Последнее изменение файла: 2022.12.16
Скопировано с www.bog.pp.ru: 2023.09.23
Bog BOS: hardware: Ethernet
Ethernet - локальная сеть, построенная на случайном методе доступа к
разделяемой среде передачи данных с обнаружением коллизий - CSMA/CD
(Ethernet Network - Xerox, 1975;
Ethernet II или Ethernet DIX - Digital, Intel, Xerox - 1980).
Ethernet DIX отличается от IEEE 802.3 (совмещены уровни MAC и LLC,
отличается формат кадра). Эталонная модель IEEE 802 включает уровни LLC
(Logical Link Control, управление логическим каналом, 802.2),
MAC (Media Access Control, управление доступом к среде, 802.1D, 802.1G, 802.1H, 802.1Q) и
PHY (физический уровень, 802.3, 802.3ae).
Уровень PHY соответствует физическому уровню эталонной модели OSI.
Уровни LLC и MAC соответствуют уровню передачи данных эталонной модели OSI.
Компоненты локальной сети: сетевой адаптер, кабельная структура,
повторитель (концентратор, хаб, hub),
коммутатор (switch, мост, bridge), маршрутизатор (router), шлюз (gateway).
Хаб делит физическую сеть на сегменты, но не изменяет логическую
топологию сети (общий домен коллизий).
Коммутатор делит логическую сеть на сегменты, основываясь на
аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения
широковещательных рассылок. Коммутатор с возможностями VLAN позволяет
разделять широковещательные сегменты. Маршрутизаторы сегментируют сеть
на уровне IP адресов и позволяют организовывать логическую топологию
с петлями. Шлюз позволяет строить сеть из сегментов различной
физической природы. Разделяемый сегмент Ethernet не рекомендуется загружать свыше 30% в
среднем, иначе большую часть времени сеть будет заниматься обработкой коллизий,
в результате время ожидания возрастет, а пропускная способность упадет
(хотя пересылать файлы с одного узла на другой можно с полной скоростью,
если другие узлы в это время молчат).
Устройства не отслеживают потерю и дублирование кадров и не сообщают об этом протоколу
верхнего уровня, испорченные кадры молча выбрасываются (ни извещений, ни перепосылки).
Реактивное управление потоком (опция). Порядок, время задержки и полоса пропускания не гарантируются.
Фрагментация пакетов не предусмотрена, поэтому все устройства в сегменте должны иметь одинаковое MTU.
Стандарты Ethernet образуют семейство стандартов IEEE 802.x
(IEEE Standard for Local and Metropolitan Area Networks, ISO 8802,
ECMA-80, ECMA-81, ECMA-82).
IEEE 802.1 - отображение на концептуальную модель ISO/OSI
(IEEE 802-2001, Overview and Architecture)
IEEE 802.1B - LAN/MAN Management
IEEE 802.1D/802.1D-2004 - Media access control (MAC) Bridges
(назначение и реализация мостов и коммутаторов, включает 802.1p и 802.1Q;
802.1t - дополнение, 802.1w - Rapid Reconfiguration)
IEEE 802.1E - System Load Protocol
IEEE 802.1F - Management Information
IEEE 802.1G - Remote Media Access Control (MAC) bridging
IEEE 802.1H - Media Access Control (MAC) Bridging
(трансляция протоколов канального уровня)
IEEE 802.1p - GARP и приоритетное обслуживание (объединен с 802.1Q)
IEEE 802.1Q/802.1Q-2003 - Virtual Bridged Local Area Networks
(виртуальные локальные сети VLAN)
IEEE 802.1u - исправления к 802.1Q
IEEE 802.1v - VLAN Classification by Protocol and Port
IEEE 802.1X/802.1X-2001 - Port-Based Network Access Control
(аутентификатор (например, коммутатор) проверяет просителя (supplicant)
с помощью внешнего сервера аутентификации (RADIUS,
tacacs+) или самостоятельно;
аутентифицированный проситель получает полный доступ к порту)
IEEE 802.2 - уровень LLC (Logical Link Control), передача кадров,
интерфейс между сетевым уровнем и MAC
IEEE 802.2ad - агрегирование каналов (trunking)
IEEE 802.3, 802.3-2002 - стандарт уровня MAC для метода
CSMA/CD, интерфейс между LLC и физическим уровнем PHY
(3 секции, включающие все виды физического уровня)
IEEE 802.3i - 10Base-T, 10 Мбит/сек на витой паре
IEEE 802.3u - Fast Ethernet (LLC и MAC не изменились), 1995
IEEE 802.3x - управление потоком в полнодуплексном режиме, 1997
IEEE 802.3ab - Gigabit Ethernet на витой паре UTP 5, 5e и 6 (1000BASE-T, 100м), 1999;
требуются все 4 витых пары, но при согласовании используется только 2
IEEE 802.3ac - увеличение размера кадра до 1522 октетов для 802.1Q и 802.1p
IEEE 802.3ad - Link Aggregation Control Protocol (LACP) - разделили на IEEE 802.1AX-2008 (определение) и
IEEE 802.3-2005 Ethernet clause 43 (реализация)
IEEE 802.3ae, 802.3ae-2002 - MAC Parameters, Physical Layer and Management Parameters for 10Gb/s Operation;
10GBASE-SR (MMF), 10GBASE-LR (SMF, 10км), 10GBASE-ER (SMF, 40км),
10GBASE-LX4 - используется технология WDM (4 волны), мультимод OM1 - 300м, одномод - 10км;
IEEE 802.3af и 802.3au - DTE Power via Media Dependent Interface (MDI)
(PoE, электропитание по кабелю Ethernet: 48 V, 350 mA, переменный ток)
IEEE 802.3ah - Ethernet in the First Mile;
1000BASE‑LX10/1000BASE-LH (одномод, 10км);
1000BASE-BX10 (одномод, 10км, в обе стороны по 1 волокну)
IEEE 802.3an - 10GBASE-T (10 Gb по витой паре, IEC 60603-7 8P8C, 100м по кабелю Cat6a, 55м по кабелю Cat6);
10GBASE-CR (10GBASE-CX1, twin-axial, 2 пары, SFP+ Direct Attach, Direct Attach Copper (DAC), 15м); 2006
IEEE 802.3ap и 802.3ap-2007 - 1000BASE‑KX (1Gb, внутри платы, 1м) и 10GBase-KX4 (10Gb, внутри платы, 1м, 4 линии по аналогии с 10GBASE-CX4)
и 10GBASE-KR (10Gb, внутри платы, 1м, 1 линия); 2007
IEEE 802.3aq и 802.3aq-2006 - 10 Gb по многомодовой оптике (10GBASE-LRM, 220м на OM1); 2006
IEEE 802.3as - Frame expansion (?); 2006
IEEE 802.3at - электропитание по кабелю Ethernet, 25 Вт вместо 16 Вт в 802.3af; 2009
IEEE 802.3av - 10 Gb по пассивной оптике (EPON, 20км); 10GBASE-PR10, 10GBASE-PR20 и 10GBASE-PR30; 2009
IEEE 802.3bg - совместимость 40Gb Ethernet с (OTU3/STM-256/OC-768/40G POS); 2011
IEEE 802.3bj - 40/100 Gb (802.3ba) медь; 4 линии по 10 или 25 Gb;
100GBASE-KP4 и 100GBASE-KR4 - 100 Gb внутри платы (1м);
40GBASE-KR4 - 40 Gb внутри платы (1м);
40GBASE-CR4 и 100GBASE-CR4 - по твин-аксиал кабелю (5м);
2014
IEEE 802.3bk - уточнения к EPON; 2013
IEEE 802.3bm - 40/100 Gb (802.3ba) оптика;
40GBASE-SR4, 100GBASE-SR4 - 4 линии по 10 или 25Gb (мультимод - 100м по OM3 и 125м по OM4);
40GBASE-LR4, 100GBASE-LR4 - 4 линии по 10 или 25Gb (одномод - 10км);
коммутатор Juniper QFX5200-32C (32 QSFP28 = 128 SFP28, Broadcom StrataXGS Tomahawk BCM56960);
коммутатор Dell S6100-ON (модульный, 32 QSFP28);
коммутатор Huawei CE8860-4C-EI (модульный, 4 слота - 8xQSFP28/16xQSFP+/24xSFP28/24xSFP+));
коммутатор Edge-core AS7712-32X (32 QSFP28, ПО);
коммутатор Mellanox MSN2100-CB2F (16 QSFP28, ПО 2БП);
коммутатор Mellanox SN2700 (32 QSFP28);
Inventec D7032Q28B (32 QSFP28) - анонс есть, продаж нет
2015
IEEE 802.3bp - 1000BASE-T1 (1Gb по 1 витой паре); 2014
IEEE 802.3bq - 25GBASE-T (25 Gb по витой паре, 30м по Cat8);
40GBASE-T (40 Gb по витой паре, 30м по Cat8); 2016
Уровень LLC (Logical Link Control, управление логическим
каналом) организует сопряжение с вышестоящими уровнями стека сетевых
протоколов, управление потоком и обработку ошибок передачи
(выявлением ошибок занимается уровень MAC).
Заголовок PDU (Protocol Data Unit) состоит из 3 полей:
номер протокола получателя
(DSAP, один байт, 0x6 - IP, 0xF0 - NetBIOS), номер протокола отправителя (SSAP),
управляющее поле - 1 или 2 байта
(для ненумерованного кадра - 1 байт, не содержащий дополнительной информации).
Старший бит DSAP задает тип адреса: индивидуальный или групповой,
старший бит SSAP задает флаг: команда или ответ.
В любом режиме работы можно использовать управляющие
кадры XID (обмен информацией о поддерживаемых режимах и размере окна) и
TEST.
LLC предоставляет 3 вида услуг (протокола, режима работы):
Type 1: услуги без подтверждений и установления соединения, не включают механизмы
подтверждения, управления потоком и обработки ошибок; используются
ненумерованные информационные кадры (UI PDU)
Type 2: устанавливается логическое соединение, обеспечивается управление потоком
и обработка ошибок (похож на асинхронный сбалансированный режим HDLC
с 7-битной нумерацией)
Type 3: обеспечивается подтверждение доставки PDU с помощью передачи ненумерованного
PDU и ответа со взведенным битом отклика, но логическое
соединение не устанавливается; используется 1-битовый порядковый номер
В стеках протоколов TCP/IP и IPX/SPX всегда используется
режим LLC1. Процедуры LLC лишь извлекают из PDU пакеты
IP, ARP и
RARP.
NetBIOS/NetBEUI может использовать режим LLC2. В этом случае используются
также информационные и управляющие кадры (заголовок длиной 3 или 4 байта).
Уровень MAC регулирует доступ к среде передачи данных,
дополняет модуль данных LLC (PDU LLC) информацией об адресах и контрольной
суммой, формирует кадр (frame) MAC. Выявляет ошибки и отклоняет ошибочные кадры.
Обработкой ошибок (повторной передачей) может заниматься уровень LLC или
вышестоящий уровень.
Для надежного распознавания коллизий время передачи кадра
минимальной длины должно быть больше времени распространения коллизии до самого
дальнего узла локальной сети (сегмента коллизий) и обратно.
Минимальная длина поля данных - 46 байт
(64 байта с заголовком кадра, 72 байта с заголовком и преамбулой).
Битовая скорость - 10 Мбит/сек (14880 кадров минимальной длины в секунду).
Межкадровый интервал (IPG) - 9.6 мкс (Fast Ethernet - 0.96 мкс).
Максимальная длина кадра без преамбулы - 1518 байт.
Максимальное расстояние между станциями - 2500 м (Fast Ethernet - 250 м).
Максимальное количество станций - 1024.
Форматы кадра (MAC+LLC, попытки унификации привели только к увеличению вариантов):
802.3/LLC (802.3/802.2, Novell 802.2, 802.3-1998): объединение полей заголовков
стандартов 802.3 и 802.2
преамбула (7 байт синхронизации)
начальный ограничитель кадра (1 байт SFD)
адрес назначения (2 или 6 байт, в реальности всегда 6)
адрес отправителя
длина поля данных (2 байта)
поле данных (от 0 до 1500 байт), содержит данные вышестоящего уровня
(включая заголовок LLC) или управляющую
информацию MAC
поле заполнения (дополняет поле данных до 46 байт)
поле расширения для Gigabit Ethernet (дополняет кадр до 512 байт)
CRC-32 (FCS)
802.3-2002
преамбула (7 байт синхронизации)
начальный ограничитель кадра (1 байт SFD)
адрес назначения (6 байт)
адрес отправителя (6 байт)
длина поля данных или тип (2 байта; если меньше или равно 1500, то длина,
иначе тип протокола верхнего уровня; для Jumbo-кадров всегда тип)
поле данных (от 0 до 1500 байт)
поле заполнения (дополняет поле данных до 46 байт)
поле расширения для Gigabit Ethernet (дополняет кадр до 512 байт)
CRC-32 (FCS)
Raw 802.3 (Novell 802.3) - не содержит заголовка LLC (мы же знаем,
что кроме IPX других типов пакетов не бывает ;)
Ethernet DIX (Ethernet II) - не содержит заголовка LLC, а вместо
длины содержит значение типа протокола (аналог DSAP/SSAP, но 2 байта:
IP - 0x0800); в отличие от 802.3-2002 нет поля SFD, а длина преамбулы - 8 байт
Ethernet SNAP: DSAP и SSAP в заголовке LLC равны 0xAA, управляющее поле
LLC равно 3 и добавлены поля OUI (схема кодирования протоколов, 3 байта),
код протокола (2 байта, для OUI равного нулю коды протоколов совпадают
с типами протоколов кадра Ethernet II)
Возможно автоматическое распознавание типов кадров, т.к.
тип протокола в формате кадра Ethernet II всегда больше максимальной
длины кадра (1500, а jumbo frame?), а в начале пакета IPX идут байты 0xFF, что отличается
от возможных значений DSAP и SSAP. Стек IP обычно использует формат кадров
Ethernet II или Ethernet SNAP. Коммутаторы обычно поддерживают только
один формат кадров на каждом порту, а групповой и широковещательный трафик
рассылается только по портам с тем же форматом кадра (это может привести
к изоляции устройства из=за неработоспособности протоколов типа ARP).
Типы адресов MAC (в IEEE младший бит изображается слева):
широковещательный (broadcast) - 0xFFFFFFFFFFFF, всем узлам сети
индивидуальный (unicast) - первый бит старшего байта равен нулю;
второй бит равный 0 определяет централизованный способ назначения адреса:
старшие 3 байта определяют производителя оборудования, младшие 3 байта
задают уникальный номер устройства (некоторые устройства позволяют
перепрошивать MAC адрес)
групповой (multicast) - указывает номер группы, состав группы определяется
конфигурацией
IEEE пропагандирует новый 64-битный формат адреса EUI-64,
в котором в качестве номера устройства используется 5 байт вместо 3.
Для Gigabit Ethernet минимальный размер кадра без преамбулы -
512 байт. В Gigabit Ethernet введен монопольный пакетный режим
(Burst Mode), позволяющий передавать несколько коротких пакетов
подряд (до 8192 байт, дополнения до 512 байт не производится).
Ошибки:
ошибка CRC (CRC error)
затянувшийся кадр
ошибки кадрирования (число бит не кратно 8, frame error)
ошибки длины
коллизия
поздний конфликт (late collision), коллизия обнаружена после 512 бита,
скорее всего превышен максимальный диаметр сети
слишком много коллизий (16 неудачных попыток передачи пакета подряд)
Физический уровень занимается кодированием и декодированием
сигналов, генерацией синхронизирующей последовательности битов, приемом и
передачей битов. Также включает спецификацию среды передачи и её топологию.
Обычно при инициализации устройства производится
автоматическое согласование параметров передачи (NWay, auto-negotiation, Config_Reg для 1000Base-X
и FLP (fast link pulse) для *-TX (LCW - link code word - Register 4 передатчика))
между двумя устройствами (неприменимо к разделяемой среде; не реализовано для 10GE;
для оптических сред невозможно согласовать скорость): полный дуплекс, полудуплекс,
управление потоком (симметричное, асимметричное, никакого),
обработка ошибок автосогласования (выключение, ошибка соединения, ошибка автосогласования),
скорость, технология (802.3, 802.5, 802.9).
Начальная передача длится 10 мс.
Устройство может скрыть (маскировать) некоторые свои возможности.
Стандарт определяет следующие виды среды передачи:
10Base-5: RG-8 и RG-11 - толстый (12 мм) и прочный коаксиальный кабель
("yellow" coax),
волновое сопротивление 50 Ом, максимальная длина физического сегмента -
500 м (без повторителей или хабов), на концах кабеля должны быть
терминаторы 50 Ом, узел подключается к кабелю с помощью трансивера
(приемопередатчика, MAU), не более 100 на сегмент, не менее 2.5 м между ними,
обеспечивает гальваническую развязку,
сетевой адаптер соединяется с трансивером
кабелем AUI (разъем DB-15 или DIX, до 50 м), бывают трансиверы для витой пары
с интерфейсом AUI, не более 5 сегментов (из них только 3 нагруженных) на сеть
(каждый повторитель вносит дополнительную задержку);
физическая топология - общая шина (до первого повторителя);
логическая топология - общая шина (до первого коммутатора)
10Base-2: RG-58/U, RG-58 A/U, RG-58 C/U - тонкий (5 мм) коаксиальный кабель
волновое сопротивление 50 Ом
(кстати, телевизионный кабель RG-59 имеет волновое сопротивление 75 Ом),
соединяется T-образными разъемами BNC в разрыве кабеля,
максимальная длина физического сегмента -
185 м (без повторителей или хабов), на концах кабеля должны быть
терминаторы 50 Ом, не более 30 узлов на сегмент, не менее 1 м между ними,
не более 5 сегментов (из них только 3 нагруженных) на сеть,
гальваническая развязка отсутствует (больно бьется током!),
очень ненадежная и капризная конструкция;
физическая топология - общая шина (до первого повторителя);
логическая топология - общая шина (до первого коммутатора)
10Base-T: UTP категории 3 (неэкранированная витая пара),
4 пары (используется только 2), каждая пара имеет определеный цвет,
вилки (на конце кабеля) и розетки (на карте) типа RJ-45 (8 контактов),
максимальное расстояние между узлом и концентратором - 100 м,
концентраторы могут быть соединены иерархически (по пути между любыми
двумя узлами не должно быть более 4 концентраторов),
петли не допускаются,
максимальный диаметр сети - 500 м, максимальное число узлов - 1024,
тест связности позволяет автоматически определять и отключать микросегменты,
образуется один домен коллизий;
физическая топология - звезда (иерархия звезд);
логическая топология - общая шина (до первого коммутатора)
10Base-FL, 10Base-FB (только между повторителями):
многомодовый волоконно-оптический кабель (Multi Mode Fiber, MMF),
меньшая полоса пропускания, но дешевый, источником излучения может быть
светодиод, диаметр - 62.5/125 или 50/125; топология аналогична 10Base-T;
максимальная длина сегмента - 2 км;
петли не допускаются;
вилки (на конце кабеля) и розетки (на карте) типа MIC, ST или SC;
физическая топология - звезда (иерархия звезд);
логическая топология - общая шина (до первого коммутатора)
100Base-TX: UTP категории 5 (неэкранированная витая пара), до 100 м,
волновое сопротивление 100 Ом,
4 пары (используются только пары 2 и 3),
каждая пара имеет определеный цвет,
вилки и розетки типа RJ-45 (в реальности 8P8C - внешне похож на RJ45S (8P4C с ключом),
при соединении проводников кабеля с контактами разъёмов 8P8C используются таблицы T568A и T568B) категории 5 (MDI),
для соединения сетевого интерфейса узла и порта концентратора
используется прямой кабель
(порты концентратора MDI-X имеют обратную распайку),
для прямого соединения двух узлов используется перевернутый кабель
(crossover или null repeater);
есть вариант для кабеля STP Type 1 (волновое сопротивление 150 Ом,
экранированный разъем DB-9);
между уровнем MAC и уровнем физического кодирования сигнала
может быть интерфейс MII (аналог AUI, 1 м, я не встречал);
автоматическое определение скорости (10/100) и дуплекса (half/full) NWay;
полный дуплекс только при прямом соединении или соединении с коммутатором;
не более 1 повторителя класса I или 2 повторителей класса II
в сегменте коллизий (диаметр сегмента - 205 м);
физическая топология - звезда (иерархия звезд);
логическая топология - общая шина (до первого коммутатора);
контакты разъема MDI:
передача + (белый/оранжевый)
передача - (оранжевый)
прием + (белый/зеленый)
не используется
не используется
прием - (зеленый)
не используется
не используется
100Base-T4: UTP категории 3, используются все 4 пары: одна пара
для передачи, одна пара для приема и 2 пары прием/передача; до 100 м;
только полудуплекс; диаметр сети - 205 м;
физическая топология - звезда (иерархия звезд);
логическая топология - общая шина (до первого коммутатора)
100Base-FX: многомодовый волоконно-оптический кабель
(два волокна, диаметр - 62.5/125),
прямое соединение до 412 м (полудуплекс) или 2 км (дуплекс);
соединение с повторителем - 200 м; диаметр сети - 320 м;
вилки (на конце кабеля) и розетки (на карте) типа MIC, ST или SC;
физическая топология - звезда (иерархия звезд);
логическая топология - общая шина (до первого коммутатора)
100BASE-T1 - 100Mb по 1 витой паре
1000Base-SX: многомодовый волоконно-оптический кабель, оранжевый, 850 нм,
220м (275м?) для волокна ОМ1 62.5/125 и 500м (550м?) для волокна ОМ2 50/125 (полнодуплексный
режим), 100 м (полудуплекс); разъём дуплекс SC (неофициально дуплекс LC); имеются реализации на 2.2км
1000Base-LX: одномодовый волоконно-оптический кабель (Single Mode Fiber,
SMF, 9мкм), большая полоса пропускания, дорогой, источником излучения может быть
только лазер; 1300 нм; 5 км (25 км?), разъём дуплекс SC (неофициально дуплекс LC);
возможны многомодовые модификации (50 и 62.5 мкм) на расстоянии до 2.5 км
1000BASE-BX10 - одномодовый волоконно-оптический кабель, в обе стороны по 1 волокну
1000Base-CX - твинаксиальный кабель: два коаксиальных кабеля 75 Om (150 Om?) для Gigabit Ethernet,
для полного дуплекса необходимо 4 коаксиальных кабеля, 25 м; DB-9, HSSDC
1000Base-T: UTP категории 5 (5e и 6), используются все 4 пары, 100 м,
полудуплекс или дуплекс (передатчики работают навстречу по всем 4 парам); RJ-45 (8P8C);
при согласовании используется только 2 - согласование прходит, а работа невозможно
1000BASE-T1 - 1Gb по 1 витой паре
1000BASE‑KX - 1Gb, внутри платы, 1м
10GBase-SR и 10GBase-SW: многомодовый оптический кабель, 850 нм, оранжевые OM1 (33м) и OM2 (82м),
синие OM3 (300м) и OM4 (400м); версия W предназначена для SONET/SDH, используется VCSEL лазер, дуплекс LC
40GBASE-CR4 - 40 Gb (4x10Gb) по твин-аксиал кабелю (5м)
40GBASE-SR4 - 4 линии по 10 Gb (мультимод - 100м по OM3 и 125м по OM4)
40GBase-BD - 40 Gb (4x10Gb) по 2 волокнам MMF (100 метров для OM3 и 150 метров для OM4);
принцип работы:
4x10Gb электрически преобразуются в 2x20Gb, затем первый оптический сигнал передаётся по первому волокну на волне 850 нм,
второй оптический сигнал передаётся по второму волокну на волне 900 нм, приём с первого волокна ведётся на волне 900 нм,
со второго - 850нм (хорошие фильтры должны быть!); пример: foit-foxconn (Avago, Foxconn, FIT) AFBR-79EBPZ (QSFP+, LC Duplex, SR)
40GBASE-LR4 - 4 линии по 10 Gb (одномод - 10км)
40GBASE-T - 40 Gb по витой паре, 30м по Cat8
100GBASE-KP4 и 100GBASE-KR4 - 100 Gb (4x25Gb) внутри платы (1м)
100GBASE-SR4 - 4 линии по 25 Gb (мультимод - 100м по OM3 и 125м по OM4)
100GBASE-LR4 - 4 линии по 25 Gb (одномод - 10км)
Интерфейс между картой сетевого адаптера (коммутатором) и сменным трансивером (приёмопередатчик)
и механические характеристики трансиверов определяются не в стандарте, а организацией MSA:
GBIC
SFP (mini-GBIC): 1 логическая линия (TD+, TD-, RD+, RD-), 20 контактов, 256 байт EEPROM по I2C,
DDM (digital diagnostics monitoring, DOM, digital optical monitoring), применяется для 1000Base
XENPAK (10Gb, XAUI)
X2 (10Gb, XAUI)
XPAK (XAUI)
XFP (XFI)
SFP+ (SFF-8431): механически и по контактам совместим с SFP, SFI (150-200мм, до 16 Gb FC), 1 линия, 20 контактов, применяется для 10GBase;
сборка AOC (active optical cable) представляет собой 2 трансивера и неотделяемый дуплексный кабель MMF (10GBASE-SR);
сборка DAC (Direct Attach Copper) представляет собой 2 заглушки для трансивера и неотделяемый двойной коаксиальной кабель (10GBASE-CR);
примеры трансиверов: Finisar FTLX8571D3BCL (дуплекс LC, MMF, 850nm),
Finisar FTLX8571D3BCV (добавлен DDM), SNR-SFP+SR (дуплекс LC, MMF, 850nm, DDM),
Intel E10GSFPSR SFP+ (с FTLX8571D3BCV-IT1 внутри) - не совместим с Huawei и Dell, совместим с Intel и D-Link,
Huawei OMXD30000 (p/n 2318169, дуплекс LC, MMF, 850nm, 400м на OM4; Dell ON743D aka Finisar FTLX8571D3BCL),
Huawei SFP-10G-USR (p/n 02310MNW, дуплекс LC, MMF, 850nm, 150м на OM4),
SFP+ Gigalight 10G 850nm 300m LC DDM MMF (SNR-SFP+SR);
трансиверы для 10GBase-T (до 30 метров категории 6a или 7): HP 813874-B21 или совместимые (10G-SFP-T-HP), SNR-SFP+T до 20м
QSFP (QSFP+, QSFP10, SFF-8436): SFF-8436; 4 линии по 10Gb;
потребление в зависимости от класса модуля 1.5-3.5 Вт;
электрический интерфейс - XLPPI по IEEE 802.3ba-2010 (4x10.3125 Gbps; 64b/66b);
оптический порт или MPO 12/8 (male, IEC 61754-7) или (IEC 61754-20);
сборка AOC (active optical cable) представляет собой 2 трансивера и неотделяемый кабель MMF;
сборка DAC (Direct Attach Copper) представляет собой 2 заглушки для трансивера и неотделяемый коаксиальной кабель;
таблица совместимости DAC и AOC от Panduit;
примеры трансиверов с разъёмом MPO (MTP) 12/8: D-Link DEM-QX01Q-SR4,
SNR-QSFP+SR4 (MMF, DDM, MPO 12/8, 150м на OM4), Silicom FTL410QE2C (MMF, MPO 12/8, 150м на OM4);
примеры SR трансиверов технологии 40GBase-BD с разъёмом LC дуплекс:
Huawei QSFP-40G-SR-BD (p/n 02311FPA, MMF, 850nm, 150м на OM4),
Fiberay QSFP-40G-SR-BD, Cisco QSFP-40G-SR-BD (foit-foxconn (Avago, Foxconn, FIT) AFBR-79EBPZ, передатчик VCSEL, приёмник PIN, интерфейс TWS
для управления и получения информации о состоянии: 4 Receiver LOS, 4 Transmitter LOS, Transmitter Fault; DDM?
порядок линий при мультиплексировании 2:1 может меняться)
CFP: 10 линий по 10Gb, CAUI-10
CFP2
CFP4: 4 линии, CAUI-4
CXP: 100Gb, CAUI-10
CPAK
SFP28: механически и по контактам совместим с SFP; примеры трансиверов с разъёмом LC (дуплекс): SNR-SFP28-SR
QSFP28: механически и по контактам совместим с QSFP, 4 линии по 25Gb, CAUI-4, сборка для преобразования QSFP28 в 4 SFP28;
пример AOC: Huawei QSFP-100G-AOC-10M (AOC, 10m, 100GBASE-SR4)
SFP-DD MSA (50 и 100Gb): 2 канала SFP28 (NRZ) или SFP56 (PAM4); на 8 мм длиннее SFP; варианты: LC, MPO, DA и AOC; совместим с SFP28 и SFP56
QSFP-DD MSA (200 и 400Gb): 8 каналов SFP28 (NRZ) или SFP56 (PAM4); совместим с QSFP28 и QSFP56; варианты: LC (CWDM8), CS (2 CWDM4)
OSFP
Примеры информации, полученной по DDM:
SNR SFP+ MMF SR на сервере ("ethtool --module-info enp4s0f0")
Identifier : 0x03 (SFP)
Extended identifier : 0x04 (GBIC/SFP defined by 2-wire interface ID)
Connector : 0x07 (LC)
Transceiver codes : 0x10 0x00 0x00 0x00 0x00 0x00 0x00 0x00
Transceiver type : 10G Ethernet: 10G Base-SR
Encoding : 0x06 (64B/66B)
BR, Nominal : 10300MBd
Rate identifier : 0x00 (unspecified)
Length (SMF,km) : 0km
Length (SMF) : 0m
Length (50um) : 80m
Length (62.5um) : 20m
Length (Copper) : 0m
Length (OM3) : 300m
Laser wavelength : 850nm
Vendor name : OEM
Vendor OUI : 00:00:00
Vendor PN : SFP+ SR
Vendor rev : A
Laser bias current : 21.730 mA
Laser output power : 0.5068 mW / -2.95 dBm
Receiver signal average optical power : 0.4438 mW / -3.53 dBm
Module temperature : 42.44 degrees C / 108.39 degrees F
Module voltage : 3.3345 V
Alarm/warning flags implemented : Yes
Laser bias current high alarm : Off
...
AOC Avago AFBR-2CAR10Z на сервере ("ethtool --module-info enp4s0f0")
Оптические разъёмы для подключения кабеля к трансиверу:
SC
LC
mini-LC
MPO (MTP)
MPO (IEC-61754-7, EIA/TIA-604-5) - 12 или 24 оптических волокна в одном разъёме (соединителе, кабеле).
MTP - улучшенный вариант, имя защищено торговой маркой.
В набор возможностей входят коммутационная панель для 3 кассет MPO24, кассета распределительная MPO24 на 12 портов LC.
Для QSFP+ используется 12-волоконный вариант: волокна 1-4 (передатчик 1, 2, 3, 4) и 9-12 (приёмник 4, 3, 2, 1), белая точка у волокна 1,
если смотреть в торец так, чтобы выступ (key) был сверху, то волокна нумеруются слева направо от 1 до 12.
Коннектор может быть со штифтами (male) и отверстиями (female).
Предусмотрены MPO адаптеры между коннекторами MPO male и MPO female: Type A - выступ вверх к выступу вниз, Type B - выступ вверх к выступу вверх.
Про поляризацию кабелей описано на сайте изготовителя
(дубль):
Type A (прямой, straight), волокно 1 на конце выступом вверх соединяется с волокном 1 на конце выступом вниз, 2 и 2, ...
Type B (реверсивный, reversed), волокно 1 на конце выступом вверх соединяется с волокном 12 на конце выступом вверх, 2 и 11, ...
Type C (pairs flipped), волокно 1 на конце выступом вверх соединяется с волокном 2 на конце выступом вниз, 2 и 1, ...
Для прямого соединения трансиверов QSFP+ (40GBE) используется
кабель MPO типа B
с коннекторами female на обоих концах. В более сложных случаях используются MPO кассеты и переходные кабели соответствующей полярности.
Объединение портов (trunking, link aggregation group, link bundling) позволяют
объединить несколько портов (соединений, каналов) в единое целое (группу портов), увеличивая как производительность,
так и надежность. Протоколы верхних уровней рассматривают транк как
один канал. Для управления транками (можно использовать группы без использования управляющего протокола)
может использоваться фирменный протокол (например, Cisco: Port Aggregation Protocol - PAgP)
или LACP (Link Aggregation Control Protocol),
описанный в IEEE 802.3ad и вошедший в состав 802.3-2005 (clause 43, реализация) и IEEE 802.1AX-2008 (определение)
или EtherChannels.
LACP позволяет статическое или динамическое объединение пропускной способности
с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов.
Порт в пассивном LACP режиме отвечает на запросы по объединению портов с другой стороны,
в активном режиме - выдаёт запросы (LACPDU) на объединение. Порты с обоих сторон могут быть в активном режиме.
Ограничения LACP:
все порты в группе должны использовать один протокол агрегирования
работа в разделяемой среде не поддерживается
все порты должны работать в режиме полного дуплекса
все порты должны работать на одинаковой скорости
порты должны иметь одинаковый набор VLAN
все порты должны использовать одинаковый формат кадров
Inter-Switch Trunk (IST) - возможность объединять порты на разных коммутаторах.
Объединение портов в Linux осуществляется с помощью модуля bonding
(создаёт интерфейс bond0, при создании имеет MAC адрес 00:00:00:00:00:00,
затем берёт MAC адрес от первого присоединённого интерфейса,
он же раздаётся всем присоединённым интерфейсам, не изменяется при падении первого присоединённого интерфейса,
можно изменить командой "ip link set bond0 address адрес")
и утилиты ifenslave (входит в пакет iputils, используется в initscripts в RHEL4)
или непосредственно командой /sbin/ip
и манипуляциями с /sys/class/net/ (RHEL5).
Для объединения eth0 и eth1 в одну группу в RHEL5 достаточно создать /etc/sysconfig/network-scripts/ifcfg-bond0
и /etc/sysconfig/network-scripts/ifcfg-eth[01] и перезагрузить сеть (/etc/rc.d/init.d/network restart):
mode - режим балансировки исходящих кадров по интерфейсам (по умолчанию - balance-rr, MAC адреса
всех интерфейсов будут совпадать с MAC адресом группового устройства,
кроме режимов balance-tlb и balance-alb; режимы на 2 концах не обязаны совпадать):
0 (balance-rr) - использовать каждый интерфейс по очереди (round-robin);
самая лучшая балансировка загрузки (даже один TCP поток идёт через несколько интерфейсов),
но пакеты приходят в произвольном порядке, что вызывает накладные расходы по их упорядочиванию
(а что будет с segmentation offload? а отложенные или слитые прерывания?) -
увеличение net.ipv4.tcp_reordering с 3 до 10 не на 100% (где tcp__max_reordering?);
порты на коммутаторе д.б. сгруппированы вручную;
могут быть проблемы с приложениями UPD, anycast;
tcp_bbr?
1 (active-backup) - использовать только один интерфейс, остальные в горячем резерве;
MAC адрес виден только на активном интерфейсе, так что поддержки от коммутатора не требуется
2 (balance-xor) - (адрес-отправителя XOR адрес-получателя) modulo количество-интерфейсов -
борьба с утерей порядка пакетов, но возможна ситуация когда один интерфейс перегружен,
а другие простаивают
(идиотизм: все сервера двухпортовые и MAC адреса eth0 (и большей части eth1) чётные,
в результате все потоки идут через первый порт);
порты на коммутаторе д.б. сгруппированы вручную
3 (broadcast) - отправлять каждый кадр по всем интерфейс;
порты на коммутаторе д.б. сгруппированы
4 (802.3ad) - создание группы в соответствии LACP (802.3ad), выбор интерфейса по алгоритму balance-xor
с учётом xmit_hash_policy; несовместим с ARP мониторингом
5 (balance-tlb) - адаптивная балансировка нагрузки при передаче (balance-tlb), лучше чем XOR,
не требует поддержки от коммутатора,
весь входящий траффик обрабатывается текущим (всегда один и тот же?) интерфейсом;
несовместим с ARP мониторингом
6 (balance-alb) - адаптивная балансировка при передаче и при приёме IPv4
не требует поддержки от коммутатора; модифицируются свои ARP ответы
(подставляя MAC адреса интерфейсов группы по очереди для каждого получателя), а после каждой
широковещательной ARP рассылки вслед "поимённо" посылаются ARP обновления;
драйвер д.б. способен менять MAC адрес открытого интерфейса
xmit_hash_policy - тип адресов для режимов balance-xor и 802.3ad:
0 (layer2) - MAC (по умолчанию, SA/DA), 1 (layer3+4) - IP и порт (большая равномерность распределения
при сохранении упорядоченности, не совсем совместим с LACP)
lacp_rate - частота запросов LACPDU: slow (каждые 30 секунд, по умолчанию) или fast (каждую секунду)
miimon - миллисекунд между проверками соединения с помощью MII (по умолчанию выключен; рекомендуется 100
или указать arp_interval и arp_ip_target)
use_carrier - использовать netif_carrier_ok вместо MII/Ethtools ioctls, как более эффективный,
но реализован не во всех драйверах (1)
updelay - миллисекунд задержки реакции после подъёма соединения для miimon (0);
требуется для тормозных коммутаторов;
обязательно для режима balance-alb (иначе коммутатор заблокирует)
downdelay - миллисекунд задержки реакции после падения соединения для miimon(0)
arp_interval - миллисекунд между проверками соединения с помощью ARP (по умолчанию выключен);
не совместим с режимом XOR на коммутаторе
arp_ip_target - список IP адресов "жертв" для ARP проверок через запятую (пуст)
num_grat_arp - число ARP пакетов при сбое (для режима active-backup) для каждого VLAN
num_unsol_na - число IPv6 пакетов при сбое (для режима active-backup)
primary - предпочтительный интерфейс для режима active-backup
arp_validate - проверка ARP запросов: никакой (по умолчанию), active, backup, all
fail_over_mac - ?: none (по умолчанию), active, follow
Параметры модуля bonding (доступны через /sys/class/net/; изменять для активного интерфейса нельзя)
можно занести в /etc/modprobe.conf перед загрузкой:
alias bond0 bonding
options bond0 mode=802.3ad miimon=100 xmit_hash_policy=1
Будут проблемы с VLAN, с "необычной" маршрутизацией. Бойтесь перенумерации интерфейсов.
Для правильной работы агента SNMP модуль bonding д.б. загружен до модулей интерфейсов.
Прослушивание (promiscuous) в режимах active-backup, balance-tlb, balance-alb распространяется только на
текущий (?) активный подчинённый интерфейс.
Коммутатор посылает пакет на все интерфейсы, если MAC адреса нет в его таблице - это вызывает дублирование пакетов.
Информация доступна в /proc/net/bonding/имя и /sys/class/net/.
Сетевой адаптер (NIC, Network Interface Card) реализует
(вместе с драйвером) физический и MAC-уровень. Теоретически, они различаются
типом шины, но единственно разумным выбором в настоящее время является PCI
адаптер (кстати, они PnP) с использованием bus master DMA.
Двух(трёх)скоростные адаптеры позволяют работать как в режиме
10 Mb/s, так и 100 Mb/s и 1000 Mb/s (адаптер Fast Ethernet не обязан уметь работать
с 10Base-T, хотя у них одинаковые разъемы!). Приличный адаптер должен
поддерживать стандарт NWay автоматического согласования скорости
и режима дуплекса.
Важными компонентами адаптера являются светодиодные
индикаторы наличия связи, передачи данных и режима работы.
Адаптер может иметь микросхему загрузки по сети Boot PROM
по стандартам PXE (Pre-boot eXecution Environment), bootp.
WOL (Wake-on-LAN): возможность сетевой платы (совместо с BIOS
метеринской платы) включать питание компьютера по приходу специального
пакета (на материнской плате имеется специальный разъем для дополнительного
соединения с сетевым адаптером).
Уменьшение загрузки CPU: Bus Master, zerocopy (карта самостоятельно
копирует данные ОП), аппаратное вычисление контрольных сумм, scatter-gather
(слияние/разлияние кусков ОП в один пакет), уменьшение числа прерываний чтения
за счёт небольшой задержки (NAPI).
Например, PCI адаптеры 100Base-TX:
3Com 3C905B 100bTX (rev 48), Cyclone, требуется PCI INTA,
поддерживает Bus Master, сзади 2 лампочки: Link/Collision и 10/100.
Intel PRO/100 S Desktop Adapter, Intel Corp. 82557/8/9 [Ethernet Pro 100],
фирменный драйвер e100 (доступ к PHY через MDI (Management Data Interface),
т.е. используется модуль mii):
eth0: Intel(R) PRO/100 S Desktop Adapter
Mem:0xd7020000 IRQ:12 Speed:100 Mbps Dx:Full
Hardware receive checksums enabled
или новый (без поддержки VLAN, контрольных сумм)
e100: Intel(R) PRO/100 Network Driver, 3.0.27-k2-NAPI
ACPI: PCI interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 209
e100: eth1: e100_probe: addr 0xfeafe000, irq 209, MAC addr xx:xx:xx:xx:xx:xx
встроенный Intel Corp. 82562EZ 10/100 Ethernet Controller (rev 01)
использует тот же драйвер e100
Digital DS21143 Tulip rev 65 (Digital Equipment Corporation DECchip 21142/43 (rev 41)),
используется модуль tulip;
доступ к PHY через MDI (Management Data Interface), т.е. используется mii
Linux Tulip driver version 0.9.15-pre12 (Aug 9, 2002)
tulip0: EEPROM default media type Autosense.
tulip0: Index #0 - Media MII (#11) described by a 21142 MII PHY (3) block.
tulip0: MII transceiver #17 config 0100 status 780d advertising 0041.
tulip0: Advertising 01e1 on PHY 17, previously advertising 0041.
divert: allocating divert_blk for eth2
eth2: Digital DS21143 Tulip rev 65 at 0xf88fac00, xx:xx:xx:xx:xx:xx, IRQ xx.
eth2: Setting half-duplex based on MII#17 link partner capability of 0021.
Intel PRO/1000 GT QUAD port (PWLA8494GT), интерфейс PCI-X:133MHz:64-bit,
состоит из моста PCI-X в два PCI и двух микросхем 82546GB (2 гигабитных порта на PCI),
нет PXE, нумерация снизу вверх
ixgbe 0000:04:00.0: failed to initialize because an unsupported SFP+ module type was detected.
ixgbe 0000:04:00.0: Reload the driver after installing a supported module.
позднее у модуля ixgbe появился параметр allow_unsupported_sfp (не забыть добавить в установщик и загрузчик)
ixgbe 0000:04:00.0: eth0: WARNING: Intel (R) Network Connections are quality tested using Intel (R) Ethernet Optics.
Using untested modules is not supported and may cause unstable operation or damage to the module or the adapter.
Intel Corporation is not responsible for any harm caused by using untested modules.
размер буфера приёма - от 128 до 4096 байт (по умолчанию - 512)
размер буфера передачи - от 128 до 4096 байт (по умолчанию - 512)
утилита управления прошивкой - bootutil (Preboot.tar.gz), если не работает загрузка PXE и в BIOS Setip нет кнопки включения,
то можно включить её этой утилитой (есть версия под Linux и UEFI Shell):
bootutil64e
Intel(R) Ethernet Flash Firmware Utility
BootUtil version 1.6.49.0
Copyright (C) 2003-2017 Intel Corporation
Type BootUtil -? for help
Port Network Address Location Series WOL Flash Firmware Version
==== =============== ======== ======= === ============================= =======
1 90E2BA7C6A24 4:00.0 10GbE N/A FLASH Disabled
2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled
3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present
4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present
5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present
6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present
7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown
8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown
bootutil64e -FLASHENABLE -nic 1
Intel(R) Ethernet Flash Firmware Utility
BootUtil version 1.6.49.0
Copyright (C) 2003-2017 Intel Corporation
Enabling boot ROM on port 1...Success
Reboot the system to enable the boot ROM on this port
Port Network Address Location Series WOL Flash Firmware Version
==== =============== ======== ======= === ============================= =======
1 90E2BA7C6A24 4:00.0 10GbE N/A Reboot Required
2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled
3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present
4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present
5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present
6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present
7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown
8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown
bootutil64e -IMAGEVERSION
Intel(R) Ethernet Flash Firmware Utility
BootUtil version 1.6.49.0
Copyright (C) 2003-2017 Intel Corporation
ERROR: Could not open specified file: BootIMG.FLB
Port Network Address Location Series WOL Flash Firmware Version
==== =============== ======== ======= === ============================= =======
1 90E2BA7C6A24 4:00.0 10GbE N/A PXE 2.1.40
2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled
3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present
4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present
5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present
6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present
7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown
8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown
перевод в режим UEFI: "bootutil -nic=1 -up=efi -file=bootimg.flb"
перевод в режим BIOS: "bootutil -nic=1 -up=PXE -file=bootimg.flb"
а хлеба совсем не давать: "bootutil -nic=1 -up=pxe+efi -file=bootimg.flb"
Mellanox ConnectX-2, -3 и -4 позволяет работать как в режиме InfiniBand,
так и в режиме Ethernet 10Gb (разъём QSFP+!). Например, плата MHQH19-XTC
("InfiniBand: Mellanox Technologies MT26428 [ConnectX VPI PCIe 2.0 5GT/s - IB QDR / 10GigE]") или встроенный в
платформу Intel H2000JF ("Network controller: Mellanox Technologies MT27500 Family [ConnectX-3]")
или в платформу Intel H2000G (MT27504A1-FCCR-FV, MT27508A1-FCCR-FV).
Имеются варианты HCA Mellanox (VPI) для подключения к коммутатору Mellanox кабелями Mellanox на скорости 40/56 Gbps.
Модуль ядра mlx4_core имеет параметр port_type_array, который позволяет выбрать режим InfiniBand (1) или Ethernet (2),
переехал в /etc/rdma/mlx4.conf:
insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_core.ko port_type_array=2
Jan 10 22:43:14 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A disabled
Jan 10 22:44:24 x98 kernel: mlx4_core: Mellanox ConnectX core driver v1.1 (Dec, 2011)
Jan 10 22:44:24 x98 kernel: mlx4_core: Initializing 0000:01:00.0
Jan 10 22:44:24 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A -> GSI 26 (level, low) -> IRQ 26
Jan 10 22:44:26 x98 kernel: mlx4_core 0000:01:00.0: 64B EQEs/CQEs supported by the device but not enabled
cat /sys/bus/pci/devices/0000\:01\:00.0/driver/module/parameters/port_type_array
2
cat /sys/bus/pci/devices/0000\:01\:00.0/mlx4_port1
eth
insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_en.ko
eth2 Link encap:Ethernet HWaddr 00:1E:67:66:FB:9D
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
обычная настройка в /etc/sysconfig/network-scripts/ifcfg-eth2
ifup eth2
ethtool -i eth2
driver: mlx4_en
version: 2.0 (Dec 2011)
firmware-version: 2.10.2370
bus-info: 0000:01:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: no
supports-register-dump: no
supports-priv-flags: no
соединил 2 сервера кабелем InfiniBand Mellanox MCC4Q30C-002 Rev B0 (Amphenol 57778JJ03)
ethtool eth2
Settings for eth2:
Supported ports: [ TP ]
Supported link modes: 10000baseT/Full
Supported pause frame use: No
Supports auto-negotiation: No
Advertised link modes: 10000baseT/Full
Advertised pause frame use: No
Advertised auto-negotiation: No
Speed: 10000Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 0
Transceiver: internal
Auto-negotiation: off
MDI-X: Unknown
Supports Wake-on: d
Wake-on: d
Current message level: 0x00000014 (20)
link ifdown
Link detected: yes
modprobe mlx4_ib
modprobe ib_umad
ibstat
CA 'mlx4_0'
CA type: MT4099
Number of ports: 1
Firmware version: 2.10.2370
Hardware version: 0
Node GUID: 0x001e67030066fb9c
System image GUID: 0x001e67030066fb9f
Port 1:
State: Active
Physical state: LinkUp
Rate: 10
Base lid: 0
LMC: 0
SM lid: 0
Capability mask: 0x04010000
Port GUID: 0x021e67fffe66fb9d
Link layer: Ethernet
# подключение к коммутору Huawei
display interface 40GE1/0/5
40GE1/0/5 current state : UP (ifindex: 57)
Line protocol current state : UP
Description:
Switch Port, PVID : 1, TPID : 8100(Hex), The Maximum Frame Length is 9216
Internet protocol processing : disabled
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 6008-10b9-7731
Port Mode: COMMON COPPER, Port Split: DISABLE
Speed: 10000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Input Flow-control: DISABLE, Output Flow-control: DISABLE
Mdi: AUTO
нормально воспринял "чужой" DAC (Intel XLDACBL3, QSFP+), но тоже на 10 Gb
замена кабеля на Mellanox MC2210126-005 40GbE не меняет картины
kernel: i40e 0000:82:00.0: f5.0.40043 a1.5 n5.04 e2537
kernel: i40e 0000:82:00.0: The driver for the device detected a newer version of the NVM image than expected. Please install the most recent version of the network driver.
kernel: i40e 0000:82:00.0: MAC address: XXX
kernel: i40e 0000:82:00.0: VMDq disabled, not enough MSI-X vectors
kernel: i40e 0000:82:00.0: enabling bridge mode: VEPA
kernel: i40e 0000:82:00.0: i40e_ptp_init: added PHC on eth0
kernel: i40e 0000:82:00.0: PCI-Express: Speed 8.0GT/s Width x8
kernel: i40e 0000:82:00.0: Features: PF-id[0] VFs: 64 VSIs: 66 QP: 8 RX: 1BUF RSS FD_ATR FD_SB NTUPLE DCB PTP
kernel: i40e 0000:82:00.0 enp130s0f0: NIC Link is Down
kernel: i40e 0000:82:00.0 enp130s0f0: NIC Link is Up 40 Gbps Full Duplex, Flow Control: None
сведения от ethtool при попытке использования неподдерживаемого трансивера:
Settings for enp132s0f0:
Supported ports: [ ]
Supported link modes: 40000baseCR4/Full
40000baseSR4/Full
40000baseLR4/Full
Supported pause frame use: Symmetric
Supports auto-negotiation: No
Advertised link modes: 40000baseCR4/Full
40000baseSR4/Full
40000baseLR4/Full
Advertised pause frame use: No
Advertised auto-negotiation: No
Speed: Unknown!
