.

В ходе статьи мы разберемся, какие именно модели коммутаторов Cisco наиболее актуальны для типовых задач небольших предприятий. При этом, мы сузим круг до компаний со штатом порядка 250 человек.

Основное внимание будет уделено выбору сетевой инфраструктуры как необходимому фундаменту для дальнейшего роста ИТ.

Рассмотрим, в чем состоят отличия современных линеек коммутаторов Cisco и как эти отличия вписываются в архитектуру Cisco «Сети без границ».

В итоге будет определен узкий круг конкретных моделей, которые по праву можно считать универсальными и самыми распространенными в своем классе.

Кто-то остановился на однажды созданной ИТ-инфраструктуре, за годы разросшейся до «зоопарка всего-всего», что нажито и жалко выбросить.

Другие же оценили полезность инвестиций в ИТ и строят все с нуля, понимая, как эффективность ИТ положительно отразится на бизнесе предприятия в целом.

Как первым, так и вторым важно понимать:

• что и как выбрать в качестве фундамента ИТ-инфраструктуры;
• что будет актуально и полезно в ближайшем будущем;
• как этот выбор поможет сделать ИТ эффективней и полезней для бизнеса.

Основной кирпичик любой ИТ-инфраструктуры — сеть

Сетевая инфраструктура позволяет связать людей, занятых общим делом, на любом расстоянии, обеспечить их совместную работу и доступность общих ИТ-ресурсов. Эффективность любого сотрудника напрямую зависит от работоспособности сети. А последнее уже зависит от множества факторов: от знаний и мотивации ближайшего сисадмина до объективных возможностей сетевого оборудования. Мы рассмотрим только ту часть, которая подлежит объективной оценке, — сетевое оборудование.

«Почему Cisco?»

Для корпоративных сетей Cisco — уже давно безоговорочный эталон. Поэтому в блоге Cisco на Хабре мы выпустим часть «Почему Cisco?», оставив ее для других мест.

С чего начинается сеть?

Для пользователей сеть — понятие абстрактное. В ближайшей своей материализации это розетка/порт на стене, куда подключен системный блок компьютера и/или IP-телефон. С другой стороны, это оборудование, которое позволяет всем пользователям работать в единой сети. Такую функцию выполняют коммутаторы доступа.

Коммутаторы доступа Cisco

Среди множества линеек коммутаторов, которые предлагает Cisco (рисунок 1), небольшим компаниям стоит обратить внимание на самую распространенную серию Catalyst 2960.

Рисунок 1. Решения Cisco по коммутации для кампусной сети

Коммутаторы этой серии существуют уже много лет и заслужили признание пользователей благодаря хорошему соотношению цены, качества и функциональности. Базового набора функций коммутаторов этой линейки вполне достаточно для большинства задач небольшого предприятия. «Базовый» – по сравнению с другими линейками коммутаторов Cisco. Если же сравнивать с функциональностью ближайших конкурентов, то смело можно говорить, что такой «базовый» функционал сравним с «продвинутым» от других производителей. Cisco всегда делает фокус на доступности высоких технологий рядовым потребителям.

Где функциональности коммутаторов линейки не хватит — всегда можно добавить необходимое количество устройств старших линеек. Так обычно и поступают на большинстве предприятий.

100 Мбит/с

Современные коммутаторы 100 Мбит/с представлены линейкой Catalyst 2960 Plus. Их существенное преимущество — низкая цена. Из полезных функций у этой серии отсутствует возможность стекирования.
На рисунке 2 изображён внешний вид коммутаторов этой серии.

Рисунок 2. Cisco Catalyst 2960 Plus series.

Наиболее востребованные модели этой линейки: WS-C2960+24PC-L и WS-C2960+48PST-L. Порты доступа 100 Мбит/с, два аплинка (медь/оптика) по 1 Гб/с, питание по витой паре (Power over Ethernet), прошивка LanBase — все, что необходимо для нормальной работы.

Особое внимание стоит также обратить на коммутатор WS-C2960+24LC-L. Питание по витой паре (PoE) он может отдавать всего на 8 портов, но и стоит он значительно дешевле. Это вариант для тех, кто не уверен, нужна ли ему поддержка PoE. Либо уверен, что понадобится не более 8 портов. Выбирать коммутатор без PoE «на вырост» с перспективой службы на ближайшие несколько лет я бы не советовал. Исключение может составлять только вполне осознанный случай такой необходимости. Иначе придется искать, куда и как подключить и куда спрятать блок питания к IP-телефону, IP-камере, Wi-Fi-точке доступа, тонкому клиенту VDI и т. д.

Полезно знатьКоммутаторы C2960 c прошивкой LanLite аппаратно отличаются от своих собратьев с более функциональной LanBase. Апгрейд от LanLite до Lanbase не возможен.

LanLite стоит дешевле за счет жестко ограниченного набора функций. Так, например, технологии аутентификации на порту (trustsec) и управления медиапотоками (medianet) на коммутаторах с LanLite полноценно работать не смогут. Уменьшено количество VLAN и других довольно важных характеристик. LanLite — это просто switch-port от Cisco.

Для современных сетей я бы не рекомендовал рассматривать модели LanLite, так же, как и линейку Cisco SMB. Это крайние варианты компромисса цены и функциональности.

1 Гбит/с

Тех, кому не хватает 100 Мбит/с на порту доступа, должна заинтересовать новая линейка Catalyst 2960-X. Коммутаторы этой линейки оснащены портами доступа 1 Гб/с, четырьмя медными или оптическими портами 1 Гбит/с для аплинков (или 2 х 10 Гбит/с). Все они поддерживают стекирование.
Более подробно хотелось бы остановиться на коммутаторах Catalyst 2960-XR. Они оснащены резервным блоком питания и поддерживают базовые функции маршрутизации (коммутатор L3, прошивка IPLite).

Поэтому всем, кому нужен коммутатор 1 Гбит/с со стекированием до 8 устройств (например, чтобы от всех восьми пустить только два аплинка), с поддержкой питания по витой паре (РоЕ) и базовыми функциями L3, стоит обратить внимание на модель WS-C2960XR-48FPS-I.

Компактные коммутаторы

Ознакомившись с ценообразованием, можно убедиться, что всегда выгоднее брать 48 портов, нежели 24 и меньше. Это будет дешевле в пересчете на порт, удобнее с точки зрения управления, а также они занимают меньше места в стойке. Но бывают случаи, когда 8 или 12 портов вполне достаточно. К примеру, когда один кабинет или два соседних. Или отдельно стоящее здание, к которому необходимо дотянуть сеть.

Для таких случаев полезными будут коммутаторы Catalyst Compact. Это коммутаторы L2 (на базе Catalyst 2960) или L3 (на базе Catalyst 3560), поддерживающие PoE на портах доступа и способные запитываться по PoE через аплинки.
На рисунке 3 изображён внешний вид коммутаторов этой серии.

Рисунок 3. Cisco Catalyst 2960C/3560C Compact series.

Симпатичный белый корпус, бесшумная работа, отсутствие необходимости искать розетку делают эти коммутаторы отличным выбором для офисных помещений:

WS-C3560CPD-8PT-S (8-ports) L3
WS-C2960CPD-8PT-L(8-ports) L2
WS-C2960C-12PC-L (12-ports) L2

Они помогут быстро развернуть сеть в любом помещении — от переговорной до конференц-зала, а также дадут дополнительные 100 метров покрытого медным кабелем расстояния (экономия на оптических подключениях).

Коммутаторы агрегации

250 человек — это не меньше шести коммутаторов (5 х 48 = 240). Их, конечно же, можно все соединить между собой и создать единую сеть. Но чаще всего так не делают. Причины тому — в основах дизайна современных сетей, что выходит за рамки данной статьи.

Как правило, эти шесть (или более) коммутаторов подключаются к выделенному коммутатору агрегации, который обеспечивает связанность всех коммутаторов сети. Также есть возможность построить отказоустойчивую схему на уровне агрегации, добавив еще один коммутатор. Это вполне оправданная инвестиция, так как такой узел будет единой точкой отказа для 250+ человек (рисунок 4).

