|
Bog BOS: hardware: Ethernet |
Последнее изменение файла: 2022.12.16
Скопировано с www.bog.pp.ru: 2023.09.23
Ethernet - локальная сеть, построенная на случайном методе доступа к разделяемой среде передачи данных с обнаружением коллизий - CSMA/CD (Ethernet Network - Xerox, 1975; Ethernet II или Ethernet DIX - Digital, Intel, Xerox - 1980). Ethernet DIX отличается от IEEE 802.3 (совмещены уровни MAC и LLC, отличается формат кадра). Эталонная модель IEEE 802 включает уровни LLC (Logical Link Control, управление логическим каналом, 802.2), MAC (Media Access Control, управление доступом к среде, 802.1D, 802.1G, 802.1H, 802.1Q) и PHY (физический уровень, 802.3, 802.3ae). Уровень PHY соответствует физическому уровню эталонной модели OSI. Уровни LLC и MAC соответствуют уровню передачи данных эталонной модели OSI. Компоненты локальной сети: сетевой адаптер, кабельная структура, повторитель (концентратор, хаб, hub), коммутатор (switch, мост, bridge), маршрутизатор (router), шлюз (gateway). Хаб делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Коммутатор делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. Коммутатор с возможностями VLAN позволяет разделять широковещательные сегменты. Маршрутизаторы сегментируют сеть на уровне IP адресов и позволяют организовывать логическую топологию с петлями. Шлюз позволяет строить сеть из сегментов различной физической природы. Разделяемый сегмент Ethernet не рекомендуется загружать свыше 30% в среднем, иначе большую часть времени сеть будет заниматься обработкой коллизий, в результате время ожидания возрастет, а пропускная способность упадет (хотя пересылать файлы с одного узла на другой можно с полной скоростью, если другие узлы в это время молчат). Устройства не отслеживают потерю и дублирование кадров и не сообщают об этом протоколу верхнего уровня, испорченные кадры молча выбрасываются (ни извещений, ни перепосылки). Реактивное управление потоком (опция). Порядок, время задержки и полоса пропускания не гарантируются. Фрагментация пакетов не предусмотрена, поэтому все устройства в сегменте должны иметь одинаковое MTU.
Стандарты Ethernet образуют семейство стандартов IEEE 802.x (IEEE Standard for Local and Metropolitan Area Networks, ISO 8802, ECMA-80, ECMA-81, ECMA-82).
Уровень LLC (Logical Link Control, управление логическим каналом) организует сопряжение с вышестоящими уровнями стека сетевых протоколов, управление потоком и обработку ошибок передачи (выявлением ошибок занимается уровень MAC).
Заголовок PDU (Protocol Data Unit) состоит из 3 полей: номер протокола получателя (DSAP, один байт, 0x6 - IP, 0xF0 - NetBIOS), номер протокола отправителя (SSAP), управляющее поле - 1 или 2 байта (для ненумерованного кадра - 1 байт, не содержащий дополнительной информации). Старший бит DSAP задает тип адреса: индивидуальный или групповой, старший бит SSAP задает флаг: команда или ответ.
В любом режиме работы можно использовать управляющие кадры XID (обмен информацией о поддерживаемых режимах и размере окна) и TEST.
LLC предоставляет 3 вида услуг (протокола, режима работы):
В стеках протоколов TCP/IP и IPX/SPX всегда используется режим LLC1. Процедуры LLC лишь извлекают из PDU пакеты IP, ARP и RARP. NetBIOS/NetBEUI может использовать режим LLC2. В этом случае используются также информационные и управляющие кадры (заголовок длиной 3 или 4 байта).
Уровень MAC регулирует доступ к среде передачи данных, дополняет модуль данных LLC (PDU LLC) информацией об адресах и контрольной суммой, формирует кадр (frame) MAC. Выявляет ошибки и отклоняет ошибочные кадры. Обработкой ошибок (повторной передачей) может заниматься уровень LLC или вышестоящий уровень.
Для надежного распознавания коллизий время передачи кадра минимальной длины должно быть больше времени распространения коллизии до самого дальнего узла локальной сети (сегмента коллизий) и обратно. Минимальная длина поля данных - 46 байт (64 байта с заголовком кадра, 72 байта с заголовком и преамбулой). Битовая скорость - 10 Мбит/сек (14880 кадров минимальной длины в секунду). Межкадровый интервал (IPG) - 9.6 мкс (Fast Ethernet - 0.96 мкс). Максимальная длина кадра без преамбулы - 1518 байт. Максимальное расстояние между станциями - 2500 м (Fast Ethernet - 250 м). Максимальное количество станций - 1024.
Форматы кадра (MAC+LLC, попытки унификации привели только к увеличению вариантов):
Возможно автоматическое распознавание типов кадров, т.к. тип протокола в формате кадра Ethernet II всегда больше максимальной длины кадра (1500, а jumbo frame?), а в начале пакета IPX идут байты 0xFF, что отличается от возможных значений DSAP и SSAP. Стек IP обычно использует формат кадров Ethernet II или Ethernet SNAP. Коммутаторы обычно поддерживают только один формат кадров на каждом порту, а групповой и широковещательный трафик рассылается только по портам с тем же форматом кадра (это может привести к изоляции устройства из=за неработоспособности протоколов типа ARP).
Типы адресов MAC (в IEEE младший бит изображается слева):
IEEE пропагандирует новый 64-битный формат адреса EUI-64, в котором в качестве номера устройства используется 5 байт вместо 3.
Для Gigabit Ethernet минимальный размер кадра без преамбулы - 512 байт. В Gigabit Ethernet введен монопольный пакетный режим (Burst Mode), позволяющий передавать несколько коротких пакетов подряд (до 8192 байт, дополнения до 512 байт не производится).
Ошибки:
Физический уровень занимается кодированием и декодированием сигналов, генерацией синхронизирующей последовательности битов, приемом и передачей битов. Также включает спецификацию среды передачи и её топологию.
Обычно при инициализации устройства производится автоматическое согласование параметров передачи (NWay, auto-negotiation, Config_Reg для 1000Base-X и FLP (fast link pulse) для *-TX (LCW - link code word - Register 4 передатчика)) между двумя устройствами (неприменимо к разделяемой среде; не реализовано для 10GE; для оптических сред невозможно согласовать скорость): полный дуплекс, полудуплекс, управление потоком (симметричное, асимметричное, никакого), обработка ошибок автосогласования (выключение, ошибка соединения, ошибка автосогласования), скорость, технология (802.3, 802.5, 802.9). Начальная передача длится 10 мс. Устройство может скрыть (маскировать) некоторые свои возможности.
Стандарт определяет следующие виды среды передачи:
Интерфейс между картой сетевого адаптера (коммутатором) и сменным трансивером (приёмопередатчик) и механические характеристики трансиверов определяются не в стандарте, а организацией MSA:
Примеры информации, полученной по DDM:
Identifier : 0x03 (SFP)
Extended identifier : 0x04 (GBIC/SFP defined by 2-wire interface ID)
Connector : 0x07 (LC)
Transceiver codes : 0x10 0x00 0x00 0x00 0x00 0x00 0x00 0x00
Transceiver type : 10G Ethernet: 10G Base-SR
Encoding : 0x06 (64B/66B)
BR, Nominal : 10300MBd
Rate identifier : 0x00 (unspecified)
Length (SMF,km) : 0km
Length (SMF) : 0m
Length (50um) : 80m
Length (62.5um) : 20m
Length (Copper) : 0m
Length (OM3) : 300m
Laser wavelength : 850nm
Vendor name : OEM
Vendor OUI : 00:00:00
Vendor PN : SFP+ SR
Vendor rev : A
Laser bias current : 21.730 mA
Laser output power : 0.5068 mW / -2.95 dBm
Receiver signal average optical power : 0.4438 mW / -3.53 dBm
Module temperature : 42.44 degrees C / 108.39 degrees F
Module voltage : 3.3345 V
Alarm/warning flags implemented : Yes
Laser bias current high alarm : Off
...
Identifier : 0x03 (SFP) Extended identifier : 0x04 (GBIC/SFP defined by 2-wire interface ID) Connector : 0x21 (Copper pigtail) Transceiver codes : 0x00 0x00 0x00 0x00 0x00 0x08 0x00 0x00 Transceiver type : FC: Copper Active Encoding : 0x00 (unspecified) BR, Nominal : 10300MBd Rate identifier : 0x00 (unspecified) Length (SMF,km) : 0km Length (SMF) : 0m Length (50um) : 0m Length (62.5um) : 0m Length (Copper) : 10m Length (OM3) : 0m Active Cu cmplnce. : 0x04 (SFF-8431 limiting) [SFF-8472 rev10.4 only] Vendor name : AVAGO Vendor OUI : 00:17:6a Vendor PN : AFBR-2CAR10Z Vendor rev : Option values : 0x00 0x12 Option : RX_LOS implemented Option : TX_DISABLE implemented BR margin, max : 0% BR margin, min : 0% Vendor SN : AZ1530KDA0000B-B Date code : 150722
Identifier : 0x03 (SFP)
Extended identifier : 0x04 (GBIC/SFP defined by 2-wire interface ID)
Connector : 0x21 (Copper pigtail)
Transceiver codes : 0x01 0x00 0x00 0x04 0x41 0x84 0x80 0xd5
Transceiver type : Infiniband: 1X Copper Passive
Transceiver type : Ethernet: 1000BASE-CX
Transceiver type : FC: short distance (S)
Transceiver type : FC: Electrical inter-enclosure (EL)
Transceiver type : FC: Electrical intra-enclosure (EL)
Transceiver type : FC: Copper Passive
Transceiver type : FC: Twin Axial Pair (TW)
Transceiver type : FC: 1200 MBytes/sec
Transceiver type : FC: 800 MBytes/sec
Transceiver type : FC: 400 MBytes/sec
Transceiver type : FC: 200 MBytes/sec
Transceiver type : FC: 100 MBytes/sec
Encoding : 0x00 (unspecified)
BR, Nominal : 12000MBd
Rate identifier : 0x00 (unspecified)
Length (SMF,km) : 0km
Length (SMF) : 0m
Length (50um) : 0m
Length (62.5um) : 0m
Length (Copper) : 3m
Length (OM3) : 0m
Passive Cu cmplnce. : 0x00 (unspecified) [SFF-8472 rev10.4 only]
Vendor name : Molex Inc.
Vendor OUI : 00:09:3a
Vendor PN : 74752-9506
Vendor rev :
Current High-Alarm High-Warning Low-Warning Low-Alarm
Temperature(C) 33.122 90.000 85.000 0.000 -5.000
Voltage(V) 3.335 3.800 3.700 2.800 2.700
Bias Current(mA) 8.448 100.000 90.000 0.100 0.000
TX Power(mW) 0.531 1.000 0.794 0.316 0.251
RX Power(mW) 0.377 1.000 0.794 0.063 0.050
Оптические разъёмы для подключения кабеля к трансиверу:
MPO (IEC-61754-7, EIA/TIA-604-5) - 12 или 24 оптических волокна в одном разъёме (соединителе, кабеле). MTP - улучшенный вариант, имя защищено торговой маркой. В набор возможностей входят коммутационная панель для 3 кассет MPO24, кассета распределительная MPO24 на 12 портов LC. Для QSFP+ используется 12-волоконный вариант: волокна 1-4 (передатчик 1, 2, 3, 4) и 9-12 (приёмник 4, 3, 2, 1), белая точка у волокна 1, если смотреть в торец так, чтобы выступ (key) был сверху, то волокна нумеруются слева направо от 1 до 12. Коннектор может быть со штифтами (male) и отверстиями (female). Предусмотрены MPO адаптеры между коннекторами MPO male и MPO female: Type A - выступ вверх к выступу вниз, Type B - выступ вверх к выступу вверх. Про поляризацию кабелей описано на сайте изготовителя (дубль):
Для прямого соединения трансиверов QSFP+ (40GBE) используется кабель MPO типа B с коннекторами female на обоих концах. В более сложных случаях используются MPO кассеты и переходные кабели соответствующей полярности.
Объединение портов (trunking, link aggregation group, link bundling) позволяют объединить несколько портов (соединений, каналов) в единое целое (группу портов), увеличивая как производительность, так и надежность. Протоколы верхних уровней рассматривают транк как один канал. Для управления транками (можно использовать группы без использования управляющего протокола) может использоваться фирменный протокол (например, Cisco: Port Aggregation Protocol - PAgP) или LACP (Link Aggregation Control Protocol), описанный в IEEE 802.3ad и вошедший в состав 802.3-2005 (clause 43, реализация) и IEEE 802.1AX-2008 (определение) или EtherChannels.
LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы (LACPDU) на объединение. Порты с обоих сторон могут быть в активном режиме.
Ограничения LACP:
Inter-Switch Trunk (IST) - возможность объединять порты на разных коммутаторах.
Объединение портов в Linux осуществляется с помощью модуля bonding (создаёт интерфейс bond0, при создании имеет MAC адрес 00:00:00:00:00:00, затем берёт MAC адрес от первого присоединённого интерфейса, он же раздаётся всем присоединённым интерфейсам, не изменяется при падении первого присоединённого интерфейса, можно изменить командой "ip link set bond0 address адрес") и утилиты ifenslave (входит в пакет iputils, используется в initscripts в RHEL4) или непосредственно командой /sbin/ip и манипуляциями с /sys/class/net/ (RHEL5). Для объединения eth0 и eth1 в одну группу в RHEL5 достаточно создать /etc/sysconfig/network-scripts/ifcfg-bond0 и /etc/sysconfig/network-scripts/ifcfg-eth[01] и перезагрузить сеть (/etc/rc.d/init.d/network restart):
DEVICE=bond0 #IPADDR=192.168.1.1 #NETMASK=255.255.255.0 ONBOOT=yes BOOTPROTO=dhcp TYPE=Bonding DHCPCLASS= DHCP_HOSTNAME=s87.cs.niisi.ras.ru USERCTL=no BONDING_OPTS="mode=802.3ad miimon=100" DEVICE=eth0 BOOTPROTO=none ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no HWADDR=адрес
Параметры модуля bonding:
Параметры модуля bonding (доступны через /sys/class/net/; изменять для активного интерфейса нельзя) можно занести в /etc/modprobe.conf перед загрузкой:
alias bond0 bonding options bond0 mode=802.3ad miimon=100 xmit_hash_policy=1
Будут проблемы с VLAN, с "необычной" маршрутизацией. Бойтесь перенумерации интерфейсов. Для правильной работы агента SNMP модуль bonding д.б. загружен до модулей интерфейсов. Прослушивание (promiscuous) в режимах active-backup, balance-tlb, balance-alb распространяется только на текущий (?) активный подчинённый интерфейс. Коммутатор посылает пакет на все интерфейсы, если MAC адреса нет в его таблице - это вызывает дублирование пакетов.
Информация доступна в /proc/net/bonding/имя и /sys/class/net/.
Сетевой адаптер (NIC, Network Interface Card) реализует (вместе с драйвером) физический и MAC-уровень. Теоретически, они различаются типом шины, но единственно разумным выбором в настоящее время является PCI адаптер (кстати, они PnP) с использованием bus master DMA.
Двух(трёх)скоростные адаптеры позволяют работать как в режиме 10 Mb/s, так и 100 Mb/s и 1000 Mb/s (адаптер Fast Ethernet не обязан уметь работать с 10Base-T, хотя у них одинаковые разъемы!). Приличный адаптер должен поддерживать стандарт NWay автоматического согласования скорости и режима дуплекса.
Важными компонентами адаптера являются светодиодные индикаторы наличия связи, передачи данных и режима работы.
Адаптер может иметь микросхему загрузки по сети Boot PROM по стандартам PXE (Pre-boot eXecution Environment), bootp.
WOL (Wake-on-LAN): возможность сетевой платы (совместо с BIOS метеринской платы) включать питание компьютера по приходу специального пакета (на материнской плате имеется специальный разъем для дополнительного соединения с сетевым адаптером).
Уменьшение загрузки CPU: Bus Master, zerocopy (карта самостоятельно копирует данные ОП), аппаратное вычисление контрольных сумм, scatter-gather (слияние/разлияние кусков ОП в один пакет), уменьшение числа прерываний чтения за счёт небольшой задержки (NAPI).
Например, PCI адаптеры 100Base-TX:
eth0: Intel PCI EtherExpress Pro100 82557, ..., I/O at 0xc000, IRQ 10 Receiver lock-up bug exists -- enabling work-around Board assembly 751767-004, Physical connectors present: RJ45 Primary interface chip i82555 PHY #1
eth0: Intel(R) PRO/100 S Desktop Adapter Mem:0xd7020000 IRQ:12 Speed:100 Mbps Dx:Full Hardware receive checksums enabled или новый (без поддержки VLAN, контрольных сумм) e100: Intel(R) PRO/100 Network Driver, 3.0.27-k2-NAPI ACPI: PCI interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 209 e100: eth1: e100_probe: addr 0xfeafe000, irq 209, MAC addr xx:xx:xx:xx:xx:xx
Intel(R) PRO/1000 Network Driver - version 5.3.19-k2-NAPI ACPI: PCI interrupt 0000:02:01.0[A] -> GSI 18 (level, low) -> IRQ 185 e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
Linux Tulip driver version 0.9.15-pre12 (Aug 9, 2002) tulip0: EEPROM default media type Autosense. tulip0: Index #0 - Media MII (#11) described by a 21142 MII PHY (3) block. tulip0: MII transceiver #17 config 0100 status 780d advertising 0041. tulip0: Advertising 01e1 on PHY 17, previously advertising 0041. divert: allocating divert_blk for eth2 eth2: Digital DS21143 Tulip rev 65 at 0xf88fac00, xx:xx:xx:xx:xx:xx, IRQ xx. eth2: Setting half-duplex based on MII#17 link partner capability of 0021.