Duplex: Unknown! (255)
Port: Other
PHYAD: 0
Transceiver: external
Auto-negotiation: off
Supports Wake-on: d
Wake-on: d
Current message level: 0x0000000f (15)
drv probe link timer
Link detected: no
сведения от ethtool при подключении по DAC:
Settings for enp130s0f0:
Supported ports: [ FIBRE ]
Supported link modes: 40000baseCR4/Full
Supported pause frame use: Symmetric
Supports auto-negotiation: Yes
Advertised link modes: 40000baseCR4/Full
Advertised pause frame use: No
Advertised auto-negotiation: Yes
Speed: 40000Mb/s
Duplex: Full
Port: Direct Attach Copper
PHYAD: 0
Transceiver: external
Auto-negotiation: on
Supports Wake-on: d
Wake-on: d
Current message level: 0x0000000f (15)
drv probe link timer
Link detected: yes
"ethtool --module-info" не работает
не поддерживает WoL
утилита настройки порта QSFP+ - qcu64e (Linux, 64 bit); список команд "/?";
позволяет выбрать режим работы: 1x40, 2x40, 4x10, 2x2x10A, 2x2x10B
измерение скорости с помощью netperf (netserver - 100% CPU):
netperf -H 172.16.174.33 -t TCP_STREAM -v 2 -c -C -l 200 -I 99,5 -- -P ,12866
TCP STREAM TEST from 0.0.0.0 (0.0.0.0) port 0 AF_INET to 172.16.174.33 (172.16.174.33) port 12866 AF_INET
Recv Send Send Utilization Service Demand
Socket Socket Message Elapsed Send Recv Send Recv
Size Size Size Time Throughput local remote local remote
bytes bytes bytes secs. 10^6bits/s % S % S us/KB us/KB
87380 16384 16384 200.00 33374.92 4.85 12.81 0.143 0.252
Alignment Offset Bytes Bytes Sends Bytes Recvs
Local Remote Local Remote Xfered Per Per
Send Recv Send Recv Send (avg) Recv (avg)
8 8 0 0 8.344e+11 16384.00 50926401 87378.43 9549018
2 одновременных netperf (ничего не настраивал):
netperf -H 172.16.174.33 -t TCP_STREAM -v 2 -c -C -l 200 -I 99,5 -- -P 12865,12866
TCP STREAM TEST from 0.0.0.0 (0.0.0.0) port 12865 AF_INET to 172.16.174.33 (172.16.174.33) port 12866 AF_INET
Recv Send Send Utilization Service Demand
Socket Socket Message Elapsed Send Recv Send Recv
Size Size Size Time Throughput local remote local remote
bytes bytes bytes secs. 10^6bits/s % S % S us/KB us/KB
87380 16384 16384 200.00 20648.39 6.54 16.31 0.311 0.518
Alignment Offset Bytes Bytes Sends Bytes Recvs
Local Remote Local Remote Xfered Per Per
Send Recv Send Recv Send (avg) Recv (avg)
8 8 0 0 5.162e+11 16384.00 31507240 77648.82 6648068
модуль i40e не имеет полюбившегося народу параметра allow_unsupported_sfp,
проверка зашита в прошивку,
поэтому чужие трансиверы не поддерживаются совсем (а "своего" BD у Intel нет),
пассивные и "active limiting" (Type I в противоположность linear или Type II) DAC кабели поддерживаются
при условии соответствия SFF-8431 v4.1 и SFF-8472 v10.4;
при попытке вставить "неправильный" трансивер 10 раз в секунду выдаётся сообщение в syslog:
kernel: i40e 0000:84:00.0: The driver failed to link because an unqualified module was detected.
официально поддерживаются модули E40GQSFPSR (QSFP+ SR), E40GQSFPLR (QSFP+ LR), пассивные QSFP+ DAC кабели (XLDACBL1, XLDACBL3, XLDACBL5),
QSFP+ Breakout (X4DACBL1, X4DACBL3, X4DACBL5);
также опознался кабель Mellanox для Infiniband MCC4Q30C-002 (40GBASE_CR4) и Mellanox MC2210126-005 (40Gb Ethernet);
Silicom PE340G2Qi71-QX4 (на базе Intel XL710BM2, драйвера по запросу)
сведения от ethtool при попытке использования неподдерживаемого трансивера:
Settings for enp130s0f0:
Supported ports: [ ]
Supported link modes: 40000baseCR4/Full
40000baseSR4/Full
40000baseLR4/Full
Supported pause frame use: Symmetric
Supports auto-negotiation: Yes
Advertised link modes: 40000baseCR4/Full
Advertised pause frame use: No
Advertised auto-negotiation: Yes
Speed: Unknown!
Duplex: Unknown! (255)
Port: Other
PHYAD: 0
Transceiver: external
Auto-negotiation: on
Supports Wake-on: g
Wake-on: g
Current message level: 0x0000000f (15)
drv probe link timer
Link detected: no
сведения от ethtool при подключении по DAC:
Settings for enp130s0f0:
Supported ports: [ FIBRE ]
Supported link modes: 40000baseCR4/Full
Supported pause frame use: Symmetric
Supports auto-negotiation: Yes
Advertised link modes: 40000baseCR4/Full
Advertised pause frame use: No
Advertised auto-negotiation: Yes
Speed: 40000Mb/s
Duplex: Full
Port: Direct Attach Copper
PHYAD: 0
Transceiver: external
Auto-negotiation: on
Supports Wake-on: g
Wake-on: g
Current message level: 0x0000000f (15)
drv probe link timer
Link detected: yes
"ethtool --module-info" не работает
утилита настройки порта QSFP+ - qcu64e (Linux, 64 bit) - не работает
? не поддерживает WoL
модуль i40e не имеет полюбившегося народу параметра allow_unsupported_sfp,
изготовитель обещал, что "является прямым аналогом карты Intel XL710-QDA2,
работает с QSFP+ модулями любого производителя, без привязки вендора", однако вставленный BD трансивер
(Cisco QSFP-40G-SR-BD - foit-foxconn (Avago, Foxconn, FIT) AFBR-79EBPZ (QSFP+, LC Duplex, SR))
он просто не увидел
Интерфейс называется (точнее назывался) eth0
(alias eth0 3c59x в /etc/modules.conf (/etc/modprobe.conf) или alias eth0 eepro100
или alias eth0 e100 или alias eth0 tulip) в
Linux и
le0 в Solaris.
max_interrupt_work (32; количество пакетов, обрабатываемых за одно
прерывание)
rx_copybreak (200; размер кадра,
начиная с которого будет использован полный
буфер (1536 байт) вместо копирования в подходящий по размеру - ускорение работы
за счет памяти)
watchdog (5000; затянувшаяся на указанное число милисекунд передача
прерывается)
Параметры модуля e100 (информацию и статистику можно получить
из файла /proc/net/PRO_LAN_Adapters/eth0.info):
TxDescriptors (количество буферов)
RxDescriptors
XsumRX (подсчет TCP/UDP контрольной суммы для входящих пакетов)
BundleMax (CPU saver bundle max, максимальное количество кадров на одно
прерывание)
BundleSmallFr (включать ли маленькие кадры в обрабатываемый одним
прерыванием пакет)
IFS (Inter Frame Spacing, адаптер подбирает интервал между кадрами)
RxCongestionControl (если идет сплошной поток кадров, то обрабатывать их
опросом, не дожидаясь прерывания)
PollingMaxWork (максимальное число кадров при опросе)
Модуль e100 3.0.27-k2-NAPI из дистрибутива CentOS 4.0 (ядро 2.6.9) не имеет
параметров (кроме debug), всё управление осуществляется через mii-tool/ethtool.
Параметры модуля e1000 5.3.19-k2-NAPI
debug (0-16)
RxDescriptors (80; число буферов для приёма, 80 - 4096, размер буфера зависит от MTU;
обработка Jumbo кадров включается при увеличении MTU сверх 1500 (до 16110))
TxDescriptors (256; число буферов для передачи, 80-4096)
XsumRX - аппаратная поддержка контрольных сумм при приёме
RxIntDelay (0; задержка прерывания при приёме в 1.024 мкс в надежде, что за это
время придёт ещё один пакет и одно прерывание обработает оба, 0 - выключить)
RxAbsIntDelay (128; суммарная задержка прерывания при приёме в 1.024 мкс)
TxIntDelay (64; задержка прерывания при передаче)
TxAbsIntDelay (64; суммарная задержка прерывания при передаче)
InterruptThrottleRate - контроль прореживания прерываний (1; 0 - нет, 1 - динамический,
100-100000 - максимальное число прерываний в секунду)
Программа ifrename (пакет wireless-tools) позволяет
переименовать неактивный интерфейс или все интерфейсы.
Ключ -t позволяет поменять имена местами.
Конфигурационный файл /etc/iftab задаёт правила переименования.
Правила просматриваются по очереди с конца файла.
Каждая строка содержит имя интерфейса и набор правил выбора (И):
mac адрес (формат - 08:00:09:DE:82:0E)
arp тип
driver имя-драйвера
businfo данные (bus-info из ethtool -i eth?, lspci)
baseaddress адрес
irq прерывание
iwproto протокол
Программа nameif (пакет net-tools) позволяет привязать
имя неактивного интерфейса к его MAC адресу
(каждая строка файла /etc/mactab содержит имя интерфейса и MAC адрес).
Программа mii-tool (пакет net-tools) позволяет посмотреть
(вместо 1000baseTx показывает 100baseTx)
или установить режим автосогласования скорости и дуплекса для указанного интерфейса
(для устройств, использующих MII, про гигабитные устройства программа не знает):
--verbose
--reset (в состояние по умолчанию)
--restart (повторить автосогласование)
--watch (опрашивать состояние каждую секунду)
--log (результат --watch в syslog)
--advertise= (какие режимы рекламировать; список через запятую: 100baseT4,
100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD)
--force= (использовать указанный режим вместо автосогласования: 100baseTx-FD,
100baseTx-HD, 10baseT-FD, or 10baseT-HD)
Программа ethtool (пакет ethtool) показывает или устанавливает режимы
карты ethernet:
имя-интерфейса (выдать подробную информацию о состоянии и возможностях карты)
Демон netplugd (скрипт /etc/netplug.d/netplug,
список интерфейсов - /etc/netplug/netplugd.conf) позволяет автоматически запускать скрипты
при наступлении определённого события (появление или пропадание сигнала).
Ещё есть hotplug и /etc/hotplug/net.agent.
Файл /etc/ethers содержит в каждой строке соответствие
MAC адреса и IP адреса (доменного имени):
08:00:20:00:61:CA server.domain.com
Посмотреть привязку сетевых интерфейсов к MAC адресам можно командой
(или заглянуть в /sys/class/net/eth0/address):
ip -o link show
Специфические скрипты Red Hat и клонов:
/etc/sysconfig/network-scripts/ (system-config-network лучше не использовать,
если предполагается редактировать эти файлы)
ifcfg-ethN - параметры конкретного интерфейса (возможно описание алиасов
вида eth0:1, но как-то это ненадёжно выглядит, так что лучше по-старинке
в rc.local)
NAME=имя-для-графических-утилит
DEVICE=имя-интерфейса (eth0)
TYPE=Ethernet
HWADDR=MAC-адрес (для выбора устройства из нескольких, разводка с помощью
скриптов получается не всегда, помогает ifrename в rc.local;
MAC адрес необходимо записывать только в виде 00:aa:bb:cc:dd:ee)
MACADDR=MAC-адрес (назначить MAC адрес устройству, "ip link set dev ${DEVICE} address ${MACADDR}")
Концентратор (повторитель, хаб, concentrator, repeater, hub)
делит физическую сеть на сегменты,
но не изменяет логическую топологию сети (общий домен коллизий).
Он передает полученный на одном порту битовый поток на все другие порты
с очень небольшой задержкой (без буферизации), восстанавливая форму сигнала.
Порт не имеет MAC адреса, поэтому послать кадр на него невозможно.
Возможна изоляция порта, являющегося источником большого числа ошибок (FCE),
коллизий (ECE) или затянувшейся передачи (autopartitioning).
Концентраторы (и коммутаторы) могут образовывать только
иерархические связи без петель, но некоторые модели позволяют поределять
резервный порт, который будет активизирован в случае изоляции основного порта.
Может иметь кнопку, позволяющую переключать один из
портов из обычного для концентратора режима MDI-X с обратной распайкой
приемника и передатчика в режим MDI с распайкой как у сетевого адаптера.
Это позволяет соединять два концентратора обычным прямым кабелем.
Повторители Fast Ethernet могут быть класса I (поддерживают
все типы логического кодирования и могут иметь порты 100Base-TX, 100Base-T4
и 100Base-FX) и класса II (поддерживают только один тип кодирования
и могут иметь либо только порты 100Base-T4, либо 100Base-TX и 100Base-FX).
В одном сегменте коллизий может быть не более 1 концентратора класса I
или не более 2 концентраторов класса II (расстояние между ними не более 5 м,
соединение через специальный uplink порт).
В одном сегменте нельзя использовать концентраторы разных классов.
Данные правила (а также максимальные диаметры сети, приведенные выше)
рассчитаны исходя из наихудших предположений. Аккуратный расчет конкретной
сети может позволить установить большее количество концентраторов или
увеличить длину кабеля.
Узлы с наиболее интенсивным трафиком желательно размещать
поближе к концентратору. Это уменьшает коичество коллизий и увеличивает
производительность сети.
Защита от прослушивания может быть обеспечена привязкой
допустимого MAC адреса к порту. Для этого концентратор должен иметь
возможность настройки (порт RS-232 или SNMP). При поступлении через порт
кадров с неразрешенным MAC адресом данный порт отключается
(по-моему, это никак не может помешать прослушиванию, если сидеть тихо;
к тому же многие сетевые адаптеры позволяют прошить в EEPROM любой
MAC адрес). Дополнительной защитой может служить преднамеренное
искажение кадров, передаваемых на все порты кроме того, к которому
подсоединен узел назначения (для этого также необходимо приписать
MAC адрес к порту). Для управления по протоколу SNMP концентратор (точнее,
SNMP агент в нем) должен иметь IP и MAC адреса.
Многосегментные концентраторы имеют несколько шин,
к одной из которых может быть подключен любой порт. Получается
как бы несколько концентраторов в одном корпусе и с возможностью
гибкого переключения портов (иногда даже через RS-232 или SNMP, этакая
кроссовая панель с дистанционным управлением).
Выпускаются (выпускались?) также стековые и модульные
концентраторы. При нынешних ценах на коммутаторы их использование
потеряло смысл.
Дополнительные возможности: резервные порты, RMON,
дистанционное отключение портов, загрузка firmware по Xmodem или
TFTP,
поддержка BOOTP и DHCP, telnet.
Повторители не позволяют объединять в один сегмент
узлы Ethernet и Fast Ethernet, т.к. у них отсутствует буфер, но выпускаются
гибридные устройства, имеющие мост вместо одно (или даже всех!) из
портов. Подобные устройства позволяют также каскадировать повторители.
Коммутатор (мост, switch, bridge)
делит логическую сеть на сегменты, основываясь на
аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения
широковещательных рассылок. То есть пакет, адресованный на индивидуальный адрес,
получит только этот узел, но широковещательные пакеты будут распространяться
по всей сети.
Мост (IEEE 802.1d) называется прозрачным, т.к. он работает
незаметно для сетевых адаптеров, строя адресную таблицу исходя из пассивного
наблюдения трафика. Порт моста не имеет собственного MAC адреса и буферизует
все пакеты, приходящие на его порты. Адрес источника записывается в адресную
таблицу. Если адрес получателя присутствует в таблице, то пакет передается
в нужный сегмент через соответствующий порт (forwarding).
Если при этом адрес получателя приписан к тому же
порту, что и адрес отправителя, то пакет фильтруется (filtering).
Если адрес получателя
отсутствует в таблице или он групповой или широковещательный, то пакет
рассылается по всем сегментам, кроме исходного (flooding).
По мере проявления активности узлов таблица адресов заполняется.
При переполнении таблицы новый адрес замещает один из старых.
Элементы адресной таблицы могут также статически задаваться администратором
сети (только для управляемых коммутаторов).
При этом администратор может устанавливать фильтр, указывающий что делать
с пакетом, имеющим данный адрес получателя (передать на определенный порт,
выбросить, распространить по всем портам).
В целях усиления безопасности администратор может запретить или ограничить
занесение новых элементов в таблицу, а также задать фильтрацию пакетов,
поступающих с неизвестных MAC адресов.
Динамические элементы имеют ограниченный срок жизни, чтобы коммутатор мог
отслеживать перемещения компьютеров.
Для борьбы с избыточным широковещательным трафиком для каждого
узла может быть установлена максимальная интенсивность широковещательных
рассылок.
Неблокирующий коммутатор (wire speed)
позволяет передавать кадры через порты
с максимальной скоростью, обеспечиваемой этими портами
(10 Mb/s, 100 Mb/s, полудуплекс или полный дуплекс, желательна поддержка
стандарта NWay автоматического согласования скорости и режима дуплекса).
Например, для
24-портового коммутатора, работающего в режиме полного дуплекса
необходима пропускная способность 24x200Mbps = 4.8 Gbps.
Практически все продаваемые в настоящее время коммутаторы рекламируются
как неблокирующие, но при сочетании различных скоростей и режимов
дуплекса на разных портах могут быть проблемы вплоть до падения скорости до
50 КБ/сек. См., например,
результаты испытаний дешевых коммутаторов.
Даже неблокирующий коммутатор не сможет обслуживать
полноскоростные входящие потоки из 2 портов, направленные в один выходной
порт. Через некоторое время (зависит от размера буфера) он начнет терять
кадры. Коммутатор может воздействовать на генерирующие пакеты узлы
слегка нарушая протокол доступа к среде:
метод обратного давления (backpressure) - создание искусственных
коллизий в сегменте, из которого приходит слишком много пакетов
агрессивное поведение порта коммутатора - укороченные межпакетные
интервалы или укороченная пауза после коллизии
При подключении к порту коммутатора одного узла (микросегментация) появляется
возможность работать в дуплексном режиме: достаточно не считать одновременную
работу приемника и передатчика коллизией (в любом случае, они используют
отдельные витые пары). Если при полудуплексном режиме интенсивность
генерации пакетов узлом "автомагически" контролировалась алгоритмом доступа
к разделяемой среде, то в дуплексном режиме ничто не мешает одному узлу
выдавать пакеты со скоростью, неприемлемой для принимающего узла.
Стандарт IEEE 802.3x ввел команды физического уровня "приостановить передачу"
(PAUSE) и "возобновить передачу".
Методы коммутации:
на лету (on the fly, cut throught) - передача в порт назначения через
коммутационную матрицу и дальше в сегмент назначения начинается не дожидаясь
получения всего кадра, задержка передачи уменьшается
буферизация кадра перед его передачей через матрицу (store and forward)
позволяет отбрасывать "битые" пакеты (в том числе в результате коллизий),
поддерживать резервные связи,
анализировать трафик и транслировать протоколы канального уровня
(IEEE 802.1h), в том числе передавать кадры между портами 10Mbps и 100Mbps
адаптивная смена метода в зависимости от уровня ошибок и требуемых
дополнительных функций
Конструктивное исполнение:
автономные коммутаторы
собираемые в стек (позволяют соединять их в один логический
коммутатор с помощью специальных интерфейсов)
модульные комутаторы, вставляемые в шасси
Транковые соединения (link aggregation group, EtherChannels) позволяют
объединить несколько связей в единое целое, увеличивая как производительность,
так и надежность.
Построенная на коммутаторах сеть не может
содержать петли, иначе пакет начинает бесконечно циркулировать по этой петле (нет аналога TTL),
а коммутаторы перестраивать свои адресные таблицы. Для повышения надежности
между узлами прокладывают избыточные связи, но при этом некоторые порты
блокируют вручную или с помощью алгоритма STA (Spanning Tree Algorithm,
IEEE 802.1d/802.1D-2004, Spanning Tree Protocol, RSTP, IEEE 802.1W).
STA (STP) позволяет коммутаторам автоматически строить покрывающее
дерево на множестве всех связей сети с помощью постоянного обмена служебными
пакетами (BPDU) по групповым или широковещательному адресу.
Обмен начинается при включении или при обнаружении потери связности.
Для работы STA необходимо
назначить корневой коммутатор (может выбираться автоматически по минимальному
MAC адресу блока управления) и определить время передачи для каждого соединения
(расстояние). Для перестройки дерева при отказе связи или узла требуется
несколько секунд (минута?). Ускоренный механизм резервных связей
(RSTP, distance vector model) работает
значительно быстрее (меньше секунды при правильной настройке).
Для сетей с VLAN используется MSTP (Multiple Spanning Tree Protocol).
Коммутатор может иметь для каждого выходного порта несколько
очередей с различным приоритетом. Приоритет может назначаться исходя
из номера входного порта, MAC адреса, IP адреса (для коммутаторов 3 уровня)
или согласно IEEE 802.1p/802.1Q, в котором определяется
дополнительный 2-байтный заголовок (содержит также информацию о номере
VLAN из IEEE 802.1Q), вставляемый перед полем даных и содержащий
3-битный уровень приоритета. Заголовок вставляется коммутатором
по запросу узла и удаляется при передаче пакета узлу, не поддерживающему
IEEE 802.1p. Могут использоваться частные протоколы назначения приоритета
(например, PACE фирмы 3COM). Класификация трафика может использоваться
не только для задания приоритетов, но и для ограничения полосы пропускания
сверху и снизу.
Коммутатор с возможностями VLAN (virtual LAN)
позволяет разделять не только индивидуальный,
но и широковещательный трафик, полностью изолируя сегменты друг от друга.
Помогает противостоять хакерским атакам, превращающим коммутатор в
концентратор путем переполнения таблицы адресов (т.е. таблица
переполняется, но границы между VLAN остаются неприступными).
Разрабатывался для оптимизации трафика, а не для защиты, так что полагаться на него не стоит.
Один узел может входить в состав нескольких VLAN.
Для передачи кадров между виртуальными сегментами необходимо использовать
маршрутизатор, который может быть подключен через один интерфейс сразу
в несколько VLAN ("однорукий" маршрутизатор).
VLAN образуются на основе номеров подсетей (для коммутаторов 3 уровня),
портов, MAC адресов или стандарта IEEE 802.1q, в котором
определяется дополнительный 2-байтный заголовок (содержит также информацию о
приоритете кадра согласно IEEE 802.1p), вставляемый перед полем данных и
содержащий 12-битный идентификатор VLAN (VID 0, 1 и 4095 зарезервированы).
Заголовок вставляется коммутатором
по запросу узла и удаляется при передаче пакета узлу, не поддерживающему
IEEE 802.1q. Могут использоваться частные протоколы (ISL фирмы Cisco).
Для каждой VLAN строится свое покрывающее дерево STA.
Стандарты 802.1p/802.1Q/802.1Q-2003 (вошли в 802.1D в 1998 году)
определяют новые форматы MAC кадра (помеченные кадры) для различных
вариантов кадра (802.3/LLC, Ethernet II) и правила трансляции из
обычных кадров в помеченные и обратно. Например, помеченный кадр Ethernet II
состоит из полей (заметьте, что максимальный размер увеличивается на 4 байта -
с 1518 до 1522 байт):
преамбула и ограничитель кадра
адрес назначения - 6 байт
адрес источника - 6 байт
специальный тип протокола (Tag Protocol Identifier, 0x8100) - 2 байта
метка - 2 байта (3 бита - приоритет (классы трафика должны отображаться
на приоритет: управление, голос, видео, контролируемое
приложение, приоритетное приложение, обычное приложение, фоновое приложение),
1 бит - флаг инкапсуляции Token
Ring, 12 бит - номер VLAN)
тип протокола из исходного кадра - 2 байта
остальные поля Ethernet II
Протокол GARP между узлом и коммутатором позволяет узлам
динамически присоединяться к VLAN или группе (multicast) и покидать ее.
IGMP snooping (IGMP, RFC 1112) - способность коммутатора
"заглядывать" в пакеты IGMP и DVMRIP для определения на каких портах находятся
члены многоадресных IP групп (224.0.0.0 - 239.255.255.255).
Полезной возможностью "продвинутых" коммутаторов является
способность фильтровать трафик или назначать приоритеты исходя из
содержания пакета (смещение поля, размер, значение).
Управление коммутатором (заметьте, что многие in-band методы
управления передают информацию - включая пароль! - открытым текстом):
HP ProCurve 1400 (J9077A) представляет собой 8-портовый неуправляемый коммутатор
с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T,
протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab 1000Base-T Gigabit Ethernet).
Монтируется только в горизонтальном положении.
Размер пакетного буфера: 144 КБ. Ёмкость ПЗУ/ОЗУ: 128 КБ.
Задержки на скорости 100 Мб менее 3,9 мкс (размер пакета 64 байта),
на скорости 1000 Мб - менее 2,1 мкс (размер пакета 64 байта).
Размер адресной таблицы - 8 000 элементов.
Производительность коммутации - 16 Гб/с.
Пропускная способность до 11,9 млн. пакетов в секунду.
Поддержка IEEE 802.3x Flow Control и приоритетности по протоколу IEEE 802.1p.
Потребляемая мощность - 18 Вт.
HP ProCurve 2824 (J4903A) и 2848 (J4904A): 24 или 48 портов RJ-45 (10/100/1000, Auto-MDIX),
4 порта совмещают RJ-45 (10/100/1000, Auto-MDIX) и mini-GBIC.
Последняя прошивка (обновление по TFTP) - I_10_101.swi (2012).
Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей;
нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков).
HP ProCurve 2848 имеет 5 вентиляторов (2824 - 3 вентилятора),
1 из которых имеет право не работать при нормальной окружающей температуре.
Имеются SNMP датчики работы вентиляторов (good или bad) и температуры (good или bad).
HP ProCurve 2810-24G (J9021A) и 2810-48 (J9022A): 20 или 44 порта RJ-45 (10/100/1000, Auto-MDIX),
4 порта совмещают RJ-45 (10/100/1000, Auto MDI/MDI-X) и
mini-GBIC (ревизии B и новее, ProCurve Gigabit-SX-LC Mini-GBIC (J4858C), горячее подключение),
MIPS BCM5836 264 MHz, 64 MB SDRAM, 16 MB Flash, буфер пакетов 1.5 MB,
задержка 5.4 мкс, 96 Gbps, 71.4 Mpps, таблица MAC адресов - 8000, 100 W, 4 кг, 341 BTU/h (360 kJ/h), 1U.
Поддержка: Jumbo кадров до 9224 байта, VLAN (802.1Q, до 256) и GARP, MSTP (802.1s), RSTP (802.1w), LACP (802.3ad), SNTP,
SNMPv1/v2c/v3 (MIB: MIB II (RFC 1213), Bridge MIB (RFC 1493), RMONv2 (RFC 2021), Ethernet-Like-MIB (RFC 2665),
IP Forwarding Table MIB (RFC 2096), 802.3 MAU (RFC 2668), 802.1p and IEEE 802.1Q Bridge MIB (RFC 2674),
Entity MIB v2 (RFC 2737), Interfaces group (RFC 2863)), LLDP, 802.1X, TACACS+, RADIUS,
настройка блокировки чрезмерного широковещательного потока для каждого порта,
QoS (802.1p) и CoS (установка меток QoS по IP адресам и номерам портов), sFlow (RFC 3176),
разрешение или ограничение доступа по MAC адресам (статически назначенным или обучаемым),
изолированные порты.
Опциональный резервный БП HP ProCurve 600 RPS/EPS, J8168A,
автоматически начинает питать 1 из 6 подключённых к нему коммутаторов при отказе его БП.
3 или 5 вентиляторов, может работать без одного из них при комнатной температуре.
До 16 устройств можно объеденить в виртуальный стек.
Индикаторы питания, аварии (мигает - проблема, горит - большая проблема),
идентификации (Locator, нечем включить?), состояния самотестирования (50 секунд, мигает - проблема),
вентилятора (мигает - проблема), RPS (горит - доступен, мигает - питает другой коммутатор или сломан).
Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей;
нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков).
Для каждого порта индикаторы соединения (мигает - проблема), активности, дуплекса (горит - full duplex),
скорости (горит - 1Gb, мигает - 100 Mb, не горит - 10Mb).
Последовательный порт для управления (разъём RJ-45, кабель DB-9), VT-100,
автоматическое распознавание скорости от 1200 до 115200 бод, 8N1, Xon/Xoff,
перед началом работы нажать Enter.
Если выставить скорость 9600 и нажать кнопку сброса, то можно прочитать журнал загрузки
или узнать ошибку самотестирования.
Выключатель питания отсутствует.
Можно располагать горизонтально или вертикально (боковые стенки не должны быть расположены вверх или вниз).
Порты разбиты на 2 банка (1-24 и 25-48).
При отключении автосогласования скорости и дуплекса порт работает только в режиме MDI-X
(т.е. для подключения оконечного устройства необходимо использовать прямой кабель)
при использовании оборудования не от HP (поправлено в новой версии?).
Интерфейс управления: командная строка или меню (1 telnet и/или RS-232),
веб-интерфейс (требуется Java; HTTP и HTTPS),
SNMP, бесплатное приложение ProCurve Manager (PCM),
платное приложение ProCurve Manager Plus (PCM+).
До 4 сессий SSH (посмотреть: "show ip ssh"; убить: "kill номер-сессии").
Меню и веб-интерфейс обеспечивают простой доступ к подмножеству функций.
Запуск меню из командной строки: menu.
Управление сервером telnet: "[no] telnet-server".
Управление веб-сервером: "[no] web-management".
Настройка параметров консоли (требуется перезагрузка): console [local-terminal]
terminal vt100 | ansi
screen-refresh 1|3|5|10|20|30|45|60 (секунд)
inactivity-timer 0|1|5|10|15|20|30|60|120 (минут)
events none|all|non-info|critical|debug
По умолчанию получает IP адрес и прочие сетевые настройки по DHCP для VLAN по умолчанию.
Не получив ответа от BOOTP/DHCP сервера повторяет запросы с увеличивающимися интервалами.
Проблема при смене сети, получаемой от DHCP, "на ходу" (настаивает
на получении адреса из старой сети).
Для каждой VLAN можно назначить 1 основной и 7 дополнительных IP адресов (только при ручной настройке).
show ip
[no] vlan идентификатор-VLAN ip address {dhcp-bootp | адрес/длина-маски}
ip default-gateway адрес
Уровни прав доступа (при входе запрашивается только пароль,
надо ввести пароль нужного уровня; длина пароля - до 16 печатных символов ASCII;
в настройках можно задать имя оператора и администратора для веб-интерфейса - до 16 печатных символов ASCII):
оператор (Operator) - можно посмотреть статус, журналы, счётчики
администратор (Manager) - полный доступ
Уровни командной строки: оператор (выход по команде exit или logout),
администратор (вход на уровень по команде manager или enable; команды ? и exit),
глобальные настройки (команды configure и exit),
контекстные настройки (порт, VLAN; команды interface, vlan и exit).
Клавиша Tab дополняет частично введённую команду или выдаёт список возможных дополнений,
а также позволяет получить список возможных операндов.
Символ "?" в качестве операнда выдаёт краткую подсказку.
"help" в качестве операнда выдаёт некраткую подсказку.
Имеется история команд и редактирование строки.
Обновление прошивки по TFTP (настройки не изменяются,
требуется перезагрузка, secondary - это запасная прошивка):
"copy tftp flash IP-адрес имя-файла [primary|secondary]".
Проверка версии: "show version" (загруженная); "show flash" (обе).
Копирование основной версии в запасную: "copy flash flash secondary".
Загрузка запасной версии: "boot system flash secondary".
Быстрая перезагрузка той же версии: "reload [after часов:минут]".
Есть возможность обновления через веб-интерфейс.
Изменения:
Относительно N.11.15 (ROM N.10.01) в прошивке N.11.25 добавлена поддержка учёта с помощью RADIUS.
В прошивке N.11.52 добавили возможность заносить статические значения в ARP таблицу,
возможность управлять режимом Eavesdrop Prevention (включён по умолчанию в режиме port security),
поправлены ошибки с SSH/SSL, мониторингом портов из другого банка, задержками между банками,
защита от петель.
Отличия прошивки N.11.64 от N.11.52: исправлены ошибки в SNMP (перезагрузка, неправильные ответы) и GMRP (флуд), улучшения в RADIUS.
В прошивке N.11.65 появилась возможность отфильтровать сообщения о состоянии неважных портов.
В прошивке N.11.74 увеличили размер пароля с 16 до 64 символов.
Конфигурация бывает текущая (running-config file; "show running-config" или
"write terminal"; сохраняется командой "write memory") и загрузочная (startup-config file;
"show config"; вернуться к настройкам по умолчанию - "erase startup-config").
Части настройки, совпадающие с умолчальными, не показываются.
Сравнение конфигураций: "show config status".
При использовании меню и веб-интерфейса изменения вносятся сразу в оба файла.
Можно поменять часть приветствия командой "banner motd символ-завершения",
посмотреть "show banner motd", отключить - "no banner motd".
name идентификатор # показывается только в "show name" и "show int порты", ни в SNMP, ни в веб-интерфейсе
STP
show spanning-tree
RSTP
MSTP
Защита от локальных циклов неуправляемых устройств (например, EtherCat) с помощью посылки специальных кадров
на указанные интерфейсы, при получении пакета обратно интерфейс блокируется:
По умолчанию, определена 1 VLAN по имени DEFAULT_VLAN
show vlans # посмотреть настройки VLAN (Jumbo, LACP)
show vlans ports номер-порта # к какому VLAN принадлежит порт
show vlan номер-VLAN # посмотреть настройки (Jumbo, LACP) и список портов
Разрешение приёма Jumbo кадров (до 9224 (9220?) байт, включая метку VLAN)
осуществляется по всей VLAN (по умолчанию выключено), если не на всех портах VLAN нужно принимать
Jumbo кадры - создавайте дополнительную VLAN из нужного подмножества портов,
наложенную на исходную VLAN.
Включается только для только статических VLAN.
Действует только для портов 1Gbps без включённого контроля потока (выключен по умолчанию).
Если на одной из VLAN, к которой приписан порт, разрешён приём Jumbo кадров,
то порт будет получать Jumbo кадры от устройств с любой VLAN.
Прорвавшийся в коммутатор Jumbo пакет будет выведен через гигабитный порт при любых настройках.
Настройка:
Режим QoS Pass-Through (по умолчанию?, qos-passthrough-mode)
упрощает схему обработки QoS для ускорения передачи от 1Gb устройства к 100 Mb устройству
(2 выходные очереди вместо 4).
Агрегирование портов
(до 24 транковых портов, до 6 групп портов, до 4 активных портов и до 4 резервных на группу)
для увеличения скорости и/или надёжности: ручное (trunk) или
с использованием 802.3ad (LACP, Link Aggregation Control Protocol, статическое и динамическое объединение).
Для распределения кадров по выходным портам используется алгоритм SA/DA: все кадры с одинаковыми парами
MAC адресов источника и назначения идут через один и тот же порт; кадры с одинаковыми адресами источника,
но разными адресами назначения равномерно разбрасываются по портам; кадры с разными адресами источника,
но одинаковыми адресами назначения также равномерно разбрасываются
(возможна ситуация когда один порт переполнен, а другие простаивают).
Порты устройства сегментированы и группа портов должна входить в один сегмент
(ссылка на таблицу сегментов есть, самой таблицы нет).
Требуется сначала настроить LACP или транки и только затем соединять устройства.
При настройке возможен перерыв в обслуживании до 30 секунд.
Настройки STP и VLAN едины для всей группы.
LACP несовместим с приоритетами, аутентификацией 802.1X и port-security.
Группа не может быть портом мониторинга, но можно мониторить статическую группу.
Порты, входящие в группу, должны быть соединены между устройствами напрямую одним типом носителя и
иметь одинаковую скорость, режим дуплекса и управление потоком.
Для LACP необходим полный дуплекс (рекомендуется установить Auto).
LACP позволяет статическое или динамическое объединение пропускной способности
с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов.
Порт в пассивном LACP режиме (выключён по умолчанию,
хотя в документации утверждается обратное, в 2824/2848 - включён)
отвечает на запросы по объединению портов с другой стороны,
в активном режиме - выдаёт запросы на объединение. Порты с обоих сторон могут быть в активном режиме.
Статический LACP необходим для использования мониторинга, использования нестандартных настроек STP или IGMP,
включения во VLAN, отличный от DEFAULT_VLAN, без использования GVRP и если с другой стороны статический LACP.
Статический LACP (Trk), динамический LACP (Dyn) и транк (Trk) несовместимы.
Посмотреть статические группы: "show trunks".
Создать статическую группу: "trunk список-портов trkНомер {trunk | lacp}".
Удалить порт из статической группы: "no trunk список-портов" (необходимо предварительно разъединить устройства,
иначе без STP - выключен по умолчанию - будет широковещательный шторм).
Посмотреть LACP группы: "show lacp".
Перевод группы портов в активный режим LACP: "interface список-портов lacp active".
Отключение LACP: "no interface список-портов lacp".
Отключение активного режима: "no interface список-портов lacp; interface список-портов lacp passive".
Отключение активного режима, если группа уже используется:
Серия коммутаторов HP V1910G (в девичестве 3COM Baseline Switch 2900)
включает модели на 8 (JG348A), 16 (JE005A, 3CRBSG2093, 3Com Baseline Plus Switch 2920),
24 (JE006A, 3CRBSG2893, 3Com Baseline Plus Switch 2928) и 48 (JE009A, 3CRBSG5293, 3Com Baseline Plus Switch 2952)
портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса.
Также имеются модели с PoE - 1910-24G-PoE на 365 Вт (JE007A, 3Com Baseline Plus Switch 2928 HPWR);
1910-24G-PoE на 170 Вт (JE008A, 3Com Baseline Plus Switch 2928 PWR) и др..
Дополнительно (не взамен!) от 1 до 4 портов SFP. Полная скорость коммутатции.
Возможность статической маршрутизации (полная скорость по битам, но не по пакетам), инспекции ARP и DHCP.
Процессор: ARM @ 333 МГц, 128 MБ ОЗУ (показываются только 68 МБ),
512 КБ под буфер пакетов, 128 МБ флэш-памяти (показываются только 96 МБ).
Размер таблицы MAC адресов - 8192.
Встроенный БП и 1 вентилятор с переменной скоростью вращения (выдувает направо), потребление HP V1910-48G - от 25 до 60 Вт.
Включает комплект для монтажа в стойку (1U).
Требует заземления. Загружается более минуты.
Гарантия lifetime на устройство, вентиляторы и БП (доставка на следующий рабочий день).
Индикаторы питания (часто мигает - ошибка), состояния и скорости каждого порта
(зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния каждого SFP (мигают только при приёме).
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока, VT100,
нажать ^B в течении 1 секунды для входа в меню загрузчика, ввести пароль загрузчика (не системы! пустой поначалу);
позволяет пропустить разбор конфигурационного файла, поменять пароль загрузчика, загрузить прошивку,
удалить прошивку, посмотреть список прошивок.
Управление:
консоль, telnet и SSH - можно обновить прошивку, сбросить настройки, установить IP адрес или перезагрузиться
IMC (Intelligent Management Center, что это?)
FTP
SFTP
веб-браузер (до 5 пользователей одновременно, HTTP и HTTPS, изначально пользователь admin с пустым паролем, капча!
тормозной, после изменения настроек для запоминания навсегда необходимо нажать кнопку Save, требуется JavaScript и XML стили,
интервал неактивности по умолчанию - 10 минут);
возможность сохранить настройки в файл и восстановить обратно (текстовый файл с нормальными понятными командами) -
рекомендуется использовать File Management вместо Configuration
SNMPv1, v2c, and v3 (отсутствуют ветви SNMP BRIDGE-MIB::dot1dTpFdbAddress и BRIDGE-MIB::dot1dTpFdbPort
(за SNMPv2-SMI::mib-2.17.4.2.0 сразу идёт SNMPv2-SMI::mib-2.17.4.4));
зато есть
RFC1213-MIB::atPhysAddress.54.1.192.168.172.14 = Hex-STRING: 1C C1 DE 82 B5 DD
(54 - это VLAN1)
...
IP-MIB::ipNetToMediaPhysAddress.54.192.168.172.14 = STRING: 1c:c1:de:82:b5:dd
...
SNMPv2-SMI::mib-2.17.1.2.0 = INTEGER: 52
SNMPv2-SMI::mib-2.17.1.4.1.1.1 = INTEGER: 1
...
SNMPv2-SMI::mib-2.17.7.1.2.2.1.2.1.0.2.179.216.169.229 = INTEGER: 1
MAC = Port
...
SNMPv2-SMI::enterprises.25506.8.35.3.1.1.1.0.2.179.216.169.229.1 = Hex-STRING: 00 02 B3 D8 A9 E5
(аналог .1.3.6.1.2.1.17.4.3.1.1, но с .1 на конце)
...
SNMPv2-SMI::enterprises.25506.8.35.3.1.1.2.0.2.179.216.169.229.1 = INTEGER: 1
(аналог .1.3.6.1.2.1.17.4.3.1.2, но с .1 на конце)
...
SNMPv2-SMI::enterprises.25506.8.35.3.2.1.2.1.0.2.179.216.169.229 = INTEGER: 1
(аналог .1.3.6.1.2.1.17.4.3.1.2)
Судя по внутренней нумерации портов устройство состоит из 2 коммутирующих микросхем
(по 24 обычных порта и 2 SFP на каждую).
Обновил прошивку до V1910-CMW520-R1513P06 (загружается после обновления 3 минуты).
Обновление возможно через HTTP/HTTPS, FTP, TFTP, XModem.
Файл .bin содержит обновление как загрузчика, так и системы.
Можно обновить основную или резервную прошивку. Прошивка имеет имя файла (лучше оставить то имя,
что получилось при загрузке с сайта HP). Флеш содержит не только файлы прошивки, но и резервные
копии конфигураций, журналы и, в принципе, может содержать любые файлы (файлы могут иметь атрибут невидимости).
Имеется менеджер файлов: загрузка, выгрузка, удаление.
Изменения в версиях от P7 до 51 - добавлена поддержка IE10 и исправлены ошибки: перезагрузка при административной блокировке порта,
нулевые ошибки в отчётах по SNMP, деблокировка многопортовых конфигураций после обнаружения цикла, перезагрузка
при попытке получить диагностическую информацию.
По названию очень похожи коммутаторы серии HP 1910 (без G, порты 100Base-T) - HP 1910-8 (JG536A),
HP 1910-24 (JG538A), HP 1910-24-PoE+ (JG539A, 170 Вт на PoW+ (IEEE 802.3at) суммарно, до 30 Вт на порт, 2 вентилятора) и др.
Вместо 4 дополнительных SFP имеется 2 комбо порта - либо 1000Base-T либо SFP (т.е. 26 портов для HP 1910-24),
дальше идут интерфейсы NULL0 и Vlan-interface1.
Фальшивый стек только из 4 устройств вместо 32.
Заявлено: процессор MIPS @ 500 МГц (прошивки несовместимы), 128 MБ ОЗУ,
512 КБ под буфер пакетов, 32 МБ флэш-памяти (видимы 28.42 МБ).
Размер таблицы маршрутизации: 32 (следующие добавляются, но не работают). Размер таблицы MAC адресов - 8192.
QoS: 4 аппаратные очереди.
Отсутствует датчик температуры.
Прошивка при поступлении: 5.20.99 R1115 (больше возможностей, чем в R1513P06 для v1910-48G). В версии R1116 исправлены проблемы с DoS для NTP.
В аппаратной ревизии A (REVA) пакеты не маршрутизириуются обратно на тот же порт.
Возможности:
не любит доменные имена более 20 символов
возможность объединения до 32 коммутаторов в группу (stack) с единым адресом для управления;
стек фальшивый - объединение производится с помощью обычных портов (stack ports) и выделенного пула адресов из отдельной сети;
на каждом устройстве необходимо завести одну и ту же учётную запись
несколько уровней доступа: Visitor (только ping и traceroute), Monitor (можно смотреть данные устройства),
Configure (можно настраивать устройство), Management (можно управлять пользователями, обновлять прошивку)
локальные группы пользователей: имя, уровень доступа, VLAN, ACL, профиль (не поддерживается);
изначально существует группа system с доступом Visitor (?!)
локальные пользователи в разделе Device: имя (до 55 символов), пароль (до 63 символов),
восстановимое и невосстановимое шифрование пароля, доступные сервисы (FTP, telnet/SSH);
локальные пользователи в разделе Authentication:
имя (до 55 символов), пароль (до 63 символов),
восстановимое и невосстановимое шифрование пароля, группа, доступные сервисы (FTP, telnet, Portal, LAN-Access, SSH),
срок действия, VLAN, ACL, профиль (не поддерживается);
необходимо создать пользователя в разделе аутентификации (Users), а затем подтвердить в разделе Device (Users)
ввод суперпароля (до 16 символов) позволяет пользователю получить полные права (Management), суперпароль можно создать
(восстановимое и невосстановимое шифрование) и удалить
клиент DHCP на каждом виртуальном VLAN интерфейсе включён по умолчанию,
но запрашивает IP адрес на сервере с использованием MAC адреса виртуального VLAN интерфейса,
для VLAN 1 он на 1 больше, указанного на корпусе, далее по порядку;
для каждого физического интерфейса присвоен свой MAC;
метод получения IP адреса можно изменить в настройках интерфейса VLAN;
имеется реализация DHCP relay agent (необходимо зарегистрировать "правильные" DHCP серверы (до 20 групп)
и включить DHCP relay сервис на VLAN интерфейсе, работает только для интерфейсов с заданными вручную IP адресами;
можно включить сбор информации о "лишних" DHCP серверах, здесь же можно привязать IP адреса к MAC адресам (user info);
как это соотносится с ручной таблицей ARP адресов? MAC адресов?);
имеется возможность прослушивать DHCP пакеты и фильтровать DHCP ответы с недоверенных портов,
собранная информация используется также для предупреждения ARP атак
(на незагруженном коммутаторе загрузка CPU возрастает с 3% до 13%);
мониторинг загрузки процессора и памяти (60% на неиспользуемом устройстве), состояние вентилятора и БП, температуры (не для V1910);
генерация подробной диагностической информации - 2 МБ
синхронизация времени по NTP (до 2 серверов, только IP адреса; можно указывать используемый интерфейс и NTP ключи);
может служить сервером
локальный журнал и до 4 серверов syslog
(из настроек только IP адрес; debug на local7)
настройка параметров портов (физических и агрегированных):
административное состояние (иногда для изменения других параметров порт необходимо выключить и включить обратно);
при попытке отключить порт во время работы коммутатор перезагружается (исправлено)
выбор скорости
выбор дуплекса
тип интерфейса (access, trunk, hybrid?)
идентификатор VLAD для непомеченных пакетов с этого порта
выбор MDI/MDIX
контроль потока (д.б. включён на обоих концах)
выключение порта при отсутствии пакетов в течении некоторого времени для экономии энергии
(оппоненту это может не понравиться)
количество MAC адресов на том конце
ограничение обычного, широковещательных и группового трафика, посылаемого на порт? (доля, kbps, pps);
перед изменением необходимо отключить ограничение на устройстве
возможность копирования входящих на указанные порты пакетов на указанный порт (зеркалирование портов):
задаётся порт мониторинга (выключить STP! устройство, подключённое к этому порту,
не должно участвовать в обычном сетевом трафике), зеркалируемые порты, направление передачи
возможность реакции на чрезмерный обычный, широковещательный и групповой трафик с точностью до порта,
граница задаётся в pps: блокировать трафик, выключить порт (включать вручную), посылать SNMP trap, записывать в журнал;
нельзя включать на одном порту одновременно эту возможность и ограничение трафика в настройке порта
определение длины и состояния кабеля (VCT, Virtual Cable Test); не впечатлил - только общий статус
позволяет отключить долго неиспользуемые порты (не советую)
SNMP (RFC 1213 MIB II, RFC 1493 Bridge MIB,
RFC 2021 RMONv2 MIB, RFC 2233 Interfaces MIB, RFC 2571 SNMP Framework MIB,
RFC 2572 SNMP-MPD MIB, RFC 2573 SNMP-Notification MIB, RFC 2573 SNMP-Target MIB, RFC 2613 SMON MIB,
RFC 2618 RADIUS Client MIB, RFC 2620 RADIUS Accounting MIB, RFC 2665 Ethernet-Like-MIB, RFC 2668 802.3 MAU MIB,
RFC 2674 802.1p and IEEE 802.1Q Bridge MIB, RFC 2737 Entity MIB (Version 2), RFC 3414 SNMP-User based-SM MIB,
RFC 3415 SNMP-View based-ACM MIB, RFC 3418 MIB for SNMPv3);
выключен по умолчанию; можно отдельно включить v1, v2 и v3;
можно задавать имена комьюнити и задавать для них права доступа, область видимости (ViewDefault) и ACL;
snmpwalk выдаёт 40 тысяч строк; архив MIB имеет размер 300 МБ
отдельные настройки RMON: группы статистики (за всё время) и истории (за интервал);
по одному элементу на интерфейс, очищается при перезагрузке, можно посылать SNMP trap и делать записи в журнал
поддержка VLAN, включая IEEE 802.1Q-1999 и IEEE 802.3ac (VLAN Tagging Extension); до 256 VLAN одновременно;
VLAN имеет идентификатор от 1 до 4094 и имя (описание);
VLAN 1 нельзя удалить;
порт может иметь PVID (определяет VLAN ID для кадров без меток);
порт м.б. приписан как tagged (пакеты на выходе с метками) или untagged (пакеты на выходе без меток) к нескольким VLAN;
порт может иметь тип:
access - оконечное устройство на другом конце или несколько устройств из одной VLAN;
на входе трафик без меток (номер VLAN определяется по PVID порта) или с идентификатором VLAN, равным PVID;
на выходе без меток
trunk - коммутатор, понимающий VLAN, на другом конце;
на входе трафик без меток (номер VLAN определяется по PVID порта) или с метками допустимых VLAN;
на выходе без меток для VLAN равного PVID или с метками
hybrid (непонятно, что на другом конце; немного другие правила)
не член этой VLAN
для маршрутизации между VLAN для каждой VLAN можно создать виртуальный VLAN интерфейс (до 8) и назначить ему IP адрес
вручную или с помощью BOOTP/DHCP (этот адрес необходимо указывать как IP адрес шлюза для устройств в этой VLAN)
пакеты, исходящие из IP телефонов (определяется по OUI из MAC адресов; таблица расширяема и сужаема), приписывают
порт к голосовой VLAN динамически; при этом автоматически назначаются ACL и приоритеты;
проблемы с 802.1X и голосовым трафиком без меток;
отключить, запретив на всех портах или очистив таблицу OUI
позволяет выключать и включать порты по расписанию (до 5 расписаний) или понижать скорость до 10 Mbps
возможность ручного задания MAC адресов (до 1000) с привязкой к VLAN и порту,
возможность ведения чёрного списка MAC адресов
IEEE 802.1d STP, IEEE 802.1w RSTP (Rapid Reconfiguration of Spanning Tree)
и IEEE 802.1s MSTP (Multiple Spanning Trees (до 4);
возможность ограничения частоты TOP_CHANGE BPDU (приводят к сбросу таблицы адресов);
возможность задания типа защиты порта: Edged Port (конечное устройство, не может генерировать BPDU,
BDPU фильтруются при включённом BPDU guard; по умолчанию?),
Root Protection (защита от корней самозванцев), Loop Protection (защита от пропажи пакетов BPDU)
группирование портов статическое (до "число-портов/2" групп, до 8 портов в группе) и
динамическое с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP);
порты в группе должны иметь одинаковую скорость, дуплексность, изоляцию порта, тип соединения,
VLAN по умолчанию, список допустимых VLAN, количество обучаемых MAC адресов и др.;
для каждой группы создаётся виртуальный интерфейс (aggregate interface)
IEEE 802.1AB Link Layer Discovery Protocol (LLDP): обмен (ethernet multicast) с соседями информацией о себе
(MAC, название системы, описание системы, тип системы, порт, IP адрес управления, MTU,
информация о VLAN, об агрегированных портах, об PoE, об IP телефонах (аварийный номер! домашний адрес!) и т.д.);
управляется на устройстве в целом и отдельно на портах (на приём и отправку, какую информацию посылать);
выключено по умолчанию на устройстве;
возможна совместимость с CDP (Cisco Discovery Protocol) для IP телефонов Cisco - выключно по умолчанию на всех портах;
автоматическое ведение ARP таблицы (до 256 записей),
ручное задание до 64 записей (можно задавать VLAN и порт);
настраиваемая фильтрация нехороших ARP пакетов (групповой обратный адрес и т.п.) с недоверенных портов - выключена по умолчанию;
может использовать прослушку DHCP пакетов для фильтрации нехороших ARP пакетов с недоверенных портов
прослушивание IGMP (Internet Group Management Protocol) - устанавливаются связи между номерами портов и групповыми
адресами, чтобы не дублировать кадры в ненужные порты;
выключена по умолчанию
прослушивание MLD (Multicast Listener Discovery, IPv6 multicast); выключена по умолчанию
в таблицу маршрутизации добавляются:
прямые маршруты (добавляются автоматически при настройке интерфейса),
статические маршруты (добавляются вручную, до 32, указываются адрес сети, маска, метрика,
промежуточный IP адрес и виртуальный интерфейс VLAN или NULL0),
динамические маршруты от протоколов маршрутизации;
из таблицы маршрутов делается FIB (forwarding information base), которая определяет
физический интерфейс (порт) коммутатора по IP адресу назначения;
на клиентах необходимо указывать в качестве шлюза IP адрес виртуального интерфейса VLAN
802.1X (до 1024 пользователей всего, до 256 на порт) позволяет ограничить доступ к портам устройства (authenticator)
только клиентов (supplicant), проверенных с помощью внешнего сервера (authentication server, RADIUS) или локально;
локальные группы и пользователи с заданием типа (LAN-Access) и уровня доступа;
ограничение по портам (достаточно 1 доверенного клиента, чтобы доступ получили все клиенты этого порта) или MAC адресам;
поддержка протоколов между аутентификатором и супликантом: MD5-Challenge, EAP-TLS, PEAP;
режимы взаимодействия сервером RADIUS: EAP termination (CHAP и PAP) и EAP relay;
гостевая и Auth-Fail VLAN; ACL для аутентифицированных пользователей;
несовместим с агрегированнием портов
гибкое управление схемой AAA для доступа в сеть и к локальным сервисам;
схема определяется по домену (по умолчанию - домен system);
в схемах могут быть использованы RADIUS, HWTACACS (не поддерживается) и локальные списки
портал - аутентификация выходящих в Интернет пользователей перенаправлением их запросов
на страницу аутентификации локального вебсервера
поддержка PKI (Public Key Infrastructure, ITU-T X.509); позволяет генерировать ключи и запрашивать сертификат стройства,
загружать сертификаты из файла и по сети
изолированные порты
списки доступа (ACL; созданные ACL могут применяться во многих местах в конфигурации,
например, в управлении трафиком или ограничении доступа к управлению коммутатором;
список правил в ACL проверяется последовательно до первого совпадения; последовательность
может задаваться идентификаторами правил или автоматически (более специфические правила первыми);
можно записывать в журнал, разрешать или запрещать пакет (кадр); действие ACL может зависеть от времени дня;
действие может зависеть от того, является ли фрагмент пакета первым;):
базовые (номера от 2000 до 2999): исходные IP адреса
расширенные (номера от 3000 до 3999): исходные IP адреса, IP адреса назначения,
протокол (IP, TCP, UDP, ICMP) и поля заголовков уровня 3 и 4 (номер порта ЕСЗ b ГВЗ)
по заголовкам Ethernet (номера от 4000 до 4999): поля заголовков уровня 2 (MAC адреса, приоритет и т.д.)