Коммутаторы агрегации дают возможность сэкономить на наборе дорогих функций (например, L3), применив их только один раз на уровне агрегации и не применяя на коммутаторах доступа.

Рисунок 4. Схема включения устройств уровня доступа в сеть.

Исторически многие годы типовыми устройствами агрегации были коммутаторы серии Catalyst 3750. Они и сейчас не утратили своей актуальности, но новые линейки с более мощным железом и значительно большим набором функций стоят столько же. Соответственно, рекомендуем для уровня агрегации следующие модели:

WS-C3650-24PS-E для агрегации медных подключений (рисунок 5).

Рисунок 5. Cisco Catalyst 3650 series.

WS-C3850-24S-S для агрегации медных и оптических подключений (рисунок 6).

Рисунок 6. Cisco Catalyst 3850 series.

Ядро 10G?

Здесь однозначный выбор — Catalyst 4500-X (рисунок 7). Это весьма производительный 1RU коммутатор с 16, 24, 32 1G/10G портами на борту и возможностью расширения модулями по 8 портов.

Рисунок 7. Cisco Catalyst 4500Х series.

Заслуживает внимание модель WS-C4500X-24X-ES: 24 sfp-порта 1/10G и прошивка Enterprise services — вот все, чего вполне хватит для агрегации и/или ядра сети.
Коммутаторы этой серии могут быть собраны в одно виртуальное устройство посредством технологии VSS. Набор функций сравним с модульными коммутаторами серии Catalyst 4500E.

Модульный?

Если 250 человек сидят на расстоянии 100 м от серверной, и/или нам необходимо питание по витой паре UPOE (60W), нужны 10G-интерфейсы и 1G-оптика для агрегации нескольких удаленных свичей и вполне подходит модульность, тогда стоит рассмотреть следующие модели (рисунок 8):

• Пары таких устройств и всего три слота расширения может хватить для надежного и производительного ядра/агрегации: бандл WS-C4503E-S7L+48V+
• Если необходимо все сетевое хозяйство свести в одну серверную: бандл WS-C4506E-S7L+96V+ и к нему пара решат все проблемы. Варианты начинки позволят выбрать все, что только нужно.

Рисунок 8. Коммутаторы серии Catalyst 4500E.
Для полноты картины можно еще и на Catalyst 6xxx линейку взглянуть

Там много чего интересного: архитектура Instant Access, сервисные модули, производительность. Но это тема отдельной статьи.

Коммутаторы уровня доступа, 100 Мбит/с:
● WS-C2960+24PC-L (24-ports) L2
● WS-C2960+48PST-L (48-ports) L2

Коммутатор уровня доступа/агрегации, 1 Гбит/с:
● WS-C2960XR-48FPS-I (48-ports) L3

Коммутаторы уровня доступа, компактные:
● WS-C3560CPD-8PT-S (8-ports) L3
● WS-C2960CPD-8PT-L (8-ports) L2

● WS-C2960C-12PC-L (12-ports) L2

Коммутатор уровня агрегации, 1 Гбит/с:
● WS-C3650-24PS-E (24-ports) L3
● WS-C3850-24S-S (24-ports) L3

Коммутатор уровня ядра, 1/10 Гбит/с:
● WS-C4500X-24X-ES (24-ports) L3

Модульные коммутаторы уровня агрегации/ядра, 1/10 Гбит/с:
● WS-C4503E-S7L+48V+ (48+ ports) L3
● WS-C4506E-S7L+96V+ (96+ ports) L3

Конечно же, список неполный и не исчерпывающий.

Для большинства небольших предприятий он может стать хорошим началом для выбора конкретных моделей под свои специфические задачи.
В этом вам всегда готовы помочь специалисты Cisco, а также наши партнеры.

Приобрести продукцию Cisco или узнать информацию о ценах можно у партнеров Cisco в России и в Украине.
Они помогут подобрать и реализовать лучшее решение для вашего бизнеса.

habr.com

Настройка свитчей уровня доступа в сети провайдера / Habr

В статье я расскажу о том, как мы (небольшой региональный провайдер) настраиваем коммутаторы уровня доступа.

В начале, кратко пробежимся по тому, что такое иерархическая модель построения сети, какие функции рекомендуют вешать на каждый ее уровень и как именно устроена сеть, на примере которой я буду излагать настройку свитча. Ну и затем настроим свитч исходя из предложенных требований.

Иерархическая модель построения сети

И так, в иерархической модели построения сети коммутации выделяют три уровня — уровень доступа (access layer), уровень агрегации (distibution layer) и уровень ядра (core layer). Деление на уровни позволяет добиться большей легкости в обращении с сетью: упрощается мастшабируемость сети, легче настраивать устройства, легче вводить избыточность, проектировать сеть и тому подобное.

От каждого уровня требуется определенный набор функций, так на access уровне (в сети провайдера) от устройств требуется

• Подключение конечных пользователей на 100 Мбит/сек
• Подключение (желательно через SFP) к коммутатору distribution уровня на 1 Гбит/сек
• Поддержка VLAN
• Поддержка port security
• Поддержка acl
• Поддержка других функций безопасности (loopback detection, storm control, bpdu filtering и прочее)

Применительно к сети провайдера получается следующая картина:

• Жилой дом — свитч access уровня
• Микрорайон — свитч distribution уровня, к нему подключаем отдельные дома
• ЦОД — свитч core уровня, к нему подключаем отдельные микрорайоны

На ditribtution уровне и, тем более, на core уровне, как правило работают продвинутые коммутаторы Cisco и/или Juniper, но на access уровень приходится ставить более дешевые железки. Как правило это D-Link (или Linksys или Planet).

Пара слов об устройстве сети

И так, с уровнем доступа в первом приближении, разобрались, теперь, прежде чем переходить к непосредственно настройке коммутатора, несколько слов о том, как устроена сеть, в которой коммутатору предстоит работать.

Во-первых, мы не используем VLAN per user. Сеть достаточно старая и начинала строиться во времена, когда Q-in-Q еще не был стандартом, так что большая часть старого оборудования двойное тегирование не поддерживает.
Во-вторых, мы использует PPPoE. И не используем DHCP. То есть клиент получает один белый адрес, через PPP протокол, домашняя сеть отсутствует как класс.
В-третьих, все коммутаторы живут в отдельном, выделенном только для них VLAN, все домашние PPPoE клиенты также живут в одном VLAN’е.

Настройка коммутатора

В качестве подопытного свитча я буду использовать D-Link DES-3200-10, поскольку

1. В нашем городе легче всего покупать именно D-Link, поэтому этой марке отдано предпочтение перед Planet, Linksys и прочими конкурентами
2. Этот коммутатор обладает всем нужным нам функционалом

И так, поехали. Все команды приведены для означенной выше модели D-Link, впрочем не составит никакого труда проделать все то же самое и на устройстве другого вендора.

Исходя из вышеприведенных требований к коммутатору уровня доступа, сформулируем, что именно мы хотим на нем настроить и сделаем это.

И так, на необходимо…

Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты — клиентские, гигабитные порты — аплинки.
create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp
config stp ports 1-8 fbpdu disable state disable

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan’е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5


Таким образом, мы решаем многие проблемы, присущие плоской сети — поддельные DHCP и PPPoE сервера (зачастую многие включают такие вещи ненамеренно, а по не знанию, то есть злого умысла нет, но работать другим клиентам мешают), бродкастовые штормы, глючные сетевые карточки и прочее.

habr.com

Коммутаторы(manual) | Support

Настройка свитчей уровня доступа в сети провайдера

В начале, кратко пробежимся по тому, что такое иерархическая модель построения сети, какие функции рекомендуют вешать на каждый ее уровень и как именно устроена сеть. Ну и затем настроим свитч исходя из предложенных требований.

Иерархическая модель построения сети

И так, в иерархической модели построения сети коммутации выделяют три уровня — уровень доступа(access layer), уровень агрегации (distibution layer) и уровень ядра (core layer). Деление на уровни позволяет добиться большей легкости в обращении с сетью: упрощается мастшабируемость сети, легче настраивать устройства, легче вводить избыточность, проектировать сеть и тому подобное.