Встроенный Intel Corporation 82573E Gigabit Ethernet Controller (Copper), фирменный драйвер e1000:
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0d:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit) e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection
Встроенный Intel Corporation 82573L Gigabit Ethernet Controller, фирменный драйвер e1000
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0e:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit) e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection
Intel PRO/1000 GT QUAD port (PWLA8494GT), интерфейс PCI-X:133MHz:64-bit, состоит из моста PCI-X в два PCI и двух микросхем 82546GB (2 гигабитных порта на PCI), нет PXE, нумерация снизу вверх
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0b:04.0: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:04.1: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:06.0: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:06.1: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection
Intel Corporation Ethernet Server Adapter X520-2 (2 x 82599EB 10-Gigabit SFP+)
4b:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01) Subsystem: Intel Corporation Ethernet Server Adapter X520-2 Capabilities: [a0] Express (v2) Endpoint, MSI 00 LnkCap: Port #0, Speed 5GT/s, Width x8, ASPM L0s, Latency L0 unlimited, L1 <16us LnkSta: Speed 2.5GT/s, Width x8, TrErr- Train- SlotClk+ DLActive- BWMgmt- ABWMgmt- Capabilities: [160 v1] Single Root I/O Virtualization (SR-IOV) Kernel driver in use: ixgbe Kernel modules: ixgbe
ixgbe 0000:04:00.0: failed to initialize because an unsupported SFP+ module type was detected. ixgbe 0000:04:00.0: Reload the driver after installing a supported module.
ixgbe 0000:04:00.0: eth0: WARNING: Intel (R) Network Connections are quality tested using Intel (R) Ethernet Optics. Using untested modules is not supported and may cause unstable operation or damage to the module or the adapter. Intel Corporation is not responsible for any harm caused by using untested modules.
bootutil64e Intel(R) Ethernet Flash Firmware Utility BootUtil version 1.6.49.0 Copyright (C) 2003-2017 Intel Corporation Type BootUtil -? for help Port Network Address Location Series WOL Flash Firmware Version ==== =============== ======== ======= === ============================= ======= 1 90E2BA7C6A24 4:00.0 10GbE N/A FLASH Disabled 2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled 3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present 4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present 5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present 6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present 7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown 8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown bootutil64e -FLASHENABLE -nic 1 Intel(R) Ethernet Flash Firmware Utility BootUtil version 1.6.49.0 Copyright (C) 2003-2017 Intel Corporation Enabling boot ROM on port 1...Success Reboot the system to enable the boot ROM on this port Port Network Address Location Series WOL Flash Firmware Version ==== =============== ======== ======= === ============================= ======= 1 90E2BA7C6A24 4:00.0 10GbE N/A Reboot Required 2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled 3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present 4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present 5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present 6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present 7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown 8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown bootutil64e -IMAGEVERSION Intel(R) Ethernet Flash Firmware Utility BootUtil version 1.6.49.0 Copyright (C) 2003-2017 Intel Corporation ERROR: Could not open specified file: BootIMG.FLB Port Network Address Location Series WOL Flash Firmware Version ==== =============== ======== ======= === ============================= ======= 1 90E2BA7C6A24 4:00.0 10GbE N/A PXE 2.1.40 2 90E2BA7C6A25 4:00.1 10GbE N/A FLASH Disabled 3 002590EB5D5C 6:00.0 Gigabit YES FLASH Not Present 4 002590EB5D5D 6:00.1 Gigabit NO FLASH Not Present 5 002590EB5D5E 6:00.2 Gigabit NO FLASH Not Present 6 002590EB5D5F 6:00.3 Gigabit NO FLASH Not Present 7 00E0ED75306C 130:00.0 40GbE YES FLASH Unknown 8 00E0ED75306D 130:00.1 40GbE YES FLASH Unknown
Mellanox ConnectX-2, -3 и -4 позволяет работать как в режиме InfiniBand, так и в режиме Ethernet 10Gb (разъём QSFP+!). Например, плата MHQH19-XTC ("InfiniBand: Mellanox Technologies MT26428 [ConnectX VPI PCIe 2.0 5GT/s - IB QDR / 10GigE]") или встроенный в платформу Intel H2000JF ("Network controller: Mellanox Technologies MT27500 Family [ConnectX-3]") или в платформу Intel H2000G (MT27504A1-FCCR-FV, MT27508A1-FCCR-FV). Имеются варианты HCA Mellanox (VPI) для подключения к коммутатору Mellanox кабелями Mellanox на скорости 40/56 Gbps. Модуль ядра mlx4_core имеет параметр port_type_array, который позволяет выбрать режим InfiniBand (1) или Ethernet (2), переехал в /etc/rdma/mlx4.conf:
insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_core.ko port_type_array=2
Jan 10 22:43:14 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A disabled
Jan 10 22:44:24 x98 kernel: mlx4_core: Mellanox ConnectX core driver v1.1 (Dec, 2011)
Jan 10 22:44:24 x98 kernel: mlx4_core: Initializing 0000:01:00.0
Jan 10 22:44:24 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A -> GSI 26 (level, low) -> IRQ 26
Jan 10 22:44:26 x98 kernel: mlx4_core 0000:01:00.0: 64B EQEs/CQEs supported by the device but not enabled
cat /sys/bus/pci/devices/0000\:01\:00.0/driver/module/parameters/port_type_array
2
cat /sys/bus/pci/devices/0000\:01\:00.0/mlx4_port1
eth
insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_en.ko
eth2 Link encap:Ethernet HWaddr 00:1E:67:66:FB:9D
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
обычная настройка в /etc/sysconfig/network-scripts/ifcfg-eth2
ifup eth2
ethtool -i eth2
driver: mlx4_en
version: 2.0 (Dec 2011)
firmware-version: 2.10.2370
bus-info: 0000:01:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: no
supports-register-dump: no
supports-priv-flags: no
соединил 2 сервера кабелем InfiniBand Mellanox MCC4Q30C-002 Rev B0 (Amphenol 57778JJ03)
ethtool eth2
Settings for eth2:
Supported ports: [ TP ]
Supported link modes: 10000baseT/Full
Supported pause frame use: No
Supports auto-negotiation: No
Advertised link modes: 10000baseT/Full
Advertised pause frame use: No
Advertised auto-negotiation: No
Speed: 10000Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 0
Transceiver: internal
Auto-negotiation: off
MDI-X: Unknown
Supports Wake-on: d
Wake-on: d
Current message level: 0x00000014 (20)
link ifdown
Link detected: yes
modprobe mlx4_ib
modprobe ib_umad
ibstat
CA 'mlx4_0'
CA type: MT4099
Number of ports: 1
Firmware version: 2.10.2370
Hardware version: 0
Node GUID: 0x001e67030066fb9c
System image GUID: 0x001e67030066fb9f
Port 1:
State: Active
Physical state: LinkUp
Rate: 10
Base lid: 0
LMC: 0
SM lid: 0
Capability mask: 0x04010000
Port GUID: 0x021e67fffe66fb9d
Link layer: Ethernet
# подключение к коммутору Huawei
display interface 40GE1/0/5
40GE1/0/5 current state : UP (ifindex: 57)
Line protocol current state : UP
Description:
Switch Port, PVID : 1, TPID : 8100(Hex), The Maximum Frame Length is 9216
Internet protocol processing : disabled
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 6008-10b9-7731
Port Mode: COMMON COPPER, Port Split: DISABLE
Speed: 10000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Input Flow-control: DISABLE, Output Flow-control: DISABLE
Mdi: AUTO
нормально воспринял "чужой" DAC (Intel XLDACBL3, QSFP+), но тоже на 10 Gb
замена кабеля на Mellanox MC2210126-005 40GbE не меняет картины
Intel Corporation Ethernet Converged Network Adapter XL710-QDA2 (2 QSFP+):
ethtool -i enp130s0f0 driver: i40e version: 1.3.21-k firmware-version: f5.0.40043 a1.5 n5.04 e2537 bus-info: 0000:82:00.0
84:00.0 Ethernet controller: Intel Corporation Ethernet Controller XL710 for 40GbE QSFP+ (rev 02)
Subsystem: Intel Corporation Ethernet Converged Network Adapter XL710-Q2
Capabilities: [a0] Express (v2) Endpoint, MSI 00
LnkCap: Port #0, Speed 8GT/s, Width x8, ASPM L1, Exit Latency L0s <2us, L1 <16us
LnkSta: Speed 8GT/s, Width x8, TrErr- Train- SlotClk+ DLActive- BWMgmt- ABWMgmt-
Capabilities: [e0] Vital Product Data
Product Name: XL710 40GbE Controller
Capabilities: [140 v1] Device Serial Number MAC-задом-наперёд
Capabilities: [160 v1] Single Root I/O Virtualization (SR-IOV)
kernel: i40e 0000:82:00.0: f5.0.40043 a1.5 n5.04 e2537 kernel: i40e 0000:82:00.0: The driver for the device detected a newer version of the NVM image than expected. Please install the most recent version of the network driver. kernel: i40e 0000:82:00.0: MAC address: XXX kernel: i40e 0000:82:00.0: VMDq disabled, not enough MSI-X vectors kernel: i40e 0000:82:00.0: enabling bridge mode: VEPA kernel: i40e 0000:82:00.0: i40e_ptp_init: added PHC on eth0 kernel: i40e 0000:82:00.0: PCI-Express: Speed 8.0GT/s Width x8 kernel: i40e 0000:82:00.0: Features: PF-id[0] VFs: 64 VSIs: 66 QP: 8 RX: 1BUF RSS FD_ATR FD_SB NTUPLE DCB PTP kernel: i40e 0000:82:00.0 enp130s0f0: NIC Link is Down kernel: i40e 0000:82:00.0 enp130s0f0: NIC Link is Up 40 Gbps Full Duplex, Flow Control: None
Settings for enp132s0f0: Supported ports: [ ] Supported link modes: 40000baseCR4/Full 40000baseSR4/Full 40000baseLR4/Full Supported pause frame use: Symmetric Supports auto-negotiation: No Advertised link modes: 40000baseCR4/Full 40000baseSR4/Full 40000baseLR4/Full Advertised pause frame use: No Advertised auto-negotiation: No Speed: Unknown! Duplex: Unknown! (255) Port: Other PHYAD: 0 Transceiver: external Auto-negotiation: off Supports Wake-on: d Wake-on: d Current message level: 0x0000000f (15) drv probe link timer Link detected: no
Settings for enp130s0f0: Supported ports: [ FIBRE ] Supported link modes: 40000baseCR4/Full Supported pause frame use: Symmetric Supports auto-negotiation: Yes Advertised link modes: 40000baseCR4/Full Advertised pause frame use: No Advertised auto-negotiation: Yes Speed: 40000Mb/s Duplex: Full Port: Direct Attach Copper PHYAD: 0 Transceiver: external Auto-negotiation: on Supports Wake-on: d Wake-on: d Current message level: 0x0000000f (15) drv probe link timer Link detected: yes
netperf -H 172.16.174.33 -t TCP_STREAM -v 2 -c -C -l 200 -I 99,5 -- -P ,12866
TCP STREAM TEST from 0.0.0.0 (0.0.0.0) port 0 AF_INET to 172.16.174.33 (172.16.174.33) port 12866 AF_INET
Recv Send Send Utilization Service Demand
Socket Socket Message Elapsed Send Recv Send Recv
Size Size Size Time Throughput local remote local remote
bytes bytes bytes secs. 10^6bits/s % S % S us/KB us/KB
87380 16384 16384 200.00 33374.92 4.85 12.81 0.143 0.252
Alignment Offset Bytes Bytes Sends Bytes Recvs
Local Remote Local Remote Xfered Per Per
Send Recv Send Recv Send (avg) Recv (avg)
8 8 0 0 8.344e+11 16384.00 50926401 87378.43 9549018
netperf -H 172.16.174.33 -t TCP_STREAM -v 2 -c -C -l 200 -I 99,5 -- -P 12865,12866
TCP STREAM TEST from 0.0.0.0 (0.0.0.0) port 12865 AF_INET to 172.16.174.33 (172.16.174.33) port 12866 AF_INET
Recv Send Send Utilization Service Demand
Socket Socket Message Elapsed Send Recv Send Recv
Size Size Size Time Throughput local remote local remote
bytes bytes bytes secs. 10^6bits/s % S % S us/KB us/KB
87380 16384 16384 200.00 20648.39 6.54 16.31 0.311 0.518
Alignment Offset Bytes Bytes Sends Bytes Recvs
Local Remote Local Remote Xfered Per Per
Send Recv Send Recv Send (avg) Recv (avg)
8 8 0 0 5.162e+11 16384.00 31507240 77648.82 6648068
kernel: i40e 0000:84:00.0: The driver failed to link because an unqualified module was detected.
Silicom PE340G2Qi71-QX4 (на базе Intel XL710BM2, драйвера по запросу)
ethtool -i enp130s0f0 driver: i40e version: 1.5.10-k firmware-version: 5.02 0x800023d3 0.0.0 expansion-rom-version: bus-info: 0000:82:00.0 supports-statistics: yes supports-test: yes supports-eeprom-access: yes supports-register-dump: yes supports-priv-flags: yes
82:00.0 Ethernet controller: Intel Corporation Ethernet Controller XL710 for 40GbE QSFP+ (rev 02)
Subsystem: Intel Corporation Ethernet Converged Network Adapter XL710-Q2
Capabilities: [a0] Express (v2) Endpoint, MSI 00
LnkCap: Port #0, Speed 8GT/s, Width x8, ASPM L1, Exit Latency L0s <2us, L1 <16us
LnkSta: Speed 8GT/s, Width x8, TrErr- Train- SlotClk+ DLActive- BWMgmt- ABWMgmt-
pcilib: sysfs_read_vpd: read failed: Input/output error # здесь д.б. "Product Name: XL710 40GbE Controller"
Capabilities: [140 v1] Device Serial Number MAC-задом-наперёд
Capabilities: [160 v1] Single Root I/O Virtualization (SR-IOV)
kernel: i40e: Intel(R) Ethernet Connection XL710 Network Driver - version 1.5.10-k kernel: i40e: Copyright (c) 2013 - 2014 Intel Corporation. kernel: i40e 0000:82:00.0: fw 5.0.40043 api 1.5 nvm 5.02 0x800023d3 0.0.0 kernel: i40e 0000:82:00.0: MAC address: kernel: i40e 0000:82:00.0: Added LAN device PF0 bus=0x00 func=0x00 kernel: i40e 0000:82:00.0: PCI-Express: Speed 8.0GT/s Width x8 kernel: i40e 0000:82:00.0: Features: PF-id[0] VFs: 64 VSIs: 66 QP: 8 RX: 1BUF RSS FD_ATR FD_SB NTUPLE DCB VxLAN Geneve PTP VEPA kernel: i40e 0000:82:00.1: fw 5.0.40043 api 1.5 nvm 5.02 0x800023d3 0.0.0 kernel: i40e 0000:82:00.1: MAC address: 00:e0:ed:75:30:6d kernel: i40e 0000:82:00.1: Added LAN device PF1 bus=0x00 func=0x01 kernel: i40e 0000:82:00.1: PCI-Express: Speed 8.0GT/s Width x8 kernel: i40e 0000:82:00.1: Features: PF-id[1] VFs: 64 VSIs: 66 QP: 8 RX: 1BUF RSS FD_ATR FD_SB NTUPLE DCB VxLAN Geneve PTP VEPA
Settings for enp130s0f0: Supported ports: [ ] Supported link modes: 40000baseCR4/Full 40000baseSR4/Full 40000baseLR4/Full Supported pause frame use: Symmetric Supports auto-negotiation: Yes Advertised link modes: 40000baseCR4/Full Advertised pause frame use: No Advertised auto-negotiation: Yes Speed: Unknown! Duplex: Unknown! (255) Port: Other PHYAD: 0 Transceiver: external Auto-negotiation: on Supports Wake-on: g Wake-on: g Current message level: 0x0000000f (15) drv probe link timer Link detected: no
Settings for enp130s0f0: Supported ports: [ FIBRE ] Supported link modes: 40000baseCR4/Full Supported pause frame use: Symmetric Supports auto-negotiation: Yes Advertised link modes: 40000baseCR4/Full Advertised pause frame use: No Advertised auto-negotiation: Yes Speed: 40000Mb/s Duplex: Full Port: Direct Attach Copper PHYAD: 0 Transceiver: external Auto-negotiation: on Supports Wake-on: g Wake-on: g Current message level: 0x0000000f (15) drv probe link timer Link detected: yes
Интерфейс называется (точнее назывался) eth0 (alias eth0 3c59x в /etc/modules.conf (/etc/modprobe.conf) или alias eth0 eepro100 или alias eth0 e100 или alias eth0 tulip) в Linux и le0 в Solaris.
Параметры модуля tulip
Параметры модуля 3c59x (см. vortex.txt, автосогласование при переподключении может занять до минуты):
Параметры модуля e100 (информацию и статистику можно получить из файла /proc/net/PRO_LAN_Adapters/eth0.info):
Модуль e100 3.0.27-k2-NAPI из дистрибутива CentOS 4.0 (ядро 2.6.9) не имеет параметров (кроме debug), всё управление осуществляется через mii-tool/ethtool.
Параметры модуля e1000 5.3.19-k2-NAPI
Программа ifrename (пакет wireless-tools) позволяет переименовать неактивный интерфейс или все интерфейсы. Ключ -t позволяет поменять имена местами. Конфигурационный файл /etc/iftab задаёт правила переименования. Правила просматриваются по очереди с конца файла. Каждая строка содержит имя интерфейса и набор правил выбора (И):
Программа nameif (пакет net-tools) позволяет привязать имя неактивного интерфейса к его MAC адресу (каждая строка файла /etc/mactab содержит имя интерфейса и MAC адрес).
Программа mii-tool (пакет net-tools) позволяет посмотреть (вместо 1000baseTx показывает 100baseTx) или установить режим автосогласования скорости и дуплекса для указанного интерфейса (для устройств, использующих MII, про гигабитные устройства программа не знает):
Программа ethtool (пакет ethtool) показывает или устанавливает режимы карты ethernet:
Демон netplugd (скрипт /etc/netplug.d/netplug, список интерфейсов - /etc/netplug/netplugd.conf) позволяет автоматически запускать скрипты при наступлении определённого события (появление или пропадание сигнала). Ещё есть hotplug и /etc/hotplug/net.agent.
Файл /etc/ethers содержит в каждой строке соответствие MAC адреса и IP адреса (доменного имени):
08:00:20:00:61:CA server.domain.com
Посмотреть привязку сетевых интерфейсов к MAC адресам можно командой (или заглянуть в /sys/class/net/eth0/address):
ip -o link show
Специфические скрипты Red Hat и клонов:
Настройки сетевой карты 10Гб от Intel
/bin/echo 1 > /proc/irq/`cat /proc/interrupts | grep 'eth0-rx-0' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 2 > /proc/irq/`cat /proc/interrupts | grep 'eth0-rx-1' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 4 > /proc/irq/`cat /proc/interrupts | grep 'eth0-rx-2' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 8 > /proc/irq/`cat /proc/interrupts | grep 'eth0-rx-3' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 1 > /proc/irq/`cat /proc/interrupts | grep 'eth0-tx-0' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 2 > /proc/irq/`cat /proc/interrupts | grep 'eth0-tx-1' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 4 > /proc/irq/`cat /proc/interrupts | grep 'eth0-tx-2' | awk -F \: '{printf "%i", $1}'`/smp_affinity
/bin/echo 8 > /proc/irq/`cat /proc/interrupts | grep 'eth0-tx-3' | awk -F \: '{printf "%i", $1}'`/smp_affinity
Концентратор (повторитель, хаб, concentrator, repeater, hub) делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Он передает полученный на одном порту битовый поток на все другие порты с очень небольшой задержкой (без буферизации), восстанавливая форму сигнала. Порт не имеет MAC адреса, поэтому послать кадр на него невозможно.
Возможна изоляция порта, являющегося источником большого числа ошибок (FCE), коллизий (ECE) или затянувшейся передачи (autopartitioning).
Концентраторы (и коммутаторы) могут образовывать только иерархические связи без петель, но некоторые модели позволяют поределять резервный порт, который будет активизирован в случае изоляции основного порта.
Может иметь кнопку, позволяющую переключать один из портов из обычного для концентратора режима MDI-X с обратной распайкой приемника и передатчика в режим MDI с распайкой как у сетевого адаптера. Это позволяет соединять два концентратора обычным прямым кабелем.
Повторители Fast Ethernet могут быть класса I (поддерживают все типы логического кодирования и могут иметь порты 100Base-TX, 100Base-T4 и 100Base-FX) и класса II (поддерживают только один тип кодирования и могут иметь либо только порты 100Base-T4, либо 100Base-TX и 100Base-FX). В одном сегменте коллизий может быть не более 1 концентратора класса I или не более 2 концентраторов класса II (расстояние между ними не более 5 м, соединение через специальный uplink порт). В одном сегменте нельзя использовать концентраторы разных классов. Данные правила (а также максимальные диаметры сети, приведенные выше) рассчитаны исходя из наихудших предположений. Аккуратный расчет конкретной сети может позволить установить большее количество концентраторов или увеличить длину кабеля.
Узлы с наиболее интенсивным трафиком желательно размещать поближе к концентратору. Это уменьшает коичество коллизий и увеличивает производительность сети.