IEEE 802.1p (QoS и TOS с DSCP), несколько планировщиков (Strict Priority, Weighted Round Robin),
4 аппаратные очереди (из Release Notes);
можно ограничить пропускную способность порта как на входе, так и на выходе (квант - 64 kbps)
поддержка Jumbo frames до 10KB (в документации на V1910G не упоминается, в отладочной печати "The Maximum Frame Length is 10240")
Настроить:
обновить прошивку при необходимости
имя устройства
синхронизация времени по NTP (до 2 серверов, только IP адреса)
локальный журнал и syslog (ограничение на длину доменного имена пропало; всегда debug на local7)
установить имена групп (root и user), имена и пароли (Management и Monitor) пользователей в разделе Authentication
и проверить пользователей в разделе Device
HP V1900-8G (JD865A), в девичестве 3COM 3CDSG8 (3Com OfficeConnect Managed Gigabit Switch 8, 3CGSU08A).
Гарантия 3 года с авансовой заменой на следующий рабочий день.
8 портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса.
Последний порт совмещён с SFP.
Внешний блок питания, совмещённый с вилкой; к счастью, узкий; 12V, 1A, 8 Вт.
Безвентиляторный.
Индикаторы питания, состояния коммутатора, состояния SFP, состояния и скорости каждого порта, дуплекса каждого порта.
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока.
Процессор: Vitesse VSC7398 @ 25 МГц, 128 КБ SDRAM, 2 МБ флэш-памяти.
Размер таблицы MAC адресов - 8192 (8000? в управляющем процессоре - 128).
Управление: консоль (интерфейс командной строки), IMC (Intelligent Management Center, что это?),
веб-браузер (требуется JavaScript и CSS, HTTPS не реализован), SNMP.
Сброс настроек: если в течении 15 секунд после включения (после "Booting..." до "0") ввести "Ctrl+Shift+minus" на последовательном порту.
Возможности:
задание обычных полей имени устройства, расположения и ответственного
по умолчанию получает адрес по DHCP (запасной MAC и адрес по умолчанию - 169.254.X.Y - написан на днище,
где X и Y - последние байты MAC адреса); плохо относится к "лишним" DHCP
изменение пароля администратора (первоначально пустой, до 16 букв и цифр), имя пользователя всегда "admin"
обновление прошивки
сохранение и восстановление конфигурации (двоичный файл, пароли в открытом виде)
сохранение таблицы MAC адресов (обрезается до 8КБ)
включение Jumbo frames (9600?)
ручное задание скорости, дуплекса и контроля потока (IEEE 802.3x Flow Control) для любого порта
управление экономией энергии: учёт длины кабеля (link-up), отключение незадействованных портов (link-down), оба метода (full);
по умолчанию - отключено
возможность ограничение количества широковещательных и групповых пакетов, проходящих через коммутатор в секунду
возможность копирования входящих на указанные порты пакетов на указанный порт (зеркалирование портов)
определение длины и состояния кабеля (кроме порта 8)
группирование портов (до 4 групп) и IEEE 802.3ad Link Aggregation Control Protocol (LACP)
IEEE 802.1Q и IEEE 802.3ac (VLAN Tagging Extension); до 256 (до 64?); VLAN1 нельзя удалить и он является управляющим
(однако в меню есть возможность выбора управляющего VLAN); порт м.б. приписан к нескольким VLAN;
VLAN имеет идентификатор от 1 до 4094;
номер VLAN может определяться по PVID входного порта (untagged) или быть включён в пакет (tagged)
IEEE 802.1X и RADIUS
IGMP snooping
IEEE 802.1D STP и IEEE 802.1s Multiple Spanning Trees и IEEE 802.1w Rapid Reconfiguration of Spanning Tree;
лучше отключить - у 3Com плохая история глюков в работе STP - либо аккуратно планировать топологию;
случайно став главным - заваливает сеть
IEEE 802.1p (QoS и TOS с DSCP) - выключить, т.к. несовместим с Jumbo frames
SNMP (IEEE 802.3 Ethernet MIB) - интервал обновления в zabbix пришлось увеличить до 60 или 180 секунд, часть отключить,
но всё равно ЦП на 25 MHz "не тянет"; таблица MAC адресов обрезается до 128 штук, из них 23 локальных MAC
обещан IEEE 802.1AB Link Layer Discovery Protocol (LLDP), врут: настроек нет, сосед его не видит
синхронизации времени и syslog нет
Не брать для больших и средних сетей (более 100 узлов).
SuperStack 3 Baseline Switch 3C16465B - 24 порта 10/100, неуправлвяемый,
автоопределение скорости, дуплекса (при отсутствии автоопределения с другой стороны - half duplex).
Порты 1-23 - MDI-X, порт 24 - можно переключить в режим MDI. Потребляемая мощность - 88 VA.
Последняя прошивка (2008) - s3h03_00s56p07 (обновление по TFTP).
Синхронизации времени и syslog нет, CDP и LLDP тоже.
Нумерация вентиляторов (на правой стороне) сзади.
Имеется мониторинг количества сбоев каждого вентилятора (заявлен мониторинг скорости вращения, но она всегда равна нулю),
имеется мониторинг температуры (0 до достижения какой-то границы).
Управление вентиляторами неадекватное.
Серия коммутаторов Dell PowerConnect 5500 включает модели на 24 и
48 портов (Dell PowerConnect 5548,
сервисный код - JKXMTS1) 10/100/1000BASE-T
с автоматическим распознаванием MDI/MDIX и скорости и дуплекса.
Дополнительно 2 порта SFP+ (10 Gbps, XG, 1000Base-X-SFP+), 2 порта для объединения коммутаторов (10Gbps, HDMI),
консоль и порт USB для обновления прошивки и конфигурации.
Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps
(транисиверы от FC распознались как 1Gbps).
В серию входит модель с 24 портами и модели с PoE.
Обещается полная скорость коммутации (non-blocking).
Управляющий процессор Marvell ARM CPU, 256 MB SDRAM, 16 MB flash,
2 пакетных процессора Marvell: 98DX4122 и 98DX4123
(Prestera-DX4122 - 24 порта Gigabit Ethernet, 4 порта 10 Gbit Ethernet, пакетный процессор FlexLink 800 MHz,
общая пропускная способность - 64 Gbps?
а для связи между половинками используется всего 1 порт на 10 Gbps?).
Встроенный БП, потребление - от ? до 100 Вт.
2 вентилятора (выдувает налево) с автоматическим управлением (включается при более 50°C,
выключается при менее 40°C
при отсутствии нагрузки получалось 42°C и вентиляторы никогда не выключались).
Резервное питание от источника постоянного тока RPS (Redundant Power Supply).
(экономия энергии по 802.3az для простаивающих и неактивных портов).
Включает комплект для монтажа в стойку (1U).
Гарантия lifetime (ремонт и замена).
Индикаторы: питания (мигает при локации устройства),
состояния коммутатора (мигает при загрузке, красный мигает при проблемах, красный горит когда совсем плохо),
номер коммутатора в стеке, является ли коммутатор главным в стеке,
подключение резервного питания (зелёный - OK, красный - неудача),
состояние вентиляторов (зелёный - OK, красный - неудача), локатор (сзади) для поиска устройства (Unit Identification),
состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps),
состояния ((зелёный - 10Gbps, жёлтый - 1Gbps)) и активности каждого SFP+,
соединение и активность стековых портов HDMI.
Имеется кнопка сброса коммутатора.
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 9600 (можно изменять от 2400 до 115200 bps),
8N1, без контроля потока, VT100.
Размер таблицы MAC адресов - 16000.
Управление: консоль, telnet и SSH (до 4 сессий;
CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS);
веб-браузер (до 27 сессий одновременно, HTTP и HTTPS);
для построения графиков (Charts) необходима Java);
SNMPv1, v2c, and v3;
конфигурацию можно сохранять и восстанавливать из файла (TFTP, USB),
автоматическая загрузка конфигурации и прошивки с TFTP сервера или USB.
Для первоначальной настройки необходимо использование консоли для задания пароля администратора
(до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки
(задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1).
Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу,
для избежания этого необходимо нажать "Other format".
Отдельно обновляются загрузчик (.rbf) и система (.ros).
Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки.
Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной
при следующей загрузке.
Для аппаратной версии A03 настоятельно рекомендуется прошивка 4.1.0.5 и выше.
Прошивка 4.1.0.8 (загрузчик - powerconnect_55xx_boot-10014.rfb; ОС - powerconnect_55xx-4108.ros, называет себя 4.1.0.15).
Установка с помощью CLI с TFTP (можно указывать только адрес, не имя!):
console# copy running-config startup-config # на всякий случай
console# copy tftp://адрес-tftp-сервера/путь-к-файлу-ros [unit://*/]image # номер выбирается автоматически?
console# copy tftp:///адрес-tftp-сервера/путь-к-файлу-rbf [unit://*/]boot # не показывается в списке файлов
console# show bootvar
console# boot system image-X [all]
console# reload
Изменения от 4.1.0.8 до 4.1.0.15: OpenSSH 5.9, исправление ошибок.
Изменения от 4.1.0.15 до 4.1.0.20: удалён доставший ^M из сообщений syslog,
поддержка кабеля 40G Molex break-out, OpenSSL 1.0.1j (прощай SSL3), исправление ошибок.
Возможности:
возможность объединения до 8 коммутаторов в группу (stack) с единым IP адресом для управления;
одиночное устройство считается стеком из 1 устройства (некоторые команды всегда показывают 8 устройств);
стек почти настоящий - объединение производится с помощью 2 специальных портов
(разъёмы и кабели HDMI 1.3a (рекомендуются 1.4), Category 2 High Speed cables, 340 MHz, 10.2 Gbps,
подключение цепочкой из левого порта в правый порт следующего; можно (нужно!) замкнуть цепочку в кольцо);
уникальный номер устройства задаётся из загрузочного меню в консоли перед подсоединением в стек
(0 - автоматическое назначение номера);
в стеке д.б. управляющее (Master, UID1) устройство (индикатор M) и м.б.
запасное управляющее (Master Backup, UID2) устройство;
имеется специальный индикатор номера устройства в стеке;
учитывая и без этого неполноскоростную связность одного устройства (состоит из 2 половин, соединённых портом 10 Gbps) -
не рекомендуется для ЦОД
локальный журнал и до ? серверов syslog;
полная настройка, но только IP адрес
синхронизация времени по SNTP (до ? серверов, только IP адреса; можно указывать используемый интерфейс и NTP ключи);
в вебинтерфейсе не получается задать часовой пояс
возможность задать DNS-сервер, только он нигде не используется
фильтрация пакетов ARP
?
IEEE 802.1AB Link Layer Discovery Protocol (LLDP): обмен (ethernet multicast) с соседями информацией о себе
(MAC, название системы, описание системы, тип системы, порт, IP адрес управления, MTU,
информация о VLAN, об агрегированных портах, об PoE, об IP телефонах (аварийный номер! домашний адрес!) и т.д.);
управляется на устройстве в целом и отдельно на портах (на приём и отправку, какую информацию посылать);
выключено по умолчанию на устройстве;
возможна совместимость с CDP (Cisco Discovery Protocol) для IP телефонов Cisco - выключено по умолчанию на всех портах
группирование портов (trunking, port channel, link aggregation, LAG, до 32 групп, до 8 портов в группе) статическое и
динамическое с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP);
порты в группе должны иметь один физический тип при разных скоростях или могут быть разного типа на одной скорости,
одинаковые настройки flow control, back pressure, приоритет, входные фильтры и выходные метки,
одинаковую скорость, полный дуплекс, автосогласование отключено (?!),
не должен быть сконфигурирован VLAN;
для каждой группы создаётся виртуальный интерфейс (aggregate interface) Po1 (1000) и т.д.;
хеширование физического порта исходя из MAC адресов (по умолчанию), IP адресов или того и другого ;
в документации упомянуто хеширование по IP-портам (возможно переупорядочение фрагментов);
при добавлении 3 секундный перерыв и разрыв связи;
настройки:
configure
lacp system-priority число # 1
port-channel load-balance {src-dst-mac | src-dst-ip | src-dst-mac-ip} # no port-channel load-balance # src-dst-mac-ip
interface gi1/0/1
lacp port-priority число # no lacp port-priority
lacp timeout {long|short}
channel-group номер-группы mode {auto|on} # no cnannel-group, on - ручной, auto - LACP
exit
...
exit
show lacp gi1/0/1 [parameters | statistics | protocol-state]
show lacp port-channel [номер-группы]
show interfaces port-channel [номер-группы]
show interfaces switchport te1/0/1
?
IEEE 802.1d STP (включая Fast Link), IEEE 802.1w RSTP (Rapid Reconfiguration of Spanning Tree)
и IEEE 802.1s MSTP (Multiple Spanning Trees (до 4);
возможность ограничения частоты TOP_CHANGE BPDU (приводят к сбросу таблицы адресов);
возможность задания типа защиты порта: Edged Port (конечное устройство, не может генерировать BPDU,
при включённом BPDU guard порт отключается при получении пакета BPDU),
Root Protection (защита от корней самозванцев), Loop Protection (защита от пропажи пакетов BPDU);
при DHCP запросе от PXE не успевает установиться STP Forwarding
управление широковещательным штормом
до 64 статических маршрутов
?
802.1X (до 1024 пользователей всего, до 256 на порт) позволяет ограничить доступ к портам устройства (authenticator)
только клиентов (supplicant), проверенных с помощью внешнего сервера (authentication server, RADIUS, TACACS+) или локально;
локальные группы и пользователи с заданием типа (LAN-Access) и уровня доступа;
ограничение по портам (достаточно 1 доверенного клиента, чтобы доступ получили все клиенты этого порта) или MAC адресам;
поддержка протоколов между аутентификатором и супликантом: MD5-Challenge, EAP-TLS, PEAP;
режимы взаимодействия сервером RADIUS: EAP termination (CHAP и PAP) и EAP relay;
гостевая VLAN; ACL для аутентифицированных пользователей;
несовместим с агрегированнием портов
поддержка Jumbo frames до 10KB; по умолчанию - выключено;
включить можно только одновременно для всех портов, при этом требуется перезагрузка:
configure
port jumbo-frame
exit
copy running-config startup-config
reload
show ports jumbo-frame
EEE (Energy Efficient Ethernet, aka Green Ethernet) позволяет экономить энергию при длине кабеля менее 40 метров
тестирование кабеля (обрывы, замыкания, длина)
настройка параметров портов (физических и агрегированных):
административное состояние (иногда для изменения других параметров порт необходимо выключить и включить обратно)
выбор скорости, включая автоматический и перечень допустимых значений
выбор дуплекса, включая автоматический и перечень допустимых значений
идентификатор VLAN для непомеченных пакетов с этого порта
выбор MDI/MDIX: автоматический или MDI
контроль потока (д.б. включён на обоих концах)
выключение порта при отсутствии пакетов в течении некоторого времени для экономии энергии
(оппоненту это может не понравиться)
количество MAC адресов на том конце
ограничение обычного, широковещательных и группового трафика, посылаемого на порт? (доля, kbps, pps);
перед изменением необходимо отключить ограничение на устройстве
возможность ручного задания MAC адресов (до ?) ? с привязкой к VLAN и порту,
?возможность ведения чёрного списка MAC адресов
прослушивание IGMP (Internet Group Management Protocol) - устанавливаются связи между номерами портов и групповыми
адресами, чтобы не дублировать кадры в ненужные порты;
? выключена по умолчанию
возможность копирования входящих на указанные порты пакетов на указанный порт (зеркалирование портов):
задаётся порт мониторинга (выключить STP! устройство, подключённое к этому порту,
не должно участвовать в обычном сетевом трафике), зеркалируемые порты (до 4), направление передачи
поддержка VLAN IEEE 802.1Q-1999 и IEEE 802.3ac; до 4000 (?) VLAN одновременно;
при входе пакета в порт коммутатора (Ethernet или LAG) определяется VLAN пакета (по имеющейся в пакете метке,
при отсутствии метки по PVID или используемому протоколу (ip или не ip, только универсальные порты)) и пакет фильтруется (Ingress),
определяется куда его переслать по VLAN ID и MAC назначения (Progress), на выходе пакет фильтруется (Egress) и решается, оставлять ли метку;
VLAN имеет идентификатор от 1 до 4094 и имя (описание);
VLAN 1 нельзя удалить;
VLAN 4095 - "чёрная дыра" - пакет, назначенный в эту VLAN, выбрасывается;
порт м.б. объявлен как порт доступа (access, по умолчанию) - обрабатываются только пакеты единственной VLAN (задаётся как PVID),
на входе воспринимаются пакеты без меток (добавляется метка PVID) или с меткой PVID, пакеты с меткой не PVID выбрасываются, на выходе пакеты посылаются без меток;
порт м.б. объявлен транковым (trunk) - могут ходить пакеты разных VLAN (по умолчанию от 1 до 4094),
на входе воспринимаются пакеты без меток (добавляется метка PVID) или с меткой разрешённых VLAN, пакеты не разрешённых VLAN выбрасываются,
на выходе пакеты посылаются без меток для VLAN равного PVID или с метками;
порт м.б. объявлен универсальным (general) - могут ходить пакеты разных VLAN,
на входе воспринимаются пакеты без меток (добавляется метка PVID) или с меткой разрешённых VLAN, пакеты не разрешённых VLAN выбрасываются (можно отключить),
на выходе пакеты посылаются без меток или с метками в зависимости от настроек;
порт м.б. объявлен пользовательским (Customer) - только пакеты с метками;
иногда (?) коммутатор резервируется порты для внутренниих нужд ("show vlan internal usage");
команды:
vlan database # войти в режим конфигурирования списка VLAN (добавить, удалить, состояние (active? permanent?), авторизация 802.1X (?), "media ethernet" ?))
vlan номер name имя # добавить VLAN
exit # выход из режима конфигурирования списка VLAN
switchport general acceptable-frame-type {tagged-only|untagged-only|all} # для каждого порта можно индивидуально запретить приём пакетов с метками или без меток;
по умолчанию отключён
switchport mode {access | trunk | general | ...} # режим порта
switchport access vlan {идентификатор-VLAN | none} # задать PVID для порта доступа
switchport general allowed vlan {add|remove} список-VLAN [tagged | untagged] # управление списком разрешённых VLAN для универсального порта
switchport general pvid идентификатор-VLAN # задать PVID для универсального порта
switchport protected-port # порт изолируется от других изолированных портов, не входящих в то же сообщество
switchport community номер-сообщества
show interfaces protected-ports
коммутатор поддерживает GVRP (GARP VLAN Registration Protocol, по умолчанию ?), "no gvrp enable"
интерфейс может быть в режиме Layer 2 или Layer 3: "[no] switchport"
для маршрутизации между VLAN для каждой VLAN можно создать виртуальный VLAN интерфейс и назначить ему IP адрес
вручную или с помощью BOOTP/DHCP (этот адрес необходимо указывать как IP адрес шлюза для устройств в этой VLAN);
команды:
interface vlan идентификатор-VLAN # войти в режим настройки интерфейса
ip address IP-адрес /длина # задать адрес вручную
ip address dhcp # задать адрес по DHCP
show ip interface
пример
vlan database
vlan 2 name service
vlan 3 name grid
vlan 4 name users
exit
interface port-channel 1
switchport mode trunk
exit
interface gi1/0/3
switchport mode access
switchport access vlan 2
exit
show vlan
Vlan Name Tagged Ports UnTagged Ports Type Authorization
---- ------------ ------------------ ------------------ --------- -------------
1 1 gi1/0/1-2, Default Required
gi1/0/4-7,
gi1/0/9-47,
gi2/0/1-48,
te2/0/1-2,
gi3/0/1-48,
te3/0/1-2,
gi4/0/1-48,
te4/0/1-2,
gi5/0/1-48,
te5/0/1-2,
gi6/0/1-48,
te6/0/1-2,
gi7/0/1-48,
te7/0/1-2,
gi8/0/1-48,
te8/0/1-2,Po1-32
2 service Po1 gi1/0/3,gi1/0/8, permanent Required
gi1/0/48
3 grid Po1 permanent Required
4 users Po1 permanent Required
show ip interface
IP Address I/F Type Directed Precedence Status
Broadcast
------------------- --------- ----------- ---------- ---------- -----------
192.168.145.31/21 vlan 4 Static disable No Valid
192.168.153.31/21 vlan 3 Static disable No Valid
192.168.161.31/21 vlan 2 Static disable No Valid
192.168.173.31/22 vlan 1 Static disable No Valid
имеется реализация DHCP relay agent (необходимо зарегистрировать "правильные" DHCP серверы (до 20 групп)
и включить DHCP relay сервис на VLAN интерфейсе ("ip dhcp relay enable"), работает только для интерфейсов с заданными вручную IP адресами;
можно включить сбор информации о "лишних" DHCP серверах, здесь же можно привязать IP адреса к MAC адресам (user info);
как это соотносится с ручной таблицей ARP адресов? MAC адресов?);
имеется возможность прослушивать DHCP пакеты и фильтровать DHCP ответы с недоверенных портов,
собранная информация используется также для предупреждения ARP атак
(на незагруженном коммутаторе загрузка CPU возрастает с 3% до 13%);
DHCP сервер
QinQ, Customer VLAN
?
Voice VLAN: пакеты, исходящие из IP телефонов (определяется по OUI из MAC адресов; таблица расширяема и сужаема), приписывают
? порт к голосовой VLAN динамически; при этом автоматически назначаются ACL и приоритеты;
? проблемы с 802.1X и голосовым трафиком без меток;
? отключить, запретив на всех портах или очистив таблицу OUI
приватная VLAN (изоляция портов внутри широковещательного домена): Promiscuous Port, Isolated Port
Multicast TV VLAN
определение длины и состояния кабеля (VCT, Virtual Cable Test); не впечатлил - только общий статус и длина менее 50 метров
IEEE 802.1p (QoS и TOS с DSCP), несколько планировщиков (Strict Priority, Weighted Round Robin),
? 4 аппаратные очереди (из Release Notes);
? можно ограничить пропускную способность порта как на входе, так и на выходе (квант - 64 kbps)
SNMP;
? выключен по умолчанию; можно отдельно включить v1, v2 и v3;
можно задавать имена комьюнити и задавать для них права доступа (read-only, read-write, super),
? область видимости (ViewDefault) и ACL;
? snmpwalk выдаёт 40 тысяч строк;
архив MIB имеет размер 40 МБ
sFlow (RFC 3176)
?
IEEE 802.1AB Link Layer Discovery Protocol (LLDP и LLDP-MED): обмен (ethernet multicast) с соседями информацией о себе
(MAC, название системы, описание системы, тип системы, порт, IP адрес управления, MTU,
информация о VLAN, об агрегированных портах, об PoE, об IP телефонах (аварийный номер! домашний адрес!) и т.д.);
управляется на устройстве в целом и отдельно на портах (на приём и отправку, какую информацию посылать);
выключено по умолчанию на устройстве;
упорно не отдаёт System Name и многое другое; включение MED не помогает
Серия коммутаторов Dell PowerConnect 8024F (сервисный код - 9QYNTS1) включает модели
на 24 порта SFP/SFP+ (Ethernet 1 или 10 Gbps),
последние 4 совмещёны с 4 портами 1Gb/10GBase-T (модель 8024 - наоборот)
для монтажа в стойку (1U) с 2 блоками питания 300 Вт горячей замены (максимальное потребление коммутатора 160 Вт),
охлаждение спереди назад (3 модуля охлаждения горячей замены), до 6 устройств могут быть объединены в стек через SFP+.
Вот только глубина коммутатра в 50 см не позволит дотянуться до заменяемых блоков.
Работоспособен при температуре от 0 до 40°C (в другом месте 45°C).
Порты SFP+ позволяют использование оптических трансиверов (SX или LX, например,
Finisar FTLX8571D3BCL - 10GBASE-SR LC multimode 850nm) на скорости 10Gbps или 1Gbps
(трансиверы от коммутатора FC на 8Gbps распознались как 1Gbps) или "прямой кабель"
(например, DELL 470-11430, SFP+ Direct Attached Twinax Cable; кстати, купить кабели длиной более 3 метров не удалось).
Сделан на базе BCM56820_B0 (24 порта 10GbE (также поддерживает 1Gbps и 2.5Gbps) и 4 порта 1Gbps; полный дуплекс 240+ Gbps,
поддержка VLAN и таблиц уровня 3 - DPI, ACL и прочее - на полной скорости, 357 Mpps,
32000 MAC адресов, 4000 элементов в таблице ARP, 16 Mb памяти пакетов).
Управляющий ЦП - PowerPC 8533 (1 GHz), ОП - 1ГБ, флеш - 32 МБ.
Поддерживает протоколы маршрутизации RIP (512 маршрутов), OSPF (3000 маршрутов).
Предназначен для использования в качестве ToR (Top-of-Rack) коммутатора, агрегатора или ценьра сети (для маленьких ЦОД).
Гарантия lifetime (ремонт и замена).
Индикаторы сзади: диагностика (мигает - идёт тест, красный - авария)
температура (оранжевый - перегрев),
питания на каждом БП (красный - авария),
состояние вентиляторов на каждом модуле вентиляторов (зелёный - OK, красный - неудача),
стек (зелёный - мастер, оранжевый - подчинённый, не обнаружил).
Имеется кнопка сброса коммутатора (?).
Индикаторы спереди: состояния коммутатора (красный мигает при загрузке, синий - нормально),
состояния и скорости каждого порта (зелёный - 10Gbps, жёлтый - 100/1000 Mbps).
Управляющий порт RS-232 (верхний RJ-45, переходник на DB-9 в комплекте): DTE, 9600 (можно изменять от 2400 до 115200 bps),
8N1, без контроля потока, VT100.
Имеется дополнительный порт для управления out-of-band (нижний RJ-45 сзади, 1000Base-T).
Управление (до 8 локальных пользователей): консоль;
telnet (до 4 сессий) и SSH (до 5 сессий;
выключен по умолчанию, перед включением сгенерировать или загрузить ключи хоста);
CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS);
веб-браузер (до ?27 сессий одновременно, HTTP и HTTPS; поддерживаются IE 9, Firefox 14, Chrome 21;
для сохранения изменений необходимо нажать кнопку Apply);
?для построения графиков (Charts) необходима Java);
SNMPv1, v2c, and v3;
конфигурацию можно сохранять и восстанавливать из файла (TFTP),
автоматическая загрузка конфигурации и прошивки с TFTP сервера.
Для первоначальной настройки необходимо использование консоли для задания пароля администратора
(до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки
(задаются имя и пароль локального пользователя 15 уровня,
ручная конфигурация IPv4 для VLAN1 (в версии прошивки 3 - IPv4 для коммутатора "в целом"), адрес управляющей станции,
адрес шлюза, имя SNMPv1/2c).
Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу,
чтобы избежать этого необходимо выбрать "Other format" (Другие форматы).
? Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки.
Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке.
При покупке оказалась прошивка 3.1.4.5 (VxWorks 6.5).
Прошивка 5.1.0.1 (VxWorks 6.6; один файл PC8024v5.1.0.1.stk - совместное обновление загрузчика и системы).
Для перехода с версий 3 или 4 или 5.0 требуется специальная процедура.
Установка с помощью CLI с TFTP (для записи в файл на сервере нужны права 777,
можно указывать только адрес сервера, а не имя!):
подключаться только от ИБП!
обеспечить вход после обновления прошивки
console#configure
console(config)#enable password пароль
console(config)#exit
console#copy running-config startup-config
сохранение настроек
console#copy running-config tftp://адрес-tftp-сервера/путь-к-файлу.config
копирование прошивки на устройство (требует права доступа на запись в каталог!) и замена
console#copy tftp:///адрес-tftp-сервера/путь-к-файлу-stk image
console#show version
console#boot system нужный-образ
console#show version
console#update bootcode
перезагрузка (автоматически),
обновление загрузчика и прошивки каждого PHY (процесс виден только в консоли, занимает несколько минут)
не понравился startup-config ("ip address"), нужно поправить с консоли
console#configure
console(config)#interface vlan 1
console(config-if-vlan1)#ip addres адрес маска
console(config-if-vlan1)#exit
console(config)#line telnet
console(config-telnet)#enable authentication enableList
console(config-telnet)#exit
console(config)#exit
console#copy running-config startup-config
console#show bootvar
проверить (нужна версия 6) и обновить CPLD (только с консоли, команд нет в списке!)
console#dev cpldTest
console#dev cpldUpdate
выключить питание на 10 секунд
Отличия версии 5.1 от 4.2:
QSFP+
фильтр вывод в CLI
частные VLAN
административные профили (ограничение на выполняемые команды)
AAA авторизация
TACACS+ учёт
поддержка Firefox 14, IE9
число клиентов 802.1X на порт увеличено до 24
число статических маршрутов увеличено до 512
Отличия версии 4.2 от 3:
возможность автоматической установки прошивки и конфигурации
возможность оптимизации только для IP4
возможность блокировки CDP и прочих штучек создателя "индустриального стандарта"
DHCP сервер
WRED
синхронизация прошивок в стеке
оптимизация iSCSI (только для оборудования Dell)
обнаружение конфликта IP адреса управления
оповещение по email
аудит настроек коммутатора
встроенный сервер аутентификации 802.1X (IAS), до 50 пользователей
клиент DNS (коммутатор хранит полученный IP адрес и повторно к серверу DNS не обращается)
макросы CLI (с параметрами), встроенные макросы типа profile-desktop и profile-switch для настройки портов
DCBx
нумерация портов в виде устройство/слот/порт (устройство от 1 до 12, для встроенных портов слот равен 0, порты от 1 до 48)
убрана встроенная VLAN для управления
при настройке VLAN автоматически включается маршрутизация
OOB порт по умолчанию настроен на DHCP
порты LACP игнорируют пакеты, пока не будут подключены в группу
Возможности:
возможность объединения до 6 коммутаторов в группу (stack) с единым IP адресом для управления (до 8 портов SFP+);
автоматическая синхронизация версии прошивки с главным коммутатором;
запасной главный коммутатор с синхронизацией конфигурации;
при отказе управление на главном коммутаторе группа продолжает передавать пакеты (NSF - Nonstop Forwarding);
горячее добавление и удаление членов группы
группирование портов (trunking, port channel, link aggregation, LAG, до 128 групп, до 8 портов в группе) статическое и
динамическое с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP);
порты в группе должны иметь одинаковую скорость, полный дуплекс, PFC, DCBX;
для каждой группы создаётся виртуальный интерфейс (aggregate interface) Po1 (146) и т.д.;
при добавления порта в LAG он удаляется из своей VLAN и добавляется во VLAN LAG-а;
типы хеширования при выборе используемого физического порта из группы (настраивается для группы):
исходящий-MAC+VLAN+EtherType+входной-порт, исходящий-IP+поля-TCP/UDP, MAC-назначения+VLAN+EtherType+входной-порт,
исходящий-MAC+MAC-назначения+VLAN+EtherType+входной-порт, IP-назначения+поля-TCP/UDP, исходящий-IP+IP-назначения+поля-TCP/UDP;
настройка (менять настройки надо с обеих сторон одновременно, так что рекомендуется начать с дальнего):
configure
lacp system-priority 1
interface range port-channel all
mtu 9216
exit
interface port-channel 1 # Po1
description описание
port-channel local-preference # для стекируемых устройств
port-channel min-links число # 1
hashing-mode режим # 3 - Source IP and source TCP/UDP port, 7 - Enhanced hashing mode
exit
interface te1/0/21
lacp port-priority 1
lacp timeout {long | short}
channel-group 1 mode {active | on} # no channel-group # active - LACP
exit
...
exit
show interfaces port-channel 1
show lacp {te1/0/21 | gi1/0/1 | port-channel 1}
show statistics port-channel 1
клиент DHCP на каждом виртуальном VLAN интерфейсе включён по умолчанию,
при включении запрашивает IP адрес на сервере с использованием MAC адреса виртуального VLAN интерфейса,
для VLAN 1 он на 2 больше, указанного на корпусе, далее по порядку;
IP адрес по умолчанию (если не получил ответа по DHCP) - 192.168.2.1;
нельзя одновременно включить DHCP клиент для управляющего интерфейса и OOB;
MAC адрес для OOB на 1 больше, указанного на корпусе (нет IP адреса по умолчанию);
MAC адрес для маршрутизации на 3 больше, указанного на корпусе;
кроме IP адреса и маски сети получает от DHCP сервера адрес DNS, имя домена по умолчанию, информацию для автоматической настройки;
? для каждого физического интерфейса присвоен свой MAC;
? метод получения IP адреса можно изменить в настройках интерфейса VLAN;
? можно включить сбор информации о "лишних" DHCP серверах, здесь же можно привязать IP адреса к MAC адресам (user info);
? как это соотносится с ручной таблицей ARP адресов? MAC адресов?);
? имеется возможность прослушивать DHCP пакеты и фильтровать DHCP ответы с недоверенных портов,
? собранная информация используется также для предупреждения ARP атак
? (на незагруженном коммутаторе загрузка CPU возрастает с 3% до 13%);
?
имеется реализация DHCP relay agent (необходимо зарегистрировать "правильные" DHCP серверы (до 20 групп)
? и включить DHCP relay сервис на VLAN интерфейсе, работает только для интерфейсов с заданными вручную IP адресами;
DHCP сервер (до 256 клиентов, до 16 пулов)
локальный журнал (400 записей) и до ? серверов syslog;
полная настройка, но только IP адрес
синхронизация времени по SNTP (до ? серверов, только IP адреса; можно указывать используемый интерфейс и NTP ключи);
? может служить сервером
DNS клиент (до 8 серверов, статическая таблица на 64 имени), коммутатор хранит полученный IP адрес и повторно к серверу DNS не обращается
DHCP Snooping (до 8192, до 1024 статических); настраиваемая защита от DHCP шторма;
фильтрация нежелательных DHCP пакетов; деление портов на доверенные (здесь может быть DHCP сервер) и недовереннные;
ARP таблица на 8192 записи (64 статических); фильтрация нежелательных ARP пакетов
?
фильтрация пакетов ARP; защита от ARP шторма
IEEE 802.1AB Link Layer Discovery Protocol (LLDP и LLDP-MED):
? обмен (ethernet multicast) с соседями информацией о себе
? (MAC, название системы, описание системы, тип системы, порт, IP адрес управления, MTU,
? информация о VLAN, об агрегированных портах, об PoE, об IP телефонах (аварийный номер! домашний адрес!) и т.д.);
? управляется на устройстве в целом и отдельно на портах (на приём и отправку, какую информацию посылать);
? выключено по умолчанию на устройстве;
? упорно не отдаёт System Name и многое другое; включение MED не помогает
IEEE 802.1d STP (включая Fast Link, Port Fast), IEEE 802.1w RSTP (Rapid Reconfiguration of Spanning Tree)
и IEEE 802.1s MSTP (Multiple Spanning Trees (до 15);
фильтрация BPDU;
? возможность ограничения частоты TOP_CHANGE BPDU (приводят к сбросу таблицы адресов);
? возможность задания типа защиты порта: Edged Port (конечное устройство, не может генерировать BPDU,
? при включённом BPDU guard порт отключается при получении пакета BPDU),
? Root Protection (защита от корней самозванцев), Loop Protection (защита от пропажи пакетов BPDU)
управление широковещательным штормом (отдельные ограничения на широквещательный, групповой и неизвестный траффик)
до 512 (64?) статических маршрутов, до 6112 всего; протоколы маршрутизации OSPFv2, OSPFv3 и RIPv2
802.1X (до ? пользователей всего, до 24 на порт) позволяет ограничить доступ к портам устройства (authenticator)
только клиентов (supplicant), проверенных с помощью внешнего сервера (authentication server, RADIUS (до 32 серверов), TACACS+) или локально;
? локальные группы и пользователи с заданием типа (LAN-Access) и уровня доступа;
? ограничение по портам (достаточно 1 доверенного клиента, чтобы доступ получили все клиенты этого порта) или MAC адресам;
поддержка протоколов между аутентификатором и супликантом: EAP-MD5, EAP, EAP-TTL, EAP-TTLS, EAP-TLS, PEAP;
встроенный сервер IAS (до 50 пользователей, только EAP-MD5);
? режимы взаимодействия сервером RADIUS: EAP termination (CHAP и PAP) и EAP relay;
? гостевая VLAN; ACL для аутентифицированных пользователей;
? несовместим с агрегированнием портов;
режим мониторинга (всех пускать, но записывать)
Captive Portal: перенаправление HTTP запросов на страницу с запросом имени и пароля для входа в сеть
поддержка Jumbo frames до 9216 байт; по умолчанию - выключено;
config
interface range Tengigabitethernet all
mtu 9216
exit
exit
show interfaces mtu
?
EEE (Energy Efficient Ethernet, aka Green Ethernet) позволяет экономить энергию при длине кабеля менее 40 метров
?
тестирование кабеля (обрывы, замыкания, длина)
возможность начать передачу пакетов через исходящий порт до завершения приёма (cut-through, ASF - Alternate Store and Forward)
настройка параметров портов (физических и агрегированных):
?
административное состояние (иногда для изменения других параметров порт необходимо выключить и включить обратно)
выбор скорости, включая автоматический и перечень допустимых значений
?
идентификатор VLAN для непомеченных пакетов с этого порта
?
выбор MDI/MDIX: автоматический или MDI
контроль потока (802.3x, PAUSE или обратное давление (?!)), д.б. включён на обоих концах
?
выключение порта при отсутствии пакетов в течении некоторого времени для экономии энергии
(оппоненту это может не понравиться)
?
количество MAC адресов на том конце
?
ограничение обычного, широковещательных и группового трафика, посылаемого на порт? (доля, kbps, pps);
перед изменением необходимо отключить ограничение на устройстве
информация от трансиверах: "show fiber-ports optical-transceiver"
залочка до 600 MAC адресов на порт;
возможность ручного задания MAC адресов (до 100) ? с привязкой к VLAN и порту;
поиск по базе MAC адресов;
возможость ограничения доступа к порту по MAC адресу (статическому или обученному);
возможость ограничения доступа к порту по IP адресу;
?возможность ведения чёрного списка MAC адресов
прослушивание IGMP (Internet Group Management Protocol) - устанавливаются связи между номерами портов и групповыми
адресами, чтобы не дублировать кадры в ненужные порты;
? выключена по умолчанию
возможность копирования входящих на указанные порты пакетов на указанный порт (зеркалирование портов):
? задаётся порт мониторинга (выключить STP! устройство, подключённое к этому порту,
не должно участвовать в обычном сетевом трафике), зеркалируемые порты (до 4),
? направление передачи;
можно мониторить определённые потоки (на уровне 2, 3 или 4)
поддержка VLAN, включая IEEE 802.1Q-1999 и IEEE 802.3ac (VLAN Tagging Extension); до 1024 VLAN одновременно;
? VLAN имеет идентификатор от 1 до 4094 и имя (описание);
? порт может иметь PVID;
? порт м.б. приписан как tagged (пакеты на выходе с метками) или untagged (пакеты на выходе без меток) к нескольким VLAN;
? порт может не быть членом указанной VLAN совсем, иметь тип access (оконечное устройство на другом конце;
? принадлежит одной VLAN без меток;
? на входе трафик без меток (номер VLAN определяется по PVID порта)
? или с идентификатором VLAN, равным PVID; на выходе без меток) или
? иметь тип trunk (коммутатор, понимающий VLAN, на другом конце;
? на входе трафик без меток (номер VLAN определяется по PVID порта) или с метками допустимых VLAN;
? на выходе без меток для VLAN равного PVID или с метками)
? или иметь тип hybrid (непонятно, что на другом конце; немного другие правила);
пакеты приписываются к VLAN либо по идентификатору VLAN или по номеру входящего порта,
аутентификации 802.1X, содержимому пакета (IP адресу, MAC адресу, протоколу согласно 802.1v);
? VLAN 1 нельзя удалить;
? для маршрутизации между VLAN для каждой VLAN можно создать виртуальный VLAN интерфейс и назначить ему IP адрес
? вручную или с помощью BOOTP/DHCP (этот адрес необходимо указывать как IP адрес шлюза для устройств в этой VLAN);
поддержка GARP и GVRP;
до 256 VLAN на базе MAC; до 128 VLAN на основе подсети; до 128 VLAN на основе протоколов;
802.1QinQ (вложенные метки VLAN)
?
Voice VLAN: пакеты, исходящие из IP телефонов (определяется по OUI из MAC адресов; таблица расширяема и сужаема), приписывают
? порт к голосовой VLAN динамически; при этом автоматически назначаются ACL и приоритеты;
? проблемы с 802.1X и голосовым трафиком без меток;
? отключить, запретив на всех портах или очистив таблицу OUI
гостевая VLAN - неаутентифицированные по 802.1X пользователи могут быть ограничены в доступе
IEEE 802.1p (CoS, QoS и TOS с DSCP), несколько планировщиков (Strict Priority, Weighted Round Robin), 7 класов
?
можно ограничить пропускную способность порта как на входе, так и на выходе (квант - 64 kbps)
SNMP;
? выключен по умолчанию; можно отдельно включить v1, v2c и v3;
можно задавать имена комьюнити и задавать для них права доступа (read-only, read-write, super),
? область видимости (ViewDefault) и ACL;
? snmpwalk выдаёт 40 тысяч строк;
архив MIB имеет размер 40 МБ
sFlow 5 (RFC 3176), до 416 источников, до 8 приёмников
изолированные порты (Protected Ports; Private VLAN Edge - PVE);
пакеты от такого порта могут посылаться только "наверх"
оптимизация под iSCSI
ACL (до 100 штук, до 127 правил на ACL, до 4096 правил на всех);
типы ACL: IPv4, IPv6, MAC; контроль на входе или выходе порта, группы, VLAN;
настройка ACL по времени действия
Серия коммутаторов D-Link SmartPro DGS-1510 (Layer 3 Lite) включает модели на 16, 24 и 48 портов 1000Base-T (IEEE 802.3ab)
с 2 или 4 портами SFP+ (1G или 10G, XG, 1000Base-X-SFP+), с возможностью PoE, с автоматическим распознаванием MDI/MDIX и скорости и дуплекса.
Бессрочная ограниченная гарантия.
Модель D-Link DGS-1510-52X (RGS151052XA1AA1G, H/W Ver: A1, L2-switch VER-1.61) на 48 портов 1000Base-T
и 4 порта SFP+ (1G или 10G), обещается коммутационная матрица 176 Гбит/сек (видимо просто просуммированы скорости портов).
Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps,
2 порта можно использовать для объединения в стек до 6 устройств, нижние порты (50 и 52) перевёрнуты.
Не все подсистемы воспринимают порты 51 и 52 - STP.
Родные трансиверы: DEM-311GT (1000BASE-SX, multi-mode, 550м), DEM-312GT2 (1000BASE-SX, multi-mode, 2км?), DGS-712 (1000BASE-T to SFP),
DEM-431XT (10GBASE-SR, without DDM, 300м для OM3 MMF), DEM-431X-DD (10GBASE-SR, with DDM - Digital Diagnostics Monitoring, 300м для OM3 MMF),
DEM-CB100S (SFP+ DAC, 1м), DEM-CB300S, DEM-CB700S.
Нормально воспринял "неродные" трансиверы Finisar FTLX8571D3BCL и DAC кабели от Dell
(нет полюбившихся нам команд "service unsupported-transceiver",
"no errdisable detect cause sfp-config-mismatch" и "no errdisable detect cause gbic-invalid").
Встроенный БП (100-240В), потребление - от 29Вт (ожидание) до 44 Вт,
2 вентилятора справа (выдувает направо) с автоматическим управлением (выше 45°C - полная скорость, ниже 40°C - пониженная скорость).
Управляющий процессор ?, 256 MB SDRAM, 30 MB flash, 2 пакетных процессора ?.
Размер таблицы MAC адресов - 16000 (512 статических записей).
Метод передачи пакетов только Store-and-forward (обещается 130 Mpps, видимо просто просуммированы скорости портов).
Буфер пакетов 3МБ (судя по всему внутри 2 коммутирующие матрицы с 1.5 MB на каждую? или глядя на таблицу ERPS - 6 по 0.5MB?).
Рабочая температура до 50°C.
Включает комплект для монтажа в стойку (1U).
Индикаторы: питания, консоли (мигает во время самотестирования),
номер коммутатора в стеке (от 1 до 6, H - главный, h - резервный, G - самозащита, E - ошибка самотестирования),
состояние вентиляторов (зелёный - OK, красный - неудача),
состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps),
состояния (зелёный - 10Gbps, жёлтый - 1Gbps) и активности каждого SFP+.
Имеется утопленная кнопка сброса - удерживать 5 секунд для сброса настроек.
Загружается медленно (более 3 минут).
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте - приём, передача, общая земля): 115200,
8N1, без контроля потока, VT100.
Управление: консоль, telnet и SSH (CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS);
веб-браузер (до ? сессий одновременно; либо HTTP, либо HTTPS (можно встроить нужный сертификат);
для просмотра графиков требуется Adobe Flash; есть русский, но я не рискнул; не все функции);
SNMPv1, v2c и v3;
конфигурацию можно сохранять и восстанавливать из файла (TFTP, HTTP).
Видимо конфигурация хранится во внутреннем формате и команды CLI преобразуются в него и обратно ("show running [all|effective]" размером 60 КБ и безумной структуры).
По умолчанию DHCP выключен, IP адрес 10.90.90.90/8 и шлюз 0.0.0.0, пустые имя и пароль (неотображаемые admin/admin в новой версии).
При смене ip адреса явно - нет доступа ни по новому адресу, ни по старому, необходимо использовать DHCP.
Общие сведения о командном языке:
имеется команда help
любое ключевое слово или имя можно сокращать до минимально возможного, расширение до полного по нажатию клавиши Tab
текст командной строки можно редактировать (Delete, Backspace, курсор влево, курсор вправо, переключение режима вставки ^R)
история последних 20 команд доступна по клавишам вверх (^P) и вниз (^N) и команде "show history"
в любой момент можно ввести символ "?" и нажать Enter, в ответ будет выдан список команд или параметров;
для ввода символа "?" необходимо нажать ^V и ввести "?"
почти каждую команду настройки можно предварять словом no
предусмотрено 16 уровней доступа от 0 до 15;
по умолчанию, уровень 1 - команды непривилигерованного пользователя, уровень 12 - команды оператора, уровень 15 - доступны все команды;
переход с уровня на уровень осуществляется командой enable [номер уровня]
(можно задать пароль: "enable password [level уровень] [0|7] пароль", 0 - открытым текстом, 7 - зашифрованный);
команду можно перевести на уровень, отличный от стандартного (команда privilege);
при создании пользователю назначается уровень, устанавливаемый при входе;
посмотреть текущий уровень - "show privilege"
режим настройки (вход из привилегированного режима: configure terminal; выход: exit
режим настройки интерфейса (вход из режима настройки: interface номер-устройства/номер-модуля/номер-порта
другие подрежимы настройки
фильтрация вывода команды show: " | begin строка", " | include стока", " | exclude строка"
запутанные правила доступа из Cisco IOS AAA
стали ещё запутаннее в интерпретации разработчиков и технических писателей D-Link;
по умолчанию пароли хранятся в открытом виде ("service password-encryption");
для различных типов входа могут быть различные локальные пароли (?);
для аутентификации, авторизации и учёта может быть использован внешний сервер RADIUS или TACACS+;
к счастью, по умолчанию режим aaa выключен ("aaa newmodel")
список текущих сеансов: show users
проблема с русскими буквами (UTF-8?)
Исходная прошивка (на базе vxworks) для DGS-1510-52X - 1.10.005,
на тайваньском сайте - 1.20.11 (добавляет имя и пароль admin/admin,
но не показывает его в настройках;
сервер NTP; 16 IP адресов; STP edge по умолчанию; ERPS (Ethernet Ring Protection Switching); sFlow; владельцы PoE ждут следующей версии)
на австралийском: версия 1.30.007 (новый метод (15) шифрования пароля на основе MD5;
выбор VLAN на основе MAC и протокола; клиент telnet (без MIB/Web?!);
завершение сессии telnet/SSH по неактивности; веб сессии показываются по команде "show users"; клонирование VLAN в веб интерфейсе; другая веб морда)
на российском сайте - 1.40.019 (инструкция и Release Notes отсутствуют);
на австралийском - версия 1.40.19 -
TLS 1.2, "show running-config [effective|all] [interface ...]", UDP helper, LoopBack Detection (LBD) 4.07, исправление ошибок (SNMP).
на российском сайте - 1.50.021 и 1.50.B023 (инструкция и Release Notes отсутствуют);
на австралийском - версия 1.50.021 (новые модели другой архитектуры,
автоматическое завершение сессии по неактивности, журналирование мониторинга и ARP spoof, статическая таблица групповых MAC адресов увеличена с 128 до 256,
SHA-256 для SSH, MIB, "loopback-detection address-type {multicast | broadcast}") и 1.50.B024 (инструкция и Release Notes отсутствуют)
Перед обновление необходимо проверить версию оборудования и сравнить с версией прошивки (D-Link под одним именем модели выпускает
оборудование совершенно разной архитектуры, например, с управляющим процессором другой архитектуры).
Обновление прошивки возможно через TFTP, HTTP (требуется JAVA и TFTP ;).