От каждого уровня требуется определенный набор функций, так на access уровне (в сети провайдера) от устройств требуется

• Подключение конечных пользователей на 100 Мбит/сек
• Подключение (желательно через SFP) к коммутатору distribution уровня на 1 Гбит/сек
• Поддержка VLAN
• Поддержка port security
• Поддержка acl
• Поддержка других функций безопасности (loopback detection, storm control, bpdu filtering и прочее)

Применительно к сети провайдера получается следующая картина:

• Жилой дом — свитч access уровня
• Микрорайон — свитч distribution уровня, к нему подключаем отдельные дома
• ЦОД — свитч core уровня, к нему подключаем отдельные микрорайоны

На ditribtution уровне и, тем более, на core уровне, как правило работают продвинутые коммутаторы Cisco и/или Juniper, но на access уровень приходится ставить более дешевые железки. Как правило это D-Link (или Linksys или ZTE).

Пара слов об устройстве сети
И так, с уровнем доступа в первом приближении, разобрались, теперь, прежде чем переходить к непосредственно настройке коммутатора, несколько слов о том, как устроена сеть, в которой коммутатору предстоит работать. Все коммутаторы живут в отдельном, выделенном только для них VLAN, все домашние  клиенты также живут в одном VLAN’е.

Настройка коммутатора
В качестве подопытного свитча  будем использовать D-Link DES-3200-10, поскольку

1. В нашем городе легче всего покупать именно D-Link, поэтому этой марке отдано предпочтение перед ZTE, Linksys и прочими конкурентами
2. Этот коммутатор обладает всем нужным нам функционалом

И так, поехали. Все команды приведены для означенной выше модели D-Link, впрочем не составит никакого труда проделать все то же самое и на устройстве другого вендора.
Исходя из вышеприведенных требований к коммутатору уровня доступа, сформулируем, что именно мы хотим на нем настроить и сделаем это.
И так, на необходимо…
Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты — клиентские, гигабитные порты — аплинки.

create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)

config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

config stp version rstp
config stp ports 1-8 fbpdu disable state disable

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети

enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами, если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.

config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval5

Строим доступ: топологии и оборудование

Часто приходится работать с проблемами, возникающими в сетях провайдеров Интернет и крупных организаций. В одних случаях проблема решается просто и быстро, в других — тяжело и долго. Иногда решение проблемы обходится «малой кровью», иногда — требует много времени, вложений и рабочего времени.

Большая часть «тяжёлых» в решении проблем связано с изначально непродуманным построением сети. В таких случаях, как правило, требуется полная перестройка сети, которая ведет к значительным затратам.

Общая иерархия сети

Итак, сеть более или менее крупного провайдера Интернет рекомендуется строить по трехуровневой топологии, в которой выделены, как минимум:

1. Уровень доступа – оборудование (в самом распространённом у нас сейчас случае – коммутаторы Ethernet), в порты которых непосредственно включены абоненты.
2. Уровень агрегации, который является промежуточным между уровнем доступа и ядром и занимается маршрутизацией трафика абонентов.
3. Ядро – обеспечивает связность между оборудованием уровня агрегации и другими ресурсами сети.

Добавим сюда ещё один уровень — границы провайдера: тут работают устройства, обеспечивающие связность с внешним миром.

Все, что написано и показано выше – теория и хорошая практика. На деле, сети большинства небольших провайдеров построено по другим схемам, а именно:

1. Вырожденное ядро – отсутствие ядра сети как отдельной сущности. Устройства агрегации соединены между собой и с граничными устройствами.
2. Вырожденный доступ – довольно редкий случай, когда маршрутизация работает уже на коммутаторах уровня доступа.
3. Вырожденная граница Интернет – часто встречается в совсем небольших сетях, в которых функции Internet border выполняет устройство, топологически находящееся на месте ядра. Часто, в небольших сетях, на одном устройстве (в лучшем случае – на паре устройств/стеке) совмещаются функции агрегации, ядра и граничного устройства.
4. Неуправляемый доступ.
5. Разнообразные сочетания пунктов 1-4.

Несколько лет назад очень распространённой топологией сети небольшого провайдера  была следующая схема: набор соединённых в один или несколько сегментов коммутаторов доступа (часто – неуправляемых) и один PC-маршрутизатор, который отвечал за маршрутизацию клиентского трафика, обеспечение сервиса (“нарезку” трафика согласно тарифных планов), и одновременно служил граничным устройством.

Сейчас, в условиях жестокой конкуренции, тарифы на доступ к Интернет  для конечного клиента упали, соответственно вырос объем трафика в сетях провайдеров. К тому же, машрутизирующие коммутаторы стали доступны по цене даже небольшим провайдерам. Теперь часто приходится иметь дело с топологией, оставшейся в наследство от описанных выше домосетей, но в которой на месте того самого “центрального” сервера стоит маршрутизирующий коммутатор, который опять-таки отвечает за всю маршрутизацию – внешнюю и внутреннюю.

Чем плохи решения с совмещением функций разных уровней сетевой топологии?

Первый очевидный минус – отсутствие изоляции отказов: когда что-то перестает работать, бывает довольно тяжело определить источник проблемы – атака со стороны абонента, атака из внешнего мира, неполадки в сети, неполадки с железом?

Второй минус – единая точка отказа: будь это следствие атаки, неправильной конфигурации или неисправность оборудования, стоящего в центре сети  — это затрагивает абсолютно всех абонентов.

Третий минус – отсутствие масштабируемости: в момент, когда ресурсы того самого “центрального” коммутатора окажутся исчерпанными, станет необходимой кардинальная смена топологии сети, и, возможно, схемы предоставления услуг.

Четвёртый минус связан с особенностями устройства маршрутизирующих коммутаторов: имея значительную пропускную способность, которая обеспечивается чипсетом –  специализированным под передачу трафика “железом”, они имеют ограничение по мощности центрального процессора. Сам по себе процессор не участвует в передаче кадров и пакетов, проходящих через коммутатор, но некоторые операции (такие как приём и отправка данных ARP, обмен данными протоколов маршрутизации и пересчёт этих данных в таблицу маршрутизации) производит именно центральный процессор. В ситуации, когда маршрутизирующий коммутатор отвечает за все, возможны проблемы в предоставлении услуг при одновременном выполнении “тяжёлых” для процессора операций, например: отдача данных статистики по SNMP плюс пересчёт таблицы маршрутов после поднятия сессии BGP, плюс массовые запросы ARP от абонентского оборудования.

Почему же подобные решения ещё применяются?  Ответ один: кажущаяся дешевизна такого решения. Ведь маршрутизирующий коммутатор стоит несколько тысяч долларов и использование вместо одного на всю сеть нескольких таких коммутаторов (один-два на десять-двадцать коммутаторов доступа) заметно удорожает сеть…

Удорожание сети в данном случае весьма незначительно. Поскольку сеть в целом и сетевое оборудование в частности – средство производства, мысль о том, что например “правильно построенная сеть будет дороже на столько-то тысяч долларов”, будет некорректно. Провайдер строит сеть для того, чтобы продавать услуги, и стоимость оборудования корректней будет пересчитать относительно абонента. При таком расчёте выяснится, что затраты на активное оборудование (при правильном построении сети) составят несколько сотен гривен на абонента и окупятся платой за подключение и, максимум, за два-три месяца предоставления услуг. При этом сеть будет обладать такими важными качествами как отказоустойчивость, и масштабируемость как в плане расширения абонентской базы, так и в плане расширения спектра услуг.

Подсчитывая удельную (в пересчёте на абонента) стоимость сетевого оборудования, можно обнаружить, что самый большой вклад в эту стоимость вносит уровень доступа. Несмотря на то, что коммутаторы доступа являются самыми дешёвыми, они же и самые многочисленные. Если в коммутатор ядра включено несколько десятков коммутаторов агрегации (а это тысячи абонентов), а в коммутатор уровня агрегации — 12-24 коммутатора доступа (сотни абонентов), то в коммутатор доступа – десятки абонентов. При этом далеко не всегда можно обеспечить стопроцентное заполнение существующих портов, что дополнительно увеличивает среднюю стоимость абонентского порта. Все это – причина для более детального разговора об уровне доступа.