Защита от прослушивания может быть обеспечена привязкой допустимого MAC адреса к порту. Для этого концентратор должен иметь возможность настройки (порт RS-232 или SNMP). При поступлении через порт кадров с неразрешенным MAC адресом данный порт отключается (по-моему, это никак не может помешать прослушиванию, если сидеть тихо; к тому же многие сетевые адаптеры позволяют прошить в EEPROM любой MAC адрес). Дополнительной защитой может служить преднамеренное искажение кадров, передаваемых на все порты кроме того, к которому подсоединен узел назначения (для этого также необходимо приписать MAC адрес к порту). Для управления по протоколу SNMP концентратор (точнее, SNMP агент в нем) должен иметь IP и MAC адреса.
Многосегментные концентраторы имеют несколько шин, к одной из которых может быть подключен любой порт. Получается как бы несколько концентраторов в одном корпусе и с возможностью гибкого переключения портов (иногда даже через RS-232 или SNMP, этакая кроссовая панель с дистанционным управлением).
Выпускаются (выпускались?) также стековые и модульные концентраторы. При нынешних ценах на коммутаторы их использование потеряло смысл.
Дополнительные возможности: резервные порты, RMON, дистанционное отключение портов, загрузка firmware по Xmodem или TFTP, поддержка BOOTP и DHCP, telnet.
Повторители не позволяют объединять в один сегмент узлы Ethernet и Fast Ethernet, т.к. у них отсутствует буфер, но выпускаются гибридные устройства, имеющие мост вместо одно (или даже всех!) из портов. Подобные устройства позволяют также каскадировать повторители.
Коммутатор (мост, switch, bridge) делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. То есть пакет, адресованный на индивидуальный адрес, получит только этот узел, но широковещательные пакеты будут распространяться по всей сети.
Мост (IEEE 802.1d) называется прозрачным, т.к. он работает незаметно для сетевых адаптеров, строя адресную таблицу исходя из пассивного наблюдения трафика. Порт моста не имеет собственного MAC адреса и буферизует все пакеты, приходящие на его порты. Адрес источника записывается в адресную таблицу. Если адрес получателя присутствует в таблице, то пакет передается в нужный сегмент через соответствующий порт (forwarding). Если при этом адрес получателя приписан к тому же порту, что и адрес отправителя, то пакет фильтруется (filtering). Если адрес получателя отсутствует в таблице или он групповой или широковещательный, то пакет рассылается по всем сегментам, кроме исходного (flooding). По мере проявления активности узлов таблица адресов заполняется. При переполнении таблицы новый адрес замещает один из старых. Элементы адресной таблицы могут также статически задаваться администратором сети (только для управляемых коммутаторов). При этом администратор может устанавливать фильтр, указывающий что делать с пакетом, имеющим данный адрес получателя (передать на определенный порт, выбросить, распространить по всем портам). В целях усиления безопасности администратор может запретить или ограничить занесение новых элементов в таблицу, а также задать фильтрацию пакетов, поступающих с неизвестных MAC адресов. Динамические элементы имеют ограниченный срок жизни, чтобы коммутатор мог отслеживать перемещения компьютеров. Для борьбы с избыточным широковещательным трафиком для каждого узла может быть установлена максимальная интенсивность широковещательных рассылок.
Неблокирующий коммутатор (wire speed) позволяет передавать кадры через порты с максимальной скоростью, обеспечиваемой этими портами (10 Mb/s, 100 Mb/s, полудуплекс или полный дуплекс, желательна поддержка стандарта NWay автоматического согласования скорости и режима дуплекса). Например, для 24-портового коммутатора, работающего в режиме полного дуплекса необходима пропускная способность 24x200Mbps = 4.8 Gbps. Практически все продаваемые в настоящее время коммутаторы рекламируются как неблокирующие, но при сочетании различных скоростей и режимов дуплекса на разных портах могут быть проблемы вплоть до падения скорости до 50 КБ/сек. См., например, результаты испытаний дешевых коммутаторов.
Даже неблокирующий коммутатор не сможет обслуживать полноскоростные входящие потоки из 2 портов, направленные в один выходной порт. Через некоторое время (зависит от размера буфера) он начнет терять кадры. Коммутатор может воздействовать на генерирующие пакеты узлы слегка нарушая протокол доступа к среде:
При подключении к порту коммутатора одного узла (микросегментация) появляется возможность работать в дуплексном режиме: достаточно не считать одновременную работу приемника и передатчика коллизией (в любом случае, они используют отдельные витые пары). Если при полудуплексном режиме интенсивность генерации пакетов узлом "автомагически" контролировалась алгоритмом доступа к разделяемой среде, то в дуплексном режиме ничто не мешает одному узлу выдавать пакеты со скоростью, неприемлемой для принимающего узла. Стандарт IEEE 802.3x ввел команды физического уровня "приостановить передачу" (PAUSE) и "возобновить передачу".
Методы коммутации:
Конструктивное исполнение:
Транковые соединения (link aggregation group, EtherChannels) позволяют объединить несколько связей в единое целое, увеличивая как производительность, так и надежность.
Построенная на коммутаторах сеть не может содержать петли, иначе пакет начинает бесконечно циркулировать по этой петле (нет аналога TTL), а коммутаторы перестраивать свои адресные таблицы. Для повышения надежности между узлами прокладывают избыточные связи, но при этом некоторые порты блокируют вручную или с помощью алгоритма STA (Spanning Tree Algorithm, IEEE 802.1d/802.1D-2004, Spanning Tree Protocol, RSTP, IEEE 802.1W). STA (STP) позволяет коммутаторам автоматически строить покрывающее дерево на множестве всех связей сети с помощью постоянного обмена служебными пакетами (BPDU) по групповым или широковещательному адресу. Обмен начинается при включении или при обнаружении потери связности. Для работы STA необходимо назначить корневой коммутатор (может выбираться автоматически по минимальному MAC адресу блока управления) и определить время передачи для каждого соединения (расстояние). Для перестройки дерева при отказе связи или узла требуется несколько секунд (минута?). Ускоренный механизм резервных связей (RSTP, distance vector model) работает значительно быстрее (меньше секунды при правильной настройке). Для сетей с VLAN используется MSTP (Multiple Spanning Tree Protocol).
Коммутатор может иметь для каждого выходного порта несколько очередей с различным приоритетом. Приоритет может назначаться исходя из номера входного порта, MAC адреса, IP адреса (для коммутаторов 3 уровня) или согласно IEEE 802.1p/802.1Q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о номере VLAN из IEEE 802.1Q), вставляемый перед полем даных и содержащий 3-битный уровень приоритета. Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1p. Могут использоваться частные протоколы назначения приоритета (например, PACE фирмы 3COM). Класификация трафика может использоваться не только для задания приоритетов, но и для ограничения полосы пропускания сверху и снизу.
Коммутатор с возможностями VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик, полностью изолируя сегменты друг от друга. Помогает противостоять хакерским атакам, превращающим коммутатор в концентратор путем переполнения таблицы адресов (т.е. таблица переполняется, но границы между VLAN остаются неприступными). Разрабатывался для оптимизации трафика, а не для защиты, так что полагаться на него не стоит. Один узел может входить в состав нескольких VLAN. Для передачи кадров между виртуальными сегментами необходимо использовать маршрутизатор, который может быть подключен через один интерфейс сразу в несколько VLAN ("однорукий" маршрутизатор). VLAN образуются на основе номеров подсетей (для коммутаторов 3 уровня), портов, MAC адресов или стандарта IEEE 802.1q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о приоритете кадра согласно IEEE 802.1p), вставляемый перед полем данных и содержащий 12-битный идентификатор VLAN (VID 0, 1 и 4095 зарезервированы). Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1q. Могут использоваться частные протоколы (ISL фирмы Cisco). Для каждой VLAN строится свое покрывающее дерево STA.
Стандарты 802.1p/802.1Q/802.1Q-2003 (вошли в 802.1D в 1998 году) определяют новые форматы MAC кадра (помеченные кадры) для различных вариантов кадра (802.3/LLC, Ethernet II) и правила трансляции из обычных кадров в помеченные и обратно. Например, помеченный кадр Ethernet II состоит из полей (заметьте, что максимальный размер увеличивается на 4 байта - с 1518 до 1522 байт):
Протокол GARP между узлом и коммутатором позволяет узлам динамически присоединяться к VLAN или группе (multicast) и покидать ее.
IGMP snooping (IGMP, RFC 1112) - способность коммутатора "заглядывать" в пакеты IGMP и DVMRIP для определения на каких портах находятся члены многоадресных IP групп (224.0.0.0 - 239.255.255.255).
Полезной возможностью "продвинутых" коммутаторов является способность фильтровать трафик или назначать приоритеты исходя из содержания пакета (смещение поля, размер, значение).
Управление коммутатором (заметьте, что многие in-band методы управления передают информацию - включая пароль! - открытым текстом):
HP ProCurve 1400 (J9077A) представляет собой 8-портовый неуправляемый коммутатор с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab 1000Base-T Gigabit Ethernet). Монтируется только в горизонтальном положении. Размер пакетного буфера: 144 КБ. Ёмкость ПЗУ/ОЗУ: 128 КБ. Задержки на скорости 100 Мб менее 3,9 мкс (размер пакета 64 байта), на скорости 1000 Мб - менее 2,1 мкс (размер пакета 64 байта). Размер адресной таблицы - 8 000 элементов. Производительность коммутации - 16 Гб/с. Пропускная способность до 11,9 млн. пакетов в секунду. Поддержка IEEE 802.3x Flow Control и приоритетности по протоколу IEEE 802.1p. Потребляемая мощность - 18 Вт.
HP ProCurve 2626 (J4900B): 24 порта RJ-45 (10/100, Auto-MDIX) и 2 гигабитных порта, совмещённых с mini-GBIC.
HP ProCurve 2610-48 (J9088A): 48 портов RJ-45 (10/100, Auto-MDIX).
Отличия версии H.10.108 (декабрь 2012) от H.10.83: исправления ошибок в STP, SSH, аутентификации, LLDP, DHCP, ARP, 802.1X, syslog. Обновление по TFTP:
copy tftp flash IP-адрес имя-файла primary boot
HP ProCurve 2824 (J4903A) и 2848 (J4904A): 24 или 48 портов RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto-MDIX) и mini-GBIC. Последняя прошивка (обновление по TFTP) - I_10_101.swi (2012). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков).
HP ProCurve 2848 имеет 5 вентиляторов (2824 - 3 вентилятора), 1 из которых имеет право не работать при нормальной окружающей температуре. Имеются SNMP датчики работы вентиляторов (good или bad) и температуры (good или bad).
HP ProCurve 2810-24G (J9021A) и 2810-48 (J9022A): 20 или 44 порта RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto MDI/MDI-X) и mini-GBIC (ревизии B и новее, ProCurve Gigabit-SX-LC Mini-GBIC (J4858C), горячее подключение), MIPS BCM5836 264 MHz, 64 MB SDRAM, 16 MB Flash, буфер пакетов 1.5 MB, задержка 5.4 мкс, 96 Gbps, 71.4 Mpps, таблица MAC адресов - 8000, 100 W, 4 кг, 341 BTU/h (360 kJ/h), 1U. Поддержка: Jumbo кадров до 9224 байта, VLAN (802.1Q, до 256) и GARP, MSTP (802.1s), RSTP (802.1w), LACP (802.3ad), SNTP, SNMPv1/v2c/v3 (MIB: MIB II (RFC 1213), Bridge MIB (RFC 1493), RMONv2 (RFC 2021), Ethernet-Like-MIB (RFC 2665), IP Forwarding Table MIB (RFC 2096), 802.3 MAU (RFC 2668), 802.1p and IEEE 802.1Q Bridge MIB (RFC 2674), Entity MIB v2 (RFC 2737), Interfaces group (RFC 2863)), LLDP, 802.1X, TACACS+, RADIUS, настройка блокировки чрезмерного широковещательного потока для каждого порта, QoS (802.1p) и CoS (установка меток QoS по IP адресам и номерам портов), sFlow (RFC 3176), разрешение или ограничение доступа по MAC адресам (статически назначенным или обучаемым), изолированные порты. Опциональный резервный БП HP ProCurve 600 RPS/EPS, J8168A, автоматически начинает питать 1 из 6 подключённых к нему коммутаторов при отказе его БП. 3 или 5 вентиляторов, может работать без одного из них при комнатной температуре. До 16 устройств можно объеденить в виртуальный стек. Индикаторы питания, аварии (мигает - проблема, горит - большая проблема), идентификации (Locator, нечем включить?), состояния самотестирования (50 секунд, мигает - проблема), вентилятора (мигает - проблема), RPS (горит - доступен, мигает - питает другой коммутатор или сломан). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков). Для каждого порта индикаторы соединения (мигает - проблема), активности, дуплекса (горит - full duplex), скорости (горит - 1Gb, мигает - 100 Mb, не горит - 10Mb). Последовательный порт для управления (разъём RJ-45, кабель DB-9), VT-100, автоматическое распознавание скорости от 1200 до 115200 бод, 8N1, Xon/Xoff, перед началом работы нажать Enter. Если выставить скорость 9600 и нажать кнопку сброса, то можно прочитать журнал загрузки или узнать ошибку самотестирования. Выключатель питания отсутствует. Можно располагать горизонтально или вертикально (боковые стенки не должны быть расположены вверх или вниз).
Порты разбиты на 2 банка (1-24 и 25-48). При отключении автосогласования скорости и дуплекса порт работает только в режиме MDI-X (т.е. для подключения оконечного устройства необходимо использовать прямой кабель) при использовании оборудования не от HP (поправлено в новой версии?).
Интерфейс управления: командная строка или меню (1 telnet и/или RS-232), веб-интерфейс (требуется Java; HTTP и HTTPS), SNMP, бесплатное приложение ProCurve Manager (PCM), платное приложение ProCurve Manager Plus (PCM+). До 4 сессий SSH (посмотреть: "show ip ssh"; убить: "kill номер-сессии"). Меню и веб-интерфейс обеспечивают простой доступ к подмножеству функций. Запуск меню из командной строки: menu. Управление сервером telnet: "[no] telnet-server". Управление веб-сервером: "[no] web-management". Настройка параметров консоли (требуется перезагрузка): console [local-terminal]
По умолчанию получает IP адрес и прочие сетевые настройки по DHCP для VLAN по умолчанию. Не получив ответа от BOOTP/DHCP сервера повторяет запросы с увеличивающимися интервалами. Проблема при смене сети, получаемой от DHCP, "на ходу" (настаивает на получении адреса из старой сети). Для каждой VLAN можно назначить 1 основной и 7 дополнительных IP адресов (только при ручной настройке).
Уровни прав доступа (при входе запрашивается только пароль, надо ввести пароль нужного уровня; длина пароля - до 16 печатных символов ASCII; в настройках можно задать имя оператора и администратора для веб-интерфейса - до 16 печатных символов ASCII):
Уровни командной строки: оператор (выход по команде exit или logout), администратор (вход на уровень по команде manager или enable; команды ? и exit), глобальные настройки (команды configure и exit), контекстные настройки (порт, VLAN; команды interface, vlan и exit). Клавиша Tab дополняет частично введённую команду или выдаёт список возможных дополнений, а также позволяет получить список возможных операндов. Символ "?" в качестве операнда выдаёт краткую подсказку. "help" в качестве операнда выдаёт некраткую подсказку. Имеется история команд и редактирование строки.
Обновление прошивки по TFTP (настройки не изменяются, требуется перезагрузка, secondary - это запасная прошивка): "copy tftp flash IP-адрес имя-файла [primary|secondary]". Проверка версии: "show version" (загруженная); "show flash" (обе). Копирование основной версии в запасную: "copy flash flash secondary". Загрузка запасной версии: "boot system flash secondary". Быстрая перезагрузка той же версии: "reload [after часов:минут]". Есть возможность обновления через веб-интерфейс.
Изменения:
Конфигурация бывает текущая (running-config file; "show running-config" или "write terminal"; сохраняется командой "write memory") и загрузочная (startup-config file; "show config"; вернуться к настройкам по умолчанию - "erase startup-config"). Части настройки, совпадающие с умолчальными, не показываются. Сравнение конфигураций: "show config status". При использовании меню и веб-интерфейса изменения вносятся сразу в оба файла.
Можно поменять часть приветствия командой "banner motd символ-завершения", посмотреть "show banner motd", отключить - "no banner motd".
Информация о системе:
Настройка времени (скачки времени более 3 секунд записываются в журнал):
Умеет выводить сообщения на syslog (по умолчанию в user):
logging ip-адрес logging facility имя debug event show debug
Настройка портов (интерфейсов):
STP
RSTP
MSTP
Защита от локальных циклов неуправляемых устройств (например, EtherCat) с помощью посылки специальных кадров на указанные интерфейсы, при получении пакета обратно интерфейс блокируется:
По умолчанию, определена 1 VLAN по имени DEFAULT_VLAN
Разрешение приёма Jumbo кадров (до 9224 (9220?) байт, включая метку VLAN) осуществляется по всей VLAN (по умолчанию выключено), если не на всех портах VLAN нужно принимать Jumbo кадры - создавайте дополнительную VLAN из нужного подмножества портов, наложенную на исходную VLAN. Включается только для только статических VLAN. Действует только для портов 1Gbps без включённого контроля потока (выключен по умолчанию). Если на одной из VLAN, к которой приписан порт, разрешён приём Jumbo кадров, то порт будет получать Jumbo кадры от устройств с любой VLAN. Прорвавшийся в коммутатор Jumbo пакет будет выведен через гигабитный порт при любых настройках. Настройка:
[no] vlan номер-VLAN jumbo # разрешить Jumbo кадры
Настройки Jumbo кадров в Linux:
ip l set dev eth0 mtu 9000
Режим QoS Pass-Through (по умолчанию?, qos-passthrough-mode) упрощает схему обработки QoS для ускорения передачи от 1Gb устройства к 100 Mb устройству (2 выходные очереди вместо 4).