Возможность иметь несколько копий прошивки и конфигураций (всего места во флеш - 29937 K, прошивка занимает около 9МБ):
Выбор файла настройки для следующей загрузки (config.cfg): "boot config имя-файла"
выбор файла с прошивкой для следующей загрузки: "boot image имя-файла" (проверяется модель и контрольная сумма,
резервная прошивка выбирается автоматически по дате)
проверка файла с прошивкой: "boot image check имя-файла"
посмотреть назначенную для следующей загрузки прошивку и файл настроек: "show boot"
сброс текущих настроек (кроме стека): "clear running-config"
сброс коммутатора (сброс текущих настроек включая стек, сохранение и перезагрузка): "reset system"
замена настроек на ходу: "configure replace {tftp: адрес | flash: имя-файла} [force]"
копирование файла: "copy [tftp:] исходный-файл [tftp:] результат" (вместо имён файлов можно использовать log, attack-log,
startup-config и running-config (производится слияние, а не замена))
посмотреть текущие или будущие настройки: "show {running-config | startup-config}"
Процедура установки (в документации ошибки, в заголовке значится DXS-3600):
dir
copy tftp: //адрес/имя-файла flash: имя-файла # не воспринимает адрес из командной строки, только в интерактиве
configure terminal
boot image check имя-файла
boot image имя-файла # copy running startup не нужен
exit
show boot
reboot
Начальная установка с консоли:
enable
crypto key generate rsa
crypto key generate dsa
configure terminal
# создание пользователя с максимальными привилегиями (простой, но неправильный метод)
username имя password пароль
username имя privilege 15
# смена пароля для стандартного пользователя admin
username admin password пароль
service password-encryption
# защита консоли и telnet
line console
login local
exit
line telnet
login local
session-timeout 10
exit
# SSH
ip ssh server
ssh user root authentication-method password
ssh user admin authentication-method password
line ssh
login local
session-timeout 10
exit
# http, здравствуй новый чудный мир! из-за борьбы за "настоящую" безопасность приходится отключать SSL
#ip http secure-server
ip http server
ip http timeout-policy idle 600
# настройка IP адреса
interface vlan 1
ip address адрес маска-сети
# SNTP
clock timezone + 3 0
no clock summer-time
sntp server IP-адрес1
sntp server IP-адрес2
sntp enable
# syslog
logging buffered severity debugging write-delay 300
logging console severity warnings
logging server IP-адрес severity debugging facility 16 port 514
command logging enable
# SNMP
no snmp-server
no snmp-server enable traps
snmp-server name имя
snmp-server location местонахождение
snmp-server contact ответственный
no snmp-server community public
no snmp-server community private
no snmp-server user initial initial v2c
no snmp-server user initial initial v3
no snmp-server group initial v3 noauth
no snmp-server group public v1
no snmp-server group public v2c
no snmp-server group private v1
no snmp-server group private v2c
no snmp-server view restricted
no snmp-server view CommunityView
# snmp-server engineID local ...
#snmp-server view restricted 1.3.6.1.2.1.1 included
#snmp-server view restricted 1.3.6.1.2.1.11 included
#snmp-server view restricted 1.3.6.1.6.3.10.2.1 included
#snmp-server view restricted 1.3.6.1.6.3.11.2.1 included
#snmp-server view restricted 1.3.6.1.6.3.15.1.1 included
snmp-server view CommunityView 1 included
snmp-server view CommunityView 1.3.6.1.6.3 excluded # пароли
snmp-server view CommunityView 1.3.6.1.6.3.1 included
snmp-server community имя-для-чтения view CommunityView ro # хранится в открытом виде
#snmp-server community имя-для-записи view CommunityView rw
snmp-server
# Jumbo frame
interface range eth1/0/1-52
max-rcv-frame-size 9216
# включение мониторинга оптических трансиверов
interface range ethernet 1/0/49-52
transceiver-monitoring enable
exit
# LLDP
lldp run
interface range ethernet 1/0/1-52
lldp dot3-tlv-select mac-phy-cfg
lldp dot3-tlv-select max-frame-size
lldp dot3-tlv-select link-aggregation
lldp management-address IP-адрес-коммутатора
lldp tlv-select system-name
lldp tlv-select system-description
exit
# детектор циклов
errdisable recovery cause loopback-detect interval 60
loopback-detection mode port-based
# статический LACP
port-channel load-balance src-dst-mac
interface range ethernet 1/0/49-50
channel-group 1 mode on
exit
exit
# сохранение (ошибка в документации)
copy running-config startup-config
Возможности:
возможность объединения до 32 коммутаторов в виртуальную группу (stack) с единым IP адресом для управления (SIM, Single IP Management);
по умолчанию - выключена (коммутатор в роли кандидата);
коммутаторы играют роли главного (Commander), члена группы (Member) и кандидата в члены группы (Candidate);
каждый коммутатор получает уникальный идентификатор (главный - 0);
в сегменте сети может быть несколько групп (определяются по имени, коммутатор может быть членом только 1 группы);
главный коммутатор синхронизирует настройки коммутаторов стека;
команды "sim", "show sim", "sim role {commander [имя-группы] | candidate}", по умолчанию группа default,
"sim group-member идентификатор-кандидата [пароль]"),
командир может подключиться для настройки: "sim remote-config {member идентификатор | exit}")
возможность объединения до 6 коммутаторов в физический стек с помощью 2 портов SFP+ (кольцо или цепь);
по умолчанию - выключена;
каждый коммутатор получает уникальный идентификатор (Unit ID);
коммутаторы играют роли главного (Master), запасного и подчинённого (Slave), распределяются вручную или автоматически;
главный коммутатор синхронизирует настройки коммутаторов стека;
топология может быть изменена без остановки работы (новый главный берёт себе IP и MAC адреса предыдущего главного);
включение: "stack", требуется перезагрузка, режим сохраняется вместе с конфигурацией;
изменение номера: "stack текущий-номер renumber новый-номер", требуется перезагрузка, сохраняется вместе с конфигурацией;
состояние стека: "show stack";
"debug show packet ports unit sio1"; "debug show error ports unit sio1"
информация об устройстве (show unit; show version) - серийный номер, uptime, объём памяти и флеша (всего и свободной)
мониторинг оборудования ("show environment [fan|power|temperature]"; "show cpu utilization" (32% без нагрузки);
процессы: "debug show cpu utilization");
может посылать SNMP сообщения при превышении устанавливаемых пределов
управление FDP (Filter Database, таблица привязки MAC-адресов и портов):
параметры: "mac-address-table aging-time секунд" (300); "mac-address-table aging destination-hit";
"mac-address-table learning interface идентификатор";
статические записи: "mac-address-table static MAC-адрес-получателя vlan идентификатор {interface идентификатор | drop}" (допускается мультикаст);
очистка: "clear mac-address-table dynamic {all | address MAC-адрес | interface идентификатор | vlan идентификатор}";
посмотреть: "show mac-address-table [dynamic | static] [address MAC-адрес | interface идентификатор | vlan идентификатор]";
изменения в базе могут записываться в журнал и отсылаться по SNMP: "mac-address-table notification change";
можно посмотреть историю изменений: "show mac-address-table notification change history"
DHCP Snooping - прослушивание и разбор DHCP пакетов с недоверенных интерфейсов (на которых нет DHCP сервера или коммутатора с DHCP сервером);
надо включить отдельно для каждой VLAN;
накопленная база привязки между IP и MAC адресами может использоваться
для проверки исходящих IP адресов, MAC адресов ("ip dhcp snooping verify mac-address") и ARP пакетов;
база привязки может храниться (и читаться) на TFTP или внешней флеш памяти (USB, SD, CF), которая на этом устройстве отсутствует;
можно привязать вручную ("ip dhcp snooping binding MAC-адрес vlan идентификатор IP-адрес interface идентификатор expiry секунд");
максимальный размер базы не указан (есть ограничение на порт: "ip dhcp snooping limit entries число-до-1024");
можно запретить перемещение клиента на другой порт ("ip dhcp snooping station-move deny");
посмотреть (показывает MAC, IP, остаток времени лизинга, VLAN, интерфейс):
"show ip dhcp snooping binding [IP-адрес] [MAC-адрес] [vlan идентификатор] [interface идентификатор]";
и ещё одна форма аппаратной проверки исходящих IP и [MAC] на интерфейсе: "ip verify source vlan dhcp-snooping [ip-mac]"
(статическая привязка "ip source binding MAC-адрес vlan идентификатор IP-адрес interface идентификатор";
"show ip source binding ..." и "show ip verify source ...");
вопрос: знают ли писатели "ip dhcp snooping verify" и "ip verify source vlan dhcp-snooping" друг о друге?
локальный журнал (до 10000 записей) и до ? серверов syslog;
журналирование изменяющих состояние коммутатора команд ("command logging enable", вместе с паролями);
вывод отладочной информации ("debug enable" (пропал ?); "debug output {module имя-модуля | all} {buffer | console}" (пропал ?);
"debug copy buffer tftp"; "debug show buffer" (пропал ?); "debug show error-log"; "debug clear buffer"; "debug clear error-log";
"debug show tech-support");
настройка вывода в локальный буфер (непопавшие в буфер сообщения не попадут никуда, буфер периодически сбрасывается во флеш):
"logging buffered [severity {уровень-от0до7 | имя-syslog}] [discriminator имя] [write-delay {секунд | infinite}]"
(по умолчанию - уровень warning (4));
посмотреть буфер: "show logging [all | номер-записи]";
очистка буфера: "clear logging";
посмотреть журнал атаки: "show attack-logging [unit номер-устройства-в-стеке]";
очистка журнала атак: "clear attack-logging {unit номер-устройства-в-стеке | all}";
настройка вывода на консоль (выключен по умолчанию): "logging console [severity {уровень-от0до7 | имя-syslog}] [discriminator имя]";
задание фильтра: "logging discriminator имя [facility {drops список | includes список}] [severity {drops список | includes список}]";
настройка сервера syslog "logging server IP-адрес [severity {уровень-от0до7 | имя-syslog}] [facility имя] [discriminator имя] [port номер-UDP]".
локальные часы и синхронизация времени по SNTP (до 4? серверов): "sntp server IP-адрес" и "sntp enable";
можно настроить летнее время и часовой пояс ("clock timezone + 3 0" для Москвы);
посмотреть: "show clock" и "show sntp"
NTP сервер (по умолчанию выключен и сервер и клиент)
имеется кеширующий DNS сервер с указанием настоящего (выключен по умолчанию);
можно задать статическую таблицу соответствия имён и IP-адресов
работа с ARP ("show arp [static | dynamic] [IP-адрес [маска-сети]] [идентификатор-интерфейса] [MAC-адрес]" - в качестве интерфейса показывает vlan1);
gratuitous ARP включён по умолчанию, ответ - выключен, регулярная посылка выключена;
фильтрация несоответствующих DHCP пакетов ARP ("arp access-list имя-списка" (IP и MAC);
"ip arp inspection vlan идентификатор" или "ip arp inspection filter имя-списка vlan идентификатор [static]";
может собираться журнал нарушений/разрешений по ACL и/или DHCP;
исключения для интерфейса: "ip arp inspection trust"; дополнительные проверки: "ip arp inspection validate [src-mac] [dst-mac] [ip]");
256 статических записей (а сколько всего?) в таблице ARP ("arp IP-адрес MAC-адрес");
в динамической ARP таблице значения хранятся по умолчанию 20 минут ("arp timeout минут"; "clear arp-cache {all | interface номер-или-IP}");
ARP proxy на уровне VLAN интерфейса; локальный ARP proxy (?)
группирование портов (trunking, port channel, link aggregation, LAG, до 32 групп, до 8 (12?) портов в группе) статическое и
динамическое с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP) и 802.3AX;
смешивать статическое и динамическое группирование нельзя; интерфейс может входить только в 1 группу;
нельзя добавить в группу интерфейс, на котором включены функции безопасности (?);
добавление физического интерфейса в группу: "channel-group номер-группы mode {on | active | passive}"
(on - статическая группа, active - инициировать LACP, passive - слушать LACP);
параметры соединения (приоритет используется при превышении размера группы): "lacp port-priority приоритет",
"lacp system-priority приоритет", "port-channel load-balance {src-mac | dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip}" (всё дрянь),
"lacp timeout {short | long}" (по умолчанию, short - 3 секунды, long - 90 секунд);
посмотреть: "show channel-group [channel [номер-группы] {detail | neighbor } load-balance | sys-id";
номер интерфейса для группы 1 при опросе по SNMP - 897, но счётчиков нет;
при попытке балансировки нагрузки скорость падает;
при падении интерфейса из группы возникают периодические проблемы с доступностью
port-channel load-balance src-dst-mac
interface ethernet 1/0/49
channel-group 1 mode active
interface ethernet 1/0/50
channel-group 1 mode active
IEEE 802.1d STP, 802.1w RSTP, 802.1s MSTP;
STP по умолчанию выключен глобально в режиме RSTP ("spanning-tree global state {enable | disable}")
и включён на интерфейсах ("spanning-tree state {enable | disable}");
можно посмотреть состояние ("show spanning-tree"), настройки интерфейса ("show spanning-tree configuration interface идентификатор")
и получать извещения об изменениях корня и топологии по SNMP;
есть настройки параметров (hello-time, forward-time, max-age, cost, guard root, link-type, portfast,
port-priority, priority, tcnfilter, tx- hold-count, forward-bpdu) и режима ("spanning-tree mode {mstp | rstp |stp}");
отдельные нстройки для MSTP (instance, name, revision, cost, port-priority, max-hops, hello-time, priority)
802.1X (до 1000 пользователей всего, до 1000 на порт) позволяет ограничить доступ к портам устройства (authenticator)
только клиентов (supplicant), проверенных с помощью внешнего сервера (authentication server, RADIUS, TACACS+) или локально;
ограничение по портам (достаточно 1 доверенного клиента, чтобы доступ получили все клиенты этого порта) или MAC адресам;
поддержка протоколов EAP, OTP, TLS, TTLS, PEAP;
аутентификация индивидуальная (multi-auth) или одна на всех (multi-host) задаётся для интерфейса;
кроме 802.1X имеется аутентификация по MAC, wac (web-auth, веб-интерфейс), jwac (японский веб-интерфейс);
включение аутентификации по MAC (несовместим с port security, привязкой IP/MAC/порт, группировкой портов):
на глобальном уровне "mac-auth system-auth-control", на уровне интерфейса "mac-auth enable",
"mac-auth username имя-пользователя" (по умолчанию в качестве имени используется MAC адрес клиента),
"mac-auth password [0 | 7] строка" (по умолчанию в качестве пароля используется MAC адрес клиента);
создание локальной базы пользователей для аутентификации: "authentication username имя password [0 | 7] пароль [vlan идентификатор]";
просмотр и сброс сессий: "{show | clear} authentication sessions [interface идентификатор] {mac | wac | jwac | dot1x | all}";
получение параметров авторизации (VLAN, 802.1p, ACL, полоса пропускания) от RADIUS сервера: "no authorization disable";
поддержка Jumbo frames до 9216; по умолчанию - 1536; управляется отдельно для каждого физического интерфейса: "max-rcv-frame-size 9216"
EEE (Energy Efficient Ethernet, aka Green Ethernet, IEEEE 802.3az) позволяет экономить энергию при длине кабеля менее 40 метров
включение мониторинга оптического трансивера (DDM) для указанного интерфейса (выключено по умолчанию): "transceiver-monitoring enable";
DAC кабели не мониторятся;
можно настроить посылку SNMP сообщений и выключение интерфейса (включать потом вручную через shutdown),
нижний и верхний пределы (могут быть записаны в трансивер!);
просмотр всех (должен работать без включения мониторинга, но не работает): "show interfaces transceiver detail"
описание (соответствует MIB объекту ifAlias из RFC 2233)
административное состояние (shutdown)
выбор скорости, включая автоматический и перечень допустимых значений и master/slave
("speed {auto [список] | 10 | 100 | 1000 [master | slave] | 10giga")
выбор дуплекса, включая автоматический и перечень допустимых значений ("duplex {auto | full | half}")
выбор MDI/MDIX: автоматический или Normal или Cross ("mdix {auto | normal | cross}")
контроль потока (д.б. включён на обоих концах): "flowcontrol {off | on}"
автоматическое понижение скорости при невозможности установить соединение, по умолчанию выключено ("speed auto-downgrade")
счётчики ("show counters [interface идентификатор]") - пакеты с разбивкой по типу и размеру, ошибки с разбивкой по типу;
сброс счётчиков ("clear counters {all | interface идентификатор")
прослушивание IGMP (Internet Group Management Protocol, IGMP Snooping), MLD Snooping (IPv6) -
устанавливаются связи между номерами портов и групповыми адресами, чтобы не дублировать кадры в ненужные порты;
выключено по умолчанию; может быть включено гдобально или для VLAN
возможность копирования входящих на указанные порты пакетов на указанный порт (зеркалирование портов);
до 4 групп (сессий), зеркалирование входящих, исходящих или всех;
можно использовать группы портов;
указание порта получателя: "monitor session номер-сессии destination interface идентификатор";
указание зеркалируемых портов: "monitor session номер-сессии source interface идентификатор [both | rx | tx [forwarding]]";
фильтрация пакетов : "monitor session номер-сессии source acl имя-списка"
предоставляется DHCP Relay:
включить (выключено по умолчанию): "service dhcp"
можно создать до ? поименованных (до 32 символов) DHCP классов, каждый DHCP класс опционально определяет дополнительный фильтр (фильтры, ИЛИ)
для клиентов из номера DHCP опции и значения:
"ip dhcp class имя-класса; option номер hex шаблон[*] [bitmask маска]; ...; exit"
можно создать до ? поименованных (до 32 символов) DHCP пулов ("ip dhcp pool имя-пула"), пул определяет:
подсеть клиента для запросов REQUEST (проверяется GIADDR или адрес получившего пакет интерфейса, можно указать несколько, ИЛИ): "relay source адрес маска"
DHCP класс используется для фильтрации клиентов при описании DHCP пула и указания специфичного DHCP сервера:
"ip dhcp pool имя-пула; relay source адрес маска; class имя-класса; relay target адрес-DHCP-сервера; exit; exit";
настройки посредника (relay), по умолчанию всё выключено:
проверка содержимого опции 82 (circuit ID, Remote ID) из ответа сервера, глобальные настройки: "ip dhcp relay information check"
проверка содержимого опции 82 (circuit ID, Remote ID) из ответа сервера, настройки интерфейса: "ip dhcp relay information check-reply [none]"
вставлять опцию 82 при пересылке пакета серверу, глобальные настройки: "ip dhcp relay information option"
вставлять опцию 82 при пересылке пакета серверу, настройки интерфейса: "ip dhcp relay information option-insert [none]"
проверить вставку опции 82: "show ip dhcp relay information option-insert"
обработка имеющейся опции 82, глобальные настройки: "ip dhcp relay information policy {replace | drop | keep}"
проверить обработку опции 82: "show ip dhcp relay information policy-action"
можно определить формат Remote ID (по умолчанию, MAC адрес коммутатора) и circuit ID (по умолчанию, VLANID и номер порта) глобально и для интерфейса
полностью доверять всем ("ip dhcp relay information trust-all") или ответам с конкретного интерфейса ("ip dhcp relay information trusted"),
проверить кому доверяем: "show ip dhcp relay information trusted-sources"
рассылать DHCP всем портам VLAN (клиенты и сервер DHCP в одной VLAN, выключено по умолчанию, имеет смысл использовать для добавления опции 82,
остальная чать пакета не изменяется): "ip dhcp local-relay vlan список-VLANID"
использовать вторичные адреса интефейса в качестве GIADDR после 3 неудачных попыток пересылки (выключено по умолчанию): "ip dhcp smart-relay"
пример (пул не привязан к интерфейсу или VLAN, включается всё разом)
?ip dhcp relay information trust-all
ip dhcp pool legacy
relay destination адрес
exit
service dhcp
поддержка VLAN, включая IEEE 802.1Q-1999; до 4096 статических (по порту) или динамических групп, идентификатор от 1 до 4094;
ассиметричные VLAN (возможность использования одного и того же порта в режиме без меток в нескольких VLAN);
поддержка GVRP (по умолчанию выключена);
вход в режим настройки vlan: "vlan идентификатор", настраивается имя ("name имя", по умолчанию VLAN0001)
trunk - назначенная интерфейсу VLANID с метками ("switchport trunk allowed vlan {all | [add | remove | except] идентификаторы}")
или без ("switchport trunk native vlan {идентификатор | tag}", VLAN1 без меток)
настраивается фильтр типов кадров для интерфейсов (по умолчанию untagged-only для режима access и admit-all для других):
"acceptable-frame тип" (tagged-only - принимаются только кадры с метками, untagged-only - только без меток, admit-all - любые)
настраивается входная проверка номера VLAN во входящем пакете на интерфейсе: ingress-checking (включена по умолчанию)
упрощённая версия сегментирования домена коммутации по номерам интерфейсов: "traffic-segmentation forward interface range интерфейсы"
до 8 IP интерфейсов (на уровне интерфейса VLAN: "ip address {IP-адрес маска-подсети [secondary] | dhcp}");
"show ip interface [идентификатор-интерфейса]"
клиент DHCP на виртуальном VLAN интерфейсе выключён по умолчанию;
настраиваются параметры DHCP клиента: vendor class identifier (Option 60),
client ID (VLAN интерфейс, чей MAC берётся - а MAC всех интерфейсов одинаков), имя хоста, время лизинга;
пример настройки (совместимо с Huawei), у всех VLAN одинаковый MAC:
configure terminal
vlan 2
name service
exit
vlan 3
name grid
exit
vlan 4
name users
exit
interface vlan 2
ip address адрес маска
exit
interface vlan 3
ip address адрес маска
exit
interface vlan 4
ip address адрес маска
exit
# trunk Po1 к Huawei Eth-Trunk 2
interface ethernet 1/0/51
channel-group 1 mode active
exit
interface ethernet 1/0/52
channel-group 1 mode active
exit
interface port-channel 1 # trunk Po1 к Huawei Eth-Trunk 2
switchport mode hybrid
switchport hybrid allowed vlan tagged 2-4
интерфейсы VLAN-ов пингуются снаружи
show arp # наш адрес E8-CC-18-30-88-00
IP Address Hardware Addr IP Interface Age (min)
----------------- ----------------- ------------- ---------------
192.168.172.181 00-15-17-B1-6D-20 vlan1 20
192.168.172.196 00-23-7D-A1-BE-36 vlan1 20
192.168.172.247 00-1C-C0-8B-18-1E vlan1 20
192.168.173.240 E8-CC-18-30-88-00 vlan1 forever
192.168.161.239 60-08-10-B9-77-34 vlan2 20
192.168.161.240 E8-CC-18-30-88-00 vlan2 forever
192.168.152.5 A4-BF-01-02-C4-DF vlan3 20
192.168.153.240 E8-CC-18-30-88-00 vlan3 forever
192.168.145.240 E8-CC-18-30-88-00 vlan4 forever
show vlan
VLAN 1
Name : legacy
Tagged Member Ports :
Untagged Member Ports : 1/0/1-1/0/52
VLAN 2
Name : service
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports :
VLAN 3
Name : grid
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports :
VLAN 4
Name : users
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports :
Total Entries : 4
show vlan interface port-channel 1
Port-channel1
VLAN mode : Hybrid
Native VLAN : 1
Hybrid untagged VLAN : 1
Hybrid tagged VLAN : 2-4
Ingress checking : Enabled
Acceptable frame type : Admit-All
Dynamic tagged VLAN :
show vlan interface eth1/0/1
eth1/0/1
VLAN mode : Hybrid
Native VLAN : 1
Hybrid untagged VLAN : 1
Hybrid tagged VLAN :
Ingress checking : Enabled
Acceptable frame type : Admit-All
Dynamic tagged VLAN :
show ip interface vlan 2
Interface vlan2 is enabled, Link status is up
IP address is адрес/длина-маски (Manual)
ARP timeout is 20 minutes.
Helper Address is not set
Proxy ARP is disabled
IP Local Proxy ARP is disabled
gratuitous-send is disabled, interval is 0 seconds
?ip dhcp relay information trust-all
ip dhcp pool legacy
relay destination адрес
exit
service dhcp
int eth1/0/4
switchport mode access
switchport access vlan 2
exit
...
show vlan
VLAN 1
Name : legacy
Tagged Member Ports :
Untagged Member Ports : 1/0/1,1/0/3,1/0/6-1/0/45,1/0/47-1/0/52
VLAN 2
Name : service
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports : 1/0/2,1/0/4-1/0/5,1/0/46
VLAN 3
Name : grid
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports :
VLAN 4
Name : users
Tagged Member Ports : 1/0/51-1/0/52
Untagged Member Ports :
show vlan interface eth1/0/2
eth1/0/2
VLAN mode : Access
Access VLAN : 2
Ingress checking : Enabled
Acceptable frame type : Untagged-Only
гостевая VLAN ("authentication guest-vlan идентификатор"): доступ в гостевую VLAN разрешён без аутентификации
Auto Surveillance VLAN (ASV) и Auto Voice VLAN (только одна на устройство) - тип устройства определяется по OUI части MAC адреса,
устройства автоматически размещаются в охранную или голосовую VLAN со специфическими свойствами
IEEE 802.1p (QoS и TOS с DSCP), несколько планировщиков (Strict Priority (SPQ),
Weighted Round Robin (WRR), Deficit Round Robin (DRR), SPQ+WRR), 8 очередей на порт;
можно ограничить пропускную способность порта как на входе, так и на выходе (квант - 64 kbps, обработка всплесков);
классификация по протоколу, COS, DSCP, VLAN; установка DSCP, COS
IEEE 802.1AB Link Layer Discovery Protocol (LLDP и LLDP-MED): обмен (ethernet multicast) с соседями информацией о себе;
масса параметров; посмотреть настройки: "show lldp [interface идентификатор] [local идентификатор-интерфейса [brief | detail]]";
посмотреть информацию о соседях: "show lldp neighbors interface идентификатор [brief | detail]";
посмотреть статистику обмена LLDP пакетами: "show lldp traffic [interface идентификатор]";
даже есть свой D-Link Discovery Protocol (DDP), включён по умолчанию глобально и поинтерфейсно, как посмотреть результат?
детектирование циклов (LBD, Loopback Detection, выключен по умолчанию):
"loopback-detection [mode {port-based | vlan-based}]";
в режиме на базе портов (по умолчанию) коммутатор рассылает специальные пакеты без VLAN меток через каждый порт,
при получении пакета через этот же или другой порт исходящий порт блокируется;
в режиме совместимости с VLAN коммутатор рассылает специальные пакеты через каждый порт для каждого VLAN, к которому принадлежит
данный порт (для VLAN с метками посылаются пакеты с метками этого VLAN);
включение порта обратно: "errdisable recovery cause loopback-detect ..." или обычную последовательность "shutdown" и "no shutdown";
детектирование циклов на базе портов можно включить на отдельном порту или группе: "loopback-detection";
можно настроить интервал (10 секунд) и список VLAN (все);
посмотреть циклы: "show loopback-detection [interface идентификатор]";
можно получать извещения по SNMP
до 256 ACL по MAC адресу, VLAN, IP адресу, протоколу (tcp, udp, gre, esp, eigrp, igmp, ipinip, ospf и др.),
номеру порта или типу ICMP, параметрам QoS; обрабатываются только входящие пакеты (?);
до 768 правил (групп) с привязкой к интерфейсу или VLAN;
действия - переслать пакет, выбросить пакет, перенаправить на указанный интерфейс;
имеются аппаратные счётчики пакетов
(а сама обработка ACL аппаратно или посредством ЦП?);
ACL также можно использовать для ограничения доступа для telnet и ssh ("config-line# access-class имя-списка"),
www ("ip http access-class имя-списка")
защита от атак по известным шаблонам
BPDU Attack (по умолчанию выключено: "spanning-tree bpdu-protection";
не на всех портах мы хотим видеть STP пакеты, настройка на уровне интерфейса: "spanning-tree bpdu-protection {drop | block | shutdown}")
ARP Spoofing (64 элемента, чем отличается от привязки IP к MAC?)
DoS (аппаратная защита от Blat, Land, TCP-NULL-scan, TCP-SYN-fin, TCP-SYN-SRCport-less-1024, TCP-xmas-scan, Ping-death, TCP-tiny-frag;
"dos-prevention all"); можно получать извещения об атаках по SNMP каждые 5 минут
DHCP Server Screening
защита от перегрузки (Safeguard Engine), выключена по умолчанию, при достижении указанной нагрузки на ЦП
ограничивается обработка ЦП указанного типа пакетов (в штуках в секунду)
аппаратная защита от широковещательного шторма на интерфейсе (выключена по умолчанию):
"storm-control {{broadcast | multicast | unicast} level {pps верхний нижний | kbps верхний нижний | верхний нижний} |
action {shutdown | drop | none}}";
включение порта обратно: "errdisable recovery cause ..." или обычную последовательность "shutdown" и "no shutdown";
реализация ограничения в kbps и процентах не совсем полноценная
настраиваемый интервал восстановления порта после превышения лимита ARP, DHCP, BPDU, обнаружения петель, шторма
("errdisable recovery cause ...")
проверка привязки IP/MAC/порт (для интерфейса: "ip ip-mac-port-binding [srtict-mode | loose-mode]",
strict - база берётся из IP Source guard и DHCP snooping,
loose - описана теми же словами);
посмотреть режим или заблокированные пакеты - "show ip ip-mac-port-binding [interface идентификатор] [violation]";
можно получать извещения о нарушениях по SNMP;
до 256 MAC на порт
ограничение доступа к порту (port security, слабое подобие 802.1X), 6656 записей, настраивается на уровне интерфейса:
"switchport port-security [mac-address [permanent] MAC-адрес] [maximum количество-MAC-адресов]
[violation {protect | restrict | shutdown}] [mode {permanent | delete-on-timeout} [vlan идентификатор]]"
debug reboot on-error
ERPS (Ethernet Ring Protection Switching, ITU-T G.8032 ERP physical ring) на портах 1-8, 24-31, 51-52 (очередная замена STP?)
работа с файлами во флеш (прошивки, настройки, журналы): dir, cd, delete, mkdir, rmdir, more, rename, "show storage media-info"
есть ping и traceroute (^C работает)
экономия энергии: отключение индикаторов портов ("dim led"), отключение неактивных портов ("power-saving link-detection"),
отключение индикаторов портов по расписанию, отключение портов по расписанию, отключение коммутатора по расписанию,
включение стандарта EEE (экономия при малой нагрузке) на интерфейсе ("power-saving eee")
SNMPv1, v2c и v3 (выключен по умолчанию); RMON (выключен по умолчанию на всех интерфейсах);
для настройки необходимо включить внутренний SNMP агент ("snmp-server", "show snmp-server [traps]",
"show snmp {community | host | view | group | engineID | user}");
можно включить SNMP извещения о изменениях статуса интерфейсов ("snmp-server enable traps",
"snmp-server enable traps snmp [authentication] [linkup] [linkdown] [coldstart] [warmstart]");
информация о системе: "snmp-server contact текст", "snmp-server location текст", "snmp-server name имя";
определение пользователей ("snmp-server user имя имя-группы {v1 | v2c | v3 [encrypted] [auth {md5 | sha} пароль-аутентификации
[priv пароль-шифрования]]} [access имя-ACL]")
и групп ("snmp-server group имя {v1 | v2c | v3 {auth | noauth | priv}}
[read имя-вида] [wrire имя-вида] [notify имя-вида] [access имя-ACL]", по умолчанию группа Initial noauth с чтением вида Restricted) для SNMPv3,
комьюнити для v1 и v2c ("snmp-server community [0 | 7] имя [view имя-набора] [ro | rw] [имя-ACL]", по умолчанию public и private,
может быть зашифрованным),
набор доступных объектов ("snmp-server view имя-вида дерево-OID {included | excluded}", по умолчанию создаются restricted и CommunityView);
кто-то из разработчиков путает группы и комьюнити (трудности перевода?);
специальные интерфейсы: 1024 (802.1Q Encapsulation Tag 0001), 5121 (vlan1, маршрутизация, основной MAC здесь), 40000 (CPU, cpu0);
интерфейсы имеют MAC равный основному плюс номер интерфейса;
интересные OID: SNMPv2-SMI::mib-2.47.1.1.1.1.2.3 ("Internal Power is OK"), SNMPv2-SMI::mib-2.47.1.1.1.1.2.4 ("External Power is fail"),
SNMPv2-SMI::mib-2.47.1.1.1.1.2.5 ("Right side1 Fan is OK"), SNMPv2-SMI::mib-2.47.1.1.1.1.2.6 ("Right side2 Fan is OK"),
SNMPv2-SMI::mib-2.47.1.1.1.1.11.1 (серийный номер); где-то д.б. температура (хотя бы в DLINKSW-DDM-MIB.mib для мониторинга трансиверов
и DLINKSW-ENTITY-EXT-MIB.mib: SNMPv2-SMI::enterprises.171.14.5.1.1.1.1.4.1.1?)
настройка SSH (V2, aes128-cbc/hmac-md5), сгенерировать ключи ("crypto key generate {rsa | dsa}",
были проблемы с RSA 2048), включить сервер ("ip ssh server", "ssh имя-пользователя authentication-method password"),
настроить аутентификацию на линии SSH ("line ssh"; "login local"); можно использовать предварительно скопированный в файловую
систему коммутатора публичный ключ
настройка SSL/TLS: можно импортировать с TFTP CA сертификата и/или сертификата и ключа коммутатора в формате PEM
определить доверенные CA и задать политику обслуживания
Фирма Huawei с 2013 года представляет для ЦОД несколько линеек коммутаторов Cloud Engine (CE, для кампусов другая линейка S)
на программной платформе VRP8 (Huawei Versatile Routing Platform Software):
CE12800 и CE16800 - большие модульные коммутаторы
CE8860-4C-EI - коммутатор на 4 модуля, 2U, 2 направления вентиляции, 6.4 Tbit/s, 2,976 Mpps;
M-LAG, TRILL, BGP, VXLAN (лицензия CE88-LIC-VXLAN), Agile Controller, FCoE/FC (отдельные лицензии), Linux контейнер;
не умеет SVF?;
EOM December 31,2019;
мониторинг и анализ перегрузок (congestion);
модули:
CE88-D24S2CQ (24 SFP+ или SFP28, 2 QSFP28; QSFP28 можно расщепить на 4 SFP28 или SFP+)
CE88-D24T2CQ (24 10GBase-T, 2 QSFP28; QSFP28 можно расщепить на 4 SFP28 или SFP+)
CE88-D24S2CQ-U (24 SFP+ или SFP28 или FC, 2 QSFP28; QSFP28 можно расщепить на 4 SFP28 или SFP+)
CE88-D8CQ (8 QSFP28; QSFP28 можно расщепить на 4 SFP28 или SFP+)
CE88-D16Q (16 QSFP; QSFP можно расщепить на 2 SFP+)
CE8861-4C-EI (на замену CE8860-4C-EI); не умеет SVF?
CE8868-4C-EI - нужны лицензии на модули с QSFP? не умеет SVF?
CE8850-32CQ-EI (32 порта QSFP28 и 2 порта SFP+);
EOM 2021-06-30; EOS 2026-06-30
CE8850-64CQ-EI (64 порта QSFP28 и 2 порта SFP+; 2U)
CE7850-32Q-EI (и обновленную версию CE7855-32Q-EI (EOM December 31,2019) с большими таблицами - CE7855-EI-F-B0A,
02350SBG, 4 ядра по 1.5 GHz, 4GB, 1GB флеш) - 1U ToR, 1,440 Mpps,
2.56 Tbit/s, QSFP+ можно разбивать на 4 SFP+,
SVF, M-LAG, TRILL, VXLAN (лицензия CE-LIC-VXLAN ), FCoE/FC (отдельные лицензии), DCBX, Agile Controller, OPS,
2 направления вентиляции, 2 БП, Linux контейнер; CE7850-EI-B00/02359250 (2 x 600W AC Power Module, 2 x Fan Box, port side exhaust)
CE6880 - порты QSFP28 и SDN на основе Ethernet Network Processor 2.0; не обнаружил в продаже
CE6880-48T4Q2CQ-EI (44*10GE Base-T (48 с ограничениями), 4*40GE QSFP+, 2*100GE QSFP28);
EOM 2020-12-31; EOS 2025-12-31
CE6880-48S4Q2CQ-EI (44*10GE SFP+ (48 с ограничениями), 4*40GE QSFP+, and 2*100GE QSFP28);
EOM December 31, 2019
CE6870 - порты QSFP28 и большие буфера (4GB), ACL 20k, ARP 750k, MAC 750k, IPv4 FIB 380k и т.д.; не обнаружил в продаже
CE6870-48S6CQ-EI (48*10GE SFP+, 6*100GE QSFP28)
CE6870-24S6CQ-EI (24*10GE SFP+, 6*100GE QSFP28) ;
EOM December 31, 2018
CE6875-48S4CQ-EI; EOM 2020-12-31
CE6860 - порты SFP28 (можно использовать как SFP+) и QSFP28 (можно использовать как QSFP+ или 4 SFP28/SFP+);
1U ToR, 3200Mpps, 4000Gbit/s, M-LAG, TRILL, FC/FCoE (лицензии для FC/FCoE), DCBX, Agile Controller, OPS,
2 направления вентиляции, 2 БП, Linux контейнер, MPLS; отсутствует меню BIOS
CE6860-48S8CQ-EI (48*25GE SFP28, 8*100GE QSFP28), CE6860-EI-F-B00 (CE6860-48S8CQ-EI, 2*AC Power Module, 2*FAN Box, Port-side Exhaust);
EOM June 30,2019
CE6850 - 1U ToR, 960-1080 Mpps, 1.28-1.44 Tbit/s, порт QSFP можно использовать как 4 SFP+ и наоборот (версия R6), SVF,
M-LAG, TRILL (1 и 10Gb?), FC/FCoE (лицензии для FC/FCoE - CE68-LIC-FCF16, CE68-LIC-FCFAL, CE6800-LIC-NPV),
DCBX, Agile Controller, OPS, 2 направления вентиляции, 2 БП, Linux контейнер,
MPLS (и GRE и VPN?) только для HI, BGP только для HI, VXLAN (лицензия CE68-LIC-VXLAN (200 тыр, только HI));
отличаются ЦП (частота, количество ядер), объёмом ОП, NVRAM, мощностью БП, размерами таблиц (multicast FIB только 4k для EI);
1 тип очень простого крепления (статическое, передние и задние ушки, направляющие) входит в комплект;
DHCP Relay только для HI; OpenFlow только для HI
CE6850-48T4Q-EI (48*10GE Base-T, 4*40GE QSFP+); E6850-EI-B01 (CE6850-48T4Q-EI, 2*600W AC Power Module, 2*FAN Box, Port side exhaust);
EOM 2016-12-31; EOS 2022-06-30
CE6850-48S4Q-EI (48*10GE SFP+, 4*40GE QSFP+); CE6850-EI-B00 (CE6850-48S4Q-EI, 2*350W AC Power Module, 2*FAN Box, Port side exhaust);
EOM 2017-12-31; EOS 2022-12-31
CE6850-48T6Q-HI (48*10GE Base-T, 6*40GE QSFP+, 1.2 GHz, 2 GB, 1 GB флеш);
CE6850-HI-B00 (CE6850-48S6Q-HI, 2*600W AC Power Module, 2*FAN Box, Port Side Exhaust);
глубина 600 мм;
EOM June 30, 2018; EOS June 30, 2023
CE6850-48S6Q-HI (48*10GE SFP+, 6*40GE QSFP+, 1.5 GHz, 4 GB);
CE6850-HI-B00 (CE6850-48S6Q-HI, 2*600W AC Power Module, 2*FAN Box, Port Side Exhaust);
EOM 2017-12-31; EOS 2022-12-31
CE6810 - 1U ToR, 480-960 Mpps, 0.64-1.28 Tbit/s, порт QSFP можно использовать как 4 SFP+, SVF (leaf only),
M-LAG, TRILL (только CE6810-48S4Q-EI), FC/FCoE (лицензии для FC/FCoE), DCBX,
Agile Controller, OPS (только для EI), 2 направления вентиляции, 2 БП, Linux контейнер;
отличаются ЦП (частота, количество ядер), объёмом ОП, NVRAM, мощностью БП,
размерами таблиц (LI - ACL 1250/500, ARP 1.5k, IPv4 FIB 1.5k, IPv6 FIB 0, multicast FIB 0 (вообще multicast урезан);
EI - ACL 2250/1000, ARP 4k, IPv4 FIB 4k, IPv6 FIB 8k, multicast FIB 2k
CE6810-48S4Q-EI (48*10GE SFP+, 4*40GE QSFP+); CE6810-EI-B00 (2*600W AC Power Module, 2*FAN Box, Port side exhaust);
EOM 2016-12-31; EOS 2022-06-30
CE6810-48S4Q-LI (48*10GE SFP+, 4*40GE QSFP+); E6810-LI-B00 (2*600W AC Power Module, 2*FAN Box, Port side exhaust);
EOM December 31, 2019
CE6810-32T16S4Q-LI (32*10GE Base-T, 16*10GE SFP+, 4*40GE QSFP+);
EOM December 31,2019
CE6810-48S-LI (48*10GE SFP+); CE6810-LI-B01 (2*600W AC Power Module, 2*FAN Box, Port side exhaust);
EOM 2017-06-30; EOS 2022-06-30
CE6810-24S2Q-LI (24*10GE SFP+, 2*40GE QSFP+);
EOM December 31, 2018; EOS December 31, 2023
CE5810, CE5850 и CE5855 - 1U ToR (глубина - 420 мм), 96-252 Mpps, 128-336 Gbit/s,
порт QSFP можно использовать как 4 SFP+ и наоборот (версия R6) в некоторых моделях;
SVF (CE5810 только листья), M-LAG, TRILL (1 и 10Gb, только CE5850/CE5855, до 16 путей), Agile Controller, OPS,
2 направления вентиляции, 2 БП, Linux контейнер; MPLS (IP VPN) только для HI, BGP только для HI;
CE5855 не поддерживает: IPv6, multicast FIB только 2k (и фичи порезаны), нет GRE, нет MPLS (IP VPN),
нет BGP, нет DCBX, нет OSP (а реклама обещает!), порезаны протоколы маршрутизации,
нет TRILL gateway (сам TRILL реализован в V100R006), нет VXLAN совсем
CE5855-48T4S2Q-EI (48*GE BASE-T, 4*10GE SFP+, 2*40GE QSFP+);
CE5855-EI-F-B00 (Huawei 02350GTU) (CE5855-48T4S2Q-EI, 2*AC Power Module ES0W2PSA0150 без вентилятора, 2*FAN Box FAN-040-A-F,
Port-side Exhaust);
состоит из соединённых 2x10Gb половинок: первые 24 T-порта и первые 2 порта 10GE, последние 24 T-порта и последние 2 порта 10GE;
EOM 2020-12-31; EOS 2025-12-31
CE5855-24T4S2Q-EI (24*GE BASE-T, 4*10GE SFP+, 2*40GE QSFP+);
CE5855-EI-F-B01 (Huawei 02350GUA) (CE5855-24T4S2Q-EI, 2*AC Power Module ES0W2PSA0150 без вентилятора, 2*FAN Box FAN-040-A-F,
Port-side Exhaust);
EOM December 31,2019
CE5850-48T4S2Q-HI (48*GE BASE-T, 4*10GE SFP+, 2*40GE QSFP+);
CE5850-HI-B00 (CE5850-48T4S2Q-HI, 2*150W AC Power Module, 2*FAN Box, Port side exhaust);
EOM June 30,2019
CE5850-48T4S2Q-EI (48*GE BASE-T, 4*10GE SFP+, 2*40GE QSFP+);
CE5850-EI-B00 (CE5850-48T4S2Q-EI, 2*150W AC Power Module, 2*FAN Box, Port side exhaust);
EOM 2017-06-30; EOS 2022-06-30
CE5810-48T4S-EI (48*GE BASE-T, 4*10GE SFP+);
CE5810-EI-B00 (CE5810-48T4S-EI, 2*150W AC Power Module, 2*FAN Box, Port side exhaust);
состоит из соединённых 2x10Gb половинок: первые 24 T-порта и первые 2 порта 10GE, последние 24 T-порта и последние 2 порта 10GE
CE5810-24T4S-EI (24*GE BASE-T, 4*10GE SFP+)
CE5810-EI-B01 (CE5810-24T4S-EI, 2*150W AC Power Module, 2*FAN Box, Port side exhaust)
Huawei CE6855 (Cloud Engine CE6855-48T6Q-HI, CE6855-HI-F-B00, Product Name: CE6855-48T6Q-HI, p/n 02310YQP, до 346 Вт (типовая 219 Вт)) -
48*10GE Base-T, 6*40GE QSFP+, 2*AC Power Module (PAC-600WB-F, p/n 02310YQP, нет выключателя, индикатор состояния, горячая замена),
2*FAN Box (FAN-060A-F, p/n 02359308, до 40 Вт, 19000 RPM, 64 CFM, управляемый, индикатор состояния, горячая замена),
Port-side Exhaust, глубина - 600 мм.
не умеет быть листом SVF
При нормальной установке (F) порты сзади
(port side, back side), БП и вентиляторы спереди (power supply side, front side), поток воздуха дует с передней стороны
(голубая метка, AIR IN) к задней стороне (порты), корпус немного скошен сзади, воздух выходит в отверстия этого скоса.
Модули вентиляторов (2 вентилятора на модуль) горячей замены не резервированные -
сломанный вентилятор д.б. заменён в течении 3 минут, 1 вентилятор из 4 - резервированный.
БП горячей замены резервированные, при удалении необходимо заменить заглушкой, выдерживают разрывы питания до 10 мс, синус в рамках 5%.
Максимальное потребление - 245 Вт (CE6810-24S2Q-LI - 171 Вт, CE5855-48T4S2Q-EI - 103 Вт), типовое потребление (100% траффик, медные кабели во всех портах) -
145 Вт (CE6810-24S2Q-LI - 88 Вт, CE5855-48T4S2Q-EI - 76 Вт). ЦП - 4 ядра по 1.2 ГГц (CE5855-48T4S2Q-EI - 2 ядра по 1 ГГц), ОП - 2 ГБ, NOR - 16 МБ,
NAND - 1 ГБ (CE6810-24S2Q-LI и CE5855-48T4S2Q-EI - 512 МБ, dir показывает 269168 байт).
Может быть подключён в стек с помощью 10GE/25GE (не витая пара) или 40GE/100GE портов.
Имеется отдельный Ethernet порт управления (RJ-45, старшие модели имеют 2 порта RJ-45/SFP - только 1 из 4 может использоваться),
при настройке интерфейс именуется meth 0/0/0.
Последовательный порт управления EIA/TIA-232 DCE (нестандартное гнездо RJ-45 с распайкой 2-3-5),
в старших версиях дополнительно, но не одновременно mini USB (требуется драйвер TUSB3410),
в комплекте приходит кабель с DB-9 female, распайка 3-6-5. Стандартные настройки - 9600-8-1-none.
Индикаторы:
SYS (с обеих сторон) - состояние системы: быстро мигает зелёным при загрузке, медленно мигает зелёным при работе,
горит красный при проблемах со стартом, с БП или вентилятором
MST (с обеих сторон) - горит зелёным, если коммутатор одиночный или главный в стеке, мигает в режиме SVF
ID (с обеих сторон) - горит голубым, если включён удалённо
каждый 10GE порт (нечётные порты - вверху, чётные - внизу) имеет 2 индикатора: слева жёлтый индикатор активности,
справа зелёный индикатор соединения
каждый 40GE порт (нечётные порты - вверху, чётные - внизу) имеет 1 индикатор: загорается при соединении, мигает при передаче данных;
если 40GE порт разбит на 4 порта 10GE, то индикатор показывает состояние соединения 10GE в соответствии
с тактом (5 секунд на подинтерфейс) индикатора 40GE Breakout 1/2/3/4
индикатор загрузки с USB (ACT): горит зелёным - загрузка завершена, мигает зелёным - в процессе, горит красным - сбой
управляющий порт Ethernet (L/A): жёлтый индикатор активности, зелёный индикатор соединения
индикатор БП: горит зелёным - OK, мигает - выход ненормальный (напряжение, ток, замыкание), не горит - вход ненормальный, температура
индикатор модуля вентиляторов: редко мигает зелёным - ОК, часто мигает зелёным - нет связи с системой,
горит красным - необходимо заменить модуль, мигает красным - что-то не так (мышка застряла), надо разобраться
Подбор компонент по имени модели.
Настойчиво рекомендуется использовать сертифицированные оптические модули (про DAC и AOC не говорится),
Intel E10GSFPSR SFP+ с FTLX8571D3BCV-IT1 внутри (ещё есть версия с AFBR-703SDZ-IN2 внутри) - опознаётся, включается лазер,
нормальная мощность входного сигнала и никаких проблем, но интерфейс не поднимается (намекают на проблемы с автосогласованиме или тестированием):
электрический интерфейс GE поддерживает 10 Mbit/s, 100 Mbit/s и 1000 Mbit/s
(10 и 100 с ограничениями); не умеет half-duplex
электрический интерфейс 10GE поддерживает 100 Mbit/s, 1000 Mbit/s и 10 Gbit/s (100 с ограничениями)
оптический интерфейс 10GE поддерживает 1000 Mbit/s и 10 Gbit/s (никаких 2 Gb), 4 интерфейса могут склеиваться в 40 Gb
оптический интерфейс 25GE поддерживает 10 Gbit/s и 25 Gbit/s (CE88-D24S2CQ с ограничениями)
оптический интерфейс 40GE поддерживает 40 Gbit/s, может разбиваться на 4 подинтерфейса по 10 Gb (кроме CE5850-48T4S2Q-EI,
порты CE88-D16Q разбиваются только на 2)
оптический интерфейс 100GE поддерживает 40 Gbit/s и 100 Gbit/s
DAC пассивные
SFP-10G-CU1M 1m SFP+ 02310MUN
SFP-10G-CU3M 3m SFP+ 02310MUP
SFP-10G-CU5M 5m SFP+ 02310QPR
QSFP-40G-CU1M 1m QSFP 02310MUG
QSFP-40G-CU3M 3m QSFP 02310MUH
QSFP-40G-CU5M 5m QSFP 02310MUJ
QSFP-4SFP10G-CU1M 1m QSFP-4*SFP+ 02310MUK
QSFP-4SFP10G-CU3M 3m QSFP-4*SFP+ 02310MUL
QSFP-4SFP10G-CU5M 5m QSFP-4*SFP+ 02310MUM
DAC активные
SFP-10G-AC7M 7m SFP+ 02310QPS
SFP-10G-AC10M 10m SFP+ 02310MUQ
AOC
SFP-10G-AOC3M 3m SFP+ 02311BKP
SFP-10G-AOC10M 10m SFP+ 02310QWH
SFP-10G-AOC20M 20m SFP+ 02310SSK
QSFP-H40G-AOC10M 10m QSFP 02310SSH
QSFP-4SFP10-AOC10M 10m QSFP-4*SFP+ 02310SSJ
трансиверы
CE6851HI и CE5855EI не поддерживают оптические модули OSXD22N00 (LRM) и LE2MXSC80FF0 (и прочие linear?)