Уровень доступа

Уровень доступа отвечает за L2-сервисы и защиту сети от атак и нежелательного трафика со стороны абонентов. Поскольку оборудование уровня доступа  наиболее многочисленно и устанавливается в доме (подъезде жилого дома или технических помещениях этого дома), требованиями к такому оборудованию являются: низкая стоимость абонентских портов, надёжность (желательно отсутствие вентиляторов, которые требуют периодической чистки и замены), расширенный температурный диапазон и защита от статического электричества. Кроме того, естественно, коммутатор (если мы говорим о сетях Ethernet), должен обеспечивать работу необходимых для оказания услуг абонентам функций, набор которых зависит от набора этих самых услуг, технологии оказания этих услуг и топологии уровней доступа и отчасти – агрегации.

Для начала рассмотрим рекомендуемые и реально существующие  варианты построения уровня доступа в сетях провайдера.

Самая простая (к сожалению, довольно распространённая топология) – цепочка.

Сетевые устройства (в данном случае коммутаторы доступа) соединены последовательно. Такая схема обладает рядом существенных недостатков:

• отсутствие резервирования;
• отсутствие изоляции отказов – отказ одного устройства может привести к отказу всей цепочки;
• взаимное влияние – паразитный трафик воздействует на всю цепочку;
• избыточные требования к коммутаторам – коммутаторы в цепочке обслуживают трафик других коммутаторов.

^*У сетевых инженеров очень распространено другое название такой топологии:  “колбаса”.

Соединив крайние устройства в цепочке, получаем следующую топологию – кольцо.

Такая топология лучше цепи только тем, что имеется некоторое резервирование: при наличии одной точки отказа, возможна работа остальных узлов. Все остальные проблемы цепочки остаются. К ним добавляется ещё один недостаток: необходимость настройки сетевого протокола, который позволяет избежать образования логических петель и время срабатывания этого протокола при отказе узла в кольце.

Следующая топология – звезда.

Особенность такой топологии в том, что все коммутаторы доступа изолированы друг от друга и единственной точкой их соединения является коммутатор вышестоящего уровня иерархии – агрегации.

Из этого вытекают как преимущества:

• отсутствие взаимного влияния;
• отсутствие лишнего трафика через коммутатор доступа;
• изоляция отказов;
• изоляция паразитного трафика;
• простота поиска  неполадок;

так и недостатки топологии:

• отсутствие резервирования связей между уровнями агрегации и доступа;
• наличие единой точки отказа – коммутатора агрегации.

Указанные недостатки можно устранить, применив топологию “двойная звезда”.

 

Здесь имеется избыточная связность между каждым из коммутаторов доступа с коммутаторами вышестоящего уровня. Кроме того, отсутствует единая точка отказа: коммутаторов агрегации теперь два.

Теперь о реально существующих схемах:

Очень часто, в совсем небольших провайдерах, сеть доступа развивается “исторически” и поэтапно — сначала строится “колбаса”, часто из неуправляемых коммутаторов. По мере нарастания проблем в сети, коммутаторы сначала заменяются на управляемые, затем она замыкается в длинное кольцо.  По мере наращивания абонентской базы и расширения сети от кольца ответвляются новые цепочки. В результате, схема сети доступа представляет собой огромное кольцо с многочисленными ответвлёнными цепочками, либо набор колец. Недостатки такого построения перечислены выше.

По мере дальнейшего роста сети, количество проблем непрерывно нарастает. Приходится разукрупнять кольца, замыкать их не на уровне доступа, а на уровне агрегации, и так далее. В ходе таких работ (которые предполагают вложения в оборудование и линии связи), постоянно возникает конфликт интересов между техническими специалистами (цель которых построить максимально надёжную и беспроблемную сеть), специалистами по работе с абонентами (цель которых продать услуги как можно большему числу абонентов) и владельцем, либо его представителем, который заинтересован получить наибольшую отдачу от вложений. Для разрешения этого конфликта, техническим специалистам необходимы будут убедительные аргументы: обоснование затрат на разворачивание, расширение, либо оптимизацию сети.

Собственно, основная цель этого материала – помочь в выборе разумного решения и его обосновании.

Один из решающих факторов в выборе оборудования уровня доступа – разумная стоимость абонентского порта. К примеру, стоимость абонентского порта в коммутаторе серии DES-3200 составляет менее 10 долларов (в зависимости от модели), что позволяет окупить   затраты на приобретение оборудования из месячной абонентской платы, или даже из платы за подключение.

Однако, стоимость – не единственный фактор при выборе оборудования. Как минимум,  это оборудование должно удовлетворять существующим требованиям к оборудованию доступа, с учётом применяемой топологии и технологий. Большим плюсом также будет поддержка функций, которые, может быть сейчас и не являются необходимыми конкретному провайдеру, но внедрение их неизбежно или вероятно в будущем. Например, это поддержка мультикаст и  IPv6.

Если с построением вновь создаваемой сети или её сегмента все понятно: тут желательно строить звездообразную топологию либо, если “звезда” совсем невыгодна — некрупные кольца, то с расширением либо оптимизацией существующей сети все несколько сложнее. В этом случае стоит принять во внимание способ построения физических соединений между коммутаторами. Сейчас почти все провайдеры используют оптический кабель, а число тех, кто ещё использует протянутую между домами витую пару стремительно сокращается после каждой грозы. В оптических кабелях, как правило, содержится несколько пар волокон, цена кабеля растет не в арифметической прогрессии от числа пар волокон, к тому же цена кабеля не единственная составляющая стоимости кабельной инфраструктуры. Таким образом, очень часто, даже при наличии длинной цепочки из коммутаторов, в запасе имеются неиспользованные оптические волокна. Кроме того, существуют WDM-трансиверы, пара которых за счёт сдвига частот приёма и передачи могут использовать всего одно волокно вместо пары. Все это – резерв для приведения в порядок топологии и им не стоит пренебрегать при проектировании кабельной инфраструктуры и сети вообще.

Рассмотрим несколько примеров реорганизации сегмента доступа:

Случай 1:

Имеем “кольцо” из 10-ти коммутаторов доступа. Коммутаторы соединены по одномодовому оптическому кабелю с использованием обычных (не WDM) трансиверов. При построении кабельной инфраструктуры использован 12-ти парный кабель.

Каждый из коммутаторов обслуживает от 10-ти до 24-х абонентов с тарифным планом, предусматривающим подключение на скорости 100Мбит/с и предоставлением IPTV.

В сегменте участились жалобы абонентов на низкую скорость доступа к ресурсам Интернет, низкое качество («подтормаживания» и артефакты) при просмотре IPTV, потери при использовании skype и т.п. Анализ графиков загрузки линков между коммутаторами в кольце  показывает 80% и выше загрузку этих линков в часы пик. Кроме того, наблюдались случаи аварий трансформаторной подстанции, причём два дома, в которых находятся ближайшие к уровню агрегации коммутаторы, оказались запитаны от одной и той же ТП.

Понятно, что первая проблема — исчерпание ёмкости (1 Гбит/с) линков в кольце; вторая – связана с тем, что особенности энергоснабжения не были учтены при проектировании сети.

Варианты решения первой проблемы:

• переход на 10Гбит/с линки между коммутаторами;
• построение агрегированных линков;
• изменение топологии сети на звездообразную.

Первый способ подразумевает значительные вложения и замену всего оборудования доступа. Кроме того, этот способ не будет выглядеть экономически оправданным в сравнении с остальными.

Второй способ, как легко убедиться простым суммированием полосы пропускания портов абонентов на всех коммутаторах, проблему всего лишь отодвинет.

Третий способ значительно снизит нагрузку ведь нагрузка от абонентов, включённых в один коммутатор доступа, не будет суммироваться с загрузкой соседних. Кроме того, при заданном соотношении количества коммутаторов и ёмкости кабеля, можно создать топологию вида “двойная звезда”, используя два полукольца оптического кабеля для построения двух линков к каждому коммутатору. Используя агрегацию линков, можно получить достаточную пропускную способность и высокую надёжность сегмента. В случае двойной звезды платой за высокие параметры производительности и надёжности сети будет двойное число задействованных портов уровня агрегации.