Агрегирование портов (до 24 транковых портов, до 6 групп портов, до 4 активных портов и до 4 резервных на группу) для увеличения скорости и/или надёжности: ручное (trunk) или с использованием 802.3ad (LACP, Link Aggregation Control Protocol, статическое и динамическое объединение). Для распределения кадров по выходным портам используется алгоритм SA/DA: все кадры с одинаковыми парами MAC адресов источника и назначения идут через один и тот же порт; кадры с одинаковыми адресами источника, но разными адресами назначения равномерно разбрасываются по портам; кадры с разными адресами источника, но одинаковыми адресами назначения также равномерно разбрасываются (возможна ситуация когда один порт переполнен, а другие простаивают). Порты устройства сегментированы и группа портов должна входить в один сегмент (ссылка на таблицу сегментов есть, самой таблицы нет). Требуется сначала настроить LACP или транки и только затем соединять устройства. При настройке возможен перерыв в обслуживании до 30 секунд. Настройки STP и VLAN едины для всей группы. LACP несовместим с приоритетами, аутентификацией 802.1X и port-security. Группа не может быть портом мониторинга, но можно мониторить статическую группу. Порты, входящие в группу, должны быть соединены между устройствами напрямую одним типом носителя и иметь одинаковую скорость, режим дуплекса и управление потоком. Для LACP необходим полный дуплекс (рекомендуется установить Auto). LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме (выключён по умолчанию, хотя в документации утверждается обратное, в 2824/2848 - включён) отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы на объединение. Порты с обоих сторон могут быть в активном режиме. Статический LACP необходим для использования мониторинга, использования нестандартных настроек STP или IGMP, включения во VLAN, отличный от DEFAULT_VLAN, без использования GVRP и если с другой стороны статический LACP. Статический LACP (Trk), динамический LACP (Dyn) и транк (Trk) несовместимы. Посмотреть статические группы: "show trunks". Создать статическую группу: "trunk список-портов trkНомер {trunk | lacp}". Удалить порт из статической группы: "no trunk список-портов" (необходимо предварительно разъединить устройства, иначе без STP - выключен по умолчанию - будет широковещательный шторм). Посмотреть LACP группы: "show lacp". Перевод группы портов в активный режим LACP: "interface список-портов lacp active". Отключение LACP: "no interface список-портов lacp". Отключение активного режима: "no interface список-портов lacp; interface список-портов lacp passive". Отключение активного режима, если группа уже используется:
configure
interface список-портов
disable
lacp passive
enable
Серия коммутаторов HP V1910G (в девичестве 3COM Baseline Switch 2900) включает модели на 8 (JG348A), 16 (JE005A, 3CRBSG2093, 3Com Baseline Plus Switch 2920), 24 (JE006A, 3CRBSG2893, 3Com Baseline Plus Switch 2928) и 48 (JE009A, 3CRBSG5293, 3Com Baseline Plus Switch 2952) портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Также имеются модели с PoE - 1910-24G-PoE на 365 Вт (JE007A, 3Com Baseline Plus Switch 2928 HPWR); 1910-24G-PoE на 170 Вт (JE008A, 3Com Baseline Plus Switch 2928 PWR) и др.. Дополнительно (не взамен!) от 1 до 4 портов SFP. Полная скорость коммутатции. Возможность статической маршрутизации (полная скорость по битам, но не по пакетам), инспекции ARP и DHCP. Процессор: ARM @ 333 МГц, 128 MБ ОЗУ (показываются только 68 МБ), 512 КБ под буфер пакетов, 128 МБ флэш-памяти (показываются только 96 МБ). Размер таблицы MAC адресов - 8192. Встроенный БП и 1 вентилятор с переменной скоростью вращения (выдувает направо), потребление HP V1910-48G - от 25 до 60 Вт. Включает комплект для монтажа в стойку (1U). Требует заземления. Загружается более минуты. Гарантия lifetime на устройство, вентиляторы и БП (доставка на следующий рабочий день).
Индикаторы питания (часто мигает - ошибка), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния каждого SFP (мигают только при приёме).
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока, VT100, нажать ^B в течении 1 секунды для входа в меню загрузчика, ввести пароль загрузчика (не системы! пустой поначалу); позволяет пропустить разбор конфигурационного файла, поменять пароль загрузчика, загрузить прошивку, удалить прошивку, посмотреть список прошивок.
Управление:
RFC1213-MIB::atPhysAddress.54.1.192.168.172.14 = Hex-STRING: 1C C1 DE 82 B5 DD
(54 - это VLAN1)
...
IP-MIB::ipNetToMediaPhysAddress.54.192.168.172.14 = STRING: 1c:c1:de:82:b5:dd
...
SNMPv2-SMI::mib-2.17.1.2.0 = INTEGER: 52
SNMPv2-SMI::mib-2.17.1.4.1.1.1 = INTEGER: 1
...
SNMPv2-SMI::mib-2.17.7.1.2.2.1.2.1.0.2.179.216.169.229 = INTEGER: 1
MAC = Port
...
SNMPv2-SMI::enterprises.25506.8.35.3.1.1.1.0.2.179.216.169.229.1 = Hex-STRING: 00 02 B3 D8 A9 E5
(аналог .1.3.6.1.2.1.17.4.3.1.1, но с .1 на конце)
...
SNMPv2-SMI::enterprises.25506.8.35.3.1.1.2.0.2.179.216.169.229.1 = INTEGER: 1
(аналог .1.3.6.1.2.1.17.4.3.1.2, но с .1 на конце)
...
SNMPv2-SMI::enterprises.25506.8.35.3.2.1.2.1.0.2.179.216.169.229 = INTEGER: 1
(аналог .1.3.6.1.2.1.17.4.3.1.2)
Судя по внутренней нумерации портов устройство состоит из 2 коммутирующих микросхем (по 24 обычных порта и 2 SFP на каждую).
Обновил прошивку до V1910-CMW520-R1513P06 (загружается после обновления 3 минуты). Обновление возможно через HTTP/HTTPS, FTP, TFTP, XModem. Файл .bin содержит обновление как загрузчика, так и системы. Можно обновить основную или резервную прошивку. Прошивка имеет имя файла (лучше оставить то имя, что получилось при загрузке с сайта HP). Флеш содержит не только файлы прошивки, но и резервные копии конфигураций, журналы и, в принципе, может содержать любые файлы (файлы могут иметь атрибут невидимости). Имеется менеджер файлов: загрузка, выгрузка, удаление. Изменения в версиях от P7 до 51 - добавлена поддержка IE10 и исправлены ошибки: перезагрузка при административной блокировке порта, нулевые ошибки в отчётах по SNMP, деблокировка многопортовых конфигураций после обнаружения цикла, перезагрузка при попытке получить диагностическую информацию.
По названию очень похожи коммутаторы серии HP 1910 (без G, порты 100Base-T) - HP 1910-8 (JG536A), HP 1910-24 (JG538A), HP 1910-24-PoE+ (JG539A, 170 Вт на PoW+ (IEEE 802.3at) суммарно, до 30 Вт на порт, 2 вентилятора) и др. Вместо 4 дополнительных SFP имеется 2 комбо порта - либо 1000Base-T либо SFP (т.е. 26 портов для HP 1910-24), дальше идут интерфейсы NULL0 и Vlan-interface1. Фальшивый стек только из 4 устройств вместо 32. Заявлено: процессор MIPS @ 500 МГц (прошивки несовместимы), 128 MБ ОЗУ, 512 КБ под буфер пакетов, 32 МБ флэш-памяти (видимы 28.42 МБ). Размер таблицы маршрутизации: 32 (следующие добавляются, но не работают). Размер таблицы MAC адресов - 8192. QoS: 4 аппаратные очереди. Отсутствует датчик температуры. Прошивка при поступлении: 5.20.99 R1115 (больше возможностей, чем в R1513P06 для v1910-48G). В версии R1116 исправлены проблемы с DoS для NTP. В аппаратной ревизии A (REVA) пакеты не маршрутизириуются обратно на тот же порт.
Возможности:
Настроить:
HP V1900-8G (JD865A), в девичестве 3COM 3CDSG8 (3Com OfficeConnect Managed Gigabit Switch 8, 3CGSU08A). Гарантия 3 года с авансовой заменой на следующий рабочий день. 8 портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Последний порт совмещён с SFP. Внешний блок питания, совмещённый с вилкой; к счастью, узкий; 12V, 1A, 8 Вт. Безвентиляторный. Индикаторы питания, состояния коммутатора, состояния SFP, состояния и скорости каждого порта, дуплекса каждого порта. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока. Процессор: Vitesse VSC7398 @ 25 МГц, 128 КБ SDRAM, 2 МБ флэш-памяти. Размер таблицы MAC адресов - 8192 (8000? в управляющем процессоре - 128). Управление: консоль (интерфейс командной строки), IMC (Intelligent Management Center, что это?), веб-браузер (требуется JavaScript и CSS, HTTPS не реализован), SNMP. Сброс настроек: если в течении 15 секунд после включения (после "Booting..." до "0") ввести "Ctrl+Shift+minus" на последовательном порту.
Возможности:
Не брать для больших и средних сетей (более 100 узлов).
SuperStack 3 Baseline Switch 3C16465B - 24 порта 10/100, неуправлвяемый, автоопределение скорости, дуплекса (при отсутствии автоопределения с другой стороны - half duplex). Порты 1-23 - MDI-X, порт 24 - можно переключить в режим MDI. Потребляемая мощность - 88 VA.
3COM SuperStack 3 Switch 3226 (3CR17500-91) - 24 порта 10/100. Ныне называется HP SuperStack 3 3200 26-port Switch (JF062A).
Синхронизации времени и syslog нет.
3COM SuperStack 3 Switch 4400-48 PT (3C17204) - 48 портов 10/100 и модуль 3C17220 SuperStack3 Switch 1000Base-T. Консоль - DB-9/male 19200,8,N,1. Узнать список MAC: bridge/addressDatabase/summary. Активность портов: bridge/port/summary.
Веб-интерфейс проверяет браузер на IE4 или NN4. Немного работает в Firefox под видом IE7,
3COM Baseline Switch 2948-SFP Plus (3CBLSG48, HP JE004A) - 48 портов 10/100/1000 и 4 совмещённых SFP). Встроенный БП, 1U. Отсутствует telnet. Не поддерживает Jumbo frame (пробовал 4000).
3COM Switch 3870 48-port (3CR17451-91, HP JF061A) - 48 портов 10/100/1000.
Последняя прошивка (2008) - s3h03_00s56p07 (обновление по TFTP).
Синхронизации времени и syslog нет, CDP и LLDP тоже.
Нумерация вентиляторов (на правой стороне) сзади. Имеется мониторинг количества сбоев каждого вентилятора (заявлен мониторинг скорости вращения, но она всегда равна нулю), имеется мониторинг температуры (0 до достижения какой-то границы). Управление вентиляторами неадекватное.
Cisco Catalist WS-C2950-24 - 24 порта 10/100.
Краткое и устаревшее описание IOS
Серия коммутаторов Dell PowerConnect 5500 включает модели на 24 и 48 портов (Dell PowerConnect 5548, сервисный код - JKXMTS1) 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Дополнительно 2 порта SFP+ (10 Gbps, XG, 1000Base-X-SFP+), 2 порта для объединения коммутаторов (10Gbps, HDMI), консоль и порт USB для обновления прошивки и конфигурации. Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps (транисиверы от FC распознались как 1Gbps). В серию входит модель с 24 портами и модели с PoE. Обещается полная скорость коммутации (non-blocking). Управляющий процессор Marvell ARM CPU, 256 MB SDRAM, 16 MB flash, 2 пакетных процессора Marvell: 98DX4122 и 98DX4123 (Prestera-DX4122 - 24 порта Gigabit Ethernet, 4 порта 10 Gbit Ethernet, пакетный процессор FlexLink 800 MHz, общая пропускная способность - 64 Gbps? а для связи между половинками используется всего 1 порт на 10 Gbps?). Встроенный БП, потребление - от ? до 100 Вт. 2 вентилятора (выдувает налево) с автоматическим управлением (включается при более 50°C, выключается при менее 40°C при отсутствии нагрузки получалось 42°C и вентиляторы никогда не выключались). Резервное питание от источника постоянного тока RPS (Redundant Power Supply). (экономия энергии по 802.3az для простаивающих и неактивных портов). Включает комплект для монтажа в стойку (1U). Гарантия lifetime (ремонт и замена). Индикаторы: питания (мигает при локации устройства), состояния коммутатора (мигает при загрузке, красный мигает при проблемах, красный горит когда совсем плохо), номер коммутатора в стеке, является ли коммутатор главным в стеке, подключение резервного питания (зелёный - OK, красный - неудача), состояние вентиляторов (зелёный - OK, красный - неудача), локатор (сзади) для поиска устройства (Unit Identification), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния ((зелёный - 10Gbps, жёлтый - 1Gbps)) и активности каждого SFP+, соединение и активность стековых портов HDMI. Имеется кнопка сброса коммутатора. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Размер таблицы MAC адресов - 16000. Управление: консоль, telnet и SSH (до 4 сессий; CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до 27 сессий одновременно, HTTP и HTTPS); для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, USB), автоматическая загрузка конфигурации и прошивки с TFTP сервера или USB. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1).
Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, для избежания этого необходимо нажать "Other format". Отдельно обновляются загрузчик (.rbf) и система (.ros). Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. Для аппаратной версии A03 настоятельно рекомендуется прошивка 4.1.0.5 и выше. Прошивка 4.1.0.8 (загрузчик - powerconnect_55xx_boot-10014.rfb; ОС - powerconnect_55xx-4108.ros, называет себя 4.1.0.15). Установка с помощью CLI с TFTP (можно указывать только адрес, не имя!):
console# copy running-config startup-config # на всякий случай console# copy tftp://адрес-tftp-сервера/путь-к-файлу-ros [unit://*/]image # номер выбирается автоматически? console# copy tftp:///адрес-tftp-сервера/путь-к-файлу-rbf [unit://*/]boot # не показывается в списке файлов console# show bootvar console# boot system image-X [all] console# reload
Изменения от 4.1.0.8 до 4.1.0.15: OpenSSH 5.9, исправление ошибок.
Изменения от 4.1.0.15 до 4.1.0.20: удалён доставший ^M из сообщений syslog, поддержка кабеля 40G Molex break-out, OpenSSL 1.0.1j (прощай SSL3), исправление ошибок.
Возможности:
configure
lacp system-priority число # 1
port-channel load-balance {src-dst-mac | src-dst-ip | src-dst-mac-ip} # no port-channel load-balance # src-dst-mac-ip
interface gi1/0/1
lacp port-priority число # no lacp port-priority
lacp timeout {long|short}
channel-group номер-группы mode {auto|on} # no cnannel-group, on - ручной, auto - LACP
exit
...
exit
show lacp gi1/0/1 [parameters | statistics | protocol-state]
show lacp port-channel [номер-группы]
show interfaces port-channel [номер-группы]
show interfaces switchport te1/0/1
configure port jumbo-frame exit copy running-config startup-config reload show ports jumbo-frame
vlan database
vlan 2 name service
vlan 3 name grid
vlan 4 name users
exit
interface port-channel 1
switchport mode trunk
exit
interface gi1/0/3
switchport mode access
switchport access vlan 2
exit
show vlan
Vlan Name Tagged Ports UnTagged Ports Type Authorization
---- ------------ ------------------ ------------------ --------- -------------
1 1 gi1/0/1-2, Default Required
gi1/0/4-7,
gi1/0/9-47,
gi2/0/1-48,
te2/0/1-2,
gi3/0/1-48,
te3/0/1-2,
gi4/0/1-48,
te4/0/1-2,
gi5/0/1-48,
te5/0/1-2,
gi6/0/1-48,
te6/0/1-2,
gi7/0/1-48,
te7/0/1-2,
gi8/0/1-48,
te8/0/1-2,Po1-32
2 service Po1 gi1/0/3,gi1/0/8, permanent Required
gi1/0/48
3 grid Po1 permanent Required
4 users Po1 permanent Required
show ip interface
IP Address I/F Type Directed Precedence Status
Broadcast
------------------- --------- ----------- ---------- ---------- -----------
192.168.145.31/21 vlan 4 Static disable No Valid
192.168.153.31/21 vlan 3 Static disable No Valid
192.168.161.31/21 vlan 2 Static disable No Valid
192.168.173.31/22 vlan 1 Static disable No Valid
Серия коммутаторов Dell PowerConnect 8024F (сервисный код - 9QYNTS1) включает модели на 24 порта SFP/SFP+ (Ethernet 1 или 10 Gbps), последние 4 совмещёны с 4 портами 1Gb/10GBase-T (модель 8024 - наоборот) для монтажа в стойку (1U) с 2 блоками питания 300 Вт горячей замены (максимальное потребление коммутатора 160 Вт), охлаждение спереди назад (3 модуля охлаждения горячей замены), до 6 устройств могут быть объединены в стек через SFP+. Вот только глубина коммутатра в 50 см не позволит дотянуться до заменяемых блоков. Работоспособен при температуре от 0 до 40°C (в другом месте 45°C). Порты SFP+ позволяют использование оптических трансиверов (SX или LX, например, Finisar FTLX8571D3BCL - 10GBASE-SR LC multimode 850nm) на скорости 10Gbps или 1Gbps (трансиверы от коммутатора FC на 8Gbps распознались как 1Gbps) или "прямой кабель" (например, DELL 470-11430, SFP+ Direct Attached Twinax Cable; кстати, купить кабели длиной более 3 метров не удалось). Сделан на базе BCM56820_B0 (24 порта 10GbE (также поддерживает 1Gbps и 2.5Gbps) и 4 порта 1Gbps; полный дуплекс 240+ Gbps, поддержка VLAN и таблиц уровня 3 - DPI, ACL и прочее - на полной скорости, 357 Mpps, 32000 MAC адресов, 4000 элементов в таблице ARP, 16 Mb памяти пакетов). Управляющий ЦП - PowerPC 8533 (1 GHz), ОП - 1ГБ, флеш - 32 МБ. Поддерживает протоколы маршрутизации RIP (512 маршрутов), OSPF (3000 маршрутов). Предназначен для использования в качестве ToR (Top-of-Rack) коммутатора, агрегатора или ценьра сети (для маленьких ЦОД). Гарантия lifetime (ремонт и замена). Индикаторы сзади: диагностика (мигает - идёт тест, красный - авария) температура (оранжевый - перегрев), питания на каждом БП (красный - авария), состояние вентиляторов на каждом модуле вентиляторов (зелёный - OK, красный - неудача), стек (зелёный - мастер, оранжевый - подчинённый, не обнаружил). Имеется кнопка сброса коммутатора (?). Индикаторы спереди: состояния коммутатора (красный мигает при загрузке, синий - нормально), состояния и скорости каждого порта (зелёный - 10Gbps, жёлтый - 100/1000 Mbps). Управляющий порт RS-232 (верхний RJ-45, переходник на DB-9 в комплекте): DTE, 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Имеется дополнительный порт для управления out-of-band (нижний RJ-45 сзади, 1000Base-T). Управление (до 8 локальных пользователей): консоль; telnet (до 4 сессий) и SSH (до 5 сессий; выключен по умолчанию, перед включением сгенерировать или загрузить ключи хоста); CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ?27 сессий одновременно, HTTP и HTTPS; поддерживаются IE 9, Firefox 14, Chrome 21; для сохранения изменений необходимо нажать кнопку Apply); ?для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP), автоматическая загрузка конфигурации и прошивки с TFTP сервера. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1 (в версии прошивки 3 - IPv4 для коммутатора "в целом"), адрес управляющей станции, адрес шлюза, имя SNMPv1/2c).
Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, чтобы избежать этого необходимо выбрать "Other format" (Другие форматы). ? Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. При покупке оказалась прошивка 3.1.4.5 (VxWorks 6.5). Прошивка 5.1.0.1 (VxWorks 6.6; один файл PC8024v5.1.0.1.stk - совместное обновление загрузчика и системы). Для перехода с версий 3 или 4 или 5.0 требуется специальная процедура. Установка с помощью CLI с TFTP (для записи в файл на сервере нужны права 777, можно указывать только адрес сервера, а не имя!):
подключаться только от ИБП!
обеспечить вход после обновления прошивки
console#configure
console(config)#enable password пароль
console(config)#exit
console#copy running-config startup-config
сохранение настроек
console#copy running-config tftp://адрес-tftp-сервера/путь-к-файлу.config
копирование прошивки на устройство (требует права доступа на запись в каталог!) и замена
console#copy tftp:///адрес-tftp-сервера/путь-к-файлу-stk image
console#show version
console#boot system нужный-образ
console#show version
console#update bootcode
перезагрузка (автоматически),
обновление загрузчика и прошивки каждого PHY (процесс виден только в консоли, занимает несколько минут)
не понравился startup-config ("ip address"), нужно поправить с консоли
console#configure
console(config)#interface vlan 1
console(config-if-vlan1)#ip addres адрес маска
console(config-if-vlan1)#exit
console(config)#line telnet
console(config-telnet)#enable authentication enableList
console(config-telnet)#exit
console(config)#exit
console#copy running-config startup-config
console#show bootvar
проверить (нужна версия 6) и обновить CPLD (только с консоли, команд нет в списке!)
console#dev cpldTest
console#dev cpldUpdate
выключить питание на 10 секунд
Отличия версии 5.1 от 4.2:
Отличия версии 4.2 от 3:
Возможности:
configure
lacp system-priority 1
interface range port-channel all
mtu 9216
exit
interface port-channel 1 # Po1
description описание
port-channel local-preference # для стекируемых устройств
port-channel min-links число # 1
hashing-mode режим # 3 - Source IP and source TCP/UDP port, 7 - Enhanced hashing mode
exit
interface te1/0/21
lacp port-priority 1
lacp timeout {long | short}
channel-group 1 mode {active | on} # no channel-group # active - LACP
exit
...
exit
show interfaces port-channel 1
show lacp {te1/0/21 | gi1/0/1 | port-channel 1}
show statistics port-channel 1
config interface range Tengigabitethernet all mtu 9216 exit exit show interfaces mtu
Серия коммутаторов D-Link SmartPro DGS-1510 (Layer 3 Lite) включает модели на 16, 24 и 48 портов 1000Base-T (IEEE 802.3ab) с 2 или 4 портами SFP+ (1G или 10G, XG, 1000Base-X-SFP+), с возможностью PoE, с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Бессрочная ограниченная гарантия.