02318169 OMXD30000 10GBASE-SR Multi-mode (OM4), 4700, 50, LC, 400m (принимает за своего Dell ON743D aka Finisar FTLX8571D3BCL)
Процедура установки заплатки (обещана совместимость вверх в рамках ветви с одинаковыми V и R,
во время и после установки коммутатор горячей заплатки (HP) продолжает работать,
для ввода в действие холодной заплатки (CP) требуется перезагрузка - см. описание изменений;
заплатки могут быть инкрементальными (содержат предыдущие в серии, не требуется удалять предыдущие в серии) и нет;
состояние заплатки: простаивающая (загрузили на устройство хранения), деактивированная (загрузили в область заплаток),
активированная (работает до перезагрузки), работающая):
загрузить заплатку для своего устройства
(промежуточные заплатки не нужны) и цифровую подпись (PGP), руководство по установке
и описание изменений
сравнить размер загруженного файла (например, CE6851HI-V100R005SPH012.PAT) с указанным в руководстве и проверить цифровую подпись:
"gpg --verify CE6810LI-V100R005SPH012.PAT.asc" (предварительно скачать публичные ключи HUAWEI 0x27A74824 и импортировать "gpg --import имя-файла"),
ругается что сам ключ никем не сертифицирован
прочитать описание - вдруг что-нибудь вредное? - и совместимость с установленными заплатками (возможно их придётся откатить)
проверить, что версия прошивки на устройстве соответствует заплатке ("display version", "display patch-information"),
список совместимости в описании изменений (устройство не проверяет)
убедиться, что устройство не имеет проблем: "display device" - д.б. Present, Registered и Normal;
"display alarm active" - не должно быть Critical ("system-view; alarm; clear alarm active sequence-number номер")
на всякий случай сохранить нажитое - "save"? "display startup" (скопировать файлы), "display license"
удалить неформальные и аварийные заплатки
проверить, что достаточно места: "dir flash:/"; удалить ненужное (проверить "display startup",
затем "delete flash:/имя-файла", затем "reset recycle-bin flash:/")
загрузить заплатки на устройство (главный коммутатор стека или родительский коммутатор SVF), например, с FTP сервера: "cd flash:/",
"ftp get host-ip адрес username anonymous sourcefile имя-файла", "dir"
установить заплатку: "patch load имя-файла all run"
проверить, что заплатка установилась и работает: "display patch-information [verbose]"
убедиться, что устройство не имеет проблем: "display device" - д.б. Present, Registered и Normal;
"display alarm active" - не должно быть Critical ("system-view; alarm; clear alarm active sequence-number номер")
при острой необходимости можно удалить все установленные заплатки:
"patch delete all", "display patch-information verbose" (неудалившиеся заплатки
можно удалить в режиме диагностики), установить предыдущий набор заплаток, "reboot", "display version", "display patch-information"
Заплатка может быть в одном из состояний:
спящая (idle) - загружена как файл во флеш; из файла можно загрузить её в область заплаток в память
(patch load имя-файла all [active | run])
неактивная (deacive) - загружена в область заплаток в память; можно активировать (patch active all) или выгрузить (patch delete all)
активная (active) - выполняется временно до перезагрузки или деактивации (patch deactive all); можно упостоянить (patch run all),
можно выгрузить (patch delete all)
выполняющаяся постоянно (running) - можно выгрузить и удалить (patch delete all)
После замены элемента стека необходимо синхронизовать заплатки: patch configuration-synchronize.
Сброс заплатки для следующей загрузки производится командой: reset patch-configure next-startup.
Процедура обновления прошивки (значимо: версия V100, выпуск R005, C10, SPC200; незначимы заплатки),
обещается совместимость снизу вверх, можно откатываться с осторожностью (с использованием предварительно сохранённой конфигурации),
в состав обновления прошивки .cc входит обновление BIOS,
при перезагрузке коммутатор не обслуживает запросы, рекомендуется сохранить до и сравнить после таблицы маршрутизации, FIB и MAC:
подготовка
загрузить прошивку и цифровую подпись (PGP), руководство по установке и описание изменений
загрузить заплатку для своего устройства (промежуточные заплатки не нужны) и цифровую подпись (PGP), руководство по установке
и описание изменений
проверить цифровую подпись прошивки и заплатки:
"gpg --verify ...asc" (предварительно скачать публичные ключи HUAWEI 0x27A74824 и импортировать "gpg --import имя-файла"),
ругается что сам ключ никем не сертифицирован
прочитать описание прошивки и заплатки - вдруг что-нибудь вредное?
нет ли противоречий в конфигурации с будущей прошивкой?
проверить, что версия прошивки на устройстве соответствует будущей прошивке ("display version", "display patch-information"),
список совместимости в описании изменений (устройство не проверяет)
убедиться, что устройство не имеет проблем: "display device" - д.б. Present, Registered и Normal;
"display alarm active" - не должно быть Critical ("system-view; alarm; clear alarm active sequence-number номер")
на всякий случай сохранить нажитое - "save vrpcfg.V200R001.zip", "display startup" и "display license"
удалить неформальные и аварийные заплатки
проверить, что достаточно места: "dir flash:/"; удалить ненужное (проверить "display startup",
затем "delete flash:имя-файла", затем "reset recycle-bin flash:/")
подготовить инструменты
обновление
загрузить прошивку и заплатку на устройство (2.6 MBps), например, с FTP сервера:
"cd flash:/", "ftp get host-ip адрес username anonymous sourcefile имя-файла"
проверить: "dir"
[проверить MD5 сумму: "display system file-md5 flash:/имя-файла"]
для стека и SVF: "copy имя-файла all#flash:"
для стека и SVF можно провести процедуру быстрого обновления или ISSU (только от предыдущей версии)
указать прошивку, заплатку и конфигурацию для следующей загрузки: "startup system-software имя.cc all",
"startup patch имя.PAT all", ["startup saved-configuration не-vrpcfg.zip"]
проверить: "display startup"
перезагрузить устройство: "reboot" (3 минуты, CE5855 ещё минуту инициализирует meth)
или ("быстрое" обновление) "system-view; stack; stack upgrade fast" ("fast" - 11-13 минут на резервный коммутатор,
затем 9 минут на листья из группы 2; затем 9 минут на основной коммутатор стека;
затем 7-11 минут на листья из группы 1; мастером стал бывший запасной);
листья SVF д.б. подключены к обоим старшим, все члены SVF д.б. разбиты на группы
(пример в инструкции неправильный),
основной и резервный в разные ("stack upgrade fast group"),
конфигурацию в SVF нельзя менять при обновлении
проверка
не использовать команду "save" пока нет уверенности в успехе
проверить: "display version", "display startup"
убедиться, что устройство не имеет проблем: "display device" - д.б. Present, Registered и Normal;
"display alarm active" - не должно быть Critical ("system-view; alarm; clear alarm active sequence-number номер")
при включении SFTP сервера требуется сконфигурировать ftp каталог для пользователя, иначе не пустит
балансировка загрузки ECMP (кроме CE6810LI, CE5855EI)
реализовано протухание записей в таблице MAC адресов
возможна разгрузка управляющего процессора при посылке статистики sFlow и NetStream
запрещена загрузка незашифрованных сертификатов
доступна статистика использования ACL
доступна информация о ресурсах потраченных на ACL
В версии V200R001C00SPC700 заплатки до SPH025: изменений нет, исправлены ошибки (264 страницы с описанием,
часть заплаток требует перезагрузки для активации):
SPH007: перезагрузка при большом количестве ошибок памяти; перезагрузка при DHCPv6 Relay;
SNMP запросы жрут память (undo snmp-agent); в V200R001 был установлен лимит на ARP пакеты 128 pps; перезагрузка при SFTP/SSH
SPH008: kernel panic оставляет следы (требуется перезагрузка)
SPH009: сообщения о шторме, о потере пакетов; борьба с неожиданными перезагрузками; проблема захода на резервный коммутатор стека;
перезагрузка по SSHv1
SPH010: перезагрузка при неисправимой ошибке памяти; проблемы переключения на резервный коммутатор
SPH011: утечки памяти; борьба с неожиданными перезагрузками
SPH013: проблемы с syslog (требуется перезагрузка); перезагрузка при поломке вентилятора
SPH015: перезагрузка при обработке ошибок
SPH016: перезагрузка или ненормальная работа после длительной работы; проблемы переключения на резервный коммутатор;
неправильно работает ping с NextHop; перезагрузка по команде "display ntp trace"; неправильно работает tracert;
ping работает не всегда (часть адреса из одних 1); при копировании файлов PuTTY они уходят неизвестно куда
SPH017: после долгой работы трансивер 40G-SR начинает выдавать ошибки; проблемы STP и Eth-Trunk;
перезагрузка по команде "display cpu-usage"; перезагрузка при удалении интерфейса из Eth-Trunk
SPH018: не удаётся отключить зеркалирование трафика; проблема с MAC адресами на 2-чиповых устройствах (CE5855EI)
SPH019/SPH020: перезагрузка или ненормальная работа после длительной работы; перезагрузка при обработке ошибок L1 и MMU или интерфейса стека
SPH022: ACL для исходящих применялась для пакетов к ЦП; сообщение о битовой ошибке повторялось бесконечно;
split brain для стека из 3; борьба с широковещательным штормов и DOS на MEth (отключая MEth на 10 минут);
перезагрузка или ненормальная работа после длительной работы (статистика считалась нехорошо); использование ЦП занижалось;
проблема с ARP прокси; нельзя завершать сеанс во время выполнения save; проблемы переключения на резервный коммутатор;
SPH023: перезагрузка резервного коммутатора в стеке; утечка памяти при повторной генерации подавляемых алармов (перезагрузка мастера)
SPH025: ошибка обработки "carrier up-hold-time"
В версии V200R002C50SPC800 (VRP V800R015C00),
документация
(разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006 V200R001, V200R002C20SPC100 и V200R002C50),
изменения относительно V200R001C00SPC700:
добавлена поддержка коммутаторов CE6860-48S8CQ-EI, CE6870-48T6CQ-EI, CE6880-24S4Q2CQ-EI, CE8850-32CQ-EI
добавлена поддержка трансиверов SFP-10G-ER-1310, QSFP-100G-eSR4, QSFP-40G-eSDLC-PAM (02311QTR, LC, MMF, 850nm, OM3 (100 м) и OM4 (300 м)),
QSFP-40G-SDLC-PAM (02311PUU, LC, MMF, 850nm, OM3 (100 м) и OM4 (150 м)), QSFP-100G-LR4-Lite
добавлена поддержка AOC QSFP-100G-AOC-10M, QSFP-100G-AOC-30M
автосогласование 25GE, настройка FEC (Forward error correction) - только CE6860EI и CE8850EI
CE6851 может отключать интерфейс по приёму кодового потока
поддержка конфигураций SVF из головного CE7855 и листьев CE6850, а также головного CE6850-48T6Q-HI и листьев CE5810EI/CE6810
BGP/MPLS IP VPN (кроме CE58xx, CE6810, CE6850)
обнаружение MAC с коллизией хешей
сервер DHCPv6 (кроме CE6810)
DHCP сервер: адрес дополнительного шлюза для пула адресов
быстрое обнаружение изменения состояние интерфейса (?) - "port-status fast-detect enable", до 4 интерфейсов для 2-ядерных моделей
указание next table для статической маршрутизации
BIOS может грузить файлы не только по TFTP, но и по FTP и SFTP
VXLAN: IPv6 over VXLAN, VRRP over VXLAN, IGMP snooping, DHCPv6 relay
iPCA (Packet Conservation Algorithm for Internet) - средство измерения потери и задержек пакетов
MLD (Multicast Listener Discovery) snooping (кроме CE5855)
CFM (Connectivity Fault Management, см. IEEE 802.1ag)
Open System - LXC (Linux Containers) - вынесена в дополнения в V200R002C20
изменения V200R002SPH006 (обещают, что при установке всё продолжит работу)
команда "sftp server default-directory" позволяет задать каталог SFTP сервера по умолчанию
утечка памяти при болтанке LACP
неожиданная перезагрузка резервного коммутатор при длительной работе
при перестановке вентилятора он может дуть в другую сторону (CE5855EI, CE6855HI)
перезагрузка при обработке мультикаста
изменения V200R002SPH012.PAT относительно V200R002SPH006 (обещают, что при установке всё продолжит работу)
функциональных изменений нет
исправлены ошибки в шейпинге трафика на CE6870
исправлены проблемы с STP при добавлении интерфейса в транк
исправлены проблемы в работе протокола DHCP при некоторых ситуациях
исправлена проблема при длительной работе трансивера 40G на CE6851
при падении члена стека его MAC не удалялся, чтобы приводило к ступору
при добавлении интефейса к транку с 2 и более L3 интерфейсами передаётся только трафик первого интерфейса
падение SNMP сервера при получении некоторых запросов
не работает ping с указанием следующего хопа
display ntp trace может перезагрузить коммутатор
ошибочно обрабатывается сбой кеша L1
проблема создания сокета при длительной работе вызывает падение многих сервисов (ssh, ntp, SNMP и др.)
проблема с syslog по TCP
изменения V200R002SPH015.PAT относительно V200R002SPH012 (обещают, что при установке всё продолжит работу)
функциональных изменений нет
исправлена проблема передачи кадров при длительной работе;
для исправления уже возникшей проблемы требуется перезагрузка
при более 256 untag (?) подинтерфейсов в SVF превышался лимит ACL ресурсов
были ошибки упорядочения сообщений при длительной работе
частое переключение (болтанка) peer-link (?) приводило к перезагрузке
в момент синхронизации LACP была возможна потеря unkwnown unicast пакетов (раз в сутки?)
генерировались пакеты с неверной CRC при длительной работе 40 Gb
(требуется более суток для сбора статистики и отлова проблемных трансиверов)
при удалении интерфейса из LACP транка в течении 6 минут неправильно назначались VLAN
неправильно показывалась максимальная нагрузка ЦП
изменения V200R002SPH028.PAT относительно V200R002SPH015 (обещают, что при установке всё продолжит работу)
MIB: hwEntityOpticalPortName с OID 1.3.6.1.4.1.2011.5.25.31.1.1.3.1.58
неверный MIB адрес информации о БП и вентиляторах для CE5855EI
программно обрабатываемый Ethernet пакет может вызвать перезагрузку
утекают имена пользователей при SSH доступе по ключу
установка большого количества оптических модулей может привести к утечке памяти и перезагрузке
проблема синхронизации стека (проверка: "display switchover state" не должен долго показывать BatchBackup);
выключить резервный коммутатор, накатить заплатку, включить резервный коммутатор
неправильный счётчик в исходящем буфере приводил к потере пакетов
потеря пакетов Heartbeat при болтанке интерфейса приводит к перезагрузке резервного коммутатора
стек не формируется, если интерфейс сконфигурирован подниматься после задержки (запретили такую возможность)
стек не формируется при использовании 40GE PAM-G2 (QSFP-40G-eSDLC-PAM-G2? 40G по LC)
CE5855EI перезагружается по команде shutdown для неисправного медного интерфейса
фальшивые сообщения о неисправности интерфейса при длительной работе
фальшивые сообщения о неисправности вентилятора (требуется перезагрузка)
фальшивые сообщения о неисправности RTC
команда "display cli trace all" может вызвать перезагрузку
не работает SSH ECC
при активации резервного коммутатора в стеке не работает SNMP
заплатки безопасности для python (требуется перезагрузка)
при перезагрузке стека иногда не синхронизируются таблицы
проблемы при большом количестве клиентов NTP
команда "display inspect process идентификатор dms_pipe" может вызвать перезагрузку
команда "ssh server rekey-interval" может вызвать перезагрузку
изменения V200R002SPH030.PAT относительно V200R002SPH028 (обещают, что при установке всё продолжит работу)
перезагрузка с кодом 0x80000160 (плохая обработка ошибки)
могут перестать добавляться и удаляться MAC адреса (при добавлении нового коммутатора в стек требуется совпадении версии заплаток)
корень STP иногда не хочет отдавать власть в режиме V-STP
В версии V200R003C00SPC810 (VRP V800R016C06),
документация,
(разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006, V200R001, V200R002,
V200R003C00SPC100 и V200R003C00SPC200), изменения относительно V200R002C50SPC800:
добавлена поддержка коммутаторов CE6875-48S4CQ-EI
добавлена поддержка модулей CE88-D24S2CQ-U для CE8860-4C-EI
добавлена поддержка модулей CE-L48XS-FG и CE-L36CQ-FG и пр. для CE12800
добавлена поддержка БП PDC-1K2WA
добавлена поддержка трансиверов QSFP-40G-LR4-Lite и SFP-FC16G-SW
display ssh client session; display ssh server session
arp smart-discover enable; reset fei fake arp all
изменения V200R003SPH017.PAT относительно V200R003C00SPC810 (совместимость с предыдущими заплатками ограниченна)
функциональных изменений нет
...
Версий V200R005 много: V200R005C00SPC600, V200R005C00SPC800, V200R005C10SPC300, V200R005C10SPC800 (доступна),
V200R005C20SPC600 (VRP V800R019C06), V200R005C20SPC800 (VRP V800R019C06, 8.180), V200R005C20SPC810 (для отдельных устройств).
(разрешено прямое обновление с сохранением всех функций на V200R005C10SPC800
с версий V200R001, V200R002, V200R003, V200R005C00, V200R005C10, or V200R005C10SPC300):
до обновления: display interface ... transceiver verbose должен показывать
адекватные значения Transceiver Type и Vendor Part Number; иначе трансиверы перестанут работать
при откате на раннюю версию будут проблемы с паролями
изменился набор алгоритмов SSH по умолчанию, могут быть проблемы с подключением
автоматически добавляется команда "sftp server default-directory flash:"
широковещательны трафик ограничен 10% полосы по умолчанию
Jumbo нельзя устанавливать для членов транка (при обновлении наследуются транком)
после обновления заработают ранее игнорируемые команды speed установки скорости консоли
хотите по-прежнему иметь информацию о соответствии IP/MAC/интерфейс/VLAN?
добавьте "arp collect forwarding-status enable"
изменения V200R005C00 относительно V200R003C00
поддержка оборудования: модуль 36-port 100GE XGS, CE12808E SFUG и CE12816E SFUG для CE12800E;
другие модули для CE12800 и CE12800E;
CE6865-48S8CQ-EI: 48 10GE/25GE SFP28 и 8 40GE/100GE QSFP28;
CE8850-64CQ-EI: 64 40GE/100GE QSFP28 и 2 10GE SFP+
сервер DHCP может обслуживать нескольких пользователей с одинаковым MAC (в разных VLAN)
подавление болтанки маршрутов включено по умолчанию
в настройках NTP можно использовать доменные имена
расщепление интерфейса не требует перезагрузки (кроме CE6810, CE6850, CE6851, CE6875, CE6880)
шифрование IEEE 802.1AE MACsec (лицензия)
RESTCONF (RESTful); service-type http
OVSDB (Open vSwitch Database, читай VMware NSX)
анализ трафика IOAM (in-band OAM) (лицензия)
захват отбрасываемых пакетов (лицензия)
использование расширенных ACL убрано из многих мест
сеть с низкими задержками (лицензия, CE8860EI, CE8850EI, CE6875EI, CE6870EI, CE6865EI, CE6860EI) -
буферизация без потерь, различные планировщики для больших и малых потоков, Fast ECN, Fast CNP, динамическая балансировка нагрузки
display interface meth status
минимальное значение Jumbo кадров уменьшено с 1536 до 1518 (для QinQ?)
vlan forwarding optimization disable
copy имя-файла startup имя-файла [ slot номер | all ]
ip icmp ttl-exceeded ...; ip icmp port-unreachable ...
MIB: hwXQoSPfcTurnOffAlarmTable, hwXQoSPfcTurnOffResumeTable, hwXQoSPfcDeadLockAlarmTable, hwXQoSPfcDeadLockResumeTable,
hwXQoSPfcTurnOffAlarm, hwXQoSPfcTurnOffResume, hwXQoSPfcDeadLockAlarm, hwXQoSPfcDeadLockResume и прочие hwXQoS,
hwMEthStatusTable, hwmlagDfsInfoTable, hwmlagInfoTable, hwPduNotPresent и пр.,
hwBgpPeerAdminStatus и пр., hwBfdSessActualRxInterval и пр., hwCfgLockConfigurationByUser и пр.,
nqaAdminParaDnsServerAddressType и nqaAdminParaDnsServerAddress, hwPhysicalAdminIfDown и hwPhysicalAdminIfUp,
hwNDHostIPConflict и hwNDHostIPConflictResume, hwExtLinkDown и hwExtLinkUp,
HUAWEI-MACSEC-MIB, hwEthernetARPHostIPConflict,
ARP probe на VLANIF мог вызвать перезагрузку коммутатора
могла произойти перезагрузка при большом количестве ошибок памяти
MIB: ifType для транка вместо ethernetCsmacd(6) возвращает ieee8023adLag(161) или propVirtual(53)
MIB: убраны hwFabricLinkLimitAlarm и пр. из hwStackEventsV2
обработка ошибок памяти в TCAM
при обнаружении ошибки памяти в MMU коммутатор перезагружается
аварийное завершение процесса учёта MAC адресов
при установке всех оптических модулей стек не собирается, резервный коммутатор перезагружается
не работает ZTP
слишком чуткое определение падения интерфейса, загрубили, потом вернули и оптимизировали
болтанка интерфейса стека приводит к его разрыву
проблемы при превышении 384 интерфейсов L3
коммутатор с маской 31 бит не пингуется
изменения V200R005SPH025.PAT относительно V200R005C10SPC800 (обещается полная совместимость с предыдущими нормальными заплатками)
MIB hwTrunkStatusChange
MIB hwEntityOpticalPortName
MIB hwEntityMemCacheUsage
команда connect-interface (настройка сервера мониторинга BMP)
команда local-source-address ipv4 (настройка соединения с коллектором)
команда dhcpv6 relay source-interface vlanif
команды для отладки маршрутизации IPv6
команда peer адрес private-nexthop (BGP маршрутизация)
команда mac-address для интерфейса управления
команда high-precision rate detection interface
...
V200R005C20SPC600 сделана специально для поддержки CE6863-48S6CQ и CE6881-48S6CQ,
обновление на неё не предусмотрено.
В V200R005C20SPC800 добавлена поддержка CE6820-48S6CQ и БП PDC1000S12;
можно обновляться только с V200R005C20SPC600; добавлены PFC, BFD для M-LAG, "port-isolate l3 enable", "display stack upgrade status".
Для работы VXLAN в версии V100R005C00 и выше требуется лицензия CE-LIC-VXLAN (CE68-LIC-VXLAN) .
На одно устройство (ESN) полагается только 1 лицензия, поэтому для добавления лицензии необходимо отозвать текущую
(revoke), при это выдаётся код, который необходимо указать при заказе объединённой лицензии. Отозванная лицензия переходит в режим Trial на 60 дней,
после истечения пробного периода становится невозможно добавить новую конфигурацию, но можно пользоваться уже созданной.
При создании стека достаточно одной лицензии на любое участвующее в стеке устройство.
При включении требуется подключиться к консольному порту (9600-8-none-1-none), прервать ZTP (^C) и ввести пароль
(от 8 до 16 символов, символы д.б. не менее 2 классов), эквивалент
user-interface con 0
authentication-mode password
set authentication password cipher ...
user privilege level 15
commit
return
save
Настройка входа и первоначальная настройка:
system-view
sysname имя-устройства
commit
interface meth 0/0/0
ip address ip-адрес бит-маски
quit # interface
commit
clock timezone MSK add 03:00:00
ntp unicast-peer IP-адрес1
ntp unicast-peer IP-адрес2
undo ntp server disable
info-center timestamp log format-date precision-time second
info-center timestamp trap format-date precision-time second
info-center timestamp debugging format-date precision-time second
info-center loghost адрес facility local0 local-time transport udp
commit
aaa # вот именно "А-А-А!!!" главное - это не отпилить сук, на котором сидишь
# "улучшения" безопасности ограничивают длину имени пользователя от 6 до 253 символов
# пароль от 8 символов должен включать прописные и строчные буквы, цифры и символы
undo local-user policy security-enhance
undo user-name minimum-length
undo local-user policy password complexity-enhance
commit
local-user имя-пользователя password irreversible-cipher пароль
local-user имя-пользователя level 15 # 3
local-user имя-пользователя service-type telnet ssh terminal
commit
quit # из aaa
display aaa local-user username имя-пользователя
user-interface vty 0 4
user privilege level 15 # 3
authentication-mode aaa
protocol inbound all
quit # user-interface
undo telnet server disable
commit # теперь можно заходить telnet, предлагает сменить небезопасный пароль
rsa local-key-pair create # 2048
dsa local-key-pair create # 2048
ecc local-key-pair create # 521
commit
stelnet server enable
commit
ssh user имя-пользователя
ssh user имя-пользователя authentication-type all
ssh user имя-пользователя service-type stelnet
ssh authorization-type default root
dsa peer-public-key имя-ключа encoding-type openssh
public-key-code begin
содержимое ~/.ssh/id_dsa.pub
public-key-code end
peer-public-key end
ssh user имя-пользователя assign dsa-key имя-ключа
commit # теперь можно заходить SSH
transceiver non-certified-alarm disable
return
save # в первый раз запрашивает имя файла, подставляет "vrpcfg.zip"
Узнай свой продукт
display device manufacture-info
Slot Card Type Serial-number Manu-date
----------------------------------------------------------------------------
1 -- CE6851-48S6Q-HI xxxxxxxxxxxxxxxxxxxx 2016-06-25
FAN1 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
FAN2 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
PWR1 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
PWR2 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
2 -- CE6851-48S6Q-HI xxxxxxxxxxxxxxxxxxxx 2016-06-25
FAN1 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
FAN2 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
PWR1 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
PWR2 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
101 -- CE5855-48T4S2Q-EI xxxxxxxxxxxxxxxxxxxx 2017-02-15
FAN1 FAN-040A-F xxxxxxxxxxxxxxxxxxxx 2017-01-05
FAN2 FAN-040A-F xxxxxxxxxxxxxxxxxxxx 2017-01-05
PWR1 ES0W2PSA0150 xxxxxxxxxxxxxxxxxxxx 2017-01-07
PWR2 ES0W2PSA0150 xxxxxxxxxxxxxxxxxxxx 2017-01-07
display version # SVF
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.120 (CE6851HI V200R001C00SPC700)
Copyright (C) 2012-2016 Huawei Technologies Co., Ltd.
HUAWEI CE6851-48S6Q-HI uptime is 8 days, 1 hour, 24 minutes
Patch Version: V200R001SPH006
CE6851-48S6Q-HI(Master) 1 : uptime is 8 days, 1 hour, 23 minutes
StartupTime 2017/07/06 20:51:53+03:00
Memory Size : 2048 M bytes
Flash Size : 1024 M bytes
CE6851-48S6Q-HI version information
1. PCB Version : CEM48S6QP04 VER B
2. MAB Version : 1
3. Board Type : CE6851-48S6Q-HI
4. CPLD1 Version : 102
5. CPLD2 Version : 102
6. BIOS Version : 365
CE6851-48S6Q-HI(Standby) 2 : uptime is 3 days, 1 hour, 28 minutes
StartupTime 2017/07/11 20:46:43+03:00
Memory Size : 2048 M bytes
Flash Size : 1024 M bytes
CE6851-48S6Q-HI version information
1. PCB Version : CEM48S6QP04 VER B
2. MAB Version : 1
3. Board Type : CE6851-48S6Q-HI
4. CPLD1 Version : 102
5. CPLD2 Version : 102
6. BIOS Version : 365
CE5855-48T4S2Q-EI(Leaf) 101 : uptime is 3 days, 1 hour, 27 minutes
StartupTime 2017/07/11 20:47:30+03:00
Memory Size : 2048 M bytes
Flash Size : 512 M bytes
CE5855-48T4S2Q-EI version information
1. PCB Version : CEM48T4S2QP03 VER B
2. MAB Version : 1
3. Board Type : CE5855-48T4S2Q-EI
4. CPLD1 Version : 101
5. BIOS Version : 365
display version # одиночный, старая прошивка
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.100 (CE6810LI V100R005C10SPC200)
Patch Version: V100R005SPH007
Memory Size : 2048 M bytes
Flash Size : 512 M bytes
1. PCB Version : CEM24S2QP01 VER A
2. MAB Version : 1
3. Board Type : CE6810-24S2Q-LI
4. CPLD1 Version : 100
5. CPLD2 Version : 100
6. BIOS Version : 312
display version # одиночный, новая прошивка
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.150 (CE7855EI V200R002C50SPC800)
Copyright (C) 2012-2017 Huawei Technologies Co., Ltd.
HUAWEI CE7855-32Q-EI uptime is 0 day, 0 hour, 32 minutes
Patch Version: V200R002SPH006
CE7855-32Q-EI(Master) 1 : uptime is 0 day, 0 hour, 31 minutes
StartupTime 2018/03/30 02:59:18+03:00
Memory Size : 4096 M bytes
Flash Size : 1024 M bytes
NVRAM Size : 512 K bytes
CE7855-32Q-EI version information
1. PCB Version : CEM32QP02 VER B
2. MAB Version : 1
3. Board Type : CE7855-32Q-EI
4. CPLD1 Version : 101
5. CPLD2 Version : 101
6. BIOS Version : 386
display interface transceiver [non-certified] verbose
10GE1/0/1 transceiver information:
# DAC от Intel
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_Passive_Copper_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :3(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :Molex Inc.
Vendor Part Number :74752-9506
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :224330379
Manufacturing Date :2012-08-30
Vendor Name :Molex Inc.
-------------------------------------------------------------------
Alarm information:
10GE1/0/2 transceiver information:
# трансивер от Dell, не знаю почему он выглядит от Huawei
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_SR
Connector Type :LC
Wavelength (nm) :850
Transfer Distance (m) :20(62.5um/125um OM1)
80(50um/125um OM2)
300(50um/125um OM3)
400(50um/125um OM4)
Digital Diagnostic Monitoring :YES
Vendor Name :HUAWEI
Vendor Part Number :OMXD30000
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :OSX12S50077
Manufacturing Date :2012-06-12
Vendor Name :HUAWEI
-------------------------------------------------------------------
Alarm information:
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :27.43
Voltage (V) :3.20
Bias Current (mA) :7.75
Bias High Threshold (mA) :25.00
Bias Low Threshold (mA) :3.00
Current RX Power (dBm) :-3.93
Default RX Power High Threshold (dBm) :2.00
Default RX Power Low Threshold (dBm) :-16.00
Current TX Power (dBm) :-2.65
Default TX Power High Threshold (dBm) :2.00
Default TX Power Low Threshold (dBm) :-10.00
-------------------------------------------------------------------
10GE1/0/3 transceiver information:
# "самодельный" AOC от SNR
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_Active_Copper_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :10(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :AVAGO
Vendor Part Number :AFBR-2CAR10Z
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AZ1530KDA0000B-A
Manufacturing Date :2015-07-22
Vendor Name :AVAGO
-------------------------------------------------------------------
40GE1/0/5 transceiver information:
# DAC от комплекта Infiniband
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_CR4
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :2(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :Mellanox
Vendor Part Number :MCC4Q30C-002
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AC341054311
Manufacturing Date :2010-08-31
Vendor Name :Mellanox
-------------------------------------------------------------------
Alarm information:
40GE1/0/6 transceiver information:
# "самодельный" трансивер от SNR
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_BIDI
Connector Type :LC
Wavelength (nm) :850
Transfer Distance (m) :100(50um/125um OM3)
Digital Diagnostic Monitoring :YES
Vendor Name :CISCO-AVAGO
Vendor Part Number :AFBR-79EBPZ-CS2
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AVM1848U73C
Manufacturing Date :2014-12-01
Vendor Name :CISCO-AVAGO
-------------------------------------------------------------------
Alarm information:
LOS Alarm
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :N/A
Voltage (V) :N/A
Bias Current (mA) :0.00|0.00 (Lane0|Lane1)
0.00|0.00 (Lane2|Lane3)
Bias High Threshold (mA) :10.00
Bias Low Threshold (mA) :0.50
Current RX Power (dBm) :-50.00|-50.00(Lane0|Lane1)
-50.00|-50.00(Lane2|Lane3)
Default RX Power High Threshold (dBm) :5.00
Default RX Power Low Threshold (dBm) :-9.00
Current TX Power (dBm) :-50.00|-50.00(Lane0|Lane1)
-50.00|-50.00(Lane2|Lane3)
Default TX Power High Threshold (dBm) :5.00
Default TX Power Low Threshold (dBm) :-3.00
-------------------------------------------------------------------
40GE1/0/32 transceiver information:
# "самодельный" кабель (SNR) без проблем работал как часть порта Fabric между CE6851 и CE5855
# при подключении между CE7855 и CE7855 не выдаёт ошибок, но несколько раз в час кладёт интерфейс
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_SR4
Connector Type :MPO
Wavelength (nm) :850
Transfer Distance (m) :100(50um/125um OM3)
150(50um/125um OM4)
Digital Diagnostic Monitoring :YES
Vendor Name :OEM
Vendor Part Number :QSFP+ SR4
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :QB420623
Manufacturing Date :2011-10-18
Vendor Name :OEM
-------------------------------------------------------------------
Alarm information:
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :35.74
Voltage (V) :3.29
Bias Current (mA) :6.12|6.05 (Lane0|Lane1)
5.83|5.86 (Lane2|Lane3)
Bias High Threshold (mA) :13.00
Bias Low Threshold (mA) :0.50
Current RX Power (dBm) :4.65 (All lanes)
-2.01|-2.72 (Lane0|Lane1)
-0.62|-0.54 (Lane2|Lane3)
Default RX Power High Threshold (dBm) :3.40
Default RX Power Low Threshold (dBm) :-13.51
Current TX Power (dBm) :6.98 (All lanes)
0.96|0.96 (Lane0|Lane1)
0.96|0.96 (Lane2|Lane3)
Default TX Power High Threshold (dBm) :3.40
Default TX Power Low Threshold (dBm) :-11.60
40GE1/0/31 transceiver information:
# AOC кабель от Mellanox VPI 56Gbps нет диагностики, ошибки на интерфейсе, но зато он не отваливается как предыдущий
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_Active_Optical_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :20(Optical Cable)
Digital Diagnostic Monitoring :NO
Vendor Name :Mellanox
Vendor Part Number :MC220731V-020
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :DW361700574
Manufacturing Date :2017-08-29
Vendor Name :Mellanox
Total Error: 76
CRC: 5, Giants: 0
Jabbers: 71, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0
Total Error: 18
CRC: 1, Giants: 0
Jabbers: 17, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0
О питании:
display device power system
Average power consumption: 195 W
Current power consumption: 191 W
Power manage cycle: 1 hour
Power manage mode: Standard
Power Supply Module Information:
----------------------------------------------------------------------------------
Slot PowerNo Present Mode State Current Voltage ActualPower RatedPower
(Ampere) (Volt) (Watts) (Watts)
----------------------------------------------------------------------------------
1 PWR1 YES AC Supply 3.3 12.1 40 600
PWR2 YES AC Supply 2.2 12.2 27 600
2 PWR1 YES AC Supply 2.0 12.2 24 600
PWR2 YES AC Supply 3.5 12.1 42 600
101 PWR1 YES AC Supply -- -- -- 150
PWR2 YES AC Supply -- -- -- 150
----------------------------------------------------------------------------------
Board Power Information:
-----------------------------------------------------------------------
Slot Card BoardType State ActualPower RatedPower
(Watts) (Watts)
-----------------------------------------------------------------------
1 -- CE6851-48S6Q-HI -- 67 245
2 -- CE6851-48S6Q-HI -- 66 245
101 -- CE5855-48T4S2Q-EI -- 58 103
О вентиляторах:
display device fan
fan module:
---------------------------------------------------------------------------------
Slot FanID FanNum Status Speed Mode Airflow Direction
---------------------------------------------------------------------------------
1 FAN1 [1-2] Normal 40%(6950) Auto Front-to-Back
1 6900
2 7000
FAN2 [1-2] Normal 40%(7050) Auto Front-to-Back
1 7100
2 7000
2 FAN1 [1-2] Normal 40%(7000) Auto Front-to-Back
1 7000
2 7000
FAN2 [1-2] Normal 40%(7000) Auto Front-to-Back
1 7000
2 7000
101 FAN1 [1-2] Normal 60%(9950) Auto Front-to-Back
1 9900
2 10000
FAN2 [1-2] Normal 60%(9850) Auto Front-to-Back
1 9900
2 9800
О температуре:
display device temperature all
---------------------------------------------------------------------------------
Slot Card SensorName Status Major Fatal Current
(Celsius) (Celsius) (Celsius)
---------------------------------------------------------------------------------
1 -- Outlet-1(LSW) NORMAL 60 -- 32
-- Intake-1(LSW) NORMAL 65 -- 29
-- CPU NORMAL 95 100 45
-- LSW NORMAL 105 110 48
2 -- Outlet-1(LSW) NORMAL 60 -- 35
-- Intake-1(LSW) NORMAL 65 -- 31
-- CPU NORMAL 95 100 44
-- LSW NORMAL 105 110 54
101 -- Outlet-1(LSW) NORMAL 66 68 34
-- Intake-1(LSW) NORMAL 66 68 30
О загрузке процессора:
display cpu slot 1
CPU utilization statistics at 2017-07-14 22:33:07 131 ms
System CPU Using Percentage : 12%
CPU utilization for five seconds: 13%, one minute: 12%, five minutes: 12%.
Max CPU Usage : 35%
Max CPU Usage Stat. Time : 2017-07-06 20:52:11 260 ms
State: Non-overload
Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s
---------------------------
ServiceName UseRate
---------------------------
SYSTEM 12%
...
CPU Usage Details
----------------------------------------------------------------
CPU Current FiveSec OneMin FiveMin Max MaxTime
----------------------------------------------------------------
cpu0 18% 19% 18% 20% 69% 2017-07-06 20:52:21
cpu1 15% 16% 14% 13% 73% 2017-07-06 20:52:01
cpu2 15% 15% 14% 13% 65% 2017-07-06 20:52:10
cpu3 2% 2% 2% 2% 20% 2017-07-06 20:52:21
display cpu slot 2
CPU utilization statistics at 2017-07-14 22:33:12 371 ms
System CPU Using Percentage : 10%
CPU utilization for five seconds: 10%, one minute: 10%, five minutes: 10%.
Max CPU Usage : 27%
Max CPU Usage Stat. Time : 2017-07-11 20:48:58 126 ms
State: Non-overload
Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s
---------------------------
ServiceName UseRate
---------------------------
SYSTEM 10%
...
CPU Usage Details
----------------------------------------------------------------
CPU Current FiveSec OneMin FiveMin Max MaxTime
----------------------------------------------------------------
cpu0 16% 17% 17% 16% 52% 2017-07-11 20:48:39
cpu1 10% 10% 10% 12% 56% 2017-07-11 20:48:29
cpu2 11% 11% 11% 11% 54% 2017-07-11 20:48:29
cpu3 3% 3% 2% 1% 7% 2017-07-11 20:48:19
display cpu slot 101
CPU utilization statistics at 2017-07-14 22:33:26 283 ms
System CPU Using Percentage : 20%
CPU utilization for five seconds: 20%, one minute: 20%, five minutes: 20%.
Max CPU Usage : 32%
Max CPU Usage Stat. Time : 2017-07-11 20:47:58 565 ms
State: Non-overload
Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s
---------------------------
ServiceName UseRate
---------------------------
SYSTEM 19%
FEA 1%
...
CPU Usage Details
----------------------------------------------------------------
CPU Current FiveSec OneMin FiveMin Max MaxTime
----------------------------------------------------------------
cpu0 22% 22% 19% 19% 47% 2017-07-11 20:48:08
cpu1 18% 18% 21% 21% 49% 2017-07-11 20:48:08
display cpu monitor all
CPU overload information
--------------------------------------------------------------------
Slot Time State
--------------------------------------------------------------------
1 0000-00-00 00:00:00 Unoverload
2 0000-00-00 00:00:00 Unoverload
101 0000-00-00 00:00:00 Unoverload
О загрузке памяти:
display memory slot 1 # master
Memory utilization statistics at 2017-07-14 22:36:19 749 ms
System Total Memory: 1959744 Kbytes
Total Memory Used: 938852 Kbytes
Memory Using Percentage: 47%
State: Non-overload
Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s
----------------------------
ServiceName MemUsage(KB)
----------------------------
FEA 159729
CMF 102197
FEC 23127
SYSTEM 13656
DEVICE 8118
STACKMNG 6019
IFM 2993
VLAN 2784
IP STACK 2579
...
display memory slot 2 # standby
Memory utilization statistics at 2017-07-14 22:36:25 388 ms
System Total Memory: 1959744 Kbytes
Total Memory Used: 824776 Kbytes
Memory Using Percentage: 42%
State: Non-overload
Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s
----------------------------
ServiceName MemUsage(KB)
----------------------------
FEA 157486
CMF 60405
FEC 22970
SYSTEM 13297
DEVICE 7278
STACKMNG 5991
VLAN 2717
IP STACK 2044
IFM 1013
...
display memory slot 101 # leaf
Memory utilization statistics at 2017-07-14 22:36:29 793 ms
System Total Memory: 1896476 Kbytes
Total Memory Used: 491384 Kbytes
Memory Using Percentage: 25%
State: Non-overload
Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s
----------------------------
ServiceName MemUsage(KB)
----------------------------
FEA 103836
FEC 11653
DEVICE 3114
LOCAL PKT 595
IP STACK 489
...
Об интерфейсах вкратце:
display interface brief
InUti/OutUti: input utility rate/output utility rate
Interface PHY Protocol InUti OutUti inErrors outErrors
10GE1/0/3 down down 0% 0% 0 0
10GE1/0/4 down down 0% 0% 0 0
...
10GE1/0/47 down down 0% 0% 0 0
10GE1/0/48 up up 0% 0.01% 0 0
10GE2/0/1 down down 0% 0% 0 0
10GE2/0/2 down down 0% 0% 0 0
...
10GE2/0/43 down down 0% 0% 0 0
10GE2/0/44 down down 0% 0% 0 0
10GE101/0/1 up up 0.01% 0.01% 0 0
10GE101/0/2 down down 0% 0% 0 0
10GE101/0/3 down down 0% 0% 0 0
10GE101/0/4 down down 0% 0% 0 0
40GE1/0/1 up up 0% 0.01% 0 0
40GE1/0/2 down down 0% 0% 0 0
40GE1/0/3 up up 0.01% 0.01% 0 0
40GE1/0/4 down down 0% 0% 0 0
40GE2/0/2 down down 0% 0% 0 0
40GE2/0/3 down down 0% 0% 0 0
40GE2/0/4 down down 0% 0% 0 0
40GE101/0/1 up up 0.01% 0.01% 0 0
40GE101/0/2 down down 0% 0% 0 0
4x10GE2/0/45 up up 0.01% 0.01% 0 0
Eth-Trunk1 up up 0.01% 0.01% 8 0
10GE1/0/1 up up 0.01% 0.01% 8 0
10GE1/0/2 up up 0.01% 0.01% 0 0
Fabric-Port1 up up 0.01% 0.01% 0 0
40GE2/0/1 up up 0.01% 0.01% 0 0
GE101/0/1 up up 0% 0.01% 0 0
GE101/0/2 up up 0.01% 0.02% 0 0
GE101/0/3 down down 0% 0% 0 0
...
GE101/0/47 down down 0% 0% 0 0
GE101/0/48 down down 0% 0% 0 0
MEth0/0/0 up up 0.01% 0.01% 164 0
NULL0 up up(s) 0% 0% 0 0
Stack-Port1/1 up up 0.01% 0.01% 0 0
40GE1/0/5 up up 0.01% 0.01% 0 0
40GE1/0/6 up up 0.01% 0.01% 0 0
Stack-Port2/1 up up 0.01% 0.01% 0 0
40GE2/0/5 up up 0.01% 0.01% 0 0
40GE2/0/6 up up 0.01% 0.01% 0 0
Быстро узнать об аппаратных проблемах:
display device all
Device status:
-------------------------------------------------------------------------------------------
Slot Card Type Online Power Register Alarm Primary
-------------------------------------------------------------------------------------------
1 - CE6851-48S6Q-HI Present On Registered Normal Master
FAN1 FAN-40EA-F Present On Registered Normal NA
FAN2 FAN-40EA-F Present On Registered Normal NA
PWR1 PAC-600WA-F Present On Registered Normal NA
PWR2 PAC-600WA-F Present On Registered Normal NA
2 - CE6851-48S6Q-HI Present On Registered Normal Standby
FAN1 FAN-40EA-F Present On Registered Normal NA
FAN2 FAN-40EA-F Present On Registered Normal NA
PWR1 PAC-600WA-F Present On Registered Normal NA
PWR2 PAC-600WA-F Present On Registered Normal NA
101 - CE5855-48T4S2Q-EI Present On Registered Normal NA
FAN1 FAN-040A-F Present On Registered Normal NA
FAN2 FAN-040A-F Present On Registered Normal NA
PWR1 ES0W2PSA0150 Present On Registered Normal NA
PWR2 ES0W2PSA0150 Present On Registered Normal NA
display alarm active [root] # system-view; alarm; clear alarm active sequence-number номер
--------------------------------------------------------------------------------
Sequence AlarmId Severity Date Time Description
--------------------------------------------------------------------------------
1 0x10085 Major 2017-06-21 The storage usage exceeded the pre-set
17:19:25+ overload threshold.(TrapSeverity=4, P
03:00 robableCause=75265, EventType=3, Physi
calIndex=16842753, PhysicalName=CE6851
-48S6Q-HI 1, RelativeResource=flash, U
sageType=5, SubIndex=1, UsageValue=86,
Unit=1, UsageThreshold=85)
display health
Power:
-------------------------------------------------------------------------------
Slot PowerNo Present Mode State Current Voltage ActualPower RatedPower
(Ampere) (Volt) (Watts) (Watts)
-------------------------------------------------------------------------------
1 PWR1 YES AC Supply 2.9 12.2 35 600
PWR2 YES AC Supply 2.2 12.2 27 600
-------------------------------------------------------------------------------
N/A:Power not available
Fan:
fan module:
---------------------------------------------------------------------------------
Slot FanID FanNum Status Speed Mode Airflow Direction
---------------------------------------------------------------------------------
1 FAN1 [1-2] Normal 40%(6950) Auto Front-to-Back
1 7000
2 6900
FAN2 [1-2] Normal 40%(7050) Auto Front-to-Back
1 7100
2 7000
---------------------------------------------------------------------------------
N/A:Fan not available
Temperature:
---------------------------------------------------------------------------------
Slot Card SensorName Status Major Fatal Current
(Celsius) (Celsius) (Celsius)
---------------------------------------------------------------------------------
1 -- Outlet-1(LSW) NORMAL 60 -- 26
-- Intake-1(LSW) NORMAL 65 -- 23
-- CPU NORMAL 95 100 43
-- LSW NORMAL 105 110 42
---------------------------------------------------------------------------------
System Memory Usage Information:
----------------------------------------------------------------------------
Slot Total Memory(MB) Used Memory(MB) Used Percentage Upper Limit
----------------------------------------------------------------------------
1 1837 752 40% 95%
----------------------------------------------------------------------------
System CPU Usage Information:
--------------------------------------
Slot CPU Usage Upper Limit
--------------------------------------
1 13% 90%
--------------------------------------
System Disk Usage Information:
------------------------------------------------------------------------
Slot Device Total Memory(MB) Used Memory(MB) Used Percentage
------------------------------------------------------------------------
1 flash: 615 99 16%
------------------------------------------------------------------------
Загружается 170-280 секунд до доступа к порту управления (CE5855 ещё минуту инициализирует порт управления).
Для входа в меню BIOS необходимо при загрузке нажать ^B и в течении 3 секунд ввести пароль,
при нажатии ^T можно запустить тест памяти. Меню BIOS (как загрузить файл конфигурации?):
1. продолжить загрузку
2. обновление CPLD по последовательному порту (возможно увеличение скорости до 115200 bps)
3. обновление по Ethernet
обновление CPLD
загрузить прошивку и заплатки для последующей перезагрузки
отформатировать хранилище и загрузить прошивку и заплатки для последующей перезагрузки
изменить параметры перед загрузкой: выбор порта MEth, IP адрес TFTP сервера, IP адреса коммутатора, сетевая маска
4. изменить параметры запуска - имена файлов прошивки, заплаток, файла конфигурации - на имеющиеся в хранилище
5. посмотреть список файлов в хранилище, выгрузить файл из хранилища на TFTP сервер
6. изменить пароль BIOS ; пароль BIOS сбрасывается командой "reset boot password",
если вы смогли зайти на консоль; а что делать, если "обнаружил имущество на территории предприятия" и не знаешь ни того ни другого?
7. изменить пароль консоли, позволяет один раз войти с консоли без ввода консольного пароля (и быстренько что-нибудь поменять и сохранить)
8. сбросить настройки на заводские
9. перезагрузиться
нажатие ^E позволяет перейти в меню DFX (предупреждают, что это инженерное меню и можно сломать устройство):
посмотреть MAC адрес и электронную метку
Для оконечного коммутатора SVF на 6-ю позицию меню вклинивается подменю изменения параметров стека,
которое позволяет посмотреть текущий режим (оконечный коммутатор) и тип порта,
поменять режим: автосогласование, обычный (stack) или оконечный (leaf),
поменять тип порта "наверх": автосогласование, 10GE, 40GE.
Управление коммутатором с помощью командной строки (CLI) через консольный порт (CON0, нажать Enter)
или удалённый интерфейс VTY0 (до 20, по умолчанию до 5, "user-interface maximum-vty число-до-21")
сеансов telnet, stelnet/ssh (команды передаются; SSH 2.0; RSA, DSA и ECC для ассиметричного шифрования;
алгоритмы симметричного шифрования - DES, 3DES, AES256, ARC4-128, ARC4-256, AES128-CTR, AES256-CTR и AES128),
а также с помощью SNMP через NMS (настойчиво предлагается свой eSight).
Комментарии командной строки начинаются с "#" или "!". Русские буквы при вводе молча фильтруются.
Ключевые слова регистронезависимы, их можно сокращать до предела различимости и автоматически дополнять по клавише Tab.
Помощь вызывается символом "?" в нужном месте командной строки.
Длина команды - до 1022 символов (после преобразования ключевых слов в полную форму). Имеется многострочный редактор команд.
Области действия команд (view), команда "return" возвращает в пользовательскую область:
пользовательская область (user view) - при входе попадаем сюда; доступны команды просмотра состояния и статуса;
в качестве префикса командной строки используется имя устройства (настраивается) в угловых скобках;
выход (завершение сеанса) по команде "quit"
системная область (system view) - переход из пользовательской области по команде "system-view";
в префиксе командной строки угловые скобки заменяются на квадратные;
доступны команды управления и изменения настройки системы; выход в пользовательскую область по команде "quit"
область AAA - переход из системной области по команде "aaa"; доступны команды управления и изменения настройки AAA;
в префиксе командной строки появляется "-aaa";
выход в системную область по команде "quit"
область интерфейса (interface view) - переход из системной области по команде "interface ТипИнтерфейса ИдСтека/ИдКарты/ИдИнтерфейса";
в префиксе командной строки появляется имя интерфейса; доступны команды управления и изменения настройки интерфейса - физические
параметры, параметры протокола соединения, IP адрес и т.д.;
интерфейсы бывают физические и логические (группа портов, интерфейс стека, интерфейс фабрики и др.);
выход в системную область по команде "quit"
область протокола марштрутизации (IS-IS, OSPF, RIP) - переход из системной области по команде "isis | ospf | rip";
активизируется процесс выбранного протокола маршрутизации; в префиксе командной строки появляется имя протокола;
доступны команды управления и изменения настройки выбранного протокола маршрутизации; выход в системную область по команде "quit"
область диагностики - переход из системной области по команде "diagnose";
выход в системную область по команде "quit"
command alias view
Режимы обработки команд:
проверка синтаксиса и немедленное исполнение ("system-view immediately")
транзакционная модель (two-stage):
команды последовательно вводятся и проверяются, но выполняются только после команды "commit [label метка] [description описание]"
как единое целое (не требуется для команд обзора (display и т.п.), управления (reset, switch mode и др.), смены вида (quit), )
к префиксу командной строки добавляется символ "~", который заменяется на "*" при наличии невыполненных команд
невыполненные команды можно посмотреть ("display configuration candidate [merge]") и очистить ("clear configuration candidate")
конфигурация может быть заблокирована временно сервисом (повторить commit) или постоянно другим пользователем
("configuration exclusive"); commit может вызвать конфликт конфигураций при одновременной работе нескольких администраторов
можно посмотреть список транзакций ("display configuration commit list [verbose]")
можно посмотреть список изменений ("display configuration commit changes [ at идентификатор-транзакции | since cидентификатор-транзакции ]")
транзакция м.б. откачена
return
rollback configuration { to { commit-id идентификатор | label метка | file имя-файла } | last число }
display configuration rollback result
можно установить метку транзакции ("set configuration commit идентификатор label метка")
можно уменьшить базу транзакций ("clear configuration commit { идентификатор label | oldest количество }
Некоторые изменения конфигурации могут быть отложены до перезагрузки ("display current-configuration inactive"
или со значком "*" в "display current-configuration all").