Варианты решения второй проблемы:

• использование источников бесперебойного питания для каждого коммутатора в кольце;
• преобразование сети в звездообразную. При этом, в случае отсутствия питания, деградация сервиса будет наблюдаться только у абонентов в доме, в котором отключено питание (так ведь и абонентов в этом случае тоже нет питания!).

Вывод: в описанном случае изменение топологии сети позволит решить возникшие проблемы оптимальным способом.

Случай 2:

Кольцо содержит, например, 18 коммутаторов. Остальные данные и проблемы аналогичны случаю 1.

В этом случае ёмкости кабеля уже не хватает для включения каждого коммутатора отдельной парой волокон. В этом случае поможет использование WDM-трансиверов, которые используют только одно волокно для приёма и передачи. В этом случае по трассе имеющегося кабеля можно включить до 24-х коммутаторов.

Случай 3:

Кольцевая структура с большим числом коммутаторов. Замыкающий кольцо коммутатор включён одним из портов в коммутатор агрегации. Для предотвращения образования логических петель используется RSTP.

Проблемы состоят в необходимости тщательной конфигурации RSTP для увеличения диаметра сети и защиты протокола и заметного времени схождения. При наложении “плавающей” неисправности в физической инфраструктуре происходит частый пересчёт spanning-tree с соответствующей деградацией сервиса. При отказе замыкающего кольцо коммутатора либо коммутатора агрегации наблюдается деградация сервиса во всем кольце.

Допустим, что ёмкость кабеля не позволяет построить звездообразную топологию даже с использованием WDM-трансиверов.

В этом случае можно порекомендовать поэтапное решение проблем: переход на протокол ERPS, в котором можно задать время восстановления (что позволяет избежать частого пересчёта топологии), а само время схождения намного меньше – всего лишь около 200 мс.

Вторым этапом будет построение дополнительной связности между уровнями доступа и агрегации – соединение ещё, как минимум, одного коммутатора доступа с ещё одним коммутатором агрегации.

Третьим – докладка кабеля и приведение сегмента к  звездообразной топологии, либо, в крайнем случае – разделение на несколько колец с разумным количеством коммутаторов в каждом.

В любом из этих случаев необходим коммутатор, который бы одновременно поддерживал протоколы STP (RSTP, MSTP), ERPS, агрегировал линки с использованием LACP, имел достаточное количество скоростных портов для соединения с другими коммутаторами и достаточную ёмкость буфера физических адресов. Очень желательно иметь модели с разным количеством абонентских портов в одной серии.

Также, стоит учитывать, что дальнейшее развитие сети и наращивание абонентской базы в настоящее время весьма затруднительны в связи с практическим исчерпанием адресов IP версии 4. Потому необходима поддержка протокола IPv6 оборудованием доступа.

Беглый анализ оборудования, используемого в сетях успешных провайдеров приводит нас все к той же операторской линейке коммутаторов DES-3200

Почему именно эта серия? Попробуем немного формализовать процедуру выбора:

Критерий выбора	Фактические показатели
Низкая стоимость абонентского порта	До $10 за абонентский порт
Гибкая плотность портов	От 8-ми до 48-ми абонентских портов в разных коммутаторах серии
Наличие скоростных аплинк-портов	От 2-х до 4-х
Низкая стоимость обслуживания и минимальные плановые простои	Отсутствие вентиляторов
Поддержка функций, обеспечивающих сервисы	Port bandwitdh, DHCP relay, IGMP snooping*
Поддержка функций безопасности	ACL, IP-MAC-Port binding*
Поддержка кольцевых топологиий	STP, RSTP, MSTP, ERPS, 16K MAC FDB
Поддержка функций управления и мониторинга	SNMP, Ethernet Link OAM, CFM, DULD, sFlow
Поддержка перспективных технологий	IPv6 ready phase II logo
Опыт успешного применения	сотни операторов, сотни тысяч установленных коммутаторов

^* Указана только часть поддерживаемых функций, полное описание можно найти на сайте производителя

 Как видно из таблицы, эти коммутаторы позволяют обеспечить основные функции сети и предоставляют оператору дополнительные возможности. К тому же дополнительными преимуществами такого выбора являются условно-пожизненная гарантия и бесплатная техническая поддержка со стороны региональных офисов производителя.

derskiy.lucky.net

Коммутатор доступа MES2208P

Коммутаторы L2

Коммутаторы осуществляют подключение конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейcов Gigabit Ethernet.

 

Функциональные возможности коммутатора обеспечивают физическое стекирование, поддержку виртуальных локальных сетей, многоадресных групп рассылки и расширенные функции безопасности.

 

Питание PoE

Коммутаторы MES2208P соответствуют стандартам PoE IEEE 802.3af и IEEE 802.3at и обеспечивают мощность до 15,4 Вт и до 30 Вт соответственно на любых из 4 портов 10/100/1000Base-T. Поддержка технологии PoE/PoE+ позволяет подать электропитание от коммутатора по кабелю UTP к IP-телефонам, беспроводным точкам доступа, IP-камерам и другим устройствам с поддержкой технологии PoE.

 

Производительность

• Производительность — 24 Гбит/c
• Таблица MAC-адресов — 16k
• Количество активных VLAN — 4k
• Таблица ACL — 512
• Размер Jumbo-фрейма — 10k

Эффективная защита от скачков напряжения

Все порты коммутаторов оснащены защитой от внешних воздействий в соответствии со стандартом IEC61000-4-5 при амплитуде импульсов до 6 kV

Интерфейсы

•  
• 2 порта 10/100/1000 Base-T (SFP)
•  
• 2 порта 10/100/1000 Base-T (RG-45)
•  
• 4 порта 10/100/1000 Base-T (RG-45) PoE/PoE+
•  
• 4 комбо-порта 10/100/1000 Base-T/1000 Base-X (SFP)
•  
• Консольный порт RS-232
•  

Функции при работе с МAC-адресами

•  
• Таблица MAC-адресов 16K
•  
• Независимый режим обучения в каждой VLAN
•  
• Поддержка многоадресной рассылки (MAC Multicast Support)
•  
• Регулируемое время хранения MAC-адресов
•  
• Статические записи MAC (Static MAC Entries)
•  

Поддержка VLAN

•  
• До 4K VLAN
•  
• Поддержка Voice VLAN
•  
• Зеркалирование VLAN (VLAN mirroring)
•  
• Поддержка 802.1Q
•  
• Поддержка Q-in-Q
•  
• Поддержка Selective Q-in-Q
•  
• Поддержка GVRP
•  

Функции L2 Multicast

•  
• Поддержка 1K групп
•  
• Поддержка профилей Multicast
•  
• Поддержка статических Mullticast групп
•  
• Поддержка IGMP Snooping v1,2,3
•  
• Поддержка IGMP snooping Fast Leave на основе порта/хоста
•  
• Поддержка авторизации IGMP через RADIUS
•  
• Поддержка MLD Snooping v1,2
•  
• Поддержка IGMP Querier
•  
• Multicast TV VLAN
•  
• Поддержка MVR
•  

Функции L2

•  
• Поддержка протокола STP (Spanning Tree Protocol)
•  
• Поддержка 32 независимых STP процессов
•  
• Поддержка Spanning Tree Fast Link option
•  
• Поддержка STP Mulitprocess (802.1d)
•  
• Поддержка RSTP (Rapid spaning tree protocol)
•  
• Поддержка Multiple Spanning Tree- MSTP (IEEE802.1s)
•  
• Поддержка EAPS
•  
• Поддержка STP Root Guard
•  
• Поддержка BPDU Filtering
•  
• Поддержка STP BPDU Guard
•  
• Поддержка Per-device Loopback Detection (LBD)
•  
• Поддержка ERPS (G.8032v2)
•  

Функции Link Aggregation

•  
• Создание групп LAG
•  
• Объединение каналов с использованием LACP
•  
• Поддержка LAG Balancing Algorithm
•  