Модель D-Link DGS-1510-52X (RGS151052XA1AA1G, H/W Ver: A1, L2-switch VER-1.61) на 48 портов 1000Base-T и 4 порта SFP+ (1G или 10G), обещается коммутационная матрица 176 Гбит/сек (видимо просто просуммированы скорости портов). Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps, 2 порта можно использовать для объединения в стек до 6 устройств, нижние порты (50 и 52) перевёрнуты. Не все подсистемы воспринимают порты 51 и 52 - STP. Родные трансиверы: DEM-311GT (1000BASE-SX, multi-mode, 550м), DEM-312GT2 (1000BASE-SX, multi-mode, 2км?), DGS-712 (1000BASE-T to SFP), DEM-431XT (10GBASE-SR, without DDM, 300м для OM3 MMF), DEM-431X-DD (10GBASE-SR, with DDM - Digital Diagnostics Monitoring, 300м для OM3 MMF), DEM-CB100S (SFP+ DAC, 1м), DEM-CB300S, DEM-CB700S. Нормально воспринял "неродные" трансиверы Finisar FTLX8571D3BCL и DAC кабели от Dell (нет полюбившихся нам команд "service unsupported-transceiver", "no errdisable detect cause sfp-config-mismatch" и "no errdisable detect cause gbic-invalid"). Встроенный БП (100-240В), потребление - от 29Вт (ожидание) до 44 Вт, 2 вентилятора справа (выдувает направо) с автоматическим управлением (выше 45°C - полная скорость, ниже 40°C - пониженная скорость). Управляющий процессор ?, 256 MB SDRAM, 30 MB flash, 2 пакетных процессора ?. Размер таблицы MAC адресов - 16000 (512 статических записей). Метод передачи пакетов только Store-and-forward (обещается 130 Mpps, видимо просто просуммированы скорости портов). Буфер пакетов 3МБ (судя по всему внутри 2 коммутирующие матрицы с 1.5 MB на каждую? или глядя на таблицу ERPS - 6 по 0.5MB?). Рабочая температура до 50°C. Включает комплект для монтажа в стойку (1U).
Индикаторы: питания, консоли (мигает во время самотестирования), номер коммутатора в стеке (от 1 до 6, H - главный, h - резервный, G - самозащита, E - ошибка самотестирования), состояние вентиляторов (зелёный - OK, красный - неудача), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния (зелёный - 10Gbps, жёлтый - 1Gbps) и активности каждого SFP+. Имеется утопленная кнопка сброса - удерживать 5 секунд для сброса настроек. Загружается медленно (более 3 минут).
Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте - приём, передача, общая земля): 115200, 8N1, без контроля потока, VT100. Управление: консоль, telnet и SSH (CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ? сессий одновременно; либо HTTP, либо HTTPS (можно встроить нужный сертификат); для просмотра графиков требуется Adobe Flash; есть русский, но я не рискнул; не все функции); SNMPv1, v2c и v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, HTTP). Видимо конфигурация хранится во внутреннем формате и команды CLI преобразуются в него и обратно ("show running [all|effective]" размером 60 КБ и безумной структуры). По умолчанию DHCP выключен, IP адрес 10.90.90.90/8 и шлюз 0.0.0.0, пустые имя и пароль (неотображаемые admin/admin в новой версии). При смене ip адреса явно - нет доступа ни по новому адресу, ни по старому, необходимо использовать DHCP.
Общие сведения о командном языке:
Исходная прошивка (на базе vxworks) для DGS-1510-52X - 1.10.005,
Перед обновление необходимо проверить версию оборудования и сравнить с версией прошивки (D-Link под одним именем модели выпускает оборудование совершенно разной архитектуры, например, с управляющим процессором другой архитектуры). Обновление прошивки возможно через TFTP, HTTP (требуется JAVA и TFTP ;). Возможность иметь несколько копий прошивки и конфигураций (всего места во флеш - 29937 K, прошивка занимает около 9МБ):
Процедура установки (в документации ошибки, в заголовке значится DXS-3600):
dir copy tftp: //адрес/имя-файла flash: имя-файла # не воспринимает адрес из командной строки, только в интерактиве configure terminal boot image check имя-файла boot image имя-файла # copy running startup не нужен exit show boot reboot
Начальная установка с консоли:
enable crypto key generate rsa crypto key generate dsa configure terminal # создание пользователя с максимальными привилегиями (простой, но неправильный метод) username имя password пароль username имя privilege 15 # смена пароля для стандартного пользователя admin username admin password пароль service password-encryption # защита консоли и telnet line console login local exit line telnet login local session-timeout 10 exit # SSH ip ssh server ssh user root authentication-method password ssh user admin authentication-method password line ssh login local session-timeout 10 exit # http, здравствуй новый чудный мир! из-за борьбы за "настоящую" безопасность приходится отключать SSL #ip http secure-server ip http server ip http timeout-policy idle 600 # настройка IP адреса interface vlan 1 ip address адрес маска-сети # SNTP clock timezone + 3 0 no clock summer-time sntp server IP-адрес1 sntp server IP-адрес2 sntp enable # syslog logging buffered severity debugging write-delay 300 logging console severity warnings logging server IP-адрес severity debugging facility 16 port 514 command logging enable # SNMP no snmp-server no snmp-server enable traps snmp-server name имя snmp-server location местонахождение snmp-server contact ответственный no snmp-server community public no snmp-server community private no snmp-server user initial initial v2c no snmp-server user initial initial v3 no snmp-server group initial v3 noauth no snmp-server group public v1 no snmp-server group public v2c no snmp-server group private v1 no snmp-server group private v2c no snmp-server view restricted no snmp-server view CommunityView # snmp-server engineID local ... #snmp-server view restricted 1.3.6.1.2.1.1 included #snmp-server view restricted 1.3.6.1.2.1.11 included #snmp-server view restricted 1.3.6.1.6.3.10.2.1 included #snmp-server view restricted 1.3.6.1.6.3.11.2.1 included #snmp-server view restricted 1.3.6.1.6.3.15.1.1 included snmp-server view CommunityView 1 included snmp-server view CommunityView 1.3.6.1.6.3 excluded # пароли snmp-server view CommunityView 1.3.6.1.6.3.1 included snmp-server community имя-для-чтения view CommunityView ro # хранится в открытом виде #snmp-server community имя-для-записи view CommunityView rw snmp-server # Jumbo frame interface range eth1/0/1-52 max-rcv-frame-size 9216 # включение мониторинга оптических трансиверов interface range ethernet 1/0/49-52 transceiver-monitoring enable exit # LLDP lldp run interface range ethernet 1/0/1-52 lldp dot3-tlv-select mac-phy-cfg lldp dot3-tlv-select max-frame-size lldp dot3-tlv-select link-aggregation lldp management-address IP-адрес-коммутатора lldp tlv-select system-name lldp tlv-select system-description exit # детектор циклов errdisable recovery cause loopback-detect interval 60 loopback-detection mode port-based # статический LACP port-channel load-balance src-dst-mac interface range ethernet 1/0/49-50 channel-group 1 mode on exit exit # сохранение (ошибка в документации) copy running-config startup-config
Возможности:
port-channel load-balance src-dst-mac interface ethernet 1/0/49 channel-group 1 mode active interface ethernet 1/0/50 channel-group 1 mode active
Current High-Alarm High-Warning Low-Warning Low-Alarm
Temperature(C) 33.122 90.000 85.000 0.000 -5.000
Voltage(V) 3.335 3.800 3.700 2.800 2.700
Bias Current(mA) 8.448 100.000 90.000 0.100 0.000
TX Power(mW) 0.531 1.000 0.794 0.316 0.251
RX Power(mW) 0.377 1.000 0.794 0.063 0.050
?ip dhcp relay information trust-all ip dhcp pool legacy relay destination адрес exit service dhcp
configure terminal vlan 2 name service exit vlan 3 name grid exit vlan 4 name users exit interface vlan 2 ip address адрес маска exit interface vlan 3 ip address адрес маска exit interface vlan 4 ip address адрес маска exit # trunk Po1 к Huawei Eth-Trunk 2 interface ethernet 1/0/51 channel-group 1 mode active exit interface ethernet 1/0/52 channel-group 1 mode active exit interface port-channel 1 # trunk Po1 к Huawei Eth-Trunk 2 switchport mode hybrid switchport hybrid allowed vlan tagged 2-4 интерфейсы VLAN-ов пингуются снаружи show arp # наш адрес E8-CC-18-30-88-00 IP Address Hardware Addr IP Interface Age (min) ----------------- ----------------- ------------- --------------- 192.168.172.181 00-15-17-B1-6D-20 vlan1 20 192.168.172.196 00-23-7D-A1-BE-36 vlan1 20 192.168.172.247 00-1C-C0-8B-18-1E vlan1 20 192.168.173.240 E8-CC-18-30-88-00 vlan1 forever 192.168.161.239 60-08-10-B9-77-34 vlan2 20 192.168.161.240 E8-CC-18-30-88-00 vlan2 forever 192.168.152.5 A4-BF-01-02-C4-DF vlan3 20 192.168.153.240 E8-CC-18-30-88-00 vlan3 forever 192.168.145.240 E8-CC-18-30-88-00 vlan4 forever show vlan VLAN 1 Name : legacy Tagged Member Ports : Untagged Member Ports : 1/0/1-1/0/52 VLAN 2 Name : service Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : VLAN 3 Name : grid Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : VLAN 4 Name : users Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : Total Entries : 4 show vlan interface port-channel 1 Port-channel1 VLAN mode : Hybrid Native VLAN : 1 Hybrid untagged VLAN : 1 Hybrid tagged VLAN : 2-4 Ingress checking : Enabled Acceptable frame type : Admit-All Dynamic tagged VLAN : show vlan interface eth1/0/1 eth1/0/1 VLAN mode : Hybrid Native VLAN : 1 Hybrid untagged VLAN : 1 Hybrid tagged VLAN : Ingress checking : Enabled Acceptable frame type : Admit-All Dynamic tagged VLAN : show ip interface vlan 2 Interface vlan2 is enabled, Link status is up IP address is адрес/длина-маски (Manual) ARP timeout is 20 minutes. Helper Address is not set Proxy ARP is disabled IP Local Proxy ARP is disabled gratuitous-send is disabled, interval is 0 seconds ?ip dhcp relay information trust-all ip dhcp pool legacy relay destination адрес exit service dhcp int eth1/0/4 switchport mode access switchport access vlan 2 exit ... show vlan VLAN 1 Name : legacy Tagged Member Ports : Untagged Member Ports : 1/0/1,1/0/3,1/0/6-1/0/45,1/0/47-1/0/52 VLAN 2 Name : service Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : 1/0/2,1/0/4-1/0/5,1/0/46 VLAN 3 Name : grid Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : VLAN 4 Name : users Tagged Member Ports : 1/0/51-1/0/52 Untagged Member Ports : show vlan interface eth1/0/2 eth1/0/2 VLAN mode : Access Access VLAN : 2 Ingress checking : Enabled Acceptable frame type : Untagged-Only
Фирма Huawei с 2013 года представляет для ЦОД несколько линеек коммутаторов Cloud Engine (CE, для кампусов другая линейка S) на программной платформе VRP8 (Huawei Versatile Routing Platform Software):
Опробованные модели:
При нормальной установке (F) порты сзади (port side, back side), БП и вентиляторы спереди (power supply side, front side), поток воздуха дует с передней стороны (голубая метка, AIR IN) к задней стороне (порты), корпус немного скошен сзади, воздух выходит в отверстия этого скоса. Модули вентиляторов (2 вентилятора на модуль) горячей замены не резервированные - сломанный вентилятор д.б. заменён в течении 3 минут, 1 вентилятор из 4 - резервированный. БП горячей замены резервированные, при удалении необходимо заменить заглушкой, выдерживают разрывы питания до 10 мс, синус в рамках 5%. Максимальное потребление - 245 Вт (CE6810-24S2Q-LI - 171 Вт, CE5855-48T4S2Q-EI - 103 Вт), типовое потребление (100% траффик, медные кабели во всех портах) - 145 Вт (CE6810-24S2Q-LI - 88 Вт, CE5855-48T4S2Q-EI - 76 Вт). ЦП - 4 ядра по 1.2 ГГц (CE5855-48T4S2Q-EI - 2 ядра по 1 ГГц), ОП - 2 ГБ, NOR - 16 МБ, NAND - 1 ГБ (CE6810-24S2Q-LI и CE5855-48T4S2Q-EI - 512 МБ, dir показывает 269168 байт). Может быть подключён в стек с помощью 10GE/25GE (не витая пара) или 40GE/100GE портов.
Имеется отдельный Ethernet порт управления (RJ-45, старшие модели имеют 2 порта RJ-45/SFP - только 1 из 4 может использоваться), при настройке интерфейс именуется meth 0/0/0.
Последовательный порт управления EIA/TIA-232 DCE (нестандартное гнездо RJ-45 с распайкой 2-3-5), в старших версиях дополнительно, но не одновременно mini USB (требуется драйвер TUSB3410), в комплекте приходит кабель с DB-9 female, распайка 3-6-5. Стандартные настройки - 9600-8-1-none.
Индикаторы:
Определение возможностей по имени модели и сравнение моделей по их возможностям (комментарии на китайском).
Подбор компонент по имени модели. Настойчиво рекомендуется использовать сертифицированные оптические модули (про DAC и AOC не говорится), Intel E10GSFPSR SFP+ с FTLX8571D3BCV-IT1 внутри (ещё есть версия с AFBR-703SDZ-IN2 внутри) - опознаётся, включается лазер, нормальная мощность входного сигнала и никаких проблем, но интерфейс не поднимается (намекают на проблемы с автосогласованиме или тестированием):
Процедура установки заплатки (обещана совместимость вверх в рамках ветви с одинаковыми V и R, во время и после установки коммутатор горячей заплатки (HP) продолжает работать, для ввода в действие холодной заплатки (CP) требуется перезагрузка - см. описание изменений; заплатки могут быть инкрементальными (содержат предыдущие в серии, не требуется удалять предыдущие в серии) и нет; состояние заплатки: простаивающая (загрузили на устройство хранения), деактивированная (загрузили в область заплаток), активированная (работает до перезагрузки), работающая):
Заплатка может быть в одном из состояний:
После замены элемента стека необходимо синхронизовать заплатки: patch configuration-synchronize.
Сброс заплатки для следующей загрузки производится командой: reset patch-configure next-startup.
Процедура обновления прошивки (значимо: версия V100, выпуск R005, C10, SPC200; незначимы заплатки), обещается совместимость снизу вверх, можно откатываться с осторожностью (с использованием предварительно сохранённой конфигурации), в состав обновления прошивки .cc входит обновление BIOS, при перезагрузке коммутатор не обслуживает запросы, рекомендуется сохранить до и сравнить после таблицы маршрутизации, FIB и MAC:
В версии V100R005, заплатки от 8 до 12: существенных изменений нет, исправлены ошибки (84 страницы с описанием, часть заплаток требует перезагрузки).
В версии V100R006C00SPC600 (VRP V800R011C00), документация, размер удвоился:
В версии V200R001C00SPC700 (VRP V800R012C01 или 8.120), документация:
В версии V200R001C00SPC700 заплатки до SPH025: изменений нет, исправлены ошибки (264 страницы с описанием, часть заплаток требует перезагрузки для активации):
В версии V200R002C50SPC800 (VRP V800R015C00), документация (разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006 V200R001, V200R002C20SPC100 и V200R002C50), изменения относительно V200R001C00SPC700:
В версии V200R003C00SPC810 (VRP V800R016C06), документация, (разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006, V200R001, V200R002, V200R003C00SPC100 и V200R003C00SPC200), изменения относительно V200R002C50SPC800:
Версий V200R005 много: V200R005C00SPC600, V200R005C00SPC800, V200R005C10SPC300, V200R005C10SPC800 (доступна), V200R005C20SPC600 (VRP V800R019C06), V200R005C20SPC800 (VRP V800R019C06, 8.180), V200R005C20SPC810 (для отдельных устройств). (разрешено прямое обновление с сохранением всех функций на V200R005C10SPC800 с версий V200R001, V200R002, V200R003, V200R005C00, V200R005C10, or V200R005C10SPC300):
V200R005C20SPC600 сделана специально для поддержки CE6863-48S6CQ и CE6881-48S6CQ, обновление на неё не предусмотрено. В V200R005C20SPC800 добавлена поддержка CE6820-48S6CQ и БП PDC1000S12; можно обновляться только с V200R005C20SPC600; добавлены PFC, BFD для M-LAG, "port-isolate l3 enable", "display stack upgrade status".
Для работы VXLAN в версии V100R005C00 и выше требуется лицензия CE-LIC-VXLAN (CE68-LIC-VXLAN) . На одно устройство (ESN) полагается только 1 лицензия, поэтому для добавления лицензии необходимо отозвать текущую (revoke), при это выдаётся код, который необходимо указать при заказе объединённой лицензии. Отозванная лицензия переходит в режим Trial на 60 дней, после истечения пробного периода становится невозможно добавить новую конфигурацию, но можно пользоваться уже созданной. При создании стека достаточно одной лицензии на любое участвующее в стеке устройство.