Команды делятся на 4 уровня привилегий от 0 до 3 (настраиваются),
при создании пользователя указывается его уровень привилегий от 0 до 15, уровень привилегий задаётся также для интерфейса (меньший приоритет):
0 - команды ping, tracert, клиент telnet; доступны пользователям с любым уровнем привилегий
1 - команды display (не все); доступны пользователям с уровнем привилегий от 1
2 - команды настройки конфигурации; доступны пользователям с уровнем привилегий от 2
3 - команды управления - работа с файлами, управление пользователями и уровнями привилегий, "display current-configuration";
доступны пользователям с уровнем привилегий от 3
"undo" в начале командной строки возвращает параметр к значению по умолчанию, останавливает действие или
удаляет конфигурацию.
Система хранит историю последних 10 команд пользователя (можно поменять в каждой области
("user-interface console 0" или "user-interface vty 0 4"): "history-command max-size число-до-256"),
её можно посмотреть ("display history-command [ all-users ]") или вызвать (стрелки вверх и вниз, ^P/^N) и отредактировать
или удалить ("reset history-command").
Имеется множество системных горячих клавиш ("display hotkey": ^A/^E - в начало/конец строки,
^B/^F - назад/вперёд на символ, ^C - прервать, ^D/^H - удалить символ, ^N/^P - показать команду из истории, ^R - перерисовать
и др.), можно определить 4 своих (^G, ^L, ^O, ^U).
Можно определять макрокоманды:
terminal command alias # включить имеющиеся макрокоманды
display command alias
command alias # войти в область редактирования макрокоманд (имя параметра предваряется "$", тело команды заключется в кавычки)
alias имя-макрокоманды [ имя-параметра ] ... command текст-команды
Вывод команды можно
отфильтровать всё, кроме указанного текста ("| [ignore-case] [count] include регулярное-выражение")
отфильтровать указанный текст ("| [ignore-case] [count] exclude регулярное-выражение")
отфильтровать текст до указанной строки ("| [ignore-case] [count] begin регулярное-выражение")
посчитать ("| count"
вывести в файл ("> имя-файла")
дополнить файл (">> имя-файла")
Запуск пакетов команд (.bat, только видимые символы ASCII, команды выполняются строка за строкой несмотря на последствия)
или скриптов VSL (VRP Shell Languages, описание отсутствует): "execute имя-файла параметр ...".
ZTP (Zero Touch Provisioning) обеспечивает автоматическую настройку нового коммутатора (ПО, заплатки, конфигурацию, лицензии)
с USB флешки (промежуточный ztp_config.ini-файл (может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу)
или python-скрипт ztp_script.py задают расположение (адрес и параметры сервера, в частности "file:/usb:/путь") и имена файлов)
или в соответствии с данными DHCP (временный IP адрес, маска, шлюз, DNS сервер, адрес и параметры временного файлового сервера
(TFTP, FTP, SFTP, HTTP) и имя .ini-файла или python-скрипт с адресом файлового сервера с файлами настроек).
Для настройки стека необходимо использовать вариант с python скриптом. Журнал записывается в flash://ztp_дата.log.
Автоматическая настройка и обновление может происходить при вставке USB 2.0 флешки с файлом smart_config.ini в корне FAT32.
Не применим для стека. Предварительно необходимо проверить наличие места.
smart_config.ini задаёт время запуска, имена файлов ПО, заплатки, конфигурацию,
может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу.
Во время обновления мигает зелёный индикатор USB, при неудаче загорается красный индикатор USB.
Результат записывается в корень USB флешки под именем usbload_verify.txt или usbload_error.txt.
Включение функции (по умолчанию - выключено):
undo set device usb-deployment disable
[set device usb-deployment password пароль # используется для вычисления HMAC-SHA256 и сравнения с полем HMAC]
Настройки сохраняются в файле ("flash:/vrpcfg.zip") в виде строк команд и могут быть сохранены, отредактированы, перенесены
на другой коммутатор. Весь мусор (ping, display и т.п.) при загрузке будет проигнорирован. Команды (следующая - выполняемая при
следующей загрузке):
display startup # вывод текущей и следующей прошивки, файла с настройками, заплаток
save [имя-файла] # vrpcfg.zip, сохранить конфигурацию, можно настроить автоматическое сохранение с указанным интервалом
или запись на FTP/TFTP/SFTP сервер с интервалом или в указанное время месяца
сгенерировать ключевые пары хоста (коммутатора) и сервера (только для RSA):
rsa local-key-pair create # длина до 2048 бит, имя ключа будет: имя-коммутатора_Host
display rsa local-key-pair public # в форматах Key code (?), PEM, OpenSSH authorized_keys, Host public key for SSH1
dsa local-key-pair create # длина 2048 бит, имя ключа будет: имя-коммутатора_Host_DSA
display dsa local-key-pair public # в форматах Key code (?), PEM, OpenSSH authorized_keys
ecc local-key-pair create # длина до 521 бит, имя ключа будет: имя-коммутатора_Host_ECC
display ecc local-key-pair public # в форматах Key code (?), PEM
stelnet server enable # по умолчанию - выключен
ssh server key-exchange { dh_group14_sha1 | dh_group1_sha1 | dh_group_exchange_sha1 | dh_group_exchange_sha256 | ecdh_sha2_nistp256 |
ecdh_sha2_nistp384 | ecdh_sha2_nistp521 | sm2_kep } # задать список допустимых алгоритмов обмена ключами, по умолчанию:
dh_group_exchange_sha1, dh_group_exchange_sha256, ecdh_sha2_nistp256, ecdh_sha2_nistp384, ecdh_sha2_nistp521, sm2_kep
ssh server cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr | arcfour128 | arcfour256 | blowfish_cbc }
# задать список допустимых симметричных алгоритмов шифрования,
по умолчанию для несконфигурированного коммутатора: AES256_CTR и AES128_CTR,
для сконфигурированного: 3DES_CBC, AES128_CBC, AES256_CBC, AES128_CTR и AES256_CTR
ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } # задать список допустимых алгоритмов хеширования,
по умолчанию для сконфигурированного коммутатора: SHA1, SHA1_96, SHA2_256 и SHA2_256_96
ssh server port порт # 22
ssh server rekey-interval часов # 0 - никогда
ssh server timeout секунд # 60, для аутентификации
ssh server authentication-retries попыток # 3
ssh server compatible-ssh1x enable # по умолчанию SSH1 отключён
ssh server acl { номер-ACL | имя-ACL } # ограничение доступа
undo ssh server keepalive disable # по умолчанию сессия поддержка сессии включена
ssh server-source -i loopback номер-интерфейса # привязка SSH сервера к интерфейсу, по умолчанию - все, предварительно создать интерфейс
undo ssh server ip-block disable # по умолчанию 6 неверных попыток в течении 5 минут блокируют IP адрес; "display ssh server ip-block list"
настройка интерфейса VTY с поддержкой входящего ssh
настройка аутентификации пользователя AAA с поддержкой сервиса ssh
настройка пользователя ssh и привязка ключа
ssh user имя-пользователя # предварительно создать
ssh user имя-пользователя authentication-type all # предварительно создать пользователя с тем же именем в AAA
ssh user имя-пользователя service-type {stelnet | all} # по умолчанию - никакой
ssh authorization-type default { aaa | root } # aaa - по умолчанию, root - для доступа по ключу и максимального уровня привилегий
копирование внешнего ключа и привязка ключа к пользователю (вместо dsa можно использовать rsa и ecc):
dsa peer-public-key имя-ключа encoding-type { der | openssh | pem}
public-key-code begin
содержимое ~/.ssh/id_dsa.pub
public-key-code end
peer-public-key end
display dsa peer-public-key
ssh user имя-пользователя assign dsa-key имя-ключа
зайти ssh и посмотреть сессии:
display tcp status
display ssh server status
Операции с сеансами:
display users [ all ]
kill user-interface тип номер
configuration exclusive # захватить монополию на изменения на 30 секунд
configuration exclusive timeout секунд
display configuration exclusive user
lock # заблокировать интерфейс, будет запрошен пароль
Файловая система позволяет управлять файлами и каталогами в внутреннем хранилище и USB (FAT32).
Имя состоит из имени устройства (flash: или идентификатор#flash:), имени каталога (/ для корня, чувствительно к регистру,
нельзя использовать символы "~*/\:'" и '"') и имени файла. Служебные каталоги и файлы:
$_checkpoint - каталог для отката транзакций команд (хранятся все транзакции с самого начала настройки в бинарном виде)
$_install_mod - каталог для модулей расширения
$_license - лицензии
$_security_info (security.dat - имена и шифрованные пароли - и securityEx.dat)
$_system (autoconfig.py - скрипт для ZTP, svfnegotiate.py)
POST (POST_c1s1.txt) - результат самопроверки оборудования при загрузке
logfile (log.log - журнал загрузки, команд (пароли замазаны) и событий;
diag.log - подробности (STP и др.), SSP_MsgOverTime.log_1_1, SSP_MsgOverTime.log_1_2, diaglog_1_YYYMMDDHHMMSS.log.zip)
- какая-то другая файловая система со своим размером
*.cc - прошивки
*.PAT - заплатки
SysResTemplate.ini - режим пересылки пакетов (шаблон " standard ")
collect_diag_info.bat - скрипт сбора диагностической информации
device.sys - настройки оборудования (индексы интерфейсов по всему SVF, типы шасси, CF карты, вентиляторы, БП, порты, платы, MAC адреса,
ключи rsa, dsa и ecc)
diagnostic_information_1_101.tar.gz
vrpcfg.zip - конфигурация (м.б. *.cfg или *.dat)
*.ztbl - таблица MAC адресов (для port security)
*.cap - захваченные пакеты (tcpdump?)
Команды работы с каталогами и файлами:
dir [/all] [путь | /all-filesystems] # /all - для файлов в корзине
cd путь
pwd
mkdir имя-каталога
rmdir имя-каталога
more имя-файла [байт-смещения]
tail имя-файла [строк] # по умолчанию 10 последних строк файла
copy имя-исходного-файла имя-результата [all] # all - на все устройства стека
move имя-исходного-файла имя-результата
rename старое-имя новое-имя
zip имя-исходного-файла имя-результата
unzip имя-исходного-файла имя-результата
delete [ /unreserved ] [ /quiet ] имя-файла-или-шаблон [all] # поместить в корзину или удалить (/unreserved); all - на всех устройства стека
undelete {имя-файла | имя-устройства} # восстановить из корзины
reset recycle-bin [ /f | имя-файла | имя-устройства] # почистить корзину; /f - всю; без параметров - почистить от файлов текущего каталога
Дополнения (расширения, plug-in, .mod) записываются в каталог $_install_mod.
Для стека рекомендуется выполнить "copy имя all#flash:/$_install_mod/".
Загрузка модуля: "install-module имя-файла [next-startup]".
Проверка наличия модулей: "display module-information [verbose|next-startup]".
Перед выгрузкой модуля (uninstall-module) необходимо удалить все его настройки.
OPS (Open System) - контейнер Linux рядом с VRP (.sqfs, .img). Не может быть использован в стеке и SVF.
Начиная с версии V200R002C20 оформлен в виде дополнения.
Коммутатор может быть клиентом TFTP, FTP, SFTP, SCP ("ssh client first-time enable") и сервером FTP (выключен по умолчанию),
SFTP (выключен по умолчанию, у пользователя д.б. сконфигурирован SFTP каталог), SCP (выключен по умолчанию, включать отдельно от SSH:
"scp server enable"). Пример использования:
scp t239:2#flash:/logfile/log.log log2.log
Управление оборудованием:
display device
reset slot номер # необходим для элементов стека и SVF
display cpu threshold [slot номер] # поменять: "set cpu threshold ...", гистерезис 90% - 75%
display device power system # потребление энергии и параметры измерения потребления
system resource { large-mac | large-arp | super-arp | large-route | large-acl |standard | user-defined }
# перераспределение ресурсов микросхемы: имеется 4 банка, каждый может обслуживать от 8000 элементов таблиц MAC или ARP или туннели или
трансляцию VLAN; по умолчанию standard;
large-mac - у CE5850EI и CE5855EI отваливается поддержка QinQ и VLAN mapping;
CE5855EI даже в standard (и large-arp, super-arp) не поддерживает strict URPF, fast ping, Single-hop BFD;
CE5855EI в large-arp и super-arp не поддерживает multi-hop BFD, MPLS, Layer 3 sub-interface;
CE7850EI, CE7855EI, CE6850HI/CE6850U-HI, CE6851HI, CE6855HI or CE8860EI в large-arp не поддерживает strict URPF, fast ping, MPLS,
Single-hop BFD;
требуется перезагрузка;
user-defined - файл flash:/UserDefinedResource.xml
display device id-led # узнать состояние индикатора устройства
set device id-led { on | off } [ slot номер ] # зажечь или погасить лампочку
set system mac-address адрес mac-num кодичество # изменить MAC адрес устройства; несовместима с "set system mac-address slot номер"
Коммутатор в процессе эксплуатации выдаёт следующие типы сообщений ("info-center enable";
"display info-center"): журнал (действия оператора и системы,
сообщения системы безопасности, сообщения диагностики), извещения (trap) о проблемах, отладочные сообщения (требуется переход
в отладочный режим). Сообщения делятся на 8 категорий серьёзности (поменять умолчания:
"info-center log-severity bymodule-alias имя-модуля краткое_описание severity категория":
0 (Emergencies) - требуется перезапуск
1 (Alert) - требуется немедленная реакция
2 (Critical) - требуется вдумчивый анализ ситуации
3 (Error) - что-то пошло не так
4 (Warning) - что-то пойдёт не так
5 (Notification) - мы вас предупреждали
6 (Informational)
7 (Debugging)
Сообщения передаются через 10 каналов (имена и направления можно изменить: "info-center channel номер name имя"):
0 (Console) - все модули, журнал (4) и извещения (7) и отладка (7), выводит на консоль
1 (Monitor) - все модули, журнал (4) и извещения (7) и отладка (7), выводит на VTY
2 (loghost) - все модули, журнал (6) и извещения (7) и не отладка (7), Log host
3 (trapbuffer) - все модули, не журнал (6) и извещения (7) и не отладка (7), буфер извещений
4 (logbuffer) - все модули, журнал (4) и не извещения (7) и не отладка (7), буфер журнала
5 (snmpagent) - все модули, не журнал (7) и извещения (7) и не отладка (7), SNMP trap
6 (channel6) - все модули, журнал (7) и извещения (7) и не отладка (7), куда? зарезервировано
7 (channel7) - все модули, журнал (7) и извещения (7) и не отладка (7), куда? зарезервировано
8 (channel8) - все модули, журнал (7) и извещения (7) и не отладка (7), куда?, зарезервировано
9 (channel9) - все модули, журнал (7) и извещения (7) и не отладка (7), Logfile)
Формат вывода: символ (Int_16? только для syslog),
время ("info-center timestamp {log | trap | debugging} { { date | format-date | short-date } [ precision-time { second | tenth-second | millisecond } ] | boot }",
где boot - милисекунды относительно начала загрузки, date - как "mm dd yyyy hh:mm:ss",
short date - укороченная дата как "mm dd hh:mm:ss", format-date - "YYYY-MM-DD hh:mm:ss", в реальности как "MMM DD YYYY HH:MM:SS+03:00"),
пробел, имя коммутатора, пробел, "%%",
номер версии информации, имя модуля, "/", уровень серьёзности, "/", краткое_описание, "(", тип (l- журнал, t - извещение), "):CID=",
шестнадцатеричный номер компонента системы, ";", текст сообщения, "^M".
Сообщения в канале фильтруются перед выводом по номеру модуля источника
(CID, "display info-center statistics", "reset info-center statistics",
"info-center filter-id { номер-модуля | bymodule-alias имя-модуля краткое_описание}"), серьёзности и статусу для типа сообщения
("info-center source { имя-модуля | default } channel { номер-канала | имя-канала } {log | trap | debug} { state { off | on } | level серьёзность }").
По умолчанию подавляются множественные повторные сообщения ("info-center statistic-suppress enable").
Автоматическая фильтрация на основе кратковременности и повторяемости, поиск корреляций и корневых событий
(выключено по умолчанию). Уровни тревог (alarm) и соответствие уровням извещений: Critical (1 - Alert), Major (2 - Critical),
Minor (3 - Error), Warning (4 - Warning). Настройки:
display device alarm hardware history { all | slot идентификатор }
display alarm information [ name имя ]# выдаёт список тревог - имя, идентификатор, уровень, интервалы корреляций и сброса
display event information # ?
alarm; alarm имя severity уровень
alarm; delay-suppression enable # быстро решённая проблема объявляется несуществующей (включено по умолчанию)
alarm; suppression alarm имя { cause-period секунд | clear-period секунд } # настройка задержек в извещении
alarm; correlation-analyze enable # выключено по умолчанию
clear device alarm hardware { all | index номер-тревоги | slot идентификатор } { no-trap | send-trap } # деактивировать
clear device alarm hardware history { all | slot идентификатор } # стереть?
alarm; clear alarm active { all | sequence-number номер } # деактивировать
alarm; clear alarm history { all | sequence-number номер } # стереть?
reset statistics [ name имя-тревоги ]
По-простому: хотите отладить DHCP Relay в терминальном сеансе (SSH)?
terminal monitor
terminal debugging
debugging dhcp relay all
Время и NTP. Коммутатор реализует функции сервера NTPv4 в режимах клиент-сервер,
согласования равных соседей (peer), широковещательной рассылки (255.255.255.255), групповой рассылки от сервера (multicast),
групповой рассылки от клиента (manycast). Возможно прикрыть с помощью ACL запросы: от соседа, от сервера, от клиента, управляющий запрос.
До 128 серверов и до 128 одновременных сеансов.
Возможна посылка в ответ пакетов KOD (Kiss-of-Death) при превышении нагрузки на коммутатор (DENY или RATE в зависимости от настройки ACL).
Поддерживается аутентификация (шифрование пакетов по key ID, до 1024 ключей на устройство). Настройки:
ntp refclock-master [ адрес-часов ] [ страта-NTP ] # объявить локальные часы референсными, адрес - 127.127.1.номер
ntp unicast-server IP-адрес-сервера [ version номер | authentication-keyid ИдКлюча | source-interface тип номер | vpn-instance имя | preferred | port номер ] ... # получать время от указанного сервера или серверов
ntp unicast-peer IP-адрес-сервера [ authentication-keyid ИдКлюча | source-interface тип номер | vpn-instance имя | preferred | port номер ] ... # обмениваться временем с указанным соседом
interface тип номер; undo portswitch; ntp broadcast-server [ version номер | authentication-keyid ИдКлюча | port номер ] # для широковещательной рассылки интерфейс сервера д.б. на уровне 3
interface тип номер; undo portswitch; ntp broadcast-client # для получения широковещательной рассылки интерфейс клиента д.б. на уровне 3
ntp [ ipv6 ] disable # отключить NTP полностью
ntp [ ipv6 ] server disable # отключить функции NTP сервера
undo ntp [ ipv6 ] server disable # включить NTP сервер
(в документации сказано, что по умолчанию включён, но в файле конфигурации стоит disable)
ntp [ ipv6 ] source-interface тип номер [ vpn-instance имя ]
display ntp status
display ntp event clock-unsync
display ntp sessions [verbose]
display ntp slot-status # если в стеке поменяется мастер, то сервис останется (Slot Id: 2 - NTP Server Configured : No)?
display ntp statistics packet
display ntp statistics packet peer
display ntp trace
display current-configuration | include ntp
ntp max-dynamic-sessions число # по умолчанию - 100, к динамическим сессиям относятся широковещательные и групповые запросы
interface тип номер; undo portswitch; ntp [ ipv6 ] receive disable # заблокировать приём NTP пакетов с этого интерфейса (L3!)
ntp authentication enable; ntp authentication-keyid ИдКлюча authentication-mode { md5 | hmac-sha256 } { plain открытый-пароль | [ cipher ] пароль };
ntp trusted authentication-keyid ИдКлюча; использовать ИдКлюча в настройках "ntp unicast-server" и пр.
Устройство умеет экономить электричество: управление вентиляторами, ALS (automatic laser shutdown - выключение лазера
при потере связи, плохая мысль - будут проблемы при восстановлении),
EEE (Energy Efficient Ethernet, отключить электричество на бездействующих интерфейсах, плохая мысль - будут проблемы,
поддерживается только на медных интерфейсах, кроме meth),
port dormancy (аналогично, плохая мысль - будут проблемы, поддерживается только на медных интерфейсах, кроме meth),
отключение интерфейса при отсутствии трансивера, отключение резервных БП (плохая мысль - не успеет переключиться, не поддерживается),
Описываются различные режимы сохранения энергии, после чего константируется, что устройство поддерживает только стандартный режим.
Настройки:
interface тип номер; als enable # выключен по умолчанию
interface тип номер; als restart mode {automatic | manual} # по умолчанию - автоматически, т.е. периодически просыпается и тестирует линию
interface тип номер; als restart
interface тип номер; als restart pulse interval секунд; als restart pulse width секунд # параметры автоматического тестирования,
по умолчанию интервал - 100 секунд, время тестирования - 2 секунды
display als { all | slot идентификатор } # также показывает текущее состояние лазеров
interface тип номер; eee enable # выключен по умолчанию
interface тип номер; port-auto-sleep enable # port dormancy, выключен по умолчанию
set device power manage mode standard
display device power system
Устройство собирает информацию о производительности - статистика трафика на интерфейсах,
статистика протоколов, загрузка ЦП, загрузка памяти, температура.
Статистика записывается в файлы (?) и может быть автоматически скопирована на внешний файловый сервер по FTP или SFTP.
Для включения сбора статистики необходимо её включить ("pm; statistics enable", по умолчанию выключена),
определить задачу ("pm; statistics-task имя"), запустить процесс, указать счётчики, интервал времени сбора, периодичность проб,
формат файла и периодичность генерации.
Можно создавать скрипты (до 10 команд на задачу - автоматически подставляется "Y",
пакет команд из файла, Python скрипт из файла), управляемые триггерами (время, тревоги, события, Trap OID, шаблон сообщений в журнале).
Посмотреть текущее состояние: "display ops assistant current". Всё остановить: "ops; assistant scheduler suspend".
Скрипты можно запускать вручную (OPS).
Коммутация на уровне 2 (упрощённо): по входящим кадрам строится (и поддерживается) таблица соответствия MAC адресов и
номеров портов (и VLAN ID?), при отправке пакета адрес получателя ищется в таблице (широковещательный адрес никогда не находится)
и отправляется в найденный порт.
Коммутация на уровне 3 (упрощённо): коммутация уровня 2 внутри LAN (ARP даёт MAC получателя, ethernet кадр отправляется получателю)
и IP маршрутизация между LAN (ARP даёт MAC шлюза на коммутаторе, IP пакет отправляется коммутатору,
коммутатор дополнительно ведёт ARP таблицу соответствия IP и MAC адресов, микросхема передачи пакетов не находит в своей таблице
IP адрес получателя и обращается к подсистеме управления (вот тут расходуются ресурсы ЦП), подсистема управление обрабатывает
таблицу маршрутизации, подсистема управления делает ARP запрос на всех портах нужного VLAN и по ответу обновляет ARP таблицу IP и MAC адресов;
ответ и последующие пакеты обрабатываются аппаратно).
Интерфейсы:
интерфейсы управления (не передают данные)
console 0
meth 0/0/0
физические интерфейсы (передают данные, иногда называются портами, нумеруются по идентификатору стека,
номеру платы и последовательному номеру: 10GE101/0/15, по умолчанию работают в режиме L2 - передают пакеты в режиме коммутации или
соединяют VLAN через VLANIF, можно перевести в режим L3 - назначаются IP адреса, используется IP маршрутизация)
GE (10/100/1000Base-T), только полный дуплекс
10GE электрические (100/1000/10GBase-T), только полный дуплекс (кроме CE6850-48T4Q-EI)
10GE оптические (SFP+), также поддерживают трансиверы SFP, включая трансиверы витой пары (с ограничениями на низких скоростях),
автосогласования скорости и контроля потока нет, кроме трансиверов на 10/100/1000Base-T
25GE (SFP28), также поддерживают трансиверы SFP+ (требуется явно уставить скорость),
ограничения на тип носителя в соседних портах до версии V200R002C20
40GE (QSFP+)
100GE (QSFP28), также поддерживают трансиверы QSFP+ (CE6880 поддерживают DAC QSFP+ только в портах стекирования)
логические интерфейсы
Eth-Trunk - агрегированные Ethernet интерфейсы (статические и LACP)
VLANIF - L3 с IP адресом для VLAN
L3 подинтерфейс - создаётся для обмена данными между устройствами из разных VLAN,
MAC наследуется от основного интерфейса, можно назначить свой IP адрес для подинтерфейса для каждой VLAN и использовать коммутатор как шлюз;
необходимо перевести основной интерфейс (Ethernet или Eth-Trunk) на уровень 3 ("undo portswitch");
не поддерживается на одиночном CE6810-LI; создание и настройки:
interface тип номер.номер-подинтерфейса # создание подинтерфейса, до 2000, номер от 1 до 4094; хороший тон, когда номер совпадает с номером VLAN
interface eth-trunk номер.номер-подинтерфейса
ip address IP-адрес { сетевая-маска | длина-маски } # назначение IP-адреса
ip address IP-адрес { сетевая-маска | длина-маски } sub # назначение дополнительного IP-адреса, до 255, удалить до удаление основного
dot1q termination vid номер-VLAN # удаление метки указанной VLAN на входящих пакетах перед передачей на L3, остальные пакеты выбрасываются;
добавление метки к исходящим пакетам; выключен по умолчанию (выбрасываются все пакеты с меткой VLAN);
QinQ не умеет совсем
display ip interface [brief]
Loopback - всегда поднят, InLoopBack0 (127.0.0.1/8), а где? создание и настройки:
interface loopback номер # создание
ip address IP-адрес { сетевая-маска | длина-маски } # назначение IP-адреса
NULL - всегда поднят, направленные сюда маршрутизацией пакеты выбрасываются, IP адрес назначить нельзя, NULL0 создаётся автоматически, команды:
display interface NULL
display ip interface NULL 0
Stack-Port - интерфейс для образования стека
Fabric-Port - интерфейс для образования SVF; не поддерживается на CE6810-LI, CE6850-48T4Q-EI, CE6855-48T6Q-HI, CE5800
Tunnel - L3, GRE; не поддерживается на CE6810-LI, CE5850EI
FCoE
FC
L2 подинтерфейс - только для VXLAN?
NVE - для VXLAN
VBDIF - для VXLAN
Ethernet - для общения между VRP и open system; не поддерживается на CE6810, CE6860EI, CE58XX
Настройка интерфейса (предварительно system-view и "interface тип номер", несуществовавший интерфейс создаётся,
для введения в действие изменений интерфейса необходимо его погасить и поднять):
display interface [тип [номер]] # Switch Port - на уровне 2 (PVID иногда, TPID, IP отключён, Hash Arithmetic для Trunk);
Route Port - на уровне 3 (NULL0); Stack Port - интерфейс для стека, Hash Arithmetic; Fabric Port - интерфейс для SVF вниз, Hash Arithmetic
reset interface counters [тип [номер]] # сброс статистики по трафику
interface тип номер # вход в область интерфейса
port-group group-member { тип номер [ to тип номер ] } ...; commit # образование временной группы портов
для однообразной настройки и вход в область интерфейса для группы
port-group имя; group-member { тип номер [ to тип номер ] } ...; ...; commit # добавление интерфейсов в постоянную группу портов
для однообразной настройки и вход в область интерфейса для группы
display port-group [ all | имя ]
set flow-stat interval секунд # общий интервал сбора статистики по трафику, по умолчанию - 300
ip host packet statistics protocol all # включить сбор статистики по протоколам, по умолчанию выключено, уменьшает производительность коммутатора
display ip host packet statistics receive protocol [протокол]
reset ip host packet statistics receive protocol
область интерфейса: ip host packet statistics protocol enable # включить сбор статистики по протоколам, по умолчанию выключено
область интерфейса: set flow-stat interval секунд # интервал сбора статистики по трафику, по умолчанию - 300
область интерфейса: description описание
область интерфейса: carrier { up-hold-time | down-hold-time } милисекунд # по умолчанию - 0, задержка перед извещением модуля
коммутации или маршрутизации о готовности физического уровня
область интерфейса: set up-delay секунд # по умолчанию 0, задержка между подъёмом протокола коммутации или маршрутизации
и его реальной готовностью принимать пакеты
область интерфейса: protocol up-delay-time секунд # только для L3; задержка между установлением соединения L2 и подъёмом протокола L3;
по умолчанию 0 для физического интерфейса и 1 для VLANIF (надо дать устройству на дальнем конце адаптироваться к изменени. STP и т.п.)
область интерфейса: shutdown # не действует на NULL и loopback
область интерфейса: undo shutdown
область интерфейса: restart # shutdown; undo shutdown
область интерфейса: shutdown network-layer # положить только протокол, оставить интерфейс работать, несовместим с "protocol up-delay-time"
port link-flap trigger error-down # перевести интерфейс с состояние выключено по ошибке (ERROR DOWN(link-flap)) при слишком частом
включении/выключении; по умолчанию включено
область интерфейса: port link-flap { interval секунд threshold штук } # настройка отключения интерфейса по морганию;
по умолчанию 5 раз в 10 секунд
область интерфейса: port crc-statistics trigger error-down # перевести интерфейс в состояние выключено (ERROR DOWN(crc-statistics))
при большом количестве ошибок; автоматически включается для портов стека и SVF
область интерфейса: trap-threshold error-statistics штук interval секунд # настройка количества ошибок для отключения интерфейса;
по умолчанию 3 пакета за 10 секунд
область интерфейса: port transceiver-power-low trigger error-down # перевести интерфейс в состояние выключено (ERROR DOWN(transceiver-power-low))
при низком уровне входного сигнала; по умолчанию выключено
display error-down recovery # вывести список отключённых интерфейсов, восстановление вручную (restart) или автоматически по таймеру
error-down auto-recovery cause причина-отказа interval секунд # автоматически поднимать интерфейс через указанный интервал, по умолчанию отключено
область интерфейса: negotiation disable # отключить автосогласование, по умолчанию - включено для meth и гигабитных портов
область интерфейса: speed {10 | 100 | 1000} # установка скорости для витой пары при отсутствии автосогласования, по умолчанию для meth - 100
область интерфейса: speed auto {{10 | 100 | 1000} ... | { 100 | 1000 | 10000} ... } # установка выбора скоростей для витой пары для автосогласования
область интерфейса: duplex { full | half } # предварительно необходимо отключить автосогласование и установить скорость 100, по умолчанию - full; нет такой команды: V200R001C00: The switch does not support the duplex mode configuration
область интерфейса: port mode 10g # установка 10GE для порта SFP28
область интерфейса: port mode copper # только для CE8860EI
область интерфейса: speed 40000 # установка 40GE для порта QSFP28 (предварительно установить кабель)
область интерфейса: flow-control [ input | output ] # управление потоком несовместимо с режимом cut-through
("assign forward mode store-and-forward"); по умолчанию выключено
область интерфейса: flow-control negotiation # управление потоком и автосогласование управления потоком несовместимы;
возможно придётся предварительно включить автосогласование вообще: "undo negotiation disable"; по умолчанию выключено
область интерфейса: ifg байт # по умолчанию 12, установка межкадрового промежутка (Inter-frame gap, IFG)
область интерфейса: set flow-statistics include-interframe # по умолчанию включено; считать в статистике байты
преамбулы (8) и межкадрового промежутка (12)
область интерфейса: trap-threshold { input-rate | output-rate } процентов [ resume-rate процентов ] # при какой нагрузке начинать
слать предупреждения; по умолчанию - 90%
область интерфейса: single-fiber enable # передавать данные только в одном направлении (например, для анализатора)
область интерфейса: single-fiber rx # только принимать данные
область интерфейса: training disable # по умолчанию включена (автоматическая настройка параметров передачи для 40GE),
требуется автосогласование; требуется включить с обоих концов; для стека обязательна; некоторые модели не позволяют отключить,
некоторые позволяют, но не работают; после выключения нельзя менять тип кабеля
device conflict-policy keep-config # если предварительно сделанные настройки интерфейса не соответствуют реально установленному оборудованию,
то настройки сохраняются, интерфейс не поднимается; по умолчанию - настройки удаляются, интерфейс поднимается
область интерфейса: device transceiver {1000BASE-X | 1000BASE-T | 10GBASE-FIBER | 10GBASE-COPPER | 25GBASE-COPPER |
25GBASE-FIBER | 40GBASE-FIBER | 40GBASE-COPPER | 100GBASE-FIBER | 100GBASE-COPPER } # предварительно указать тип трансивера;
а AOC - это что?
область интерфейса: fec mode { rs | base-r | none } # включение Forward error correction (FEC), Base-R FEC только для 25GE,
RS FEC только для 100GE; умолчание - по ситуации; несовместим со стеком
область интерфейса: virtual-cable-test # включить тестирование витой пары, интерфейс не должен использоваться с обеих сторон
display interface тип номер virtual-cable-test # узнать результат тестирования, длина, расстояние до разрыва
reset interface [тип номер ] virtual-cable-test
область интерфейса: loopback internal # включить тест на замыкание кабеля, интерфейс не должен использоваться с обеих сторон,
не забудьте выключить
область интерфейса: undo portswitch # перевод интерфейса на уровень 3 (от Switch Port к Route Port),
можно назначить IP адрес, расходует ресурсы микросхемы продвижения и уменьшает поддерживаемое количество VLAN до 4063;
несовместим с Eth-Trunk (имеется в виду, что необходимо переводить сам Eth-Trunk на уровень 3?);
на CE6855HI и CE7855EI необходимо предварительно резервировать VLAN ("vlan reserved for main-interface от to до");
необходимо предварительно отключить сервисы уровня 2 ("port link-type trunk" и др.?)
transceiver non-certified-alarm disable # перестать извещать о несертифицированных трансиверах
область интерфейса: portswitch # перевод интерфейса на уровень 2; необходимо предварительно отключить сервисы уровня 3
При исследовании проблем могут оказаться полезными функции ping и trace по MAC адресу (другое устройство
тоже должно поддерживать эту функцию - LTM?):
разрешить ping по MAC адресу (по умолчанию запрещено): "ping mac enable"
ping mac MAC-адрес vlan номер-VLAN {interface тип-исходящего-интерфейса номер | -c число | -s размер-пакета | -t секунд} ..."
разрешить trace по MAC адресу (по умолчанию запрещено): "trace mac enable"
trace mac MAC-адрес vlan номер-VLAN {interface тип-исходящего-интерфейса номер | -t секунд} ..."
По умолчанию максимальный размер кадров - 9216 (проверяется только на входе, необходимо учитывать возможность
увеличения размера кадра при обработке VLAN/TRILL/VXLAN), его можно поменять для интерфейса до 12288 (12224, 15360)
и задать границу в байтах между обычными и jumbo кадрами (1518):
system-view
interface ...
jumboframe enable максимальный-размер граница
commit
Возможно разбиение интерфейса 40GE/100GE на 4 по 10GE/25GE (port split) с использованием электрических
(QSFP-4SFP10G-CU1M, QSFP-4SFP10G-CU3M, QSFP-4SFP10G-CU5M) или оптических (QSFP-4SFP10-AOC10M) переходников (breakout),
с дальнейшим подключением к 10GE/25GE интерфейсам или передачей по трансиверам SFP+ и обратной сборкой.
Имеются ограничения
по устройствам (CE5850-48T4S2Q-EI, CE88-D16Q) и комбинациям портов.
Ограничения совместимости со стеком и SVF.
Ограничения совместимости с режимом cut-through.
Индикатор показывает состояние соединения 10GE в соответствии с тактом (5 секунд на подинтерфейс) индикатора 40GE Breakout 1/2/3/4.
Нумерация созданных интерфейсов образуется из нумерации исходного интерфейса с добавлением ":1", ":2", ":3" и ":4".
Команды:
port split mode { mode1 | mode2 | mode3 | mode4 } slot идентификатор # на CE7850EI и CE7855EI интерфейсы можно разбивать только группами;
требуется перезагрузка модуля перед дальнейшей настройкой
port split dimension interface тип номер [to тип номер] ... [ split-type тип-разбиения ] #
для выбора типа разбиения в инструкции предлагается ввести "?" (4*10GE);
требуется сохранить конфигурацию и перезагрузить модуль ("reset slot идентификатор")
display port split [ slot идентификатор ]
Агрегирование 4 последовательных интерфейсов 10GE коммутаторов CE6810EI, CE6810LI, CE6850-48S6Q-HI,
CE6851HI и CE5855-24T4S2Q-EI в 40GE, точнее типа 4x10GE (в качестве номера интерфейса указывается первый из четвёрки,
требуется перезагрузка модуля,
можно подключать к 40GE интерфейсу кабелями breakout или к интерфейсу 4x10GE отдельными одинаковыми кабелями или трансиверами,
обязательно соблюдение порядка,
только агрегированные порты CE6810-48S-LI можно использовать для организации стека).
Индикатором составного интерфейса служит индикатор первого порта из четвёрки, индикаторы остальных портов не используются.
Пример разбиения:
# подключение к CE6851HI (резервный стека) сервера (Silicom PE340G2QI71-QX4) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 2/0/45
commit
quit
reset slot 2
display port aggregate
Aggregate-port Port
----------------------------------------------------------------------
4x10GE2/0/45 10GE2/0/45 10GE2/0/46
10GE2/0/47 10GE2/0/48
display interface brief
...
10GE2/0/44 down down 0% 0% 0 0
тут были порты с 10GE2/0/45 по 10GE2/0/48
...
4x10GE2/0/45 up up 0.01% 0.01% 0 0
тестирование netperf завершилось успешно
save
# разборка
system-view
undo port aggregate aggregate-type 4*10GE interface 10GE2/0/45
commit
quit
reset slot 2 # 5 минут!
# подключение к CE6810LI сервера (Intel XL710) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 1/0/21
commit
quit
display port aggregate
----------------------------------------------------------------------
Aggregate-port Port
----------------------------------------------------------------------
4x10GE1/0/21 10GE1/0/21 10GE1/0/22
10GE1/0/23 10GE1/0/24
display interface brief
Interface PHY Protocol InUti OutUti inErrors outErrors
10GE1/0/1 down down 0% 0% 0 0
...
10GE1/0/20 down down 0% 0% 0 0
40GE1/0/1 up up 0.01% 0% 3 0
40GE1/0/2 down down 0% 0% 0 0
MEth0/0/0 up up 0.01% 0.01% 175119778 0
NULL0 up up(s) 0% 0% 0 0
display current-configuration inactive
*interface 4x10GE1/0/21
save
reset slot 1
display interface brief
Interface PHY Protocol InUti OutUti inErrors outErrors
10GE1/0/1 down down 0% 0% 0 0
...
10GE1/0/20 down down 0% 0% 0 0
40GE1/0/1 up up 0.01% 0.01% 0 0
40GE1/0/2 down down 0% 0% 0 0
4x10GE1/0/21 down down 0% 0% 0 0
MEth0/0/0 up up 0.01% 0.01% 6 0
NULL0 up up(s) 0% 0% 0 0
Изоляция портов (изоляция интерфейсов на уровне 2) позволяет заблокировать взаимодействие
между компьютерами из определённой группы, подключёнными к интерфейсам одного коммутатора (стека), в пределах одной VLAN
(могут общаться через маршрутизатор-посредник). Интерфейсы д.б. на уровне 2.
Интерфейсы из разных групп могут общаться. Настройка:
область интерфейса: port-isolate enable group идентификатор # интерфейс добавляется в группу изоляции, идентификатор - от 1 до 32
display port-isolate group { идентификатор | all }
область интерфейса: am isolate { тип-интерфейса номер-интерфейса } ... # односторонняя изоляция (кадры с текущего интерфейса не дойдут до указанных);
до 128 штук, нельзя изолировать интерфейс управления и транк от его членов
Группирование портов (Eth-Trunk, trunking, port channel, link aggregation group, LAG)
ручное (непосредственно между 2 устройствами, равномерная балансировка трафика?)
и с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP).
LACP позволяет обнаруживать неправильные подключения.
Системный приоритет LACP для выбора главного (Actor), чем меньше число, тем выше приоритет, при равных выбирается устройство с меньшим MAC, 32768.
Приоритет интерфейса для выбора активных интерфейсов (чем меньше число, тем выше приоритет) берётся по информации Актора, 32768.
Режимы LACP - статический (необходимо вручную создать Eth-Trunk и добавить в него интерфейсы, задать максимальное и минимальное количество
активных интерфейсов) и динамический (при неудаче создать Eth-Trunk интерфейсы группы переходят в независимый режим,
наследуют VLAN и могут передавать кадры на уровне 2, продолжают ожидать LACPDU для немедленного образования Eth-Trunk,
рекомедуется только между коммутатором и сервером, который при загрузке ещё не знает про LACP).
Основное назначение - обеспечение продолжения обмена данными после отказа части интерфейсов,
но возможна статическая балансировка нагрузки между интерфейсами (примитивная - хеш MAC или IP адресов - борьба с перепутыванием пакетов потока)
и балансировка попакетная (random и round-robin только в CE8860).
Балансируется только исходящий трафик.
Объединение происводится на уровне Data Link между подуровнями LLC и MAC), для каждой LAG ведётся таблица
соответствия значения хеша и номера интерфейса в группе.
Членство в группе несовместимо с некоторыми (?!) сервисами на интерфейсе
и статическим MAC адресом (занесён в статическую таблицу MAC?).
Перед добавлением интерфейса в группу необходимо убедиться, что интерфейс имеет "default link-type".
В версии V100R005C10 и новее при использовании SVF интерфейсы группы должны быть подключены к одному родителю или листьям одной модели (?!), в примерах SVF и Trunk активно используются совместно, в реальности работает;
При использовании SVF не может быть более 8 активных интерфейсов в группе (в настройках обещается 16).
При использовании стека рекомендуется использовать 2^n членов группы, иначе неизвестные пакеты будут делиться
между интерфейсами не поровну.
В версии V200R002C10 обещана возможность включения в группу интерфейсов различных скоростей.
Группа не может быть включена в группу. service loopback несовместим с интерфейсами группы на листьях SVF.
Команды:
assign forward eth-trunk mode {64 | 128 | 256 | 512 | 1024} # задать максимальное количество групп,
произведение количества групп на число портов в группе равно 2048, по умолчанию 128 групп по 16 интерфейсов, CE5810EI - не более 8 членов группы,
CE6880EI - не более 64 членов группы; требуется перезагрузка;
display forward eth-trunk mode
interface eth-trunk номер # создать группу, нумерация от 0
область группового интерфейса: mode { manual [ load-balance ] | lacp-static | lacp-dynamic } # по умолчанию ручной режим с балансировкой
lacp priority число # задать системный приоритет, по умолчанию - 32768
область интерфейса: lacp priority число # задать приоритет интерфейса, по умолчанию - 32768
область интерфейса: lacp force-up # по умолчанию - выключено
область группового интерфейса: lacp select { priority | speed } # критерий выбора активных интерфейсов, по умолчанию - приоритет
(везде написано, что скорости интерфейсов в группе д.б. равны)
область группового интерфейса: lacp preempt {enable | delay секунд} # возврат после восстановления более приоритетного интерфейса;
по умолчанию - выключено, 30 секунд; необходимо настроить на обоих концах
область группового интерфейса: lacp timeout { fast [ user-defined секунд ] | slow } # время обнаружения упавшего интерфейса на другом конце;
по умолчанию - 90 секунд; fast: посылка - 1 секунда, интервал - 3 секунды; slow: посылка - 30 секунд, интервал - 90 секунд;
рекомендуется использовать одинаковые параметры на концах
область группового интерфейса: trunkport тип-интерфейса { номер-интерфейса [to номер-интерфейса] ...} # добавить интерфейсы к группе,
интерфейс должен быть ненастроен
область группового интерфейса: least active-linknumber число # задать минимальное количество активных интерфейсов в группе, по умолчанию - 1
область группового интерфейса: lacp max active-linknumber число # задать максимальное количество активных интерфейсов в группе,
по умолчанию - 8 для CE5810 и SVF, 16 - для прочих (изменяется по "assign forward eth-trunk mode")
display eth-trunk membership номер
область группового интерфейса: load-balance {random | round-robin} # попакетная балансировка (только CE8860),
требуется сортировка и сборка потока на приёмнике
область группового интерфейса: load-balance
{ dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac | enhanced [ resilient ] profile имя-профиля } # балансировка по потокам;
src-dst-ip и src-dst-mac делается с помощью XOR;
по умолчанию - "enhanced default", иногда распараллеливает, а иногда нет;
resilent (CE7850EI, CE7855EI, CE6850U-HI, CE6851HI, CE6850HI, CE6855HI) - не перераспределять идущие потоки при изменении количества интерфейсов в группе
load-balance unknown-unicast { mac | enhanced } # по умолчанию enhanced;
имя профиля не указывается, т.к. он только один
display eth-trunk [номер [interface тип номер] | verbose]
display interface eth-trunk [номер]
display lacp statistics eth-trunk [номер [interface тип номер]]
reset lacp statistics eth-trunk [номер [interface тип номер]] # сброс статистики LACP
load-balance profile имя-профиля # настройка профиля балансировки, по умолчанию default,
может существовать только 1 профиль; профиль общий для LAG и ECMP; при указании другого имени угрожает переименовать текущий
область профиля балансировки: ip { src-ip | dst-ip | l4-src-port | l4-dst-port | protocol } ... #
по умолчанию - src-ip, dst-ip, l4-src-port, l4-dst-port; protocol - TCP и UDP?
область профиля балансировки: mpls { 2nd-label | src-ip | dst-ip | top-label } ... # по умолчанию - top-label, 2nd-label
область профиля балансировки: l2 { src-mac | dst-mac | src-interface | eth-type } ... #
по умолчанию - src-mac, dst-mac (CE6870EI - src-mac, dst-mac, vlan); eth-type - тип протокола над Ethernet
область профиля балансировки: eth-trunk { hash-mode номер-алгоритма-от1-до9 | universal-id смещение-от1-до8 } ... # по умолчанию - 1 и 1;
не рекомендуется использовать одну и ту же комбинацию на соседних коммутаторах по пути наверх;
рекомендации изготовителя для hash-mode (не для CE5810 и CE6870, намекают поэкспериментировать):
область интерфейса: trunk member binding vlan номер-VLAN # привязать одного (только одного!) из членов группы к VLAN (до 8 VLAN),
несовместимо с mac-vlan (и интерфейс и VLAN), ip-subnet-vlan (и интерфейс и VLAN), M-LAG,
отображению VLAN, стекированию VLAN, VLAN MUX и др.; не более 256 привязок; групповын пакеты пойдут через этот интерфейс;
пример для сервера с совмещённым портом BMC (BMC - VLAN 2, сервер - VLAN 3):
BMC настроить на VLAN 2
interface Eth-Trunk50
description to grid0049 and service0049
port link-type hybrid
port hybrid pvid vlan 3
port hybrid tagged vlan 2
undo port hybrid untagged vlan 1
port hybrid untagged vlan 3
interface GE107/0/12
eth-trunk 50
trunk member binding vlan 2
область группового интерфейса: local-preference disable # если Eth-Trunk был сделан из интерфейсов частей стека,
то при локальном предпочтении трафик наружу не будет пущен через интерфейс стека при нормальной работе
(таблица соответствия значения хеша и номера интерфейса в группе содержит только локальные интерфейсы),
не действует для широковещательных, групповых и неизвестных пакетов; включено по умолчанию
(вернуть через undo)
trunk member-port-inspect # включить мониторинг всех интерфейсов всех L3 групп на приёмном конце;
выключить после использования - потребляет много ресурсов;
только в режиме L3;
в этом режиме на ping соседнего коммутатора отвечает каждый интерфейс группы и можно понять где проблема
пример
load-balance profile default
l2 src-mac dst-mac src-interface
interface Eth-Trunk1
description link between box504 and DC
mode lacp-static
interface 10GE1/0/1
eth-trunk 1
interface 10GE1/0/2
eth-trunk 1
interface 10GE2/0/1
eth-trunk 1
interface 10GE2/0/2
eth-trunk 1
M-LAG (Multichassis Link Aggregation Group) - нестандартная технология, которая позволяет
объединить несколько каналов в единое целое (группу) при подключении сервера к 2 коммутаторам в отличие от LACP
за счёт обмена информацией между коммутаторами (peer-link). Обеспечивается балансировка трафика и непрерывность
передачи данных как при обрыве канала, так и при отказе одного из коммутаторов.
Аналогичные, но несовместимые технологии реализованы Mellanox и Netgear (MLAG), Alcatel-Lucent и Juniper и ZTE (MC-LAG),
Dell N**** и Cisco Nexus (vPC - virtual port channel, "show vpc brief"),
Force и Dell S**** (VLT - Virtual Link Trunking), Cisco Catalyst 6500 VSS (MEC - Multichassis Etherchannel),
Cisco Catalyst 3750 (Cross-Stack EtherChannel), HP (Distributed Trunking, Intelligent Resilient Framework).
Может сочетаться с SVF (сервер подключается к 2 SVF системам).
Рекомендуется использовать коммутаторы одной модели.
Несовместимо с DHCP snooping, MSTP и VBST. Несовместимо с GVRP на Eth-Trunk.
Может (для шлюза?) потребоваться установить одинаковые IP и/или MAC адреса VLANIF обоих коммутаторов.
M-LAG разделяет ограниченные ресурсы с некоторыми другими сервисами (ACL?).
Ограничения на групповую маршрутизацию.
Реализация вызывает ощущение недоделанного стека, но без жёсткого требования к использованию одинаковых моделей.
Архитектура:
2 коммутатора входят в DFS группу с одинаковым идентификатором ("dfs-group номер; source ip IP-адрес; display dfs-group номер [peer-link]"),
коммутатор может входить только в 1 группу с номером 1
выбирается главное (master) устройство (приоритет DFS и MAC адрес),
при отказе главного устройства подчинённое становится главным (весь трафик идёт через него)
второй коммутатор объявляется подчинённым (slave, backup) устройством, при отказе главного устройства подчинённое становится главным
(при этом весь трафик идёт через него)
peer-link - соединение между коммутаторами системы M-LAG (ровно 1), рекомендуется агрегировать несколько каналов для надёжности,
через него коммутаторы обмениваются таблицами MAC и ARP, здесь же передаются пользовательские данные (групповые и широковещательные? при сбое uplink);
при разрыве никакой трафик через подчинённое устройство не идёт совсем (требуется DAD), кроме интерфейса управления и стека (однако см.
"m-lag unpaired-port suspend");
peer-link интерфейс - интерфейсы коммутаторов системы M-LAG, образующие peer-link соединение;
"interface eth-trunk номер; trunkport тип-интерфейса номер ...; mode lacp-static; undo stp enable # для режима root bridge; peer-link 1"
интерфейс M-LAG - интерфейсы коммутаторов системы M-LAG к пользователям, рекомендуется использовать LACP,
производится балансировка обычного трафика, групповой и широковещательный трафик идут только по одному интерфейсу;
при отказе одного интерфейса весь трафик идёт по оставшемуся;
"interface eth-trunk номер; trunkport тип-интерфейса номер ...; mode {lacp-static | lacp-dynamic }; dfs-group номер m-lag номер-группы"
uplink коммутатора системы M-LAG - при его отказе пользовательский трафик идёт обходным путём через peer-link
dual-active detection (DAD) - используется отдельное соединение (предпочтительно meth), чтобы отличить падение партнёра от падения соединения с ним
режимы настройки
root bridge - главное и запасное устройства настраиваются с одинаковым идентификатором STP и имитируют единый корень STP
("stp root primary; stp bridge-address минимум-MAC-адресов")
V-STP (рекомендуется) - виртуализация обоих коммутаторов в одно устройство с точки зрения STP ("stp mode { stp | rstp }; stp v-stp enable")
display m-lag troubleshooting
reset m-lag troubleshooting history
display dfs-group номер [peer-link]
Управление таблицей MAC адресов (MAC, исходящий интерфейс, идентификатор VLAN): статические (настраиваются вручную, никогда не протухают,
сохраняются между перезагрузками и заменой LPU - Line Procesing Unit, остальные интерфейсы выбрасывают кадры с этим MAC на входе,
только 1 интерфейс, несовместимо с подслушиванием DHCP), динамические (заносятся в таблицу исходя из информации во входящих кадрах,
имеют срок годности (300 секунд), интерфейс должен входить в существующую VLAN, несовместимо с Port Security,
могут относиться к сервисам (?) - secure MAC, MUX MAC, authen MAC, guest MAC), чёрный список (настраиваются вручную, никогда не протухают,
сохраняются между перезагрузками и заменой LPU, кадры с этим MAC в качестве источника или получателя выбрасываются).