Поддержка IPv6

•  
• Функциональность IPv6 Host
•  
• Совместное использование IPv4, IPv6
•  

Сервисные функции

•  
• Виртуальное тестирование кабеля (VCT)
•  
• Диагностика оптического трансивера
•  
• Green Ethernet
•  

Функции обеспечения безопасности

•  
• DHCP snooping
•  
• Опция 82 протокола DHCP
•  
• Опция 18 и 37 протокола DHCP
•  
• IP Source address guard
•  
• Dynamic ARP Inspection (Protection)
•  
• Поддержка sFlow
•  
• Проверка подлинности на основе MAC-адреса, ограничение количества MAC-адресов, статические MAC-адреса
•  
• Проверка подлинности по портам на основе 802.1x
•  
• Guest VLAN
•  
• Система предотвращения DoS атак
•  
• Сегментация трафика
•  
• Защита от несанкционированных DHCP серверов
•  
• Фильтрация DHCP клиентов
•  
• Предотвращение атак BPDU
•  
• Фильтрация NetBIOS/NetBEUI
•  
• PPPoE Intermidiate agent
•  

Списки управления доступом ACL

•  
• L2-L3-L4 ACL (Access Control List)
•  
• Поддержка Time-Based ACL
•  
• IPv6 ACL
•  
• до 512 правил доступа
•  
• ACL на основе:
•  
• Порта коммутатора
•  
• Приоритета 802.1p
•  
• VLAN ID
•  
• Ether type
•  
• DSCP
•  
• Типа протокола
•  
• Номера порта TCP/UDP
•  
• Содержимого пакета, определяемого пользователем
•  
• Поддержка режима работы ACL-ONLY, c увеличенным количеством ресурсов коммутатора под ACL
•  

Основные функции качества обслуживания (QoS) и ограничения скорости

•  
• Поддержка QoS/COS
•  
• Статистика QoS
•  
• Ограничение скорости на портах (shaping, policing)
•  
• Поддержка до 4 приоритетных очередей
•  
• Поддержка класса обслуживания 802.1p
•  
• Защита от широковещательного «шторма»
•  
• Управление полосой пропускания
•  
• Обработка очередей по алгоритмам Strict/Weighted Round Robin (WRR) priority
•  
• Три цвета маркировки
•  
• Классификация трафика на основании на основании ACL
•  
• Назначение меток CoS/DSCP на основании ACL
•  

ОАМ

•  
• 802.3ah Ethernet Link OAM
•  
• Dying Gasp
•  
• 802.1ag Connectivity Fault Management (CFM)
•  
• 802.3ah Unidirectional LinkDetection (протокол однонаправленных связей)
•  

Основные функции управления

•  
• Загрузка и выгрузка файла настройки по TFTP
•  
• Протокол SNMP
•  
• Интерфейс командной строки(CLI)
•  
• Web-интерфейс
•  
• Syslog
•  
• SNTP (Simple Network Time Protocol)
•  
• Traceroute
•  
• LLDP (802.1ab) + LLDP MED
•  
• Управление контролируемым доступом – уровни привелегий
•  
• Блокировка интерфейса управления
•  
• Локальная аутентификация
•  
• Фильтрация IP-адресов для SNMP
•  
• Клиент RADIUS, TACACS+ (Terminal Access Controller Access Control System)
•  
• Сервер SSH
•  
• Поддержка SSL
•  
• Поддержка макрокоманд
•  
• Журналирование вводимых команд
•  
• Системный журнал
•  
• Автоматическая настройка DHCP
•  
• DHCP Relay (Поддержка IPv4)
•  
• DHCP Option 12
•  
• DHCP Relay Option 82
•  
• Добавление тега PPPoE Circuit-ID
•  
• Flash File System
•  
• Команды отладки
•  
• Механизм ограничения трафика в сторону CPU
•  
• Шифрование пароля
•  
• Восстановление пароля
•  
• Ping (поддержка IPv4/IPv6)
•  
• Multiple IP Interface
•  
• Сервер FTP
•  

Функции мониторинга

•  
• Статистика интерфейсов
•  
• Удаленный мониторинг RMON/SMON
•  
• Поддержка мониторинга загрузки CPU по задачам
•  
• Мониторинг памяти
•  
• Мониторинг температуры
•  
• Мониторинг TCAM
•  

MIB

•  
• RFC 1065, 1066, 1155, 1156, 2578 MIB Structure
•  
• RFC 1212 Concise MIB Definitions
•  
• RFC 1213 MIB II
•  
• RFC 1215 MIB Traps Convention
•  
• RFC 1493, 4188 Bridge MIB
•  
• RFC 1157, 2571-2576 SNMP MIB
•  
• RFC 1901-1908, 3418, 3636, 1442, 2578 SNMPv2 MIB
•  
• RFC 271,1757, 2819 RMON MIB
•  
• RFC 2465 IPv6 MIB
•  
• RFC 2466 ICMPv6 MIB
•  
• RFC 2737 Entity MIB
•  
• RFC 4293 IPv6 SNMP Mgmt Interface MIB
•  
• Private MIB
•  
• RFC 3289 DIFFSERV MIB
•  
• RFC 2021 RMONv2 MIB
•  
• RFC 1398, 1643, 1650, 2358, 2665, 3635 Ether-like MIB
•  
• RFC 2668 802.3 MAU MIB
•  
• RFC 2674, 4363 802.1p MIB
•  
• RFC 2233, 2863 IF MIB
•  
• RFC 2618 RADIUS Authentication Client MIB
•  
• RFC 4022 MIB для TCP
•  
• RFC 4113 MIB для UDP
•  
• RFC 3298 MIB для Diffserv
•  
• RFC 2620 RADIUS Accounting Client MIB
•  
• RFC 2925 Ping & Traceroute MIB
•  
• RFC 768 UDP
•  
• RFC 791 IP
•  
• RFC 792 ICMPv4
•  
• RFC 2463, 4443 ICMPv6
•  
• RFC 4884 Extended ICMP для поддержки сообщений Multi-Part
•  
• RFC 793 TCP
•  
• RFC 2474, 3260 Определение поля DS в заголовке IPv4 и Ipv6
•  
• RFC 1321, 2284, 2865, 3580, 3748 Extensible Authentication Protocol (EAP)
•  
• RFC 2571, RFC2572, RFC2573, RFC2574 SNMP
•  
• RFC 826 ARP
•  

PoE

•  
• Поддержка стандартов 802.3af PoE (до 15.4 Вт/порт) и 802.3at PoE+ (до 30 Вт/порт) на всех портах
•  
• Автоматический и конфигурируемый учет и распределение баланса мощности PoE по портам
•  
• Бюджет мощности PoE — 120 Вт
•  

Технические характеристики

•  
• Питание – 48В DC
•  
• Максимальная потребляемая мощность — не более 150Вт
•  
• Рабочая температура окружающей среды – от -10° до +45° С
•  
• Температура хранения – от -40° до +70° С
•  
• Рабочая влажность – не более 80%
•  
• Вентиляция – пассивное охлаждение
•  
• Размеры – 430x44x138мм, исполнение 19’’, типоразмер 1U
•  

Эффективная защита от скачков напряжения

•  
• Все порты коммутаторов оснащены защитой от внешних воздействий в соответствии со стандартом IEC61000-4-5 при амплитуде импульсов до 6 kV
•  

 

¹ В версии ПО 1.1.16 поддерживается 3 устройства в стеке

eltex-msk.ru

Управляемые коммутаторы доступа SNR-S2965 / НАГ corporate blog / Habr

В конце 2015 года семейство коммутаторов SNR пополнилось новой линейкой коммутаторов уровня доступа — SNR-S2965. В серию входят три модели устройства:

• SNR-S2965-8T: 6 портов 10/100BaseTX, 2 порта 10/100/1000BaseT и 2 порта 100/1000BaseX SFP
• SNR-S2965-24T: 20 портов 10/100BaseTX, 4 порта 10/100/1000BaseT и 4 порта 100/1000BaseX SFP
• SNR-S2965-48T: 44 порта 10/100BaseTX, 4 порта 10/100/1000BaseT и 4 порта 100/1000BaseX SFP

Под катом небольшой обзор этих устройств.