При включении требуется подключиться к консольному порту (9600-8-none-1-none), прервать ZTP (^C) и ввести пароль (от 8 до 16 символов, символы д.б. не менее 2 классов), эквивалент
user-interface con 0 authentication-mode password set authentication password cipher ... user privilege level 15 commit return save
Настройка входа и первоначальная настройка:
system-view sysname имя-устройства commit interface meth 0/0/0 ip address ip-адрес бит-маски quit # interface commit clock timezone MSK add 03:00:00 ntp unicast-peer IP-адрес1 ntp unicast-peer IP-адрес2 undo ntp server disable info-center timestamp log format-date precision-time second info-center timestamp trap format-date precision-time second info-center timestamp debugging format-date precision-time second info-center loghost адрес facility local0 local-time transport udp commit aaa # вот именно "А-А-А!!!" главное - это не отпилить сук, на котором сидишь # "улучшения" безопасности ограничивают длину имени пользователя от 6 до 253 символов # пароль от 8 символов должен включать прописные и строчные буквы, цифры и символы undo local-user policy security-enhance undo user-name minimum-length undo local-user policy password complexity-enhance commit local-user имя-пользователя password irreversible-cipher пароль local-user имя-пользователя level 15 # 3 local-user имя-пользователя service-type telnet ssh terminal commit quit # из aaa display aaa local-user username имя-пользователя user-interface vty 0 4 user privilege level 15 # 3 authentication-mode aaa protocol inbound all quit # user-interface undo telnet server disable commit # теперь можно заходить telnet, предлагает сменить небезопасный пароль rsa local-key-pair create # 2048 dsa local-key-pair create # 2048 ecc local-key-pair create # 521 commit stelnet server enable commit ssh user имя-пользователя ssh user имя-пользователя authentication-type all ssh user имя-пользователя service-type stelnet ssh authorization-type default root dsa peer-public-key имя-ключа encoding-type openssh public-key-code begin содержимое ~/.ssh/id_dsa.pub public-key-code end peer-public-key end ssh user имя-пользователя assign dsa-key имя-ключа commit # теперь можно заходить SSH transceiver non-certified-alarm disable return save # в первый раз запрашивает имя файла, подставляет "vrpcfg.zip"
Узнай свой продукт
display device manufacture-info
Slot Card Type Serial-number Manu-date
----------------------------------------------------------------------------
1 -- CE6851-48S6Q-HI xxxxxxxxxxxxxxxxxxxx 2016-06-25
FAN1 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
FAN2 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
PWR1 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
PWR2 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
2 -- CE6851-48S6Q-HI xxxxxxxxxxxxxxxxxxxx 2016-06-25
FAN1 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
FAN2 FAN-40EA-F xxxxxxxxxxxxxxxxxxxx 2016-06-11
PWR1 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
PWR2 PAC-600WA-F xxxxxxxxxxxxxxxxxxxx 2016-05-25
101 -- CE5855-48T4S2Q-EI xxxxxxxxxxxxxxxxxxxx 2017-02-15
FAN1 FAN-040A-F xxxxxxxxxxxxxxxxxxxx 2017-01-05
FAN2 FAN-040A-F xxxxxxxxxxxxxxxxxxxx 2017-01-05
PWR1 ES0W2PSA0150 xxxxxxxxxxxxxxxxxxxx 2017-01-07
PWR2 ES0W2PSA0150 xxxxxxxxxxxxxxxxxxxx 2017-01-07
display version # SVF
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.120 (CE6851HI V200R001C00SPC700)
Copyright (C) 2012-2016 Huawei Technologies Co., Ltd.
HUAWEI CE6851-48S6Q-HI uptime is 8 days, 1 hour, 24 minutes
Patch Version: V200R001SPH006
CE6851-48S6Q-HI(Master) 1 : uptime is 8 days, 1 hour, 23 minutes
StartupTime 2017/07/06 20:51:53+03:00
Memory Size : 2048 M bytes
Flash Size : 1024 M bytes
CE6851-48S6Q-HI version information
1. PCB Version : CEM48S6QP04 VER B
2. MAB Version : 1
3. Board Type : CE6851-48S6Q-HI
4. CPLD1 Version : 102
5. CPLD2 Version : 102
6. BIOS Version : 365
CE6851-48S6Q-HI(Standby) 2 : uptime is 3 days, 1 hour, 28 minutes
StartupTime 2017/07/11 20:46:43+03:00
Memory Size : 2048 M bytes
Flash Size : 1024 M bytes
CE6851-48S6Q-HI version information
1. PCB Version : CEM48S6QP04 VER B
2. MAB Version : 1
3. Board Type : CE6851-48S6Q-HI
4. CPLD1 Version : 102
5. CPLD2 Version : 102
6. BIOS Version : 365
CE5855-48T4S2Q-EI(Leaf) 101 : uptime is 3 days, 1 hour, 27 minutes
StartupTime 2017/07/11 20:47:30+03:00
Memory Size : 2048 M bytes
Flash Size : 512 M bytes
CE5855-48T4S2Q-EI version information
1. PCB Version : CEM48T4S2QP03 VER B
2. MAB Version : 1
3. Board Type : CE5855-48T4S2Q-EI
4. CPLD1 Version : 101
5. BIOS Version : 365
display version # одиночный, старая прошивка
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.100 (CE6810LI V100R005C10SPC200)
Patch Version: V100R005SPH007
Memory Size : 2048 M bytes
Flash Size : 512 M bytes
1. PCB Version : CEM24S2QP01 VER A
2. MAB Version : 1
3. Board Type : CE6810-24S2Q-LI
4. CPLD1 Version : 100
5. CPLD2 Version : 100
6. BIOS Version : 312
display version # одиночный, новая прошивка
Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.150 (CE7855EI V200R002C50SPC800)
Copyright (C) 2012-2017 Huawei Technologies Co., Ltd.
HUAWEI CE7855-32Q-EI uptime is 0 day, 0 hour, 32 minutes
Patch Version: V200R002SPH006
CE7855-32Q-EI(Master) 1 : uptime is 0 day, 0 hour, 31 minutes
StartupTime 2018/03/30 02:59:18+03:00
Memory Size : 4096 M bytes
Flash Size : 1024 M bytes
NVRAM Size : 512 K bytes
CE7855-32Q-EI version information
1. PCB Version : CEM32QP02 VER B
2. MAB Version : 1
3. Board Type : CE7855-32Q-EI
4. CPLD1 Version : 101
5. CPLD2 Version : 101
6. BIOS Version : 386
И его составные части
display sn all
Slot 1:
Equipement SN(ESN): серийный-номер
License ESN: серийный-номер
----------------------------------------------------------------------------
Slot Sub Type SN P/N
----------------------------------------------------------------------------
1 - CE6851-48S6Q-HI 02350JAR
FAN1 FAN-40EA-F 02355421
FAN2 FAN-40EA-F 02355421
PWR1 PAC-600WA-F 02310PMJ
PWR2 PAC-600WA-F 02310PMJ
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Port Type SN Description
----------------------------------------------------------------------------
10GE1/0/1 74752-9506 224330379 12000Mb/sec--nm---3(Copper)
10GE1/0/2 OMXD30000 OSX12S50077 10300Mb/sec-850nm-LC-400(50um/125um OM4) # Dell ON743D aka Finisar FTLX8571D3BCL
10GE1/0/3 AFBR-2CAR10Z AZ1530KDA0000B-A 10300Mb/sec--nm---10(Copper) # AOC
40GE1/0/1 AFBR-79EBPZ-CS1 AVM1817S1GD 40GE-850nm-LC-100(50um/125um OM3)
40GE1/0/2 QSFP+ SR4 QB420625 40GE-850nm-MPO-100(50um/125um OM3),150(50um/125um OM4)
40GE1/0/3 606770003 APF16350030RF0 40GE--nm---3(Copper)
40GE1/0/5 MCC4Q30C-002 AC341054311 40GE--nm---2(Copper)
40GE1/0/6 AFBR-79EBPZ-CS2 AVM1848U73C 40GE-850nm-LC-100(50um/125um OM3)
40GE2/0/1 MCC4Q30C-002 AC341053969 40GE--nm---2(Copper)
40GE2/0/5 MC2210126-005 MT1645VS03705 40GE--nm---5(Copper)
40GE2/0/6 MC2210126-005 MT1645VS03696 40GE--nm---5(Copper)
40GE101/0/1 MCC4Q30C-002 AC341053969 40GE--nm---2(Copper)
40GE101/0/2 QSFP+ SR4 QB420626 40GE-850nm-MPO-100(50um/125um OM3),150(50um/125um OM4)
----------------------------------------------------------------------------
Более подробно:
display device elabel ... [Board Properties] BoardType=CE6851-HI-F-B0A BarCode=серийный-номер Item=02350JAR Description=Basic Configuration,CE6800,CE6851-HI-F-B0A,CE6851-48S6Q-HI Switch ... Manufactured=2016-06-25 VendorName=Huawei ... [Port_10GE1/0/1] ... [Board Properties] BoardType=7452-9506 # в реальности DAC от Dell, 3м BarCode=224330379 Item= Description=12000Mb/sec--nm---3(Copper) Manufactured=2012-08-30 VendorName=Molex Inc. ... [Port_10GE1/0/2] ... [Board Properties] BoardType=OMXD30000 # в реальности Dell ON743D aka Finisar FTLX8571D3BCL BarCode=OSX12S50077 Item= Description=10300Mb/sec-850nm-LC-400(OM4) Manufactured=2012-06-12 VendorName=HUAWEI ... [Port_10GE1/0/3] ... [Board Properties] BoardType=AFBR-2CAR10Z BarCode=AZ1530KDA0000B-A Item= Description=10300Mb/sec--nm---10(Copper) # в реальности AOC Manufactured=2015-07-22 VendorName=AVAGO ... [Port_40GE1/0/3] ... [Board Properties] BoardType=MC2210126-005 BarCode=MT1645VS03705 Item= Description=40GE--nm---5(Copper) Manufactured=2016-08-02 VendorName=Mellanox ... [Port_40GE1/0/4] ... [Board Properties] BoardType=MC1204127-003 # в реальности DAC переходный от Infiniband QDR к SDR, 3м BarCode=AC341052636 Item= Description=40GE--nm---3(Copper) Manufactured=2010-08-27 VendorName=Mellanox ... [Port_40GE1/0/5] ... [Board Properties] BoardType=MCC4Q30C-002 # в реальности DAC Infiniband QDR, 2м BarCode=AC341054311 Item= Description=40GE--nm---2(Copper) Manufactured=2010-08-31 VendorName=Mellanox ... [Port_40GE1/0/6] ... [Board Properties] BoardType=AFBR-79EBPZ-CS2 BarCode=AVM1848U73C Description=40GE-850nm-LC-100(50um/125um OM3) Manufactured=2014-12-01 VendorName=CISCO-AVAGO ... [FAN1] ... [Board Properties] BoardType=FAN-40EA-F BarCode=серийный-номер Item=02355421 Description=Assembling Components,Fan box(EA,Front to Back,FAN panel side intake),FAN-40EA-F,Fan box(EA,Front to Back,FAN panel side intake) Manufactured=2016-06-11 VendorName=Huawei ... [PWR1] ... [Board Properties] BoardType=PAC-600WA-F BarCode=серийный-номер Item=02310PMJ Description=Function Module,AC PSU,PAC-600WA-F,600W AC Power Module(Front to Back,Power panel side intake) Manufactured=2016-05-25 VendorName=Huawei ...
О трансиверах отдельно:
display interface transceiver [non-certified] verbose
10GE1/0/1 transceiver information:
# DAC от Intel
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_Passive_Copper_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :3(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :Molex Inc.
Vendor Part Number :74752-9506
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :224330379
Manufacturing Date :2012-08-30
Vendor Name :Molex Inc.
-------------------------------------------------------------------
Alarm information:
10GE1/0/2 transceiver information:
# трансивер от Dell, не знаю почему он выглядит от Huawei
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_SR
Connector Type :LC
Wavelength (nm) :850
Transfer Distance (m) :20(62.5um/125um OM1)
80(50um/125um OM2)
300(50um/125um OM3)
400(50um/125um OM4)
Digital Diagnostic Monitoring :YES
Vendor Name :HUAWEI
Vendor Part Number :OMXD30000
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :OSX12S50077
Manufacturing Date :2012-06-12
Vendor Name :HUAWEI
-------------------------------------------------------------------
Alarm information:
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :27.43
Voltage (V) :3.20
Bias Current (mA) :7.75
Bias High Threshold (mA) :25.00
Bias Low Threshold (mA) :3.00
Current RX Power (dBm) :-3.93
Default RX Power High Threshold (dBm) :2.00
Default RX Power Low Threshold (dBm) :-16.00
Current TX Power (dBm) :-2.65
Default TX Power High Threshold (dBm) :2.00
Default TX Power Low Threshold (dBm) :-10.00
-------------------------------------------------------------------
10GE1/0/3 transceiver information:
# "самодельный" AOC от SNR
-------------------------------------------------------------------
Common information:
Transceiver Type :10GBASE_Active_Copper_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :10(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :AVAGO
Vendor Part Number :AFBR-2CAR10Z
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AZ1530KDA0000B-A
Manufacturing Date :2015-07-22
Vendor Name :AVAGO
-------------------------------------------------------------------
40GE1/0/5 transceiver information:
# DAC от комплекта Infiniband
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_CR4
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :2(Copper)
Digital Diagnostic Monitoring :NO
Vendor Name :Mellanox
Vendor Part Number :MCC4Q30C-002
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AC341054311
Manufacturing Date :2010-08-31
Vendor Name :Mellanox
-------------------------------------------------------------------
Alarm information:
40GE1/0/6 transceiver information:
# "самодельный" трансивер от SNR
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_BIDI
Connector Type :LC
Wavelength (nm) :850
Transfer Distance (m) :100(50um/125um OM3)
Digital Diagnostic Monitoring :YES
Vendor Name :CISCO-AVAGO
Vendor Part Number :AFBR-79EBPZ-CS2
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :AVM1848U73C
Manufacturing Date :2014-12-01
Vendor Name :CISCO-AVAGO
-------------------------------------------------------------------
Alarm information:
LOS Alarm
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :N/A
Voltage (V) :N/A
Bias Current (mA) :0.00|0.00 (Lane0|Lane1)
0.00|0.00 (Lane2|Lane3)
Bias High Threshold (mA) :10.00
Bias Low Threshold (mA) :0.50
Current RX Power (dBm) :-50.00|-50.00(Lane0|Lane1)
-50.00|-50.00(Lane2|Lane3)
Default RX Power High Threshold (dBm) :5.00
Default RX Power Low Threshold (dBm) :-9.00
Current TX Power (dBm) :-50.00|-50.00(Lane0|Lane1)
-50.00|-50.00(Lane2|Lane3)
Default TX Power High Threshold (dBm) :5.00
Default TX Power Low Threshold (dBm) :-3.00
-------------------------------------------------------------------
40GE1/0/32 transceiver information:
# "самодельный" кабель (SNR) без проблем работал как часть порта Fabric между CE6851 и CE5855
# при подключении между CE7855 и CE7855 не выдаёт ошибок, но несколько раз в час кладёт интерфейс
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_SR4
Connector Type :MPO
Wavelength (nm) :850
Transfer Distance (m) :100(50um/125um OM3)
150(50um/125um OM4)
Digital Diagnostic Monitoring :YES
Vendor Name :OEM
Vendor Part Number :QSFP+ SR4
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :QB420623
Manufacturing Date :2011-10-18
Vendor Name :OEM
-------------------------------------------------------------------
Alarm information:
-------------------------------------------------------------------
Diagnostic information:
Temperature (Celsius) :35.74
Voltage (V) :3.29
Bias Current (mA) :6.12|6.05 (Lane0|Lane1)
5.83|5.86 (Lane2|Lane3)
Bias High Threshold (mA) :13.00
Bias Low Threshold (mA) :0.50
Current RX Power (dBm) :4.65 (All lanes)
-2.01|-2.72 (Lane0|Lane1)
-0.62|-0.54 (Lane2|Lane3)
Default RX Power High Threshold (dBm) :3.40
Default RX Power Low Threshold (dBm) :-13.51
Current TX Power (dBm) :6.98 (All lanes)
0.96|0.96 (Lane0|Lane1)
0.96|0.96 (Lane2|Lane3)
Default TX Power High Threshold (dBm) :3.40
Default TX Power Low Threshold (dBm) :-11.60
40GE1/0/31 transceiver information:
# AOC кабель от Mellanox VPI 56Gbps нет диагностики, ошибки на интерфейсе, но зато он не отваливается как предыдущий
-------------------------------------------------------------------
Common information:
Transceiver Type :40GBASE_Active_Optical_Cable
Connector Type :-
Wavelength (nm) :-
Transfer Distance (m) :20(Optical Cable)
Digital Diagnostic Monitoring :NO
Vendor Name :Mellanox
Vendor Part Number :MC220731V-020
Ordering Name :
-------------------------------------------------------------------
Manufacture information:
Manu. Serial Number :DW361700574
Manufacturing Date :2017-08-29
Vendor Name :Mellanox
Total Error: 76
CRC: 5, Giants: 0
Jabbers: 71, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0
Total Error: 18
CRC: 1, Giants: 0
Jabbers: 17, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0
О питании:
display device power system
Average power consumption: 195 W
Current power consumption: 191 W
Power manage cycle: 1 hour
Power manage mode: Standard
Power Supply Module Information:
----------------------------------------------------------------------------------
Slot PowerNo Present Mode State Current Voltage ActualPower RatedPower
(Ampere) (Volt) (Watts) (Watts)
----------------------------------------------------------------------------------
1 PWR1 YES AC Supply 3.3 12.1 40 600
PWR2 YES AC Supply 2.2 12.2 27 600
2 PWR1 YES AC Supply 2.0 12.2 24 600
PWR2 YES AC Supply 3.5 12.1 42 600
101 PWR1 YES AC Supply -- -- -- 150
PWR2 YES AC Supply -- -- -- 150
----------------------------------------------------------------------------------
Board Power Information:
-----------------------------------------------------------------------
Slot Card BoardType State ActualPower RatedPower
(Watts) (Watts)
-----------------------------------------------------------------------
1 -- CE6851-48S6Q-HI -- 67 245
2 -- CE6851-48S6Q-HI -- 66 245
101 -- CE5855-48T4S2Q-EI -- 58 103
О вентиляторах:
display device fan
fan module:
---------------------------------------------------------------------------------
Slot FanID FanNum Status Speed Mode Airflow Direction
---------------------------------------------------------------------------------
1 FAN1 [1-2] Normal 40%(6950) Auto Front-to-Back
1 6900
2 7000
FAN2 [1-2] Normal 40%(7050) Auto Front-to-Back
1 7100
2 7000
2 FAN1 [1-2] Normal 40%(7000) Auto Front-to-Back
1 7000
2 7000
FAN2 [1-2] Normal 40%(7000) Auto Front-to-Back
1 7000
2 7000
101 FAN1 [1-2] Normal 60%(9950) Auto Front-to-Back
1 9900
2 10000
FAN2 [1-2] Normal 60%(9850) Auto Front-to-Back
1 9900
2 9800
О температуре:
display device temperature all
---------------------------------------------------------------------------------
Slot Card SensorName Status Major Fatal Current
(Celsius) (Celsius) (Celsius)
---------------------------------------------------------------------------------
1 -- Outlet-1(LSW) NORMAL 60 -- 32
-- Intake-1(LSW) NORMAL 65 -- 29
-- CPU NORMAL 95 100 45
-- LSW NORMAL 105 110 48
2 -- Outlet-1(LSW) NORMAL 60 -- 35
-- Intake-1(LSW) NORMAL 65 -- 31
-- CPU NORMAL 95 100 44
-- LSW NORMAL 105 110 54
101 -- Outlet-1(LSW) NORMAL 66 68 34
-- Intake-1(LSW) NORMAL 66 68 30
О загрузке процессора:
display cpu slot 1 CPU utilization statistics at 2017-07-14 22:33:07 131 ms System CPU Using Percentage : 12% CPU utilization for five seconds: 13%, one minute: 12%, five minutes: 12%. Max CPU Usage : 35% Max CPU Usage Stat. Time : 2017-07-06 20:52:11 260 ms State: Non-overload Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s --------------------------- ServiceName UseRate --------------------------- SYSTEM 12% ... CPU Usage Details ---------------------------------------------------------------- CPU Current FiveSec OneMin FiveMin Max MaxTime ---------------------------------------------------------------- cpu0 18% 19% 18% 20% 69% 2017-07-06 20:52:21 cpu1 15% 16% 14% 13% 73% 2017-07-06 20:52:01 cpu2 15% 15% 14% 13% 65% 2017-07-06 20:52:10 cpu3 2% 2% 2% 2% 20% 2017-07-06 20:52:21 display cpu slot 2 CPU utilization statistics at 2017-07-14 22:33:12 371 ms System CPU Using Percentage : 10% CPU utilization for five seconds: 10%, one minute: 10%, five minutes: 10%. Max CPU Usage : 27% Max CPU Usage Stat. Time : 2017-07-11 20:48:58 126 ms State: Non-overload Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s --------------------------- ServiceName UseRate --------------------------- SYSTEM 10% ... CPU Usage Details ---------------------------------------------------------------- CPU Current FiveSec OneMin FiveMin Max MaxTime ---------------------------------------------------------------- cpu0 16% 17% 17% 16% 52% 2017-07-11 20:48:39 cpu1 10% 10% 10% 12% 56% 2017-07-11 20:48:29 cpu2 11% 11% 11% 11% 54% 2017-07-11 20:48:29 cpu3 3% 3% 2% 1% 7% 2017-07-11 20:48:19 display cpu slot 101 CPU utilization statistics at 2017-07-14 22:33:26 283 ms System CPU Using Percentage : 20% CPU utilization for five seconds: 20%, one minute: 20%, five minutes: 20%. Max CPU Usage : 32% Max CPU Usage Stat. Time : 2017-07-11 20:47:58 565 ms State: Non-overload Overload threshold: 90%, Overload clear threshold: 75%, Duration: 480s --------------------------- ServiceName UseRate --------------------------- SYSTEM 19% FEA 1% ... CPU Usage Details ---------------------------------------------------------------- CPU Current FiveSec OneMin FiveMin Max MaxTime ---------------------------------------------------------------- cpu0 22% 22% 19% 19% 47% 2017-07-11 20:48:08 cpu1 18% 18% 21% 21% 49% 2017-07-11 20:48:08 display cpu monitor all CPU overload information -------------------------------------------------------------------- Slot Time State -------------------------------------------------------------------- 1 0000-00-00 00:00:00 Unoverload 2 0000-00-00 00:00:00 Unoverload 101 0000-00-00 00:00:00 Unoverload
О загрузке памяти:
display memory slot 1 # master Memory utilization statistics at 2017-07-14 22:36:19 749 ms System Total Memory: 1959744 Kbytes Total Memory Used: 938852 Kbytes Memory Using Percentage: 47% State: Non-overload Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s ---------------------------- ServiceName MemUsage(KB) ---------------------------- FEA 159729 CMF 102197 FEC 23127 SYSTEM 13656 DEVICE 8118 STACKMNG 6019 IFM 2993 VLAN 2784 IP STACK 2579 ... display memory slot 2 # standby Memory utilization statistics at 2017-07-14 22:36:25 388 ms System Total Memory: 1959744 Kbytes Total Memory Used: 824776 Kbytes Memory Using Percentage: 42% State: Non-overload Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s ---------------------------- ServiceName MemUsage(KB) ---------------------------- FEA 157486 CMF 60405 FEC 22970 SYSTEM 13297 DEVICE 7278 STACKMNG 5991 VLAN 2717 IP STACK 2044 IFM 1013 ... display memory slot 101 # leaf Memory utilization statistics at 2017-07-14 22:36:29 793 ms System Total Memory: 1896476 Kbytes Total Memory Used: 491384 Kbytes Memory Using Percentage: 25% State: Non-overload Overload threshold: 95%, Overload clear threshold: 75%, Duration: 2s ---------------------------- ServiceName MemUsage(KB) ---------------------------- FEA 103836 FEC 11653 DEVICE 3114 LOCAL PKT 595 IP STACK 489 ...