Если MAC относится к нескольким VLAN, то в таблице будет несколько записей (для одного MAC разным VLAN могут быть указаны разные интерфейсы).
Если входящий интерфейс входит в группу портов, то в качестве исходящего интерфейса в таблицу заносится вся группа портов.
Широковещательные и групповые MAC адреса не заносятся в таблицу.
Можно ограничить количество MAC адресов, попадающих в таблицу с указанного интерфейса или VLAN (вплоть до 0, по умолчанию - 1, какие-то ограничения для SVF),
пакеты от непопавших в таблицу MAC адресов удаляются по прибытию (временный чёрный список?).
При образовании петель в сети MAC адреса будут мелькать по таблице туда-сюда, коммутатор может сообщать об этом (включено по умолчанию),
удалять интерфейс из VLAN или гасить его (рекомендуется включать предупреждение на интерфейсах, обращённых к пользователю - downstream).
Доверенным интерфейсам можно назначать больший приоритет (статические записи приоритетнее динамических.
Команды:
mac-address aging-time секунд # установка срока годности, помечается через указанное время неиспользования, удаляется через двойное время
область интерфейса: mac-address learning disable [ action { discard | forward } ] # не добавлять извлекаемые из входящих кадров MAC-адреса
в таблицу, по умолчанию добавляются, "action discard" - выбрасывать кадры, исходного MAC адреса которых не было в таблице, по умолчанию - передавать
добавление извлекаемых из входящих кадров MAC-адреса можно заблокировать в правилах ограничения трафика ("traffic classifier ...",
"traffic behavior ...", "traffic policy имя-политики", область интерфейса или VLAN или глобально: "traffic-policy имя-политики inbound")
область интерфейса или VLAN: mac-address limit maximum число # по умолчанию - без ограничений
область интерфейса или VLAN: mac-address limit alarm { disable | enable } # по умолчанию - извещать
область VLAN: mac-address limit action { discard | forward } # "action discard" - выбрасывать кадры, исходного MAC адреса которых не было в таблице,
по умолчанию - выбрасывать
mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb } # установить алгоритм хеширования таблицы MAC адресов,
по умолчанию - crc32-lower
область интерфейса: mac-address learning priority приоритет # по умолчанию - 0
undo mac-address learning priority приоритет allow-flapping # запретить "мелькание" (flapping) MAC адреса между интерфейсами с указанным приоритетом
mac-address flapping periodical trap interval минут # 2
область интерфейса: mac-address flapping trigger error-down # отключать этот интерфейс при обнаружении мелькания; рекомендуется отключать
интерфейс с пользовательской стороны; посмотреть: "display error-down recovery"; возобновить вручную: reset; автоматически: см. выше
reset mac-address flapping record [ all ]
drop illegal-mac enable # выкидывать кадры с ненормальными MAC адресами, по умолчанию - отключено
область VLAN: mac-address miss action discard # выкидывать кадры с MAC адресом получателя, отсутствующим в таблице; по умолчанию - рассылать
по всем интерфейсам
undo mac-address drop static-conflict enable # по умолчанию - выкидывать кадры в случае конфликта MAC адреса назначения и статической таблицы MAC
mac-address update arp enable # привязать динамические изменения ARP таблицы (L3) к изменениям в MAC таблице (L2), включено по умолчанию;
несовместим с "arp anti-attack entry-check ..."
область интерфейса: port bridge enable # по умолчанию кадры с одинаковыми MAC источника и назначения выкидываются
display mac-address hash-mode # используемый алгоритм хеширования таблицы MAC адресов
display mac-address limit
display mac-address flapping
display mac-address aging-time
display system mac-address # свои MAC адреса
display bridge mac-address # на 1 больше своего MAC адреса?
display interface vlanif [ номер-VLAN | main ] # для интерфейса в режиме L3 показать статус и конфигурацию, включая MAC адрес
mac-address notification { aging | learning | all } # извещать (trap) о появлении и протухании MAC адресов # по умолчанию - выключено
mac-address notification interval секунд # по умолчанию - 10
Intelligent Stack (iStack) формирует из коммутаторов одной серии (например, CE5810-24T4S-EI и CE5810-48T4S-EI),
виртуальный коммутатор с целью горизонтального масштабирования (увеличение портов - переподписка;
утолщение соединения наружу), упрощение сети (избавление от MSTP и VRRP) и увеличения надёжности
(если клиент подключён к 2 членам стека группой портов (Eth-Trunk), то он переживёт отказ одного из коммутаторов;
если uplink подключён к 2 членам стека группой портов (Eth-Trunk), то клиенты переживут отказ внешнего соединения "своего" коммутатора).
Можно объединить до 9 (CE5810EI, CE5855EI, CE5850HI, CE6870EI, CE8860EI) или 16 устройств, до 768 портов, до 1600 Gbps.
Коммутаторы соединяются в цепочку (меньше соединений) или кольцо (падение соединения не разбивает стек, большая пропускная способность,
не поддерживается PFC - Priority-based Flow Control)
с помощью 2 логических портов стекирования (Stack-Port Ид/1 и Stack-Port Ид/2).
В качестве порта стекирования можно использовать оптический физический порт (нельзя использовать трансиверы витой пары)
или группу портов одного типа (до 16, рекомендуется чётное число, Eth-Trunk).
Один из коммутаторов назначается главным (Master), второй - запасным (Standby), остальные - подчинённые (Slave).
Можно посмотреть ("display switchover state") и поменять вручную ("slave switchover enable" и "slave switchover").
Каждый коммутатор получает идентификатор члена стека (Member Id), сам стек получает идентификатор домена (Domain Id).
При выборе главного учитываются: приоритет (больше - лучше), версия ПО (больше - лучше), MAC (меньше - лучше).
Все члены стека настраиваются как единое целое при входе на любой из них (в реальности вы попадаете на главный коммутатор,
необходимо использовать его адрес), для управления ресурсами конкретного коммутатора необходимо указывать его идентификатор в качестве номера слота.
При доступе к файловой системе коммутатора также необходимо указывать его идентификатор в флормате "Ид#flash:/"
Если используется только 1 порт, то настоятельно рекомендуется использовать "carrier down-hold-time интервал" на портах стека,
чтобы избежать болтанки.
Не рекомендуется использовать flow-control на портах стека.
На портах стека автоматически настраивается "port crc-statistics trigger error-down".
Зеркалирование портов (mirror) между шасси не поддерживается.
Конфликтует с контейнерами Linux.
Некоторые настройки стека вступают в силу после перезагрузки, а "all" означает текущий список.
Перезагрузка 1 коммутатора из стека: "reset slot идентификатор".
Процедура создания стека (вариант соединения до настройки):
составление плана
соединения с учётом ограничений:
для CE5855-48T4S2Q-EI только 10GE1/0/1 до 10GE1/0/2 и 40GE1/0/2:1 до 40GE1/0/2:4 в первый порт стекирования,
только 10GE1/0/3 до 10GE1/0/4 и 40GE1/0/1:1 до 40GE1/0/1:4 - во второй, нельзя использовать 40GE1/0/1 и 40GE1/0/2 для одного порта стекирования;
в версии до V200 нельзя использовать QSFP-40G-SR-BD;
в CE6850EI, CE6810EI, CE6810LI и CE5850EI порты 10GE группируются по 4, в некоторых моделях - по 2;
нельзя использовать порты 25GE с заниженной до 10Gb скоростью
присвоение идентификатора каждому члену (по умолчанию - 1)
назначение приоритетов от 1 до 255 (по умолчанию - 100)
включение устройств
соединение устройств
настройка будущего главного устройства, сохранение конфигурации, [перезагрузка]
system-view
stack
stack member 1 priority 200 # требуется перезагрузка
stack member all domain 1000 # требуется save, при изменении требуется перезагрузка
quit
commit
interface stack-port 1/1 # создать виртуальный порт стекирования
[description описание]
quit
commit
interface 40GE1/0/5 # выключить физический интерфейс
shutdown
quit
commit
...
interface stack-port 1/1 # наполнить порт стекирования физическими портами
port member-group interface 40GE1/0/5 [to 40GE1/0/6] [...] # port crc-statistics trigger error-down
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac | enhanced profile default}] # по умолчанию src-dst-ip
quit
commit
interface 40GE1/0/5 # включить физический интерфейс
#port copper mode sr4 # DAC на 40Gb ? где есть такая команда?
undo shutdown
quit
commit
...
quit
save
reboot
отключить порты стека будущего главного устройства
system-view
interface stack-port 1/1
shutdown
quit
commit
quit
save
настройка прочих устройств, сохранение конфигурации, [перезагрузка]
system-view
stack
stack member 1 renumber 2 [ inherit-config ] # требуется перезагрузка, inherit-config - имеются в виду настройки стека
# настройки портов сбрасываются
stack member 2 domain 1000 # требуется save, при изменении требуется перезагрузка, all развёртывается на момент выдачи команды
quit
commit
quit
save
reboot
system-view
interface stack-port 2/1 # создать виртуальный порт стекирования
[description описание]
quit
commit
interface 40GE2/0/5 # выключить физический интерфейс
shutdown
quit
commit
...
interface stack-port 2/1 # наполнить порт стекирования физическими портами
port member-group interface 40GE2/0/5 [to 40GE2/0/6] [...] # port crc-statistics trigger error-down
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac | enhanced profile default}] # по умолчанию src-dst-ip
quit
commit
interface 40GE2/0/5 # включить физический интерфейс
[port copper mode sr4 # DAC на 40Gb]
undo shutdown
quit
commit
...
quit
save
reboot
главный изучает топологию и при необходимости переназначает идентификаторы (аналогично renumber со сбросом настроек портов),
выбирает запасной, рассылает топологию
фактически происходит процедура слияния 2 стеков, проигравший выборы перезагружается и присоединяется к главному
не главные члены стека загружают версию ПО с главного (а место есть?) и перезагружаются
не главные члены стека дополняют свою конфигурацию с файла конфигурации главного, в частности, меняется IP адрес управляющего порта
вход на стек и проверка, сохранение настроек:
display stack
--------------------------------------------------------------------------------
MemberID Role MAC Priority DeviceType Description
--------------------------------------------------------------------------------
+1 Master 6008-10b9-7730 200 CE6851-48S6Q-HI
2 Standby 6008-10b9-77c0 100 CE6851-48S6Q-HI
--------------------------------------------------------------------------------
+ indicates the device where the activated management interface resides.
display stack configuration
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Attribute Configuration:
----------------------------------------------------------------------------
MemberID Domain Priority Switch Mode Uplink Port
Oper(Conf) Oper(Conf) Oper(Conf) Oper(Conf) Oper(Conf)
----------------------------------------------------------------------------
1(1) 1000(1000) 200(200) Stack(Stack) 6*40GE(6*40GE)
2(2) 1000(1000) 100(100) Stack(Stack) 6*40GE(6*40GE)
----------------------------------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5
Stack-Port2/1 40GE2/0/5
display stack topology
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
display stack troubleshooting
display interface 40ge1/0/5
display switchover state
display interface Stack-Port
Stack Port, Hash arithmetic : According to SIP-XOR-DIP
тонкая настройка
#system-view
#stack
#set system mac-address slot идентификатор # чтобы при перестройке стека оставался один и тот же MAC адрес
#set system mac-address switch-delay { минут | immediately } # чтобы при перестройке стека MAC адрес менялся с задержкой, 0 - бесконечность
stack member идентификатор description описание
...
save
Добавление коммутатора к стеку:
определение места подключения
цепочка: лучше подключить к одному из концов
кольцо: временно преобразовать в цепочку, подключить к одному из концов, восстановить кольцо
поменять настройки стека и нового коммутатора
выключить новый коммутатор и подсоединить его к стеку
включить новый коммутатор
При отключении всех портов стекирования коммутатора он покидает стек: при необходимости производятся новые выборы,
вычисляется топология и рассылается всем оставшимся членам стека, рекомендуется восстановить кольцо.
При отключении портов стекирования коммутаторов стек может разделиться,
в сохранившей главный коммутатор части пересчитывается и рассылается новая топология,
если в отделившейся части оказывается запасной коммутатор, то он становится главным,
иначе отщепенцы перезагружаются, проводят выборы и образуют новый стек.
При слиянии 2 стеков (в т.ч. при восстановлении после разделения) производятся выборы,
члены победившей стаи продолжают работу, другие перезагружаются и присоединяются к единому стеку как подчинённые.
При разделении стека может возникнуть неприятная ситуация двойного активного подключения,
с которой можно бороться настройкой DAD (dual-active detection, "лишняя" половина мозга перестаёт обслуживать клиентов - Recovery mode,
обслуживание возобновляется автоматически после слияния стека или по команде "dual-active restore"):
прямой через выделенное соединение
прямой через промежуточное устройство (требуется прозрачная передача BPDU)
группа портов (Eth-Trunk) к посреднику (relay agent, от него требуется поддержка сервиса DAD proxy,
2 стека могут обслуживать друг друга - должны иметь различные идентификаторы доменов)
используя порты управления (не требуется посредник, после образования стека остаётся только один интерфейс управления Meth0/0/0 с одним IP адресом),
включая прямое соединение портов управления
system-view
interface meth 0/0/0
dual-active detect enable
dual-active backup ip address адрес { маска | длина-маски } member { идентификатор | all }
quit
dual-active exclude interface 40GE1/0/6 # для клиентов, которые подключены только к одному коммутатору из стека и uplink?
commit
display dual-active
Добавление физического интерфейса в порт 1
system-view
interface 40GE1/0/6
shutdown
quit
commit
interface stack-port 1/1
port member-group interface 40GE1/0/6
quit
commit
interface 40GE1/0/6
undo shutdown
quit
commit
interface 40GE2/0/6
shutdown
quit
commit
interface stack-port 2/1
port member-group interface 40GE2/0/6
quit
commit
interface 40GE2/0/6
undo shutdown
quit
commit
display stack topology
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port1/1 40GE1/0/6 up 40GE2/0/6 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
Stack-Port2/1 40GE2/0/6 up 40GE1/0/6 up
Обновление ПО коммутаторов стека может производиться (заплатки ставятся обычной командой "patch load имя-файла all run"):
обычной перезагрузкой каждого коммутатора:
загрузить прошивку на главный
copy имя-файла all#flash:
startup system-software имя-файла all
reboot
быстрое обновление для стека из 2 коммутаторов, предполагается подключение устройств к коммутаторам стека с помощью группы портов (Eth-Trunk),
в реальности, коммутаторы обновляются по очереди, позволяя клиентам продолжать обслуживаться
загрузить прошивку на главный
copy имя-файла all#flash:
startup system-software имя-файла all
system-view
stack
[stack upgrade fast rollback-timer минут] # от 60 до 240, по умолчанию 60, display stack upgrade fast rollback-timer
stack upgrade fast # display stack upgrade status
ISSU (In-service software upgrade)
Super Virtual Fabric (SVF) - нестандартная технология, которая позволяет образовать виртуальный коммутатор
из головного коммутатора (parent) и до 24 оконечных (leaf, каждый получает уникальный идентификатор Leaf ID при подключении к порту,
интерфейсы нумеруются соответственно).
Главный коммутатор управляет виртуальным коммутатором, оконечные коммутаторы выполняют роль удалённых интерфейсных карт
(теряют интерфейс управления, не хранят настройки).
CE8860-EI не умеет SVF совсем; CE6851-48S6Q-HI/CE6855-48S6Q-HI может рулить CE5855-EI и CE6810-LI;
CE7850-32Q-EI/CE7855-32Q-EI может рулить CE5855-EI и CE6810-LI и CE6810-EI и CE5850-EI и CE6850-HI и CE6851-HI;
CE6850-HI может рулить CE6810-LI и CE6810-EI и CE5810-LI.
В качестве головного коммутатора можно использовать iStack
из 2 (и только 2, остальные не войдут в SVF) коммутаторов для увеличения надёжности,
каждый оконечный коммутатор подключается к обоим коммутаторам стека, серверы подключаются к 2 оконечным коммутаторам с использованием LACP.
Оконечные коммутаторы могут подключаться только к головным коммутаторам одного SVF.
Для одиночного коммутатора необходимо настроить домен стека.
Идентификатор члена домена д.б. меньше или равен 4.
Можно также настроить M-LAG (см. ниже) между двумя SVF системами.
Логический порт между головным и оконечным называется фабричным (fabric), идентификатор оконечного коммутатора (leaf ID) определяется портом подключения,
при изменении Leaf ID оконечный коммутатор перегружается.
Можно использовать до 8 оптических портов 10GE и 40GE (с ограничениями), нельзя использовать агрегированный из 4 10GE портов 40GE,
автосогласование может оказаться неожиданностью.
При замене оконечного коммутатора на другую модель требуется тщательная работа с конфигурацией до подключения.
Интерфейсы группы портов (Eth-Trunk) должны располагаться на головных коммутаторах или оконечных коммутаторах одной серии.
При использовании оконечного устройства CE5810 группа портов не может включать более 8 интерфейсов.
При использовании оконечного устройства CE5855 по умолчанию используются все 2 порта 40G.
При использовании оконечного устройства CE6810LI с участием модульных устройств на нём не поддерживаются подинтерфейсы L3.
При использовании оконечного устройства CE6850 по умолчанию используются все 6 портов 40G,
можно сконфигурировать (^B или ^Y при загрузке) 4 последних порта 40G, их нельзя использовать для обычных подключений.
SVF несовместим с Open System (Linux контейнеры).
Потенциальный оконечный коммутатор может работать в режиме стека (полноценный коммутатор)
или в оконечном (leaf) режиме (получает идентификатор от головного, ПО - а место есть?
после обновления перезагружается - и настройки от головного), алгоритм выбора режима:
режим задан в конфигурационном файле или в настройках BIOS - работать в указанном режиме
устройство сконфигурировано - работать в режиме стека
удалось найти свой SVF при автосогласовании - работать в оконечном режиме
перейти в ZTP (Zero Touch Provisioning) режим настройки - автоматическая настройка
После определения, что устройство работает в оконечном режиме, от главного коммутатора получаются идентификатор, настройки
и новая прошивка (при необходимости; в этом случае устройство перезагружается). Устройство пытается зарегистрироваться на главном коммутаторе
с полученным идентификатором.
Режимы коммутации пакетов в SVF (в V100R005C00 только распределённый режим):
распределённый - оконечный коммутатор сначала ищет в локальной таблице, если не нашёл, то отбрасывает L3 и широковещательно рассылает L2 по SVF
(VXLAN не поддерживается, TRILL должен поддерживаться оконечным коммутатором, не поддерживается для CE6810LI в качестве оконечных)
централизованный - оконечный коммутатор посылает весь трафик головному (CE5855EI поддерживает IPv6, NetSteam не поддерживается, sFlow только на входе,
оконечный коммутатор только как устройство доступа для TRILL)
гибридный - оконечный коммутатор заполняет ARP и MAC таблицы только для клиентских портов, широковещательный и групповой трафик посылается
головному коммутатору, обычный трафик посылается по возможности в соответствии с локальной таблицей
(CE5855EI поддерживает IPv6, VXLAN не поддерживается, NetSteam не поддерживается, sFlow только на входе,
оконечный коммутатор только как устройство доступа для TRILL)
Процедура создания SVF:
настроить iStack для головного коммутатора
при необходимости установить идентификатор домена для головного коммутатора
("system-view; stack; stack member all domain номер; commit; return; save")
при необходимости установить для головного коммутатора идентификатор коммутатора в стеке не более 4 ("system-view; stack;
stack member старый-номер renumber новый-номер [ inherit-config ]; commit; return; save"")
перезагрузиться, если меняли идентификатор домена или коммутатора
настройка фабричного порта и его составляющих (до 8 физических портов, на CE6850EI и CE6810EI порты конфигурируются четвёрками,
но не добавляются автоматически)
system-view
interface fabric-port номер-порта # от 1 до 24
port bind member идентификатор-оконечного-коммутатора # leaf ID, от 101 до 254
[description описание]
port member-group interface 40GE1/0/5 [to 40GE1/0/6] [...] # port crc-statistics trigger error-down
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=DOWN, Reason=The link protocol is down, mainIfname=40GE2/0/1)
[leaf negotiation disable] # чтобы ошибочно подключённый в порт ненастроенный коммутатор не включился в SVF
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac }] # по умолчанию src-dst-ip
quit
[
interface 40GE1/0/5
port copper mode sr4 # DAC на 40Gb ?
quit
...
]
commit
задание режима коммутации при необходимости (по умолчанию hybrid для CE6850HI/CE6850U-HI/CE6851HI/CE6855HI/CE7855EI)
ограничения на тип или серийный номер оконечных коммутаторов при необходимости
stack
leaf member идентификатор-оконечного-коммутатора type тип # в документации предлагается нажать "?"
leaf member идентификатор-оконечного-коммутатора serial-number серийный-номер
quit
commit
настройка режима на оконечном коммутаторе
новый ненастроенный коммутатор не надо настраивать (автосогласование)
кто-то успел настроить
конфигурация режима
system-view
stack
switch mode leaf member { идентификатор-оконечного-коммутатора | all }
return
reboot
в настройках BIOS (Ctrl+B при загрузке): Modify stack parameters, Modify stack configuration, Leaf mode, Return, Continue to boot
в настройках режима (Ctrl+Y при загрузке): Leaf mode (в этом же меню можно перейти в нормальный режим (Stack) или автосогласование
настройка портов на оконечном коммутаторе (на CE5850/CE5855-48T4S2Q-EI/CE6810-24S2Q-LI по умолчанию 2 40GE, можно настроить последние 4 10GE или 2 40GE;
на CE6851-48S6Q-HI по умолчанию 6 40GE, можно настроить последние 4 или 8 10GE или 4 или 6 40GE)
# можно настраивать на головном коммутаторе (можно использовать настройки BIOS или настройки режима - Continue to boot, выбор из меню)
system-view
stack
leaf uplink-port type { auto-negotiation | 4*10ge | 8*10ge | 2*40ge | 4*40ge | 6*40ge } member { идентификатор-оконечного-коммутатора | all }
commit
return
save # требуется перезагрузка оконечного коммутатора (reset slot идентификатор-оконечного-коммутатора)
подсоединение оконечного коммутатора к головному
проверка
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is plugged in
display stack
Total Spine Number : 2
Total Leaf Number : 1
--------------------------------------------------------------------------------
MemberID Role MAC Priority DeviceType Description
--------------------------------------------------------------------------------
+1 Master 6008-10b9-7730 200 CE6851-48S6Q-HI t239 rack9
2 Standby 6008-10b9-77c0 100 CE6851-48S6Q-HI t232 rack12
101 Leaf 7079-9040-0d00 N/A CE5855-48T4S2Q-EI
но что-то пошло не так
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=DOWN, Reason=Interface physical link is down, mainIfname=Fabric-Port1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is pulled out abnormally
CE6851-core %%01DEVM/1/hwBoardInvalid_active(l):CID=0x80fa0016-alarmID=0x0813002e;
The board totally failed. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
перезагрузка оконечного
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
и опять неудача, но теперь пытается восстановиться
CE6851-core %%01STACKMNG/4/hwFabricLinkProtocolAlarm_active(l):CID=0x80a22713-alarmID=0x09a2201e;
The physical status of the fabric link for the logical port is up, but the protocol status is down. (hwStackFabricPort=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=DOWN, Reason=The link protocol is down, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is pulled out abnormally.
CE6851-core %%01DEVM/1/hwBoardInvalid_clear(l):CID=0x80fa0016-alarmID=0x0813002e-clearType=service_resume;
The board resumed from total failure. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
CE6851-core %%01DEVM/1/hwBoardInvalid_active(l):CID=0x80fa0016-alarmID=0x0813002e;
The board totally failed. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=DOWN, Reason=Interface physical link is down, mainIfname=Fabric-Port1)
CE6851-core %%01STACKMNG/4/hwFabricLinkProtocolAlarm_clear(l):CID=0x80a22713-alarmID=0x09a2201e-clearType=service_resume;
The physical status and protocol status of the fabric link for the logical port are up or down at the same time. (hwStackFabricPort=Fabric-Port1)
ещё одна попытка, более удачная
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is plugged in
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fc0488;Slot 101 MPU registered successfully.
CE6851-core %%01DEVM/1/hwBoardInvalid_clear(l):CID=0x80fa0016-alarmID=0x0813002e-clearType=service_resume;
The board resumed from total failure. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
uplink на оконечном коммутаторе поднят
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE101/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE101/0/1)
подозреваю, что виноват клиент, подключённый к 40GE101/0/2 - интерфейс Down, оба порта забираются на связь с фабрикой
без клиентов удачной оказалась вторая попытка
display stack conf
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Spine Attribute Configuration:
--------------------------------------------------
MemberID Domain Priority
Oper(Conf) Oper(Conf) Oper(Conf)
--------------------------------------------------
1(1) 1000(1000) 200(200)
2(2) 1000(1000) 100(100)
--------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5
Stack-Port2/1 40GE2/0/5
Fabric-Port Configuration:
---------------------------------------------------------------------------------
Fabric-Port BindMember Ports
---------------------------------------------------------------------------------
Fabric-Port1 101 40GE2/0/1
---------------------------------------------------------------------------------
Leaf Attribute Configuration:
-------------------------------------------------
MemberID Switch Mode Uplink Port
Oper(Conf) Oper(Conf)
-------------------------------------------------
101 Leaf(Leaf) 2*40GE(2*40GE)
display stack topology link
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
----------------------------------------------------------------------------
Fabric Link:
--------------------------------------------------------------------------------
Fabric-Port Port Status Discard PeerPort PeerStatus PeerDiscard
--------------------------------------------------------------------------------
Fabric-Port1 40GE2/0/1 up 1 40GE101/0/1 up 0
display stack topology neighbor
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Fabric Topology:
------------------------------------------------------------
SpineMemberID Fabric-Port LeafMemberID Status
------------------------------------------------------------
2 Fabric-Port1 101 up
display stack troubleshooting
Total :0
display stack link-state last-down-reason
Info: The last-down-reason record does not exist.
display stack blocked-interface
подключение второго интерфейса к другому члену стека
interface fabric-port 1
port member-group interface 40GE1/0/2
пропадает и появляется
interface 40GE1/0/2
port mode stack
fabric-port 1
port crc-statistics trigger error-down
device transceiver 40GBASE-FIBER
display stack conf
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Spine Attribute Configuration:
--------------------------------------------------
MemberID Domain Priority
Oper(Conf) Oper(Conf) Oper(Conf)
--------------------------------------------------
1(1) 1000(1000) 200(200)
2(2) 1000(1000) 100(100)
--------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 40GE1/0/6
Stack-Port2/1 40GE2/0/5 40GE2/0/6
--------------------------------------------------------------------------------
Fabric-Port Configuration:
---------------------------------------------------------------------------------
Fabric-Port BindMember Ports
---------------------------------------------------------------------------------
Fabric-Port1 101 40GE1/0/2 40GE2/0/1
---------------------------------------------------------------------------------
Leaf Attribute Configuration:
-------------------------------------------------
MemberID Switch Mode Uplink Port
Oper(Conf) Oper(Conf)
-------------------------------------------------
101 Leaf(Leaf) 2*40GE(2*40GE)
-------------------------------------------------
display stack topology link
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port1/1 40GE1/0/6 up 40GE2/0/6 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
Stack-Port2/1 40GE2/0/6 up 40GE1/0/6 up
----------------------------------------------------------------------------
Fabric Link:
--------------------------------------------------------------------------------
Fabric-Port Port Status Discard PeerPort PeerStatus PeerDiscard
--------------------------------------------------------------------------------
Fabric-Port1 40GE1/0/2 up 0 40GE101/0/2 up 1
Fabric-Port1 40GE2/0/1 up 0 40GE101/0/1 up 1
--------------------------------------------------------------------------------
display stack topology neighbor
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Fabric Topology:
------------------------------------------------------------
SpineMemberID Fabric-Port LeafMemberID Status
------------------------------------------------------------
1 Fabric-Port1 101 up
2 Fabric-Port1 101 up
------------------------------------------------------------
display stack troubleshooting
Total :0
display stack link-state last-down-reason
Info: The last-down-reason record does not exist.
display stack blocked-interface
BUM: The broadcast, unknown unicast or multicast packets
Stack Blocked Interface:
-----------------------------------------------------------------
Status Block
Interface Physical Protocol MemberID Direction Packet-Type
-----------------------------------------------------------------
-----------------------------------------------------------------
Fabric Blocked Interface:
-----------------------------------------------------------------
Status Block
Interface Physical Protocol MemberID Direction Packet-Type
-----------------------------------------------------------------
40GE1/0/2 up up ALL egress BUM
-----------------------------------------------------------------
описание оконечного коммутатора: "stack; leaf member идентификатор description описание"
При слиянии головных коммутаторов в iStack их SVF также сливаются (с ограничениями, предварительно сконфигурировать).
При разделении iStack его SVF тоже делится (с особенностями и с учётом DAD, рекомендуется DAD на портах головных коммутаторов).
Обновление ПО коммутаторов SVF может производиться (?заплатки ставятся обычной командой "patch load имя-файла all run"):
обычной перезагрузкой каждого коммутатора:
загрузить прошивку на главный
copy имя-файла all#flash:
startup system-software имя-файла all
reboot (не закрывайте окно пока ПО не разойдётся по всем оконечным устройствам,
иначе они будут перезагружаться бесконечно)
быстрое обновление (версия от V200R001C00); требуется 2 головных коммутатора, все оконечные коммутаторы должны быть подключены к 2 головным коммутаторам,
сервера к 2 оконечным коммутаторам из разных групп (см. ниже);
в реальности, коммутаторы обновляются по очереди, позволяя клиентам продолжать обслуживаться
вручную поделить на 2 группы - главный головной и часть оконечных, запасной головной и остальные оконечные (группа запасного обновляется первой):
stack upgrade fast номер-группы [add | delete ] member идентификатор-оконечного1 [to идентификатор-оконечного2] ...
display stack upgrade fast group номер-группы
# reset stack upgrade fast group {номер-группы | all}
загрузить прошивку на главный
copy имя-файла all#flash:
startup system-software имя-файла all
system-view
stack
[stack upgrade fast rollback-timer минут] # от 60 до 240, по умолчанию 60, display stack upgrade fast rollback-timer
stack upgrade fast # display stack upgrade status (не закрывайте окно пока ПО не разойдётся по всем оконечным устройствам,
иначе они будут перезагружаться бесконечно)
ISSU (In-service software upgrade), требуется 2 головных коммутатора, все оконечные коммутаторы должны быть подключены к 2 головным коммутаторам
ISSU (In-Service Software Upgrade) - механизм поочерёдного обновления прошивки стека или SVF - сначала обновляется
запасной коммутатор, затем запасной и главный меняются ролями, подчинённые коммутаторы обновляются по очереди,
в последнюю очередь обновляется бывший главный коммутатор. Возможен откат всего стека на предыдущую версию при неудаче,
по истечению времени, вручную ("issu abort"). Несовместим с M-LAG, FCoE, DCB, Open System, TRILL active-active,
удалённое зеркалирование портов. Предварительно необходимо загрузить новую прошивку на все коммутаторы (кроме оконечных в SVF).
Если в стеке более 2 устройств, то необходимо использовать топологию кольцо.
Для обеспечения непрерывности коммутации все "низшие" устройства должны подключаться 2 каналами к "высшим".
ISSU автоматически распределяет оконечные коммутаторы по группам, это распределение можно посмотреть ("display issu group")
и изменить ("issu group номер add slot идентификатор"). Процедура:
Check Date : 2020/12/04 21:23:59
Check Result : failure
Base package : CE6851HI-V200R001C00SPC700.cc
Upgrade package : CE6851HI-V200R005C10SPC800.cc
Base patch : CE6851HI-V200R001SPH025.PAT
Upgrade patch : CE6851HI-V200R005SPH025.PAT
Base paf : default
Upgrade paf : default
Failure Reason :
Error: The current system software version is not in the paths of upgrading to the upgrade system software, the path list is below, please check it.
V200R003C00SPC810 supportMode: group-reset
V200R005C00SPC800 supportMode: group-reset
Error: The operation of checking the upgrade system software and upgrade patch consistency failed.
display issu check-result
issu start имя-файла-CC [ patch имя-файла ] # автоматическое обновление, также имеется ручной вариант
display issu state # дожидаемся завершения
display issu report # проверяем результат
Технология VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик:
каждая VLAN - отдельный широковещательный домен, прямой обмен данными между узлами из разных VLAN невозможен.
Один узел может входить в состав нескольких VLAN.
VLAN может быть:
[локальной в рамкой одного коммутатора] без использования дополнительных заголовков кадров (untagged frame)
[глобальной между коммутаторами LAN] с использованием стандарта IEEE 802.1q (tagged frame), в котором определяется дополнительный 2-байтный заголовок
(содержит также информацию о приоритете кадра согласно IEEE 802.1p - PRI, 3 бита), вставляемый перед полем данных и
содержащий 12-битный идентификатор VLAN (VID 0 и 4095 зарезервированы, по умолчанию зарезервированы также с 4064 по 4094 для внутренних целей,
"vlan reserved номер" - резервирует 31 VLAN, начиная с указанной, требуется перезагрузка; "display vlan reserved");
устройство, не поддерживающее IEEE 802.1q, будет игнорировать кадры с непонятным типом TPID (ещё 2 байта, таким образом
максимальная длина стандартного кадра увеличивается с 1518 до 1522 байт)
VLAN 1 всегда существует, её нельзя удалить или настроить как mVLAN или super-VLAN.
По умолчанию всем интерфейсам разрешено работать с VLAN 1, и она же установлена как VLAN по умолчанию.
VLAN использует тот же пул ресурсов, что и GRE, маршрутизация.
Команды:
создание vlan и/или вход в область настройки VLAN: "vlan номер" или "vlan batch номер [to номер] ..."
добавление интерфейса в VLAN и назначение этой VLAN по умолчанию в области VLAN: "port тип-интерфейса номер-интерфейса [to номер-интерфейса] ..."
(аналогично в область интерфейса: "port default vlan номер-VLAN")
удаление (вместе с сервисами и зависимыми настройками): "undo vlan номер" или "undo vlan vlan-name имя" или "undo vlan batch номер [to номер] ..."
(предварительно удалить VLANIF: "undo interface vlanif номер-VLAN", таблицу mac-vlan: "undo mac-vlan mac-address { all | MAC-адрес }")
настройка имени VLAN в области VLAN: "name имя", удаление имени: "undo name", использование: "vlan vlan-name имя"
настройка описания VLAN в области VLAN: "description текст", удаление описания: "undo description"
посмотреть общее состояние с VLAN: "display vlan summary"
посмотреть настройки и состояние конкретной VLAN: "display vlan [ номер-VLAN [ verbose ] ] "
включить сбор статистики трафика интерфейсов VLAN (потребляет много ресурсов, выключено по умолчанию,
не все модели могут совмещать со сбором статистики VLANIF) в области VLAN: "statistics enable"
в случае проблем полезно посмотреть все параметры интерфейса: "display current-configuration interface 4x10GE2/0/45 include-default"
подслушивание (snooping) некоторых типов протоколов (ARP, DHCP, IGMP) производится независимо от их идентификатора VLAN средствами
небыстрого ЦП, после чего передача пакета дальше производится также программным способом;
рекомендуется настроить прозрачную передачу пакетов протоколов ARP, BFD, DHCP, DHCPV6, IGMP, MLD, ND, PIM, PIMv6, PPPoE и TACACS для тех VLAN,
где эта обработка заведомо не потребуется; область настройки VLAN: "protocol-transparent"; по умолчанию выключено
Внутри коммутатора все кадры имеют этикетку. Входящие кадры с этикеткой не изменяются.
Для входящих кадров без этикетки присваивается идентификатор VLAN одним из способов (можно указать несколько способов в убывающем порядке):
MAC адресу может быть приписана VLAN по умолчанию (только одна, только гибридный порт);
несовместимо с port security или ограничением числа MAC адресов на интерфейсе;
необходимо заранее заполнить таблицу в области VLAN: "mac-vlan mac-address MAC-адрес [ priority от0до7 ]"
(по умолчанию приоритет 0, 7 - высший приоритет; учитываются также "trust 8021p ..." и "trust upstream ...")
или почистить: "undo mac-vlan mac-address { all | MAC-адрес }" или посмотреть "display mac-vlan mac-address all",
затем включить способ в области интерфейса: "mac-vlan enable";
местами (query) предупреждается, что mac-vlan несовместим с SVF, работает, но со странностями
IP подсети может быть приписана VLAN по умолчанию (только одна); только гибридный порт;
не поддерживается CE6810LI (а как лист SVF?);
количество подсетей ограничено на VLAN (до 12) и устройство (CE6870EI - 16, CE5810EI - 256, остальные - 512);
идентификатор VLAN определяется по исходящему IP адресу а что будет с кадрами не IP, с груповыми адресами?;
необходимо заранее заполнить таблицу в области VLAN (групповые адреса указать нельзя):
"ip-subnet-vlan [индекс-подсети] ip IP-адрес { маска | длина-маски } [ priority от0до7 ]"
(по умолчанию приоритет 0, 7 - высший приоритет; учитываются также "trust 8021p ..." и "trust upstream ...")
или почистить: "undo ip-subnet-vlan индекс-подсети [to индекс-подсети] | all }" или посмотреть "display ip-subnet-vlan vlan all",
затем включить способ в области интерфейса: "ip-subnet-vlan enable";
можно повысить приоритет способа над MAC в области интерфейса: "vlan precedence { ip-subnet-vlan | mac-vlan }"
идентификатор VLAN определяется по протоколу; только гибридный порт;
не поддерживается CE6810LI (а как лист SVF?);
необходимо заранее заполнить таблицу в области VLAN (до 16):
"protocol-vlan [индекс] {ipv4 | ipv6 | at | ipx ...|
mode {ethernetii-etype тип-протокола | llc dsap тип-DSAP ssap тип-SSAP | snap-etype тип-протокола} }"
или почистить: "undo protocol-vlan { all | индекс [ to индекс ] }" или посмотреть "display protocol-vlan vlan { all | номер [ to номер ] }"
или "display protocol-vlan interface { all | тип-интерфейса номер-интерфейса }",
затем включить способ в области интерфейса (этот способ можно ограничить конкретным VLAN и протоколом):
"protocol-vlan vlan номер-VLAN { all | индекс-протокола [to индекс-протокола ] [ priority от0до7 ]"
(по умолчанию приоритет 0, 7 - высший приоритет; учитываются также "trust 8021p ..." и "trust upstream ...")
порту (интерфейсу) может быть приписана VLAN по умолчанию (PVID, port VLAN ID):
"область интерфейса: "port default vlan номер-VLAN", по умолчанию - 1, нельзя назначить super-VLAN или гостевую";
проблемы при смене розетки;
Порты (интерфейсы?) разделяются на типы, влияющие на приём, обработку и передачу
(область интерфейса: "port link-type { access | hybrid | trunk | dot1q-tunnel }";
при изменении типа настройки VLAN для интерфейса сбрасываются;
биты 802.1p для вставляемых этикеток определяются настройкой "port priority от0до7", по умолчанию 0, 7 - высший приоритет;
учитываются также "trust 8021p ..." и "trust upstream ..."):
порт доступа (access, "port link-type access", по умолчанию) -
подключён к соединению доступа (обычный сервер или ПК не знает в какую VLAN он входит и не умеет обрабатывать кадры с этикетками VLAN);
получив кадр без этикетки коммутатор должен выяснить идентификатор VLAN (интерфейс) и добавить этикетку;
обрабатывает кадр с этикеткой, если она соответствует идентификатору VLAN по умолчанию, и выкидывает кадр в противном случае;
удаляет этикетку перед передачей кадра
магистральные (trunk, "port link-type trunk") порт - подключён к магистральному соединению (передаются только кадры с этикетками?);
получив кадр без этикетки коммутатор должен выяснить идентификатор VLAN (интерфейс) и добавить этикетку
(область интерфейса: "port trunk pvid vlan номер"; не добавляет VLAN в список разрешённых для интерфейса);
обрабатывает кадр с этикеткой, если идентификатор VLAN разрешён, и выкидывает кадр в противном случае
(область интерфейса: "port trunk allow-pass vlan {{ номер [to номер] }... | all}");
проверяет право на передачу кадра с идентификатором VLAN;
удаляет этикетку перед передачей кадра, если идентификатор VLAN соответствует VLAN ID по умолчанию
(область интерфейса: "port trunk pvid vlan номер"; не добавляет VLAN в список разрешённых для интерфейса)
гибридный (hybrid, "port link-type hybrid") порт - может быть подключён как к соединению доступа, так и к магистральному соединению;
получив кадр без этикетки коммутатор должен выяснить идентификатор VLAN (интерфейс, MAC, IP, протокол) и добавить этикетку
по интерфейсу (область интерфейса: "port hybrid pvid vlan номер"; не добавляет VLAN в список разрешённых для интерфейса) или MAC или IP или протокол;
обрабатывает кадр с этикеткой, если идентификатор VLAN разрешён, и выкидывает кадр в противном случае (см. ниже port hybrid tagged/untagged);
проверяет право на передачу кадра с идентификатором VLAN (см. ниже port hybrid tagged/untagged);
можно настроить на передачу кадров с этикетками (не для MAC или IP) или без оных
(область интерфейса: "port hybrid tagged vlan {{ номер [to номер] }... | all}"
или "port hybrid untagged vlan {{ номер [to номер] }... | all}", но не одновременно);
по умолчанию, установлен "port hybrid untagged vlan 1"
порт QinQ ("port link-type dot1q-tunnel") - добавляет к кадрам с одной этикеткой (inner, private)
дополнительную этикетку (outer, public) с идентификатором VLAN
по умолчанию (область интерфейса: "port default vlan номер-VLAN", по умолчанию - 1), ещё 4 байта;
удаляет этикетку перед передачей кадра
Можно запретить получение кадров с этикетками (по умолчанию разрешено) на интерфейсе (не для QinQ),
область интерфейса: "port discard tagged-packet".
В случае хеш коллизий таблицы VLAN-XLATE (что это? как узнать?) можно изменить алгоритм хеширования (по умолчанию crc32-lower)
на входе (ingress) или выходе (egress): "assign forward vlan-xlate { egress | ingress } hash { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb }"
(требуется перезагрузка) и "display forward vlan-xlate hash mode".
Так как прямой обмен данными между узлами из разных VLAN невозможен, то предлагаются варианты организации обмена:
на этом коммутаторе для каждого VLAN настроить VLANIF интерфейс (L3, свой IP, свой MAC), настройка этих IP адресов в качестве шлюза на всех клиентах:
создать VLANIF: "interface vlanif номер-VLAN";
после настройки VLANIF VLAN нельзя использовать как sub-VLAN и Principal VLAN
добавить описание, область интерфейса: "description описание"
добавить IP-адрес, область интерфейса: "ip address IP-адрес { сетевая-маска | длина-сетевой-маски } [ sub ]" #
повторное задание основного адреса замещает первоначальный; sub - дополнительный адрес (до 255), только после основного;
адреса интерфейсов (включая meth) должны быть из разных сетей
удалить IP-адрес, область интерфейса: "undo ip address IP-адрес { сетевая-маска | длина-сетевой-маски } [ sub ]";
перед удалением основного адреса необходимо удалить все дополнительные
установить MTU (по умолчанию 1500), область интерфейса: "mtu от46до9216"
установить формальную ширину интерфейса, область интерфейса: "bandwidth мегабит"
вывести информацию о VLANIF: "display interface vlanif [номер-VLAN | main]"
по умолчанию VLAIF поднимается автоматически, если есть хоть 1 поднятый интерфейс в этой VLAN, можно отменить это поведение:
"set shutdown default vlanif"
остановить VLANIF, область интерфейса: "shutdown"
чтобы VLANIF не ложился сразу после падения последнего включающего эту VLAN интерфейса можно настроить задержку (VLAN damping, по умолчанию - 0):
"damping time до20секунд"
можно включить статистику не более чем на 100 VLANIF (выключено по умолчанию),
используются ресурсы ACL, не поддерживается на CE6810LI, недоступно для super-VLAN и MUX VLAN, множество других "особенностей",
область интерфейса: "statistics enable";
всё время показывает нули
внешний коммутатор на уровне 3 в качестве такого маршрутизатора с настройкой на нём подинтерфейсов (свой MAC) и IP адресов для каждой VLAN,
настройка интерфейса для этих подинтерфейсов в режиме trunk или hybrid,
настройка этих IP адресов в качестве шлюза на всех клиентах;
не поддерживается CE6810LI (поддерживает будучи листом SVF из фиксированных коммутаторов);
в области интерфейса: "undo portswitch", затем создать подинтерфейс "interface тип-интерфейса номер-интерфейса.номер-подинтерфейса",
задать IP-адрес и прочие параметры подинтерфейса, указать какую VLAN терминировать на этот подинтерфейс (д.б. взаимнооднозначное соответствие
между подинтерфейсами физического интерфейса и VLAN): "dot1q termination vid номер-VLAN";
внешний маршрутизатор, который может быть подключен через один интерфейс сразу в несколько VLAN ("однорукий" маршрутизатор)
VLANIF с IP адресом управления можно также использовать для доступа к управлению коммутатором вместо или в дополнение к meth.
Для ограничения доступа к IP управления с интерфейсов доступа и dot1q туннелей можно объявить mVLAN (management VLAN), к такой VLAN
можно добавлять интерфейсы только типов trunk и hybrid, VLAN 1 не м.б. mVLAN:
область VLAN: "management-vlan"
Тем, кому жалко IP адресов, предлагается съэкономить их с помощью агрегации VLAN
- служебная super-VLAN без физического порта со шлюзом VLANIF на уровне 3 (нет статистики) и рабочие sub-VLAN на уровне 2 без шлюза
разделяют общую IP подсеть и общий широковещательный IP адрес. Требуется Proxy ARP на VLANIF super-VLAN.
Рабочая sub-VLAN может быть связана только с 1 super-VLAN.
Тем, кому жалко идентификаторов VLAN на совсем изолированные сервера, предлагается съэкономить их с помощью
технологии Multiplex VLAN (MUX VLAN). Несовместимо с ограничением числа MAC адресов на интерфейсе, port security, VBST.
Нет статистики VLANIF.
Порты делятся на:
principal (Principal VLAN) - может обмениваться данными со всеми портами MUX VLAN; не может участвовать в VLAN mapping или
VLAN stacking, быть super-VLAN или sub-VLAN
separate (Separate VLAN из Subordinate VLAN) - может обмениваться данными только с principal;
не может быть использована в VLAN mapping или VLAN stacking, быть super-VLAN или sub-VLAN, иметь VLANIF
group (Group VLAN из Subordinate VLAN) - может обмениваться данными только с principal и портами из своей Group VLAN,
порт доступа может входить только в 1 группу, магистральный и гибридный порты могут входить в 32 группы;
не может быть использована в VLAN mapping или VLAN stacking, быть super-VLAN или sub-VLAN, иметь VLANIF
trunk и VLAN в сборе, включая доступ к другим коммутаторам:
vlan batch 2 to 6
dhcp enable
dhcp relay server group имя-группы
server адрес-DHCP-сервера-VLAN1 0
vlan 1
description legacy
name legacy
vlan 2
description service
name service
mac-vlan mac-address ...
vlan 3
description grid
name grid
mac-vlan mac-address ...
vlan 4
description users
name users
interface Vlanif1
description legacy
ip address адрес маска
interface Vlanif2
description service
ip address адрес маска
dhcp select relay
dhcp relay binding server group имя-группы
interface Vlanif3
mtu 9216
description grid
ip address адрес маска
dhcp select relay
dhcp relay binding server group имя-группы
interface Vlanif4
description users
ip address адрес маска
interface Eth-Trunk1
description link to switch1
port link-type hybrid
port hybrid tagged vlan 2 to 4
mode lacp-static
interface Eth-Trunk1
description link to switch2
...
interface Eth-Trunk5
description link to сервер1
port link-type hybrid
undo port hybrid untagged vlan 1
port hybrid untagged vlan 2 to 3
mac-vlan enable
interface Eth-Trunk6
description link to сервер2
...
interface GE101/0/1
description link to BMC1
port link-type hybrid
undo port hybrid untagged vlan 1
port hybrid untagged vlan 2 to 3
mac-vlan enable
...
interface GE101/0/46
eth-trunk 5
interface GE101/0/48
eth-trunk 5
...
interface 10GE1/0/1
eth-trunk 1
device transceiver 10GBASE-FIBER
interface 10GE1/0/2
eth-trunk 1
device transceiver 10GBASE-FIBER
interface 10GE2/0/1
eth-trunk 1
device transceiver 10GBASE-FIBER
interface 10GE2/0/2
eth-trunk 1
device transceiver 10GBASE-FIBER
...
QinQ.
VLAN mapping.
GVRP.
802.1x.
ACL: определение и использование.
Защита от специфических атак, включая атаки на само устройство, ограничение трафика, блокировка интефейса.
LLDP.
STP, RSTP, MSTP, VBST, защита корня, фильтрация.
ARP: статические, динамические, VLAN, Gratuitous ARP, Proxy ARP.
Извлечение информации из ARP пакетов (используется ЦП), DAI (dynamic ARP inspection), противодействие подставным пакетам ARP,
ограничение потока ARP запросов.
Устройство работает с DHCP: сервер, relay, подслушивание (используется ЦП)
- извлечение информации из пакетов DHCP, ведение таблицы соответствия IP и MAC, предотвращение подмены DHCP пакетов и DHCP атак.
Сервер DHCP (оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP сервера с непересекающимися пулами адресов).
Последовательность поиска IP адреса для выделения клиенту:
IP адрес в базе данных сервера привязан к MAC адресу клиента
IP адрес был ранее выдан клиенту (указан в пакете Discover)
IP адрес найден в пуле адресов
IP адрес найден среди истёкших и конфликтных адресов
Для настройки посредника DHCP (relay agent, оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP посредника)
необходимо иметь работающие и настроенные DHCP сервера и маршруты к ним, настроить описание используемых групп DHCP серверов,
привязать группы к интерфейсам (если сервер всего 1, то можно привязать сразу):
system-view
dhcp enable # без этого никакие DHCP функции не работают
dhcp relay server group имя-группы; server IP-адрес [индекс]; ...; [gateway IP-адрес;] [vpn-instance имя;] quit
# до 256 групп, до 20 серверов в группе, шлюз указывать не надо
interface тип номер
[undo portswitch # перевести интерфейс в режим маршрутизации, L3]
[ip address адрес маска # задать IP адрес интерфейса]
dhcp select relay
dhcp relay binding server ip IP-адрес [ vpn-instance имя | public-net ]; dhcp relay gateway IP-адрес
# сразу привязать к серверу без описания групп, можно до 20 серверов
dhcp relay binding server group имя-группы # привязать к группе, 1 группа на интерфейс, много интерфейсов на группу
BFD (Bidirectional Forwarding Detection) - быстрое обнаружение проблем, BFD и группа портов.
VRRP - протокол виртуального шлюза для борьбы с отказами шлюза.
DLDP - обнаружение однонаправленных соединений (оборванные или перепутанные оптические волокна).
Smart Link - резервное соединение (упрощённый до предела STP, но быстрый).