Новые модели оснащены большим количеством портов GigabitEhternet, чем обычные FastEthernet-коммутаторы доступа. Благодаря дополнительным гигабитным портам у оператора есть возможность предоставлять премиальные тарифы с высоким ARPU. Серия коммутаторов S2965 — это, своего рода, промежуточное решение между традиционным FE-доступом и набирающими популярность гигабитными коммутаторами.

В комплекте с коммутатором идет шнур питания c Г-образным разъемом, консольный кабель, кабель заземления, крепёжные скобы в 19-дюймовую стойку, резиновые ножки-наклейки и разъём для подключения RPS-питания.

У моделей с 8 и 24-портами разъемы располагаются на передней панели. — это существенно упрощает монтаж и обслуживание оборудования. Разъем питания у модели с 48 портами расположен сзади.

Модель коммутатора SNR-S2965-24T имеет RPS-порт с мониторингом внешнего питания. Благодаря наличию порта время автономной работы коммутатора может достигать от 8 до 20 часов. Версия RPS доступна только для 24-портовой модели. Поэтому в отличие от других моделей у версии с 24 портами большее количество индикаторов. Кроме диодов питания, самодиагностики и состояния портов, в версии с RPS появился индикатор состояния резервного питания.

Индикатор RPS светится лишь в том случае, когда коммутатор работает от источника питания в 12V. В противном случае индикация отсутствует. Это очень удобно при проведении работ на узле.
От аккумулятора емкостью 12 А\ч коммутатор SNR-S2965-24T-RPS может проработать более 14 часов.

Прибавка в количестве “гигабитных” портов качественно повысила производительность коммутаторов. Вся линейка SNR S2965 может работать на полной скорости портов без переподписки. Точные данные приведены в таблице ниже:

8- и 24-портовые модели имеют пассивную систему охлаждения. Для сохранения требуемого температурного режима установлен вентилятор.

В серии коммутаторов SNR-S2965 есть несколько способов управления устройствами:

удобный и простой web-интерфейс
классический cisco-like CLI с синтаксисом полностью совместимым с другими коммутаторами SNR
протокол SNMP

В некоторых случаях первичную настройку коммутатора удобно производить с помощью web-интерфейса. Например, настроить IP-адрес для управления или проверить состояние портов.

Для обеспечения безопасности сети в коммутаторах SNR реализован целый ряд функций.
Во-первых, это изоляция портов доступа, запрещающая прохождение трафика между портами. Эта функция осуществляется с помощью создания группы, в которую добавляются порты, требующие изоляции между собой.

Преимущества RPS

Чуточку внимания стоит уделить преимуществам, которое дает применение системы питания RPS (redundant power supply). Для питания коммутатора от разъема RPS необходимо напряжение 12В. Благодаря этому можно без дополнительных преобразований подавать питание на плату коммутатора. Это повышает КПД источника питания и уменьшает тепловыделение внутри корпуса устройства. О возможностях обеспечения бесперебойного питания коммутатора благодаря RPS уже упоминалось выше.

Тест RPS

Мы решили протестировать RPS в лаборатории. Для этого мы подключили питание коммутатора от свинцово-кислотную батареи SNR-BAT-12-12 (12В; 12Ач) и устройства бесперебойного питания SNR-UPS-60/12 с выходом 12 вольт и функцией зарядки, обеспечивающие подключение нагрузки мощностью до 60 Вт. Мониторинг напряжения на выходе разъемов аккумулятора осуществлялся с помощью устройства удалённого контроля и управления SNR-ERD-3s, которое опрашивали по SNMP и визуализировали полученные данные утилитой MRTG. Для тестирования на лабораторном коммутаторе создали условия с 7 активными портами доступа Fast Ethernet и двумя активными SFP Gigabit Ethernet портами.

По итогам тестов, схема с питанием от RPS-порта показала хорошую продолжительность автономной работы (около 14 часов). Как видно на графике: в точке А выходное напряжение на клеммах аккумулятора составляет 14,3В, коммутатор работает от сети 220В. На этой отметке система перешла на питание от аккумулятора. В таком положении она проработала 14 часов пока напряжение не достигло минимально допустимого значения (11В). ЧТобы не допустить разряда аккумулятора, SNR-UPS-60/12 автоматически отключил питание от него. В промежутке от точки B до точки C коммутатор не работал. В точке С было восстановлено питание 220В и начался процесс зарядки, полное время которой составило около 6 часов. В точке D мы видим значение выходного напряжения аккумулятора равное 14,3В что соответствует полному заряду аккумулятора.

В целом основные преимущества линейки коммутаторов SNR-S2965 заключаются в наличии GE-портов в дополнение к FE-портам и наличие в линейке коммутатора с портом RPS. Первое позволяет сделать сеть наиболее гибкой в предоставлении услуг, а также предоставлять доступ доступ на скорости выше 100Мб\с, что расширит возможность создания новых тарифных планов. Второе преимущество позволяет строить отказоустойчивые сети и контролировать их состояние.

habr.com

Какой коммутатор доступа Cisco выбрать?

Какой коммутатор Cisco выбрать?

Cisco предоставляет широкий выбор решений коммутации для небольших предприятий, крупных корпоративных сетей и ЦОД. Данные решения предназначены  для различных  отраслей (операторов связи, финансовые предприятий, государственных органов). В таком разнообразии оборудования сложно выбрать модель, которая наилучшем образом соответствовала бы техническим условиям и требованиям потребителя. В данной статье представлены советы по подбору коммутаторов уровня доступа (access layer) иерархической модели построения ЛВС.

Стандартное рабочее место (данные и голос)

Если трафик вашей сети будет ограничен только передачей данных и голоса, то вашим задачам удовлетворяют коммутаторы серии Cisco Catalyst 2960.

Коммутаторы Cisco Catalyst 2960 имеют модели fast ethernet и gigabit ethernet.

Если пользователю достаточно скоростей на портах доступа (access) 100mбит/c и магистральных портах (uplink) 1Гбит/c, то можно остановиться на коммутаторах серии 2960-plus. Эта серия представлена следующими моделями:

Модель Описание ws-c2960+48pst-s  Catalyst 2960 plus 48 10/100 poe + 2 1000bt +2 sfp lan lite  ws-c2960+48pst-l  Catalyst 2960 plus 48 10/100 poe + 2 1000bt +2 sfp lan base  ws-c2960+24tc-s  Catalyst 2960 plus 24 10/100 + 2 t/sfp   lan lite  ws-c2960+24tc-l  Catalyst 2960 plus 24 10/100 + 2t/sfp lan base  ws-c2960+48tc-l  Catalyst 2960 plus 48 10/100 + 2 t/sfp lan base  ws-c2960+24lc-s  Catalyst 2960 plus 24 10/100 (8 poe) + 2 t/sfp lan lite  ws-c2960+24lc-l  Catalyst 2960 plus 24 10/100 (8 poe) + 2 t/sfp lan base  ws-c2960+24pc-l  Catalyst 2960 plus 24 10/100 poe + 2 t/sfp   lan base  ws-c2960+24pc-s  Catalyst 2960 plus 24 10/100 poe + 2 t/sfp lan lite  ws-c2960+48tc-s  Catalyst 2960 plus 48 10/100 + 2 t/sfp   lan lite

 

Серия ws-c2960+ относится к коммутаторам второго уровня l2, имеет максимально 48 портов доступа, ряд моделей этой серии поддерживают стандарт ieee 802.3af poe (15.4 Ватт) на портах доступа и комбинированные (медь или оптика) магистральные порты.