Об интерфейсах вкратце:
display interface brief InUti/OutUti: input utility rate/output utility rate Interface PHY Protocol InUti OutUti inErrors outErrors 10GE1/0/3 down down 0% 0% 0 0 10GE1/0/4 down down 0% 0% 0 0 ... 10GE1/0/47 down down 0% 0% 0 0 10GE1/0/48 up up 0% 0.01% 0 0 10GE2/0/1 down down 0% 0% 0 0 10GE2/0/2 down down 0% 0% 0 0 ... 10GE2/0/43 down down 0% 0% 0 0 10GE2/0/44 down down 0% 0% 0 0 10GE101/0/1 up up 0.01% 0.01% 0 0 10GE101/0/2 down down 0% 0% 0 0 10GE101/0/3 down down 0% 0% 0 0 10GE101/0/4 down down 0% 0% 0 0 40GE1/0/1 up up 0% 0.01% 0 0 40GE1/0/2 down down 0% 0% 0 0 40GE1/0/3 up up 0.01% 0.01% 0 0 40GE1/0/4 down down 0% 0% 0 0 40GE2/0/2 down down 0% 0% 0 0 40GE2/0/3 down down 0% 0% 0 0 40GE2/0/4 down down 0% 0% 0 0 40GE101/0/1 up up 0.01% 0.01% 0 0 40GE101/0/2 down down 0% 0% 0 0 4x10GE2/0/45 up up 0.01% 0.01% 0 0 Eth-Trunk1 up up 0.01% 0.01% 8 0 10GE1/0/1 up up 0.01% 0.01% 8 0 10GE1/0/2 up up 0.01% 0.01% 0 0 Fabric-Port1 up up 0.01% 0.01% 0 0 40GE2/0/1 up up 0.01% 0.01% 0 0 GE101/0/1 up up 0% 0.01% 0 0 GE101/0/2 up up 0.01% 0.02% 0 0 GE101/0/3 down down 0% 0% 0 0 ... GE101/0/47 down down 0% 0% 0 0 GE101/0/48 down down 0% 0% 0 0 MEth0/0/0 up up 0.01% 0.01% 164 0 NULL0 up up(s) 0% 0% 0 0 Stack-Port1/1 up up 0.01% 0.01% 0 0 40GE1/0/5 up up 0.01% 0.01% 0 0 40GE1/0/6 up up 0.01% 0.01% 0 0 Stack-Port2/1 up up 0.01% 0.01% 0 0 40GE2/0/5 up up 0.01% 0.01% 0 0 40GE2/0/6 up up 0.01% 0.01% 0 0
Быстро узнать об аппаратных проблемах:
display device all
Device status:
-------------------------------------------------------------------------------------------
Slot Card Type Online Power Register Alarm Primary
-------------------------------------------------------------------------------------------
1 - CE6851-48S6Q-HI Present On Registered Normal Master
FAN1 FAN-40EA-F Present On Registered Normal NA
FAN2 FAN-40EA-F Present On Registered Normal NA
PWR1 PAC-600WA-F Present On Registered Normal NA
PWR2 PAC-600WA-F Present On Registered Normal NA
2 - CE6851-48S6Q-HI Present On Registered Normal Standby
FAN1 FAN-40EA-F Present On Registered Normal NA
FAN2 FAN-40EA-F Present On Registered Normal NA
PWR1 PAC-600WA-F Present On Registered Normal NA
PWR2 PAC-600WA-F Present On Registered Normal NA
101 - CE5855-48T4S2Q-EI Present On Registered Normal NA
FAN1 FAN-040A-F Present On Registered Normal NA
FAN2 FAN-040A-F Present On Registered Normal NA
PWR1 ES0W2PSA0150 Present On Registered Normal NA
PWR2 ES0W2PSA0150 Present On Registered Normal NA
display alarm active [root] # system-view; alarm; clear alarm active sequence-number номер
--------------------------------------------------------------------------------
Sequence AlarmId Severity Date Time Description
--------------------------------------------------------------------------------
1 0x10085 Major 2017-06-21 The storage usage exceeded the pre-set
17:19:25+ overload threshold.(TrapSeverity=4, P
03:00 robableCause=75265, EventType=3, Physi
calIndex=16842753, PhysicalName=CE6851
-48S6Q-HI 1, RelativeResource=flash, U
sageType=5, SubIndex=1, UsageValue=86,
Unit=1, UsageThreshold=85)
display health
Power:
-------------------------------------------------------------------------------
Slot PowerNo Present Mode State Current Voltage ActualPower RatedPower
(Ampere) (Volt) (Watts) (Watts)
-------------------------------------------------------------------------------
1 PWR1 YES AC Supply 2.9 12.2 35 600
PWR2 YES AC Supply 2.2 12.2 27 600
-------------------------------------------------------------------------------
N/A:Power not available
Fan:
fan module:
---------------------------------------------------------------------------------
Slot FanID FanNum Status Speed Mode Airflow Direction
---------------------------------------------------------------------------------
1 FAN1 [1-2] Normal 40%(6950) Auto Front-to-Back
1 7000
2 6900
FAN2 [1-2] Normal 40%(7050) Auto Front-to-Back
1 7100
2 7000
---------------------------------------------------------------------------------
N/A:Fan not available
Temperature:
---------------------------------------------------------------------------------
Slot Card SensorName Status Major Fatal Current
(Celsius) (Celsius) (Celsius)
---------------------------------------------------------------------------------
1 -- Outlet-1(LSW) NORMAL 60 -- 26
-- Intake-1(LSW) NORMAL 65 -- 23
-- CPU NORMAL 95 100 43
-- LSW NORMAL 105 110 42
---------------------------------------------------------------------------------
System Memory Usage Information:
----------------------------------------------------------------------------
Slot Total Memory(MB) Used Memory(MB) Used Percentage Upper Limit
----------------------------------------------------------------------------
1 1837 752 40% 95%
----------------------------------------------------------------------------
System CPU Usage Information:
--------------------------------------
Slot CPU Usage Upper Limit
--------------------------------------
1 13% 90%
--------------------------------------
System Disk Usage Information:
------------------------------------------------------------------------
Slot Device Total Memory(MB) Used Memory(MB) Used Percentage
------------------------------------------------------------------------
1 flash: 615 99 16%
------------------------------------------------------------------------
Загружается 170-280 секунд до доступа к порту управления (CE5855 ещё минуту инициализирует порт управления).
Для входа в меню BIOS необходимо при загрузке нажать ^B и в течении 3 секунд ввести пароль, при нажатии ^T можно запустить тест памяти. Меню BIOS (как загрузить файл конфигурации?):
Для оконечного коммутатора SVF на 6-ю позицию меню вклинивается подменю изменения параметров стека, которое позволяет посмотреть текущий режим (оконечный коммутатор) и тип порта, поменять режим: автосогласование, обычный (stack) или оконечный (leaf), поменять тип порта "наверх": автосогласование, 10GE, 40GE.
Управление коммутатором с помощью командной строки (CLI) через консольный порт (CON0, нажать Enter) или удалённый интерфейс VTY0 (до 20, по умолчанию до 5, "user-interface maximum-vty число-до-21") сеансов telnet, stelnet/ssh (команды передаются; SSH 2.0; RSA, DSA и ECC для ассиметричного шифрования; алгоритмы симметричного шифрования - DES, 3DES, AES256, ARC4-128, ARC4-256, AES128-CTR, AES256-CTR и AES128), а также с помощью SNMP через NMS (настойчиво предлагается свой eSight).
Комментарии командной строки начинаются с "#" или "!". Русские буквы при вводе молча фильтруются. Ключевые слова регистронезависимы, их можно сокращать до предела различимости и автоматически дополнять по клавише Tab. Помощь вызывается символом "?" в нужном месте командной строки. Длина команды - до 1022 символов (после преобразования ключевых слов в полную форму). Имеется многострочный редактор команд.
Области действия команд (view), команда "return" возвращает в пользовательскую область:
Режимы обработки команд:
return
rollback configuration { to { commit-id идентификатор | label метка | file имя-файла } | last число }
display configuration rollback result
Некоторые изменения конфигурации могут быть отложены до перезагрузки ("display current-configuration inactive" или со значком "*" в "display current-configuration all").
Команды делятся на 4 уровня привилегий от 0 до 3 (настраиваются), при создании пользователя указывается его уровень привилегий от 0 до 15, уровень привилегий задаётся также для интерфейса (меньший приоритет):
"undo" в начале командной строки возвращает параметр к значению по умолчанию, останавливает действие или удаляет конфигурацию.
Система хранит историю последних 10 команд пользователя (можно поменять в каждой области ("user-interface console 0" или "user-interface vty 0 4"): "history-command max-size число-до-256"), её можно посмотреть ("display history-command [ all-users ]") или вызвать (стрелки вверх и вниз, ^P/^N) и отредактировать или удалить ("reset history-command").
Имеется множество системных горячих клавиш ("display hotkey": ^A/^E - в начало/конец строки, ^B/^F - назад/вперёд на символ, ^C - прервать, ^D/^H - удалить символ, ^N/^P - показать команду из истории, ^R - перерисовать и др.), можно определить 4 своих (^G, ^L, ^O, ^U).
Можно определять макрокоманды:
alias имя-макрокоманды [ имя-параметра ] ... command текст-команды
Вывод команды можно
Запуск пакетов команд (.bat, только видимые символы ASCII, команды выполняются строка за строкой несмотря на последствия) или скриптов VSL (VRP Shell Languages, описание отсутствует): "execute имя-файла параметр ...".
ZTP (Zero Touch Provisioning) обеспечивает автоматическую настройку нового коммутатора (ПО, заплатки, конфигурацию, лицензии) с USB флешки (промежуточный ztp_config.ini-файл (может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу) или python-скрипт ztp_script.py задают расположение (адрес и параметры сервера, в частности "file:/usb:/путь") и имена файлов) или в соответствии с данными DHCP (временный IP адрес, маска, шлюз, DNS сервер, адрес и параметры временного файлового сервера (TFTP, FTP, SFTP, HTTP) и имя .ini-файла или python-скрипт с адресом файлового сервера с файлами настроек). Для настройки стека необходимо использовать вариант с python скриптом. Журнал записывается в flash://ztp_дата.log.
Автоматическая настройка и обновление может происходить при вставке USB 2.0 флешки с файлом smart_config.ini в корне FAT32. Не применим для стека. Предварительно необходимо проверить наличие места. smart_config.ini задаёт время запуска, имена файлов ПО, заплатки, конфигурацию, может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу. Во время обновления мигает зелёный индикатор USB, при неудаче загорается красный индикатор USB. Результат записывается в корень USB флешки под именем usbload_verify.txt или usbload_error.txt. Включение функции (по умолчанию - выключено):
undo set device usb-deployment disable [set device usb-deployment password пароль # используется для вычисления HMAC-SHA256 и сравнения с полем HMAC]
Настройки сохраняются в файле ("flash:/vrpcfg.zip") в виде строк команд и могут быть сохранены, отредактированы, перенесены на другой коммутатор. Весь мусор (ping, display и т.п.) при загрузке будет проигнорирован. Команды (следующая - выполняемая при следующей загрузке):
Настройки консольного порта ("user-interface console номер")
Настройки VTY ("user-interface vty от до"):
Аутентификация пользователя может производиться по паролю (password) или AAA (aaa) или отсутствовать (none)
user-interface con 0 authentication-mode password set authentication password cipher ... user privilege level 15 user-interface vty 0 4 user privilege level 15 authentication-mode aaa user-interface con 1 authentication-mode none user privilege level 0
AAA . Аутентификация: локальная, RADIUS, HWTACACS (Huawei Terminal Access Controller Access Control System).
aaa local-user имя-пользователя password irreversible-cipher пароль local-user имя-пользователя level 15 local-user имя-пользователя service-type telnet ssh terminal commit quit # из aaa display aaa local-user display aaa access-user
Настройка доступа по telnet:
Настройка доступа по SSH (stelnet):
rsa local-key-pair create # длина до 2048 бит, имя ключа будет: имя-коммутатора_Host display rsa local-key-pair public # в форматах Key code (?), PEM, OpenSSH authorized_keys, Host public key for SSH1 dsa local-key-pair create # длина 2048 бит, имя ключа будет: имя-коммутатора_Host_DSA display dsa local-key-pair public # в форматах Key code (?), PEM, OpenSSH authorized_keys ecc local-key-pair create # длина до 521 бит, имя ключа будет: имя-коммутатора_Host_ECC display ecc local-key-pair public # в форматах Key code (?), PEM
dsa peer-public-key имя-ключа encoding-type { der | openssh | pem}
public-key-code begin
содержимое ~/.ssh/id_dsa.pub
public-key-code end
peer-public-key end
display dsa peer-public-key
ssh user имя-пользователя assign dsa-key имя-ключа
Операции с сеансами:
Файловая система позволяет управлять файлами и каталогами в внутреннем хранилище и USB (FAT32). Имя состоит из имени устройства (flash: или идентификатор#flash:), имени каталога (/ для корня, чувствительно к регистру, нельзя использовать символы "~*/\:'" и '"') и имени файла. Служебные каталоги и файлы:
Команды работы с каталогами и файлами:
Дополнения (расширения, plug-in, .mod) записываются в каталог $_install_mod. Для стека рекомендуется выполнить "copy имя all#flash:/$_install_mod/". Загрузка модуля: "install-module имя-файла [next-startup]". Проверка наличия модулей: "display module-information [verbose|next-startup]". Перед выгрузкой модуля (uninstall-module) необходимо удалить все его настройки.
OPS (Open System) - контейнер Linux рядом с VRP (.sqfs, .img). Не может быть использован в стеке и SVF. Начиная с версии V200R002C20 оформлен в виде дополнения.
Коммутатор может быть клиентом TFTP, FTP, SFTP, SCP ("ssh client first-time enable") и сервером FTP (выключен по умолчанию), SFTP (выключен по умолчанию, у пользователя д.б. сконфигурирован SFTP каталог), SCP (выключен по умолчанию, включать отдельно от SSH: "scp server enable"). Пример использования:
scp t239:2#flash:/logfile/log.log log2.log
Управление оборудованием:
Коммутатор в процессе эксплуатации выдаёт следующие типы сообщений ("info-center enable"; "display info-center"): журнал (действия оператора и системы, сообщения системы безопасности, сообщения диагностики), извещения (trap) о проблемах, отладочные сообщения (требуется переход в отладочный режим). Сообщения делятся на 8 категорий серьёзности (поменять умолчания: "info-center log-severity bymodule-alias имя-модуля краткое_описание severity категория":
Сообщения передаются через 10 каналов (имена и направления можно изменить: "info-center channel номер name имя"):
Направления вывода:
Формат вывода: символ (Int_16? только для syslog), время ("info-center timestamp {log | trap | debugging} { { date | format-date | short-date } [ precision-time { second | tenth-second | millisecond } ] | boot }", где boot - милисекунды относительно начала загрузки, date - как "mm dd yyyy hh:mm:ss", short date - укороченная дата как "mm dd hh:mm:ss", format-date - "YYYY-MM-DD hh:mm:ss", в реальности как "MMM DD YYYY HH:MM:SS+03:00"), пробел, имя коммутатора, пробел, "%%", номер версии информации, имя модуля, "/", уровень серьёзности, "/", краткое_описание, "(", тип (l- журнал, t - извещение), "):CID=", шестнадцатеричный номер компонента системы, ";", текст сообщения, "^M". Сообщения в канале фильтруются перед выводом по номеру модуля источника (CID, "display info-center statistics", "reset info-center statistics", "info-center filter-id { номер-модуля | bymodule-alias имя-модуля краткое_описание}"), серьёзности и статусу для типа сообщения ("info-center source { имя-модуля | default } channel { номер-канала | имя-канала } {log | trap | debug} { state { off | on } | level серьёзность }"). По умолчанию подавляются множественные повторные сообщения ("info-center statistic-suppress enable").