QoS: классификация и маркировка, ограничение трафика, перемаркировка, права доступа, перенаправление, управление очередями,
WRED и прочие попытки предотвращения перегрузки, ограничение исходящего трафика.
MMF (MAC-Forced Forwarding) - изоляция пользователей на уровне 2 и возможность соединения между пользователями на уровне 3.
Перехватывает запросы ARP от пользователя и подсовывает ответы ARP со своим MAC адресом.
IPSG - предотвращение подделки исходных IP адресов (проверка соответствия IP, MAC, интерфейса и VLAN таблице от DHCP).
URPF (Unicast Reverse Path Forwarding) - проверка исходящего IP адреса в таблице FIB (Forwarding Information Base).
Зеркалирование портов и трафика.
observe-port 1 interface GE101/0/1 # где будем смотреть
interface GE101/0/2 # что будем смотреть
port-mirroring observe-port 1 both
Подерживается мониторинг и управление с помощью протокола SNMP версий 1, 2c и 3.
На каждую версию свой агент, который выключен по умолчанию. У агента версии 3 по умолчанию выключены аутентификация и шифрование.
Команды управления агентами SNMP:
snmp-agent # без параметров и с любыми параметрами - включить агента
snmp-agent udp-port 161
snmp-agent sys-info version {v1 | v2c | v3} [disable] # не undo!
snmp-agent community complexity-check disable
snmp-agent password min-length 8
snmp-agent community {read | write} [cipher] имя [ mib-view имя | acl { номер | имя }] [alias описание-имени] # имя хранится зашифрованным,
описание - нет
snmp-agent protocol source-interface тип номер # по умолчанию пакеты принимаются на всех интерфейсах
snmp-agent protocol [ ipv6 ] { vpn-instance vpn-instance-name | public-net } # по умолчанию из публичной сети
snmp-agent protocol get-bulk timeout 2s # сколько времени коммутатор может собирать информацию для ответа
snmp-agent sys-info { contact кто | location где }
snmp-agent packet max-size 12000
snmp-agent packet-priority { snmp | trap } 6
undo snmp-agent blacklist ip-block disable # по умолчанию блокировка на 8 сек, затем 16 сек, 32 сек и 5 минут
snmp-agent mib-view { excluded | included } имя-вида OID # описать вид, можно несколько команд для одного вида с разными OID;
Viewdefault включает 1.3.6.1 (internet), кроме snmpCommunityMIB, snmpUsmMIB, snmpVacmMIB
snmp-agent sys-info version v2c
snmp-agent sys-info version v3 disable
snmp-agent community complexity-check disable
snmp-agent community read public
snmp-agent community write cipher ...
snmp-agent sys-info contact кто
snmp-agent sys-info location где
commit
Полный обход snmpwalk выдаёт 183105 OID и занимает около часа (SVF из 10 коммутаторов).
Из интересного:
мониторинг блоков управления (модули ENTITY-MIB, HUAWEI-ENTITY-EXTENT-MIB), сделал мониторинг entPhysicalDescr, entPhysicalSerialNum,
hwEntityCpuUsage (триггер), hwEntityMemUsage (триггер), hwEntityUpTime (триггер), hwEntityTemperature (триггер),
hwEntityFaultLight (триггер); мониторинг вентиляторов и БП не делал (см. ниже), каждый блок управления имеет индекс в таблице
(16842753 (0x1010001) - главный коммутатор стека, 16908289 (0x1020001) - резервный коммутатор стека,
23396353 (0x1650001) - слот SVF 101, 23461889 (0x1660001) - слот SVF 102 и т.д.), в той же таблице описаны БП, вентиляторы и даже трансиверы:
entPhysicalDescr = "Assembling Components,CE7800,CE7855-EI-F-B0A ..." или "Assembling Components,Fan box(HA,Front to Back,FAN panel side intake),FAN-40HA-F ..." или "Function Module,AC PSU,PAC-600WA-F ..." или "Basic Configuration,CloudEngine 5800,CE5855-EI-F-B00 ..." или "10300Mb/sec-850nm-LC-30"
entPhysicalClass = module(9) или fan(7) или powerSupply(6) и т.д.
entPhysicalName = CE7855-32Q-EI или FAN 1/1
entPhysicalSerialNum
hwEntityCpuUsage = процентов
hwEntityMemUsage = процентов
hwEntityUpTime = тиков
hwEntityTemperature = градусов Цельсия
hwEntityFaultLight = normal(2)
hwEntityBoardType = CE7855-EI-F-B0A или FAN-40HA-F
hwEntityIssueNum
мониторинг оптических трансиверов (модули ENTITY-MIB, HUAWEI-ENTITY-EXTENT-MIB), сделал мониторинг для внешних линий и линий стека entPhysicalDescr,
entPhysicalName, hwEntityOperStatus (триггер), hwEntityOpticalTemperature, hwEntityOpticalVoltage,
hwEntityOpticalBiasCurrent (для 40 Gb нужно hwEntityOpticalLaneBiasCurrent), hwEntityOpticalRxPower (для 40 Gb нужно hwEntityOpticalLaneRxPower),
hwEntityOpticalTxPower (для 40 Gb нужно hwEntityOpticalLaneTxPower):
Определение маршрута (не поддерживается в CE6810 и CE5855).
TRILL (Transparent Interconnection of Lots of Links) - стандарт IETF, который использует
для построения сети уровня 2 развитие протокола маршрутизации сети уровня 3 IS-IS (RFC 6329), а именно
SPB (Shortest Path Bridging, IEEE 802.1aq) и расширение ECMP (Equal Cost Multiple Paths, 802.1Qbp).
SPB является современной альтернативой старому семейству протоколов,
основанных на остовном дереве (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP),
которые умеют использовать только один маршрут пересылки трафика к корневому коммутатору (root bridge)
и блокируют любые альтернативные пути, так как это может привести к образованию сетевой петли на 2-м уровне.
На границе домена TRILL определяется идентификатор коммутатора выхода из домена TRILL,
пакеты инкапсулируются либо с помощью механизма MAC-in-MAC
(SPBM, Individual Service ID - I-SID, IEEE 802.1ah, где требуется полная изоляция
клиентских VLAN и их MAC адресов) или тэгированных кадров 802.1Q/802.1ad (SPBV, VID - VLAN ID,
обратная совместимость с STP/MSTP, 802.1aq, на границе домена TRILL для Service ID (ISID) назначается VID,
которому соответствует ровно 1 набор кратчайших путей) и транспортируются к точке выхода внутри домена TRILL в соответствии с SPB/ECMP.
В заголовке имеется счётчик прыжков (по аналогии с TTL TCP/IP), который позволяет избегать бесконечных циклов.
На выходе оверлейный заголовок убирается из пакета.
Cisco FabricPath - аналогичная технология, несовместима со стандартом.
Архитектура TRILL:
Router bridge (RB) - коммутатор L2, выполняющий TRILL, должен иметь уникальное имя (nickname):
ingress RB - принимает пакеты на входе в домен TRILL
transit RB - промежуточные узлы
egress RB - выдаёт пакеты на выходе
DRB (designated routing bridge) - транзитный (?) RB, который синхронизирует LSDB (link state databases) для своей VLAN, выбирает DVLAN и AF
CE VLAN (Customer Edge VLAN) - настраивается на граничном TRILL устройстве
AF (appointed forwarder) для CE VLAN - RB, выбранный для передачи пользовательского трафика из CE VLAN, ingress/egress,
не AF может быть только транзитным
Admin VLAN - специальная CE VLAN для передачи трафика управления сетью (требуется для ассоциации с STP/RSTP/MSTP)
Carrier VLAN - VLAN для передачи пакетов управления и данных TRILL, не более 3 на RB, на входе пакеты Ethernet инкапсулируются
в пакеты TRILL в Carrier VLAN
DVLAN (Designated VLAN) - выбранная для работы Carrier VLAN, остальные резервируются для слияния/разлияния TRILL доменов
Trunk interfaces - соединяет TRILL коммутаторы и передаёт TRILL данные
Access interfaces - передаёт кадры Ethernet
Hybrid interfaces - передаёт кадры Ethernet по умолчанию
P2P port (по умолчанию) - специальный Trunk, не участвуют в выборах DRB
NET (network entity titles) - описание элемента сети, включая Area ID (всегда 00), System ID (по умолчанию MAC),
SEL (NSAP Selector, всегда 00)
Ограничения TRILL (несколько страниц):
TRILL несовместим с VXLAN и EVN (?) - используют одни и те же ресурсы микросхемы
TRILL Gateway (проброс IP трафика через TRILL домен) отсутствует в CE5855
multicast не на полной скорости, необходимо составить согласованный план отображения IP адресов на MAC
все устройства в составе SVF должны поддерживать TRILL (и масса других ограничений)
NetStream и sFlow не обслуживают TRILL
MPLS и TRILL несовместимы на интерфейсе
VBST несовместим
ассоциация TRILL и STP/RSTP/MSTP конфликтует с доступом к TRILL через M-LAG;
ассоциация TRILL и STP/RSTP/MSTP необходима при подключении построенной на MSTP сети к построенной на TRILL сети несколькими интерфейсами,
M-LAG для той же цели - зачем им быть одновременно;
при использовании M-LAG оба RB из системы M-LAG задействуют одинаковый псевдо nickname (и свой собственный для пользовательских устройств,
подключённых без использования M-LAG)
hybrid в стеке "не рекомендуется"
что у нас с Jumbo-кадрами?
Базовые команды TRILL:
trill # включить на всём коммутаторе
carrier-vlan номер # она же станет DVLAN
port-mode { access | hybrid | p2p | trunk} # по умолчанию p2p, на границе д.б. access или hybrid, внутри trunk
ce-vlan { номер1 [ to номер2 ] } # пользовательский VLAN на границе домена TRILL
admin-vlan номер # VLAN на границе, чтобы иметь возможность заходить из пользовательской сети (CE) на коммутатор TRILL;
также надо зайти на "interface vlanif" и задать IP адрес
VXLAN (Virtual Extensible LAN) инкапсулирует кадры Ethernet в пакеты UDP (порт 4789), что позволяет связать L2 сегменты
через IP сеть. Поддержка VXLAN в транспортной сети не требуется, только на пограничных устройствах, пограничным устройством может быть
виртуальный коммутатор, работающий на хосте. И зачем здесь специальные коммутаторы с лицензией за специальную цену?
Для заполнения таблицы MAC адресов используется multicast, что вызывает множество проблем, или внешние средства наполнения этой таблицы.
VRP работает в контейнере в ОС Linux, рядом с ней можно запустить контейнер Open System (нужен отдельный IP адрес),
содержащий агента Puppet, агента OpenFlow, сервер OMI (Netconf?) и OVSDB (?). Open System загружает файловую систему sqfs (файлы .sqfs,
https://github.com/HuaweiSwitch), использует виртуальную сеть для взаимодействия с контейнером VRP,
можно запускать скрипты и программы.
Не поддерживается в CE6810 и CE58xx.
Несовместимо со стеком и SVF.
Для V200R002C20 и выше требуется дополнение.
Allied Telesyn AT-8124XL (V2)
представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.5Mpps,
store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX)
с автоматическим согласованием скорости и режима дуплекса,
возможностью вручную отключить доступ к порту, задать его скорость и
режим дуплекса, включить управление потоком (методом обратного давления
для полудуплекса или 802.3x для дуплекса).
Имеются индикаторы скорости и режима дуплекса для каждого порта,
наличие подключенного к порту устройства, его скорость, MAC адрес порта
можно проверить средствами удаленного управления.
Один порт может быть переключен кнопкой из режима MDI-X в MDI.
4 MB DRAM (до 8192 MAC адресов, 2 MB под буфер).
Поддерживает алгоритм покрывающего дерева STA (802.1D), по умолчанию -
выключен (включение делает устройство временно недоступным),
позволяет задавать приоритет коммутатора (используется для
определения корня), интервал между пакетами, время устаревания информации,
время задержки перед переходом к новому дереву. Есть возможность посмотреть
идентификатор корня, корневой порт и расстояние до корня. Для каждого порта
можно установить приоритет и расстояние (cost),
используемые в STA (но не для 802.1p!).
Поддержка 4 очередей с приоритетами, приоритетов на основе портов нет,
имеется возможность задать соответствие приоритета 802.1p входящих
пакетов (0 - низший, 7 - высший) номеру очереди (3 - низший, 0 - высший).
Включение QoS отключает управление потоком на всех портах.
До 64 VLAN на основе меток 802.1Q и/или портов. Конфигурировать VLAN можно
только через RS-232: чтобы добавить порт в новую VLAN, его надо удалить
из Default VLAN, а редактировать можно только отключенные VLAN,
а отключение Default VLAN остановит всю сетку.
При создании каждой VLAN назначается идентификатор (VID, 1-4094) и имя
(для красоты, до 32 символов).
Также для каждого порта указывается, принадлежит ли он данной VLAN и тип
порта (с метками или без). Порт без меток может принадлежать только одной VLAN.
Порт может быть определен как порт без меток для одной VLAN и как порт с метками
для нескольких других VLAN.
Каждому порту назначается PVID (Port VLAN Identifier).
PVID порта без меток должет совпадать с его VLAN.
При получении кадра без метки 802.1Q,
коммутатор назначает ему VLAN исходя из PVID
порта и посылает (может быть) только на порты, входящие в данную VLAN.
При получении кадра с меткой 802.1Q коммутатор выбрасывает его, если порт
не принадлежит указанной в кадре VLAN и включена Ingress фильтрация,
иначе кадр посылается (может быть) только на порты, входящие в указанные VLAN.
Перед отправкой кадра в порт без меток, метка удаляется.
Подключенное к порту с метками устройство должно уметь принимать кадры
с метками и должно отправлять кадры с метками.
Имеется возможность включить "подглядывание" за пакетами протоколов IGMP
и DVMRIP, а также задать время старения полученной информации.
Пакеты с групповым IP адресом получателя будут передаваться только на
необходимые порты. Можно также посмотреть таблицу соответствия
групповых IP адресов и портов, к которым подключены члены группы.
Агрегирование до 4 портов на транк и до 4 транков. Есть физические ограничения
на принадлежность портов к одному транку (разночтения в документации).
Все порты одного транка должны принадлежать одной VLAN. Все порты транка
будут 100 Mb, полный дуплекс с управлением потоком. Протокол транкинга
(свой или 802.3ad) неизвестен.
Последняя версия firmware AT-S30 1.0.4 (MIB заменили на собственный).
Загрузка новых версий по TFTP
(задается IP адрес и имя файла до 30 символов).
Возможна удаленная перезагрузка с сохранением текущих параметров, с
возвратом к фабричным значениям и с возвратом к фабричным значениям, кроме IP.
Управляется по RS-232 (я соединяю его с AUX на Cisco 2500 и захожу обратным
telnet), telnet, HTTP (местами требуется Java),
SNMPv1
(MIB-II - RFC-1213, MIB моста - RFC-1493, исправленная под SNMPv2 группа
interfaces MIB-II - RFC-1573 (однако, ifMIB с ее 64-битными счетчиками
отсутствует),
Ethernet MIB - RFC-1643, RMON - RFC-1757 (только группы 1, 2 и 3),
private MIB).
При управлении через RS-232
или telnet перед заполнением любого поля (например, пароль при входе ;)
требуется нажать Enter. Во всех режимах, кроме RS-232, данные (в том числе
пароль!) передаются по сети в открытом виде. Все режимы управления, кроме RS-232
можно запретить (по умолчанию они все разрешены).
Для всех in-band режимов
управления необходимо установить IP адрес, маску подсети, IP адрес шлюза
по умолчанию (если станция управления находится в другой локальной сети),
возможность получения этих параметров от сервера
BOOTP или DHCP (выводится
MAC адрес блока управления).
Уровень доступа при управлении по RS-232, telnet и HTTP только один
(при изготовлении устройства устанавливается имя admin и пустой пароль).
При задании пароля рекомендуется ограничиться латинскими буквами и цифрами,
иначе будут проблемы с доступом по HTTP.
Имеются отдельные таймеры неактивности для RS-232 и telnet.
При управлении по SMTP имеются отдельные пароли доступа (community)
для чтения (public), для записи (private) и посылки trap (public,
необходимо также указать до 4 IP адресов получателей).
Единственный trap, который можно настроить - это посылка сообщений при
неавторизованном SNMP доступе.
HTTP доступ не позволяет: сбросить коммутатор, конфигурировать QoS, IGMP,
мониторинг порта, посмотреть таблицу MAC адресов.
Коммутатор позволяет посмотреть или установить по RS-232,
telnet или HTTP объекты SNMP
группы System: SysUpTime (время работы после загрузки), SysDescr (AT-8124XL),
SysObjectID (уникальный серийный номер), SysName, SysLocation, SysContact.
Здесь же можно посмотреть разнообразную статистику, собираемую SNMP агентом
для каждого порта первой группы RMON:
число байт и пакетов из сегмента, число broadcast
и multicast, число различного типа ошибок и распределение пакетов по размерам.
К сожалению, нет возможности вручную задать MAC адреса
подключенных к порту устройств и отключить режим самообучения (адреса
хранятся в DRAM и сбрасываются при отключении питания).
Можно задать только время устаревания информации, по умолчанию - 300 секунд.
Есть также средства поиска номера порта по MAC адресу, что можно
использовать для приблизительного внешнего контроля.
Можно мониторить только входной или только выходной трафик
одного порта на 14 порту. Скорость 14 порта необходимо принудительно установить
равной скорости исследуемого порта.
Во время мониторинга к 14 порту нельзя подключать обычную станцию,
т.к. собственный трафик порта блокируется (даже ее MAC адрес не заносится
в таблицу).
Собственный трафик станции надо пропускать через вторую сетевую карту
и не забыть проделать дырку в сетевом экране.
Zyxel Dimension ES-2008-GTP EE
представляет собой 8-портовый неблокирующий коммутатор (3.6 Gbps,
store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое
определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 10)
с автоматическим согласованием скорости и режима дуплекса,
возможностью вручную отключить доступ к порту, задать его скорость и
режим дуплекса, включить управление потоком (методом обратного давления
для полудуплекса или 802.3x для дуплекса).
Имеются индикаторы скорости и режима дуплекса для каждого порта,
наличие подключенного к порту устройства, его скорость и режим
можно проверить средствами удаленного управления (MAC адреса подключённых устройств можно
посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3, номера портов
в mib-2.17.7.1.2.2.1.2 (snmpwalk -c public -v 1 10.101.0.243 SNMPv2-SMI::mib-2.17.7.1.2.2.1.2,
в десятичной нотации)).
До 8000 MAC адресов, 2 Mb под буфер пакетов. Встроенный блок питания, 17 W, но греется сильно.
Стандартные установки: свой адрес - 192.168.1.1
(после изменения адреса необходимо перезагрузиться),
адрес шлюза - 192.168.1.254, имя/пароль - admin/1234. DHCP - нет!
В прошивке до 1.10 имеется имя/пароль для HTTP - guest:guest
(неотключаемые ;), в новой прошивке их поменяли на что-то другое.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232 и
ввести имя/пароль: superuser/zyxel, после чего ввести команду flashdf и отключить питание.
Загружается достаточно медленно, чтобы успело разорваться SSH-соединение.
Управляется по HTTP (требуется IE 5.5, иначе работает не всё - устройство
выдаёт всю информацию, но JavaScript-ы отображают её только в IE;
состояние порта: http://192.168.1.1/portcot.htm?port=1;
5-секундный refresh на каждой странице доводит до бешенства), telnet, RS-232,
SNMPv1 (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, ES-2008-GTP.MIB).
Доступ по telnet и HTTP можно ограничить четырьмя исходящими IP адресами
или запретить совсем. Только один оператор одновременно.
В прошивке до 1.15 имеется возможность обойти систему безопасности при управлении по HTTP.
Имеется управление очередью пакетов (FIFO, приоритетный (в смысле QoS) пакет вперёд,
соотношение между высоко- и низкоприоритетным трафиком), STP (IEEE 802.1D,
обеспечение запасных путей без образования циклов),
IGMP (протокол управления членством в multicast группах:
извлечение информации из проходящего трафика и работа в качестве IGMP сервера -
Auto, Enable, Disable), VLAN (по портам,
802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами).
Агрегирование портов: до 8 портов, ручное (trunk) или
802.3ad (динамическое объединение или резервный порт
с помощью LAPC, порт может быть в активном или пассивном режиме).
Для LACP необходим полный дуплекс. Все порты в одной группе транка
должны иметь одинаковые параметры. LACP и транки несовместимы. Требуется сначала настроить
LACP или транки и только затем соединять.
MAC адреса можно привязывать к портам статически,
можно запретить динамическое занесение новых MAC адресов для указанных портов (port security),
можно задать список фильтруемых MAC адресов.
Любую комбинацию входящего и/или исходящего трафика
для произвольного списка портов (включая гигабитный) можно направить
на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик.
Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4
секунды), возможность задать максимальную долю широковещательных пакетов (broadcast storm
filter).
По умолчанию все порты имеют VLAN ID 1 (удалять её нельзя).
При распределении VLAN по портам каждый порт приписывается ровно к одной VLAN (ID от 1 до 4094).
При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта
ethernet кадр добавляется поле,
содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN,
VLAN ID для не имеющих меток кадров указывается при настройке коммутатора.
Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol -
обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно
поменять конфигурацию только с одной стороны).
Последняя версия firmware
(1.17 для EPCB04602).
Загрузка новых версий по TFTP (задается IP адрес и имя файла,
не более 15 символов)
при конфигурировании через браузер или X-Modem при конфигурировании через RS-232
(конфигурировании по telnet не позволяет заменить прошивку).
Возможна удаленная перезагрузка с сохранением текущих параметров,
с возвратом к фабричным значениям.
Zyxel ES-2108-G
представляет собой 8-портовый неблокирующий коммутатор (5.6 Gbps (используется 3.6 Gbps), 2.7 Mpps,
store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое
определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 9, 802.3ab, может работать как 100Base-T)
с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс),
возможностью вручную отключить доступ к порту, задать его имя, скорость и
режим дуплекса (по умолчанию определяется автоматически),
включить управление потоком (методом обратного давления
для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для исходящик пакетов.
mini-GBIC слот (SFP, при подключении отключается гигабитный порт).
Максимальный размер кадра - 1522 байта.
До 24 коммутаторов можно соединять в стек с одним IP адресом.
Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты).
Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое).
Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps;
для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps).
Наличие подключенного к порту устройства, его скорость и режим
можно проверить средствами удаленного управления.
До 8000 MAC адресов, 32 Mb под буфер пакетов. Встроенный блок питания, 10 W, тихий вентилятор.
Стандартные установки: свой адрес - 192.168.1.1
(после изменения адреса необходимо перезагрузиться;
можно задать несколько своих адресов для различных VLAN),
адрес шлюза - 0.0.0.0, имя/пароль - admin/1234.
DHCP - есть (воспринимается только IP адрес, маска сети и DNS сервер),
но чтобы его включить в моём случае надо помучаться:
подключить в сегмент 192.168.1.0, зайти telnet/ssh и сконфигурировать (enable, затем configure)
статический маршрут,
обязательно разрешить подключение нескольких операторов (multi-login),
заодно поменять пароль (password пароль, затем admin-password пароль пароль, сохраниться
(write memory) и перезагрузиться. Теперь можно зайти с другого сегмента по HTTP/HTTPS
и включить DHCP, маршрут убрать,
(в старой версии в CLI не было возможности включить DHCP,
в сегменте 192.168.1.0 у меня нет клиентских компьютеров,
lynx/elinks не позволяют нажать кнопку Apply).
В новой версии появилась возможность включить DHCP из CLI:
enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
перейти на другую консоль ;)
enable
configure
service-control icmp snmp
no service-control ftp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
timesync server адрес-NTP-сервера
timesync ntp
exit
write memory
exit
Имеется возможность задавать статические маршруты для исходящих пакетов.
Текущее время можно устананавливать вручную или указать адрес сервера
DAYTIME, TIME или NTP.
Имеет встроенный журнал и возможность удалённого тестирования портов.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание,
включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки,
загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, файл?), перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox,
но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом
обновления тоже поправили; можно изменять интервал неактивности - 3минуты),
HTTPS (самоподписанный сертификат),
telnet, SSH (SSH2, RSA, DES, 3DES, Blowfish, аутентификации по ключу нет), RS-232 (9600N81, vt100,
без управления потоком),
SNMPv2c (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, zyxel-ES2108G.mib удалось извлечь
с помощью cabextract и unshield из триальной версии NetAtlas; прошивка 3.80 содержит MIB).
MAC адреса подключённых устройств можно
посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов
в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2),
в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов пуста,
но есть таблица ARP (без указания номера порта и VLAN ID, может он ещё и маршрутизировать умеет).
Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1.
Имя community на запись доступно для любого, кто знает имя community для чтения.
Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков).
Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP).
Есть возможность доступа нескольких администраторов одновременно
(одновременно только один консольный сеанс или telnet или ssh, один FTP сеанс, 5 web сеансов под
разными именами, но только один администратор с именем admin).
Возможна локальная аутентификация или RADIUS (IEEE 802.1x), в т.ч. отдельно для каждого порта.
Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!),
67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?),
263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд).
Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать
отображение уровней QoS (802.1p) на номер очереди (по умолчанию, уровни 1 и 2 отображаются на очередь 0,
а уровень 0 - на очередь 1).
Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3
не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin,
задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю
общего трафика).
DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS
(Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость).
Можно задать таблицу соответствия уровней DSCP и 802.1P.
STP/RSTP (IEEE 802.1D и быстрый вариант 802.1W, обеспечение запасных путей без образования циклов).
IGMP (протокол управления членством в multicast группах:
извлечение информации из проходящего трафика и работа в качестве IGMP сервера -
Auto, Enable, Disable).
Агрегирование портов (до 2 групп на коммутатор,
до 4 портов в группе, только порты 100M): ручное (trunk) или
802.3ad (динамическое объединение или резервный порт
с помощью LAPC, порт может быть в активном или пассивном режиме).
Для LACP необходим полный дуплекс. Все порты в одной группе транка
должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком).
LACP и транки несовместимы. Требуется сначала настроить
LACP или транки и только затем соединять.
MAC адреса можно привязывать к портам статически (до 256 адресов),
можно задать список фильтруемых MAC адресов (до 256 адресов).
Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты)
или ограничить количество добавляемых MAC адресов, а также запретить прохождение через порт
пакетов, MAC адрес которых отсутствует в таблице (port security).
Любую комбинацию входящего и/или исходящего трафика
для произвольного списка портов (включая гигабитный) можно направить
на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик.
Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.
Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4
секунды). Можно задать максимальный трафик широковещательных пакетов (broadcast storm
filter). Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется
до 64 kbps, 1 mbps или 8 mbps).
VLAN (по портам, до 4094 PVID, до 256 статических VLAN,
802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами).
GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol -
обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно
поменять конфигурацию только с одной стороны).
VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов.
По умолчанию все порты имеют VLAN ID 1 (удалять её не стоит).
При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN,
нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP,
не позволять или привязать его статически. Есть возможность изоляции портов.
При распределении VLAN по портам каждый порт приписывается к VLAN 1.
Порт с именем CPU является портом управления (его разумно соединить со всеми портами).
Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно
отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов).
При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта
ethernet кадр добавляется поле,
содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN,
VLAN ID для не имеющих меток кадров указывается при настройке коммутатора.
Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Последняя версия firmware
(v3.80 (ABL.0) C0, Bootbase Version 1.02, RomFile Version 84;
автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay,
IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3,
IGMP Snooping).
Загрузка новых версий по
FTP: зайти любым FTP-клиентом
на коммутатор (требуются имя и пароль администратора) и в двоичном режиме
записать новую прошивку (файл с суфиксом .bin) в файл с именем ras; RomFile (.rom) в rom-0;
текстовый формат файла конфигурации (команды CLI) в config
X-Modem при конфигурировании через RS-232
конфигурирование по telnet не позволяет заменить прошивку
через web интерфейс
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.
Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить
конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного
пароля и комьюнити SNMP); перезагрузить устройство.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли
сильно напоминает команды Cisco IOS: подсказки по нажатию
клавиши Tab или "?", двухуровневый доступ (после входа можно только посмотреть состояние,
команда enable с отдельным паролем для перехода на уровень администратора и префиксом строки "#"
вместо ">" на начальном уровне;
правда, zyxel похоже запутался с этими паролями на разных уровнях, в web интерфейсе и SNMP),
команда configure для перехода на уровень настройки
(префикс строки "config#" и подуровни interface, router, VLAN),
история команд, редактирование (недоделанное) команд и т.д.. Ключевые слова команды необходимо
вводить полностью. Команда "help" выдаёт список имеющихся команд и подкоманд. Команды "?"
выдаёт список команд и их описаний. Если первым параметром команды указать "help",
то выдаётся синтаксис команды. Если первым параметром команды указать "?",
то выдаётся описание параметров команды.
Основные команды уровня оператора:
exit
help
show ip (узнать IP адрес коммутатора, маску и VLAN)
show system-information (имя коммутатора, расположение, ответственный, MAC адрес, версия прошивки)
mac-flash [номер-порта] (очистить таблицу MAC адресов)
no arp (очистить таблицу ARP)
no interface (очистить статистику интерфейсов)
no logging (прекратить запись журнала)
show https [session]
show interface номер-порта (вывод статистики)
show interfaces config номер-порта [bandwidth-control|bstorm-control|egress] (вывод настроек)
show ip [arp|route [static]]
show lacp
show logging (показать (и очистить) системный журнал)
show logins (кто работает в системе)
show mac address-table {all|static} [mac|vid|port] (список MAC адресов с привязкой по портам и VLAN,
последний параметр задаёт способ сортировки)
show mac-aging-time
show multi-login (кто работает в системе, с использованием какого интерфейса, IP адрес)
show port-access-authenticator
show port-security
show radius-server
show remote-management (откуда и каким интерфейсом можно управлять коммутатором)
show running-config (вывести текущую конфигурацию)
show service-control (какие интерфейсы управления доступны и на каких портах)
show snmp-server
show spanning-tree config
show ssh [key {rsa1|rsa|dsa} | known-hosts | session]
show time
show timesync (настройки сервера времени)
show trunk
show vlan
show vlan1q [gvrp|ingress-check|port-isolation]
Основные команды режима настройки ("no" перед командой означает обратное действие;
список портов записывается через запятую; интервал портов записывается через минус):
exit
admin-password пароль пароль (в открытом виде!)
bandwidth-control
hostname имя-коммутатора
https cert-regeneration {rsa|dsa}
https timeout секунд
igmp-snooping
interface port-channel список-портов (переход в режим настройки интерфейса)
ip name-server ip-адрес-DNS-сервера
ip route адрес маска шлюз [metric число] [name имя] [inactive] (описание статического маршрута)
Zyxel ES-2024A
представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 1.5 Mpps, store and forward)
Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X)
с 2 портами 1000Base-TX (адресуются как порты 25 и 26, 802.3ab, может работать как 100Base-T)
с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс),
возможностью вручную отключить доступ к порту, задать его имя, скорость и
режим дуплекса (по умолчанию определяется автоматически),
включить управление потоком (методом обратного давления для полудуплекса
или 802.3x для дуплекса; по умолчанию - выключен) и
QoS приоритет для входящих с этого порта пакетов без тега 802.1p.
2 mini-GBIC слот (SFP MSA, при подключении отключается гигабитный порт).
Максимальный размер кадра - 1522 байта (1518 и тэги VLAN).
До 24 коммутаторов в одной VLAN можно соединять в стек с одним IP адресом (iStacking, Cluster Management).
Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты).
Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое).
Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps;
для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps).
Обещанного мониторинга температуры и скорости вращения вентилятора (?!) не заметил ни в SNMP, ни в HTTP.
Наличие подключенного к порту устройства, его скорость и режим
можно проверить средствами удаленного управления.
До 8000 MAC адресов, 32 MB под буфер пакетов.
Встроенный блок питания, 21 W, вентилятор отсутствует (хотя в описании есть), возможен монтаж в стойку,
имеется модель с PoE (потребление 200W, 15W на порт).
Стандартные установки: свой адрес - 192.168.1.1/255.255.255.0
(после изменения адреса необходимо перезагрузиться;
можно задать несколько своих адресов для различных VLAN и статических маршрутов),
адрес шлюза - 0.0.0.0, имя/пароль - admin/1234.
Есть DHCP (воспринимается только IP адрес, маска сети и DNS сервер),
но чтобы его включить в моём случае надо помучаться:
подключить в сегмент 192.168.1.0, зайти telnet/ssh, сконфигурировать и перезагрузиться:
enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
перейти на другую консоль ;)
enable
configure
hostname имя-коммутатора
no service-control ftp
service-control icmp snmp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
time daylight-saving-time start-date last sunday march 2
time daylight-saving-time end-date last sunday october 2
time daylight-saving-time
timesync server адрес-NTP-сервера
timesync ntp
syslog server адрес-syslog-сервера level 7
syslog type system
syslog type interface
syslog type switch
syslog type aaa
syslog type ip
syslog
exit
write memory
exit
В версии прошивки 3.80 появился DHCP Relay к общему DHCP серверу
или отдельным для каждой VLAN. К запросу клиента добавляются имя коммутатора, номер слота в кластере,
номер порта клиента, VLAN ID.
Текущее время можно устананавливать вручную или указать адрес сервера
DAYTIME, TIME или NTP.
В прошивке 3.80 появилась возможность настройки летнего времени.
Имеет встроенный журнал и возможность вывода сообщений
на внешний сервер (серверы) syslog.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание,
включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки,
загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, где взять файл?),
перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox и konqueror,
но требуется JavaScript и всплывающие окна - не заметил ни одного;
проблему с 5 секундным интервалом обновления тоже поправили;
отвратительная привычка включать текущее время в имя области осталась,
что не позволяет хранить пароль в браузере;
можно изменять интервал неактивности - 3 минуты),
HTTPS (самоподписанный сертификат; RC4, MD5, SSLv3),
telnet,
SSH (SSH2, RSA/DSA, MD5/SHA1, 3DES, Blowfish, AES128-CBC,
нет аутентификации по ключу, нет генерации ключей, медленно),
RS-232 (9600N81, vt100, без управления потоком),
SNMPv2c (совместим с SNMPv1; RFC-1155, RFC-1157, RFC-1213, RFC-1493, RFC-1643, RFC-1757, RFC-2674;
zyxel-ES2108G.mib удалось извлечь
с помощью cabextract и unshield из триальной версии NetAtlas; MIB идёт в комплекте с прошивкой 3.80),
SNMPv3 (прошивка 3.80; MD5 или SHA; DES или AES).
MAC адреса подключённых устройств можно
посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов
в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2),
в десятичной нотации) или командой: show mac address-table all.
В браузере таблица MAC адресов показывается только после выбора типа сортировки (MAC, VID, порт).
Таблица ARP содержит соответствие между IP адресами и MAC адресами для хостов,
обменивавшихся пакетами с коммутатором.
Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1.
Имя community на запись доступно для любого, кто знает имя community для чтения.
Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков).
Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP).
Есть возможность доступа нескольких администраторов одновременно
(одновременно только один консольный сеанс или telnet или ssh (до 9 в версии 3.80),
один FTP сеанс,
5 web сеансов под разными именами, но только один администратор обязательно с именем admin).
Возможна локальная аутентификация администратора или с использованием серверов RADIUS
(до 2 серверов, разделяемый секрет)
или TACACS+ (прошивка 3.80; до 2 серверов, разделяемый секрет).
2 уровня доступа при работе с telnet и ssh (можно назначить высокий уровень доступа любому пользователю).
Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!),
67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?),
263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Аутентификация подключаемых устройств по 802.1x (RADIUS, до 2 серверов, разделяемый секрет)
и учёт с использованием RADIUS (до 2 серверов, разделяемый секрет)
и TACACS+ (до 2 серверов, разделяемый секрет).
Возможен учёт системных событий (включение, выключение);
вход администратора с помощью telnet, ssh или консоли;
сессии протокола IEEE 802.1x; выполняемые администратором команды (только tacacs+).
При использовании сервера RADIUS возможно ограничение входящего и исходящего трафика, выбор VLAN и
уровня привилегий с помощью атрибутов изготовителя (Vendor Specific Attribute).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд).
Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать
отображение уровней QoS (802.1p/802.1d) на номер очереди.
Кадры без тега QoS получают приоритет по входящему порту.
Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3
не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin,
задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю
общего трафика).
DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS
(Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость).
Можно (?) задать таблицу соответствия уровней DSCP и 802.1P и необходимость
преобразования и/или вставки DSCP в пакеты по портам.
Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды).
STP (IEEE 802.1D, Spanning Tree Protocol),
RSTP (802.1W, Rapid Spanning Tree Protocol, ускоренное перестроение дерева)
и MSTP (802.1s, Multiple Spanning Tree Protocol, адаптация RSTP к VLAN) -
обеспечение запасных путей без образования циклов.
IGMP 1/2/3 (протокол управления членством в multicast группах):
фильтрация и извлечение информации из проходящего трафика
(до 16 VLAN: автоматический выбор первых 16, задание списка VID, MRV (Multicast VLAN Registration)).
Работа в качестве IGMP сервера - Auto, Enable (Fixed), Disable (Edge).
Агрегирование портов
(до 2 групп из 100Mb портов и одна группа из гигабитных портов,
до 4 портов в группе): ручное (trunk) или
802.3ad (динамическое объединение или резервный порт с помощью LAPC,
порт может быть в активном или пассивном режиме).
Для LACP необходим полный дуплекс. Все порты в одной группе транка
должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком).
LACP и транки несовместимы. Требуется сначала настроить
LACP или транки и только затем соединять.
MAC адреса можно привязывать к портам статически
(до 256 адресов; указывается имя, MAC адрес, VID, порт),
можно задать список фильтруемых MAC адресов (до 256 адресов; указывается имя, MAC адрес, VID).
Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты)
или ограничить количество добавляемых MAC адресов (от 0 до 8192),
а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security).
Время нахождения MAC адреса в таблице известных настраивается (по умолчанию - 300 секунд).
Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.
Можно ограничить входящий и/или исходящий трафик
(в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps) отдельно для каждого порта.
Можно задать максимальный трафик широковещательных и групповых
пакетов (broadcast storm control) отдельно для каждого порта
(в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).
Любую комбинацию входящего и/или исходящего трафика
для произвольного списка портов (включая гигабитный) можно направить
на любой порт для анализа (mirroring), при этом порт мониторинга продолжает получать свой трафик.
Возможна фильтрация по исодящему или входящему MAC адресу.
VLAN (по портам, до 4094 PVID, до 256 статических VLAN,
802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами).
GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol -
обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно
поменять конфигурацию только с одной стороны).
Параметры GARP настраиваются (Join Period, Leave Period, Leave All Timer).
VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов.
По умолчанию все порты и сам коммутатор (порт CPU) имеют VLAN ID 1 (удалять её не стоит).
При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN
(порт может входить в несколько VLAN),
нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP,
позволять или не позволять привязывать его статически.
Порт с именем CPU является портом управления (его разумно соединить со всеми портами),
можно указать дополнительные IP адреса (маску, шлюз, VID) для порта управления.
Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно
отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов).
Изолированный порт может взаимодействовать только с портом управления
и гигабитным портом (которым из них?).
При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта
ethernet кадр добавляется поле, содержащее VLAN ID (настройка по протоколам или исходящим адресам).
Кадр, приходящий в порт, может иметь метку произвольного VLAN,
VLAN ID для не имеющих меток кадров указывается при настройке коммутатора.
Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Защита от фальшивых ARP пакетов (IP source guard) - администратор составляет
таблицу со следующими полями: MAC адрес, идентификатор VLAN, IP адрес и номер порта коммутатора.
Коммутатор пропускает только те ARP пакеты, которые соответствуют этой таблице
(активируется отдельно для каждого порта и VLAN).
При появлении поддельного пакета некоторое время блокируется весь траффик с этим MAC.
Информация об этом может направляться на syslog сервер - указывается интервал и число сообщений в пакете.
Дополнительная (к STP) защита от петель в сети (loop guard)
позволяет обнаруживать кабели, соединяющие 2 порта одного и того же коммутатора.
Посылается тестовый пакет, если пакет возвращается обратно,
значит порт соединён с "зацикленным" коммутатором и он блокируется.
Побочным эффектом может являться потеря связности сети, так что применять можно только на портах,
к которым подключены граничные коммутаторы или конечные устройства.
Если тестовый пакет возвращается через другой порт, значит мы имеем "обычный" цикл и порт
также блокируется. Разблокировать порт необходимо вручную после устранения проблемы.
Диагностика позволяет посмотреть внутренний журнал,
протестировать ethernet порт (internal loopback test) и "пингануть" хост.
Последняя версия firmware (v3.80 (TX.0) C0, Bootbase 1.08, RomFile version ?, поддержка нового процессора):
автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay,
IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3,
IGMP Snooping.
Загрузка новых версий (рекомендуется иметь в этот момент соединение по RS-232, чтобы
контролировать процесс и ввести "boot config") по
FTP: зайти любым FTP-клиентом
на коммутатор (требуются имя и пароль администратора) и в двоичном режиме
записать новую прошивку (файл с суфиксом .bin) в файл с именем ras; RomFile (.rom) в rom-0;
текстовый формат файла конфигурации (команды CLI) в config
X-Modem при конфигурировании через RS-232
конфигурирование по telnet не позволяет заменить прошивку
через web интерфейс
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.
Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить
конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного
пароля и комьюнити SNMP); перезагрузить устройство с альтернативной конфигурацией.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли
сильно напоминает команды Cisco IOS:
подсказки по нажатию клавиши Tab или "?"
многоуровневый доступ (правда, zyxel похоже запутался с этими паролями на разных уровнях,
в web интерфейсе и SNMP)
при создании пользователя указывается его уровень досупа (у admin - 14)
пользователь с уровнем доступа 0 может только посмотреть состояние, префикс строки ">";
admin (уровень доступа 14) может изменить уровень доступа пользователя (кроме самого admin)
команда enable осуществляет переход на другой уровень доступа, запрашивается пароль уровня доступа,
префикс строки "#"
для просмотра конфигурации необходим уровень доступа 3
для настройки достаточно уровня доступа 13, кроме настройки аутентификации
для настройки аутентификации требуется уровень доступа 14
команда configure для перехода на уровень настройки
(префикс строки "config#" и подуровни interface, router, VLAN)
история команд
редактирование (недоделанное) команд
ключевые слова команды необходимо вводить полностью
команда "help" выдаёт список имеющихся команд и подкоманд
команда "?" выдаёт список команд и их описаний
если первым параметром команды указать "help",
то выдаётся синтаксис команды
если первым параметром команды указать "?",
то выдаётся описание параметров команды
Основные команды уровня оператора:
exit (выйти на предыдущий уровень)
logout (завершить сеанс)
help
show ip (узнать IP адрес коммутатора, маску и VLAN)
show system-information (имя коммутатора, расположение, ответственный, MAC адрес, версия прошивки)
show https [certificate | key {rsa | dsa} | session]
show interface номер-порта (вывод статистики)
show interfaces config номер-порта [bandwidth-control|bstorm-control|egress] (вывод настроек)
show ip [arp | route [static] | iptable {all|count|static} | tcp | udp]
show lacp
show logging (показать (и очистить) системный журнал)
show logins (кто работает в системе)
show loopguard
show mac address-table {all|static} [mac|vid|port] (список MAC адресов с привязкой по портам и VLAN,
последний параметр задаёт способ сортировки)
show mac-aging-time
show multi-login (кто работает в системе, с использованием какого интерфейса, IP адрес)
show port-access-authenticator
show port-security
show radius-server
show remote-management (откуда и каким интерфейсом можно управлять коммутатором)
show running-config (вывести текущую конфигурацию)
show service-control (какие интерфейсы управления доступны и на каких портах)
show snmp-server
show spanning-tree config
show ssh [key {rsa1|rsa|dsa} | known-hosts | session]
show tacacs-server
show time
show timesync (настройки сервера времени)
show trunk
show version
show vlan
show vlan1q [gvrp|ingress-check|port-isolation]
test interface port-channel список-портов (loopback test)
Основные команды режима настройки ("no" перед командой означает обратное действие;
список портов записывается через запятую; интервал портов записывается через минус):
spq (использовать алгоритм SPQ для работы с очередью пакетов)
ssh known-hosts IP-адрес {1024|ssh-rsa|ssh-dsa} ключ (добавить хост в таблицу знакомых)
subnet-based-vlan name имя source-ip адрес mask-bits маска [source-port порт] vlan идентификатор
priority от0до7-802.1p (вставка меток VLAN исходя из исходящего адреса)
storm-control
syslog (включить вывод на syslog)
syslog server адрес level от0до7
syslog type {system|interface|switch|aaa|ip} facility источник-syslog (от 0 до 7 - от local0 до local7)
tacacs-accounting timeout секунд
tacacs-accounting host индекс адрес [acct-port порт] [key общий-ключ]
tacacs-server host индекс адрес [auth-port порт] [key общий-ключ]
tacacs-server mode {index-priority|round-robin}
tacacs-server timeout секунд
time часы:минуты:секунды
time date месяц/день/год
time timezone смещение
time daylight-saving-time start-date last sunday march 2
time daylight-saving-time end-date last sunday october 2
time daylight-saving-time
timesync {daytime|time|ntp} server IP-адрес
trunk {T1|T2|T3} (включить транк)
trunk {T1|T2|T3} interface список-портов (добавить порт в транк)
trunk {T1|T2} lacp
trunk {T1|T2} interface список-портов timeout секунд (добавить порт в LACP группу)
vlan идентификатор-VLAN (переход в режим настройки VLAN)
vlan-type {802.1q|port-based}
vlan1q [gvrp] [ingress-check] [port-isolation] (использовать GVRP, проверять соответствие VLAN,
изолировать порт от всех остальных, кроме uplink)
wrr (использовать алгоритм WRR для работы с очередью пакетов)
Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):
egress set список-портов (порты исходящего трафика для VLAN, основанной на портах; 0 - это CPU)
flow-control
frame-type {all|tagged|untagged} (принимать ли пакеты без VLAN меток)
gvrp
inactive
intrusion-lock
loopguard
mirror [dir {ingress|egress|both}] (с этих портов будет копироваться трафик)
name имя-порта (не более 9 ASCII символов)
protocol-based-vlan name имя ethernet-type {ip|ipx|arp|rarp|appletalk|decnet|ether-номер}
vlan идентификатор priority от0до7-802.1p (вставка меток VLAN исходя из типа протокола)
pvid номер (какой идентификатор писать во VLAN метку, если пакет пришёл на порт без VLAN меток)
qos priority приоритет (какой приоритет записывать в метку QoS, если пакет пришёл на порт без меток)
Allied Telesyn AT-8524M-50 (ATS62_LOADER v1.1.0, ATS62 v1.2.1 NE)
представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.6 Mpps, store and forward)
Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X
только в режиме автосогласования)
с двумя слотами, в которые вставляются модули AT-A46 (10/100/1000Base-TX, включить 1000 не смог),
с автоматическим согласованием скорости и режима дуплекса,
возможностью вручную отключить доступ к порту, задать его скорость и
режим дуплекса, включить управление потоком (методом обратного давления
для полудуплекса или 802.3x для дуплекса).
До 8000 MAC адресов, 32 MB ОП.
Управляется (один оператор одновременно) по HTTP (SSL, нет в версии NE),
RS-232 (8N1, 9600, VT100, здесь же доступен загрузчик, меню и CLI),
telnet (SSHv2, нет в версии NE; меню и CLI;
некоторые ограничения по сравнению с локальным доступом),
SNMPv1/2c/3 (RFC-1153, RFC-1213, RFC-1215, RFC-1493, RFC-1643, RFC-2674, RFC-2863,
atistackswitch.mib, atistackinfo.mib). Только один сеанс telnet или RS-232 одновременно.
Стандартные имя/пароль: manager/friend и operator/operator (только чтение, в т.ч. можно увидеть
имя комьюнити SNMP с правами на изменение). Имена пользователей изменить нельзя
(а также универсальный пароль доступа).
Пароли доступны для SNMP.
Поставляется с выключенным DHCP-клиентом и IP-адресом 0.0.0.0.
Позволяет получать время с NTP сервера (адрес и смещение относительно UTC
может получать через DHCP). Летнее время необходимо переводить вручную.
Внутренний таймер отстаёт на 1% (от сети 50Hz?).
SSH может использовать только ключи, созданные устройством.
Ассиметричное шифрование - RSA, до 1536 бит. Обмен ключами - DH.
Частный ключ экспортировать нельзя. Симметричное шифрование - DES (CBC), 3DES, RC4 (arcfour), AES.
MAC - hmac-md5 и hmac-sha1. Для SSH требуется 2 пары ключей (1536 для ключей сервера
и 1280 для хоста; зачем это для SSH2?). Аутентификация только по паролю.
Генерация ключа длиной 1536 занимает 10 минут на ненагруженном коммутаторе.
DSA нет, так что на клиентском компьютере необходимо создать пару ключей для RSA и добавить
её в связку, а также разрешить их использование (RSAAuthentication yes; HostKeyAlgorithms ssh-rsa).
Соединение очень медленное. Похоже, что внутри OpenSSH_3.6.1p2 (тогда почему нет
DSA и public key?).
При статической привязке MAC адресов к портам
(menu => MAC Address Tables => MAC Addresses Configuration => Add Static MAC Address)
адреса необходимо указывать в формате: 00-80-AD-82-5F-6C.
Установка состояния безопасности порта только через telnet (ssh) интерфейс
(menu => Port Configuration => Port Security).
Не забудьте сохранить конфигурацию.
Безопасность портов несовместима с 802.1x управлением доступа.
Каждый порт может находиться в одном из состояний безопасности (ingress фильтрация):
Automatic - MAC адреса добавляются в таблицу автоматически и удаляются
по истечении указанного интервала времени (300 секунд)
Limited - MAC адреса добавляются в таблицу автоматически,
но не более указанного максимума, статические адреса в это число не входят;
динамически добавленные адреса не удаляются; можно установить реакцию на "неправильный"
кадр: выбросить, послать SNMP trap, заблокировать порт
Secured - MAC адреса можно добавить в таблицу только вручную
Locked - динамическое добавление адресов в таблицу прекращается, но уже имеющиеся
в таблице адреса используются и никогда не удаляются
Соединить его прямым кабелем с Acorp (8-портовый коммутатор 10/100) не удалось
ни в режиме автоопределения, ни вручную задавая скорости и MDI/MDIX).
Временами перестаёт воспринимать ответы DHCP сервера и теряет адрес.
Planet FGSW-2402S представляет собой 24-портовый неблокирующий коммутатор
(8.8 Gbps, 6.54 Mpps, store and forward)
Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X)
с двумя слотами, в которые вставляются модули 1000Base-TX,
с автоматическим согласованием скорости и режима дуплекса,
управление потоком (методом обратного давления
для полудуплекса или 802.3x для дуплекса).
До 8K MAC адресов, 2.5Mb (6Mb?) ОП. Имеется кнопка Reset. Потребляемая мощность - 40 Вт,
т.е. сильно греется и снабжён шумными вентиляторами.
Управляется по RS-232 (8N1, 19200, VT100, пароль "admin" или имя пользователя
"admin" с пустым паролем):
возможность вручную отключить доступ к порту, задать его скорость и
режим дуплекса, включить управление потоком, задать параметры QoS (модель RS),
агрегирования портов (до 4 транков по 8 портов в каждом, выбор ограничен),
VLAN (до 8 штук по портам; 802.1Q только в RS),
ограничение потока на каждом порту отдельно на приём и передачу
(128K, 256K, 512K, 1M, 2M, 4M, 8M), мониторинг порта (указывается исходный порт, порт мониторинга),
ограничение доли широковещательных пакетов (6%, 20%), сбор статистики по портам.
Имеется режим (MTU), в котором оборудование подключённое к портам 1-25 может обмениваться
пакетами только с портом 26 или порты 1-12 с портом 25, а порты 13-24 с портом 26.