Однако, если потребителю не достаточно 48 портов доступа, то с точки зрения упрощения конфигурации и обеспечения отказоустойчивости, рационально использовать стекек коммутаторов, который можно реализовать на серии 2960-sf. Данная серия представлена следующими моделями:

ws-c2960s-f24ps-l	Catalyst 2960-sf 24 fe, poe 370w, 2 x sfp, lan base
ws-c2960s-f48lps-l	Catalyst 2960-sf 48 fe, poe 370w, 4 x sfp, lan base
ws-c2960s-f48fps-l	Catalyst 2960-sf 48 fe, poe 740w, 4 x sfp, lan base
ws-c2960s-f48ts-l	Catalyst 2960-sf 48 fe, 4 x sfp, lan base
ws-c2960s-f24ts-l	Catalyst 2960-sf 24 fe, 2 x sfp, lan base
ws-c2960s-f48ts-s	Catalyst 2960-sf 48 fe, 2 x sfp, lan lite
ws-c2960s-f24ts-s	Catalyst 2960-sf 24 fe, 2 x sfp, lan lite

 

Коммутаторы серии ws-c2960s-f позволяют объединить в стек до 4 коммутаторов. Свитчи 2960-sf обладают расширенным функционалом l2 уровня и ряд моделей этой серии обеспечивают поддержку ieee 802.3at poe (poe+, 30 Ватт) на портах доступа.

Если же пользователю необходима локальная вычислительная сеть с портами доступа 1Гбит/c и с высокоскоростными магистральными каналами 10Гбит/c, то нужно рассмотреть модели серии 2960-x в качестве базового коммутатора доступа. Линейка Cisco 2960x представлена следующими моделями:

Модель	Описание
ws-c2960x-48ts-ll	Catalyst 2960-x 48 gige, 2 x 1g sfp, lan lite
ws-c2960x-24ts-ll	Catalyst 2960-x 24 gige, 2 x 1g sfp, lan lite
ws-c2960x-24ps-l	Catalyst 2960-x 24 gige poe 370w, 4 x 1g sfp, lan base
ws-c2960x-48lps-l	Catalyst 2960-x 48 gige poe 370w, 4 x 1g sfp, lan base
ws-c2960x-48fps-l	Catalyst 2960-x 48 gige poe 740w, 4 x 1g sfp, lan base
ws-c2960x-24ts-l	Catalyst 2960-x 24 gige, 4 x 1g sfp, lan base
ws-c2960x-48td-l	Catalyst 2960-x 48 gige, 2 x 10g sfp+, lan base
ws-c2960x-48ts-l	Catalyst 2960-x 48 gige, 4 x 1g sfp, lan base
ws-c2960x-24td-l	Catalyst 2960-x 24 gige, 2 x 10g sfp+, lan base
ws-c2960x-24pd-l	Catalyst 2960-x 24 gige poe 370w, 2 x 10g sfp+, lan base
ws-c2960x-48lpd-l	Catalyst 2960-x 48 gige poe 370w, 2 x 10g sfp+ lan base
ws-c2960x-48fpd-l	Catalyst 2960-x 48 gige poe 740w, 2 x 10g sfp+, lan base

 

Эти модели поддерживают стек до 8 коммутаторов, отличаются высокой производительностью, отказоустойчивостью расширенной функциональностью l2 уровня, поддержкой poe/poe+, энергосбережением и статистическими функциями о имеющихся потоках данных.

Нередко, как альтернативу коммутируемому доступу (l2) предпочитают маршрутизируемый (l3) доступ. К коммутаторам, поддерживающим l3 уровень, относится серия 2960-xr, представлена следующими моделями:

Модель	Описание
ws-c2960xr-48fpd-i	Catalyst 2960-xr 48 gige poe 740w, 2 x 10g sfp+, ip lite
ws-c2960xr-48lpd-i	Catalyst 2960-xr 48 gige poe 370w, 2 x 10g sfp+, ip lite
ws-c2960xr-48fps-i	Catalyst 2960-xr 48 gige poe 740w, 4 x 1g sfp, ip lite
ws-c2960xr-48lps-i	Catalyst 2960-xr 48 gige poe 370w, 4 x 1g sfp, ip lite
ws-c2960xr-24ps-i	Catalyst 2960-xr 24 gige poe 370w, 4 x 1g sfp, ip lite
ws-c2960xr-48td-i	Catalyst 2960-xr 48 gige, 2 x 10g sfp+, ip lite
ws-c2960xr-48ts-i	Catalyst 2960-xr 48 gige, 4 x 1g sfp+, ip lite
ws-c2960xr-24pd-i	Catalyst 2960-xr 24 gige poe 370w, 2 x 10g sfp+, ip lite
ws-c2960xr-24td-i	Catalyst 2960-xr 24 gige, 2 x 10g sfp+, ip lite
ws-c2960xr-24ts-i	Catalyst 2960-xr 24 gige, 4 x 1g sfp, ip lite

 

Помимо поддержки функционала l3, эта серия обеспечивает резервирование электропитания благодаря использованию двух внутренних блоков электропитания, в отличии от серий 2960-plus, 2960-sf и 2960-x, которые c ПО lan base поддерживают эту функцию за счет подключения к внешней системе резервного электропитания (rps 2300).

Унифицированное рабочее место (данные, голос, видео, мобильность, byod)

Если по требованиям к ЛВС, помимо трафика данных и голоса, будет использоваться видео и необходимо спроектировать мобильную сеть, то специально для таких задач Cisco создала унифицированные коммутаторы доступа.

В последнее время доля видео-трафика сильно увеличилась, что заставляет компании прокладывать ЛВС на скорости 10 Гбит/c. Для обеспечения бесперебойной и эффективной работы сетевой инфраструктуры на высокой скорости важным аспектом является обеспечение высокой отказоустойчивости и гибкой системы предоставления различных сервисов. Эти задачи успешно решаются благодаря правильной архитектуре и функционалу коммутаторов серий ws-c3750x, ws-c3560x, ws-c3650, ws-c3850, ws-c4500e. Эти серии оснащены высокоскоростной и неблокируемой коммутационной матрицей. Поддерживается технология стекирования с высокой внутренней пропускной способностью (64 Гбит/c для 3750-x, 160 Гбит/c для 3650, 480 Гбит/c для 3850), а так же резервирование электропитания благодаря двум блокам питания. Так же поддерживается технология обеспечения общедоступного пула электропитания для ряда коммутаторов (3750-x, 3850 — stackpower), различный функционал маршрутизации трафика и обеспечения минимального времени сходимости сети (flexlink, cross-stack etherchannel), а также функционал qos.

byod — система для создания благоприятных условий для работы пользователей разных устройств, в том числе собственных (ноутбуков, телефонов, планшетов и т.д.) в любое время и в любом месте. Ни для кого не секрет, что переносные устройства пользователей являются экономически выгодными и их использование в корпоративных целях повышает производительность труда, но организации опасаются давать доступ к корпоративной сети, по соображениям безопасности данных и приложений. Благодаря использованию коммутаторов Catalyst 3650-x/3750-x, 3650, 3850, 4500-e (acl, port security, dai, source guard, dhcp snooping, 802.1x и т.д.) и объединению с централизованными системами идентификации и авторизации доступа (cisco ise) достигается высочайший уровень безопасности доступа к сети и самого устройства. Помимо базовых технологий безопасности, с помощью уникального функционала коммутаторы Cisco обеспечивают конфиденциальность данных в ЛВС, с помощью шифрования (macsec — ieee 802.1ae) на уровне l2, и на портах доступа и магистральных портах (3650-x/3750-x, 4500-e, 3650/3850-в будущих версиях ПО). При помощи коммутаторов Cisco предоставляется безопасный доступ, основываясь на списках доступа на базе меток secure group access list (sgacl) (3650-x/3750-x, 4500-e, 3650/3850 — в будущих версиях ПО).

Для максимально удобства и повышения производительности труда, для сотрудников, использующих персональные устройства помимо проводной связи необходимо установить и беспроводную связь со всеми корпоративными ресурсами. Мобильный унифицированный доступ легко организуется на базе коммутаторов Сisco Catalyst 3850 благодаря встроенному беспроводному контроллеру (на базе 4500-e c процессором sup8-e – в следующих версиях ПО).

Помимо всего прочего, коммутаторы Cisco имеют уникальную возможность – поддержка upoe, способность поддерживать на порту доступа электропитание 60 Ватт. Эта  функция дает возможность подключать персональные системы видеоконференции telepresence, vdi клиентов, устройства контроля доступа и прочее оборудование, требующее электропитания больше 30 Ватт не применяя дополнительных кабелей электропитания (3650-x/3750-x, 4500-e, 3850, 3650 – в будущем).

netstore.su