Автоматическая фильтрация на основе кратковременности и повторяемости, поиск корреляций и корневых событий (выключено по умолчанию). Уровни тревог (alarm) и соответствие уровням извещений: Critical (1 - Alert), Major (2 - Critical), Minor (3 - Error), Warning (4 - Warning). Настройки:
По-простому: хотите отладить DHCP Relay в терминальном сеансе (SSH)?
terminal monitor terminal debugging debugging dhcp relay all
Время и NTP. Коммутатор реализует функции сервера NTPv4 в режимах клиент-сервер, согласования равных соседей (peer), широковещательной рассылки (255.255.255.255), групповой рассылки от сервера (multicast), групповой рассылки от клиента (manycast). Возможно прикрыть с помощью ACL запросы: от соседа, от сервера, от клиента, управляющий запрос. До 128 серверов и до 128 одновременных сеансов. Возможна посылка в ответ пакетов KOD (Kiss-of-Death) при превышении нагрузки на коммутатор (DENY или RATE в зависимости от настройки ACL). Поддерживается аутентификация (шифрование пакетов по key ID, до 1024 ключей на устройство). Настройки:
Устройство умеет экономить электричество: управление вентиляторами, ALS (automatic laser shutdown - выключение лазера при потере связи, плохая мысль - будут проблемы при восстановлении), EEE (Energy Efficient Ethernet, отключить электричество на бездействующих интерфейсах, плохая мысль - будут проблемы, поддерживается только на медных интерфейсах, кроме meth), port dormancy (аналогично, плохая мысль - будут проблемы, поддерживается только на медных интерфейсах, кроме meth), отключение интерфейса при отсутствии трансивера, отключение резервных БП (плохая мысль - не успеет переключиться, не поддерживается), Описываются различные режимы сохранения энергии, после чего константируется, что устройство поддерживает только стандартный режим. Настройки:
Устройство собирает информацию о производительности - статистика трафика на интерфейсах, статистика протоколов, загрузка ЦП, загрузка памяти, температура. Статистика записывается в файлы (?) и может быть автоматически скопирована на внешний файловый сервер по FTP или SFTP. Для включения сбора статистики необходимо её включить ("pm; statistics enable", по умолчанию выключена), определить задачу ("pm; statistics-task имя"), запустить процесс, указать счётчики, интервал времени сбора, периодичность проб, формат файла и периодичность генерации.
Можно создавать скрипты (до 10 команд на задачу - автоматически подставляется "Y", пакет команд из файла, Python скрипт из файла), управляемые триггерами (время, тревоги, события, Trap OID, шаблон сообщений в журнале). Посмотреть текущее состояние: "display ops assistant current". Всё остановить: "ops; assistant scheduler suspend". Скрипты можно запускать вручную (OPS).
Поддерживаются Ethernet_II (RFC 894, Ethernet DIX) и IEEE 802.3 (RFC 1042).
Коммутация на уровне 2 (упрощённо): по входящим кадрам строится (и поддерживается) таблица соответствия MAC адресов и номеров портов (и VLAN ID?), при отправке пакета адрес получателя ищется в таблице (широковещательный адрес никогда не находится) и отправляется в найденный порт.
Коммутация на уровне 3 (упрощённо): коммутация уровня 2 внутри LAN (ARP даёт MAC получателя, ethernet кадр отправляется получателю) и IP маршрутизация между LAN (ARP даёт MAC шлюза на коммутаторе, IP пакет отправляется коммутатору, коммутатор дополнительно ведёт ARP таблицу соответствия IP и MAC адресов, микросхема передачи пакетов не находит в своей таблице IP адрес получателя и обращается к подсистеме управления (вот тут расходуются ресурсы ЦП), подсистема управление обрабатывает таблицу маршрутизации, подсистема управления делает ARP запрос на всех портах нужного VLAN и по ответу обновляет ARP таблицу IP и MAC адресов; ответ и последующие пакеты обрабатываются аппаратно).
Интерфейсы:
Настройка интерфейса (предварительно system-view и "interface тип номер", несуществовавший интерфейс создаётся, для введения в действие изменений интерфейса необходимо его погасить и поднять):
При исследовании проблем могут оказаться полезными функции ping и trace по MAC адресу (другое устройство тоже должно поддерживать эту функцию - LTM?):
По умолчанию максимальный размер кадров - 9216 (проверяется только на входе, необходимо учитывать возможность увеличения размера кадра при обработке VLAN/TRILL/VXLAN), его можно поменять для интерфейса до 12288 (12224, 15360) и задать границу в байтах между обычными и jumbo кадрами (1518):
system-view interface ... jumboframe enable максимальный-размер граница commit
Возможно разбиение интерфейса 40GE/100GE на 4 по 10GE/25GE (port split) с использованием электрических (QSFP-4SFP10G-CU1M, QSFP-4SFP10G-CU3M, QSFP-4SFP10G-CU5M) или оптических (QSFP-4SFP10-AOC10M) переходников (breakout), с дальнейшим подключением к 10GE/25GE интерфейсам или передачей по трансиверам SFP+ и обратной сборкой. Имеются ограничения по устройствам (CE5850-48T4S2Q-EI, CE88-D16Q) и комбинациям портов. Ограничения совместимости со стеком и SVF. Ограничения совместимости с режимом cut-through. Индикатор показывает состояние соединения 10GE в соответствии с тактом (5 секунд на подинтерфейс) индикатора 40GE Breakout 1/2/3/4. Нумерация созданных интерфейсов образуется из нумерации исходного интерфейса с добавлением ":1", ":2", ":3" и ":4". Команды:
Агрегирование 4 последовательных интерфейсов 10GE коммутаторов CE6810EI, CE6810LI, CE6850-48S6Q-HI, CE6851HI и CE5855-24T4S2Q-EI в 40GE, точнее типа 4x10GE (в качестве номера интерфейса указывается первый из четвёрки, требуется перезагрузка модуля, можно подключать к 40GE интерфейсу кабелями breakout или к интерфейсу 4x10GE отдельными одинаковыми кабелями или трансиверами, обязательно соблюдение порядка, только агрегированные порты CE6810-48S-LI можно использовать для организации стека). Индикатором составного интерфейса служит индикатор первого порта из четвёрки, индикаторы остальных портов не используются. Пример разбиения:
# подключение к CE6851HI (резервный стека) сервера (Silicom PE340G2QI71-QX4) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 2/0/45
commit
quit
reset slot 2
display port aggregate
Aggregate-port Port
----------------------------------------------------------------------
4x10GE2/0/45 10GE2/0/45 10GE2/0/46
10GE2/0/47 10GE2/0/48
display interface brief
...
10GE2/0/44 down down 0% 0% 0 0
тут были порты с 10GE2/0/45 по 10GE2/0/48
...
4x10GE2/0/45 up up 0.01% 0.01% 0 0
тестирование netperf завершилось успешно
save
# разборка
system-view
undo port aggregate aggregate-type 4*10GE interface 10GE2/0/45
commit
quit
reset slot 2 # 5 минут!
# подключение к CE6810LI сервера (Intel XL710) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 1/0/21
commit
quit
display port aggregate
----------------------------------------------------------------------
Aggregate-port Port
----------------------------------------------------------------------
4x10GE1/0/21 10GE1/0/21 10GE1/0/22
10GE1/0/23 10GE1/0/24
display interface brief
Interface PHY Protocol InUti OutUti inErrors outErrors
10GE1/0/1 down down 0% 0% 0 0
...
10GE1/0/20 down down 0% 0% 0 0
40GE1/0/1 up up 0.01% 0% 3 0
40GE1/0/2 down down 0% 0% 0 0
MEth0/0/0 up up 0.01% 0.01% 175119778 0
NULL0 up up(s) 0% 0% 0 0
display current-configuration inactive
*interface 4x10GE1/0/21
save
reset slot 1
display interface brief
Interface PHY Protocol InUti OutUti inErrors outErrors
10GE1/0/1 down down 0% 0% 0 0
...
10GE1/0/20 down down 0% 0% 0 0
40GE1/0/1 up up 0.01% 0.01% 0 0
40GE1/0/2 down down 0% 0% 0 0
4x10GE1/0/21 down down 0% 0% 0 0
MEth0/0/0 up up 0.01% 0.01% 6 0
NULL0 up up(s) 0% 0% 0 0
Изоляция портов (изоляция интерфейсов на уровне 2) позволяет заблокировать взаимодействие между компьютерами из определённой группы, подключёнными к интерфейсам одного коммутатора (стека), в пределах одной VLAN (могут общаться через маршрутизатор-посредник). Интерфейсы д.б. на уровне 2. Интерфейсы из разных групп могут общаться. Настройка:
Группирование портов (Eth-Trunk, trunking, port channel, link aggregation group, LAG) ручное (непосредственно между 2 устройствами, равномерная балансировка трафика?) и с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP). LACP позволяет обнаруживать неправильные подключения. Системный приоритет LACP для выбора главного (Actor), чем меньше число, тем выше приоритет, при равных выбирается устройство с меньшим MAC, 32768. Приоритет интерфейса для выбора активных интерфейсов (чем меньше число, тем выше приоритет) берётся по информации Актора, 32768. Режимы LACP - статический (необходимо вручную создать Eth-Trunk и добавить в него интерфейсы, задать максимальное и минимальное количество активных интерфейсов) и динамический (при неудаче создать Eth-Trunk интерфейсы группы переходят в независимый режим, наследуют VLAN и могут передавать кадры на уровне 2, продолжают ожидать LACPDU для немедленного образования Eth-Trunk, рекомедуется только между коммутатором и сервером, который при загрузке ещё не знает про LACP). Основное назначение - обеспечение продолжения обмена данными после отказа части интерфейсов, но возможна статическая балансировка нагрузки между интерфейсами (примитивная - хеш MAC или IP адресов - борьба с перепутыванием пакетов потока) и балансировка попакетная (random и round-robin только в CE8860). Балансируется только исходящий трафик. Объединение происводится на уровне Data Link между подуровнями LLC и MAC), для каждой LAG ведётся таблица соответствия значения хеша и номера интерфейса в группе. Членство в группе несовместимо с некоторыми (?!) сервисами на интерфейсе и статическим MAC адресом (занесён в статическую таблицу MAC?). Перед добавлением интерфейса в группу необходимо убедиться, что интерфейс имеет "default link-type". В версии V100R005C10 и новее при использовании SVF интерфейсы группы должны быть подключены к одному родителю или листьям одной модели (?!), в примерах SVF и Trunk активно используются совместно, в реальности работает; При использовании SVF не может быть более 8 активных интерфейсов в группе (в настройках обещается 16). При использовании стека рекомендуется использовать 2^n членов группы, иначе неизвестные пакеты будут делиться между интерфейсами не поровну. В версии V200R002C10 обещана возможность включения в группу интерфейсов различных скоростей. Группа не может быть включена в группу. service loopback несовместим с интерфейсами группы на листьях SVF. Команды:
Load-balance Profile: default
Packet HashField
---------------------------------------------------
IP src-ip dst-ip
l4-src-port l4-dst-port
IPv6 src-ip dst-ip
l4-src-port l4-dst-port
L2 src-mac dst-mac
MPLS top-label 2nd-label
Eth-Trunk universal-id(1) hash-mode(1)
Interface List:
---------------------------------------------------
Eth-Trunk 1
BMC настроить на VLAN 2 interface Eth-Trunk50 description to grid0049 and service0049 port link-type hybrid port hybrid pvid vlan 3 port hybrid tagged vlan 2 undo port hybrid untagged vlan 1 port hybrid untagged vlan 3 interface GE107/0/12 eth-trunk 50 trunk member binding vlan 2
load-balance profile default l2 src-mac dst-mac src-interface interface Eth-Trunk1 description link between box504 and DC mode lacp-static interface 10GE1/0/1 eth-trunk 1 interface 10GE1/0/2 eth-trunk 1 interface 10GE2/0/1 eth-trunk 1 interface 10GE2/0/2 eth-trunk 1
M-LAG (Multichassis Link Aggregation Group) - нестандартная технология, которая позволяет объединить несколько каналов в единое целое (группу) при подключении сервера к 2 коммутаторам в отличие от LACP за счёт обмена информацией между коммутаторами (peer-link). Обеспечивается балансировка трафика и непрерывность передачи данных как при обрыве канала, так и при отказе одного из коммутаторов. Аналогичные, но несовместимые технологии реализованы Mellanox и Netgear (MLAG), Alcatel-Lucent и Juniper и ZTE (MC-LAG), Dell N**** и Cisco Nexus (vPC - virtual port channel, "show vpc brief"), Force и Dell S**** (VLT - Virtual Link Trunking), Cisco Catalyst 6500 VSS (MEC - Multichassis Etherchannel), Cisco Catalyst 3750 (Cross-Stack EtherChannel), HP (Distributed Trunking, Intelligent Resilient Framework). Может сочетаться с SVF (сервер подключается к 2 SVF системам). Рекомендуется использовать коммутаторы одной модели. Несовместимо с DHCP snooping, MSTP и VBST. Несовместимо с GVRP на Eth-Trunk. Может (для шлюза?) потребоваться установить одинаковые IP и/или MAC адреса VLANIF обоих коммутаторов. M-LAG разделяет ограниченные ресурсы с некоторыми другими сервисами (ACL?). Ограничения на групповую маршрутизацию. Реализация вызывает ощущение недоделанного стека, но без жёсткого требования к использованию одинаковых моделей. Архитектура:
Управление таблицей MAC адресов (MAC, исходящий интерфейс, идентификатор VLAN): статические (настраиваются вручную, никогда не протухают, сохраняются между перезагрузками и заменой LPU - Line Procesing Unit, остальные интерфейсы выбрасывают кадры с этим MAC на входе, только 1 интерфейс, несовместимо с подслушиванием DHCP), динамические (заносятся в таблицу исходя из информации во входящих кадрах, имеют срок годности (300 секунд), интерфейс должен входить в существующую VLAN, несовместимо с Port Security, могут относиться к сервисам (?) - secure MAC, MUX MAC, authen MAC, guest MAC), чёрный список (настраиваются вручную, никогда не протухают, сохраняются между перезагрузками и заменой LPU, кадры с этим MAC в качестве источника или получателя выбрасываются). Если MAC относится к нескольким VLAN, то в таблице будет несколько записей (для одного MAC разным VLAN могут быть указаны разные интерфейсы). Если входящий интерфейс входит в группу портов, то в качестве исходящего интерфейса в таблицу заносится вся группа портов. Широковещательные и групповые MAC адреса не заносятся в таблицу. Можно ограничить количество MAC адресов, попадающих в таблицу с указанного интерфейса или VLAN (вплоть до 0, по умолчанию - 1, какие-то ограничения для SVF), пакеты от непопавших в таблицу MAC адресов удаляются по прибытию (временный чёрный список?). При образовании петель в сети MAC адреса будут мелькать по таблице туда-сюда, коммутатор может сообщать об этом (включено по умолчанию), удалять интерфейс из VLAN или гасить его (рекомендуется включать предупреждение на интерфейсах, обращённых к пользователю - downstream). Доверенным интерфейсам можно назначать больший приоритет (статические записи приоритетнее динамических. Команды:
Intelligent Stack (iStack) формирует из коммутаторов одной серии (например, CE5810-24T4S-EI и CE5810-48T4S-EI), виртуальный коммутатор с целью горизонтального масштабирования (увеличение портов - переподписка; утолщение соединения наружу), упрощение сети (избавление от MSTP и VRRP) и увеличения надёжности (если клиент подключён к 2 членам стека группой портов (Eth-Trunk), то он переживёт отказ одного из коммутаторов; если uplink подключён к 2 членам стека группой портов (Eth-Trunk), то клиенты переживут отказ внешнего соединения "своего" коммутатора). Можно объединить до 9 (CE5810EI, CE5855EI, CE5850HI, CE6870EI, CE8860EI) или 16 устройств, до 768 портов, до 1600 Gbps. Коммутаторы соединяются в цепочку (меньше соединений) или кольцо (падение соединения не разбивает стек, большая пропускная способность, не поддерживается PFC - Priority-based Flow Control) с помощью 2 логических портов стекирования (Stack-Port Ид/1 и Stack-Port Ид/2). В качестве порта стекирования можно использовать оптический физический порт (нельзя использовать трансиверы витой пары) или группу портов одного типа (до 16, рекомендуется чётное число, Eth-Trunk). Один из коммутаторов назначается главным (Master), второй - запасным (Standby), остальные - подчинённые (Slave). Можно посмотреть ("display switchover state") и поменять вручную ("slave switchover enable" и "slave switchover"). Каждый коммутатор получает идентификатор члена стека (Member Id), сам стек получает идентификатор домена (Domain Id). При выборе главного учитываются: приоритет (больше - лучше), версия ПО (больше - лучше), MAC (меньше - лучше). Все члены стека настраиваются как единое целое при входе на любой из них (в реальности вы попадаете на главный коммутатор, необходимо использовать его адрес), для управления ресурсами конкретного коммутатора необходимо указывать его идентификатор в качестве номера слота. При доступе к файловой системе коммутатора также необходимо указывать его идентификатор в флормате "Ид#flash:/" Если используется только 1 порт, то настоятельно рекомендуется использовать "carrier down-hold-time интервал" на портах стека, чтобы избежать болтанки. Не рекомендуется использовать flow-control на портах стека. На портах стека автоматически настраивается "port crc-statistics trigger error-down". Зеркалирование портов (mirror) между шасси не поддерживается. Конфликтует с контейнерами Linux. Некоторые настройки стека вступают в силу после перезагрузки, а "all" означает текущий список. Перезагрузка 1 коммутатора из стека: "reset slot идентификатор". Процедура создания стека (вариант соединения до настройки):
system-view
stack
stack member 1 priority 200 # требуется перезагрузка
stack member all domain 1000 # требуется save, при изменении требуется перезагрузка
quit
commit
interface stack-port 1/1 # создать виртуальный порт стекирования
[description описание]
quit
commit
interface 40GE1/0/5 # выключить физический интерфейс
shutdown
quit
commit
...
interface stack-port 1/1 # наполнить порт стекирования физическими портами
port member-group interface 40GE1/0/5 [to 40GE1/0/6] [...] # port crc-statistics trigger error-down
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac | enhanced profile default}] # по умолчанию src-dst-ip
quit
commit
interface 40GE1/0/5 # включить физический интерфейс
#port copper mode sr4 # DAC на 40Gb ? где есть такая команда?
undo shutdown
quit
commit
...
quit
save
reboot
system-view interface stack-port 1/1 shutdown quit commit quit save
system-view
stack
stack member 1 renumber 2 [ inherit-config ] # требуется перезагрузка, inherit-config - имеются в виду настройки стека
# настройки портов сбрасываются
stack member 2 domain 1000 # требуется save, при изменении требуется перезагрузка, all развёртывается на момент выдачи команды
quit
commit
quit
save
reboot
system-view
interface stack-port 2/1 # создать виртуальный порт стекирования
[description описание]
quit
commit
interface 40GE2/0/5 # выключить физический интерфейс
shutdown
quit
commit
...
interface stack-port 2/1 # наполнить порт стекирования физическими портами
port member-group interface 40GE2/0/5 [to 40GE2/0/6] [...] # port crc-statistics trigger error-down
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac | enhanced profile default}] # по умолчанию src-dst-ip
quit
commit
interface 40GE2/0/5 # включить физический интерфейс
[port copper mode sr4 # DAC на 40Gb]
undo shutdown
quit
commit
...
quit
save
reboot
system-view interface stack-port 1/1 undo shutdown quit commit quit
display stack
--------------------------------------------------------------------------------
MemberID Role MAC Priority DeviceType Description
--------------------------------------------------------------------------------
+1 Master 6008-10b9-7730 200 CE6851-48S6Q-HI
2 Standby 6008-10b9-77c0 100 CE6851-48S6Q-HI
--------------------------------------------------------------------------------
+ indicates the device where the activated management interface resides.
display stack configuration
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Attribute Configuration:
----------------------------------------------------------------------------
MemberID Domain Priority Switch Mode Uplink Port
Oper(Conf) Oper(Conf) Oper(Conf) Oper(Conf) Oper(Conf)
----------------------------------------------------------------------------
1(1) 1000(1000) 200(200) Stack(Stack) 6*40GE(6*40GE)
2(2) 1000(1000) 100(100) Stack(Stack) 6*40GE(6*40GE)
----------------------------------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5
Stack-Port2/1 40GE2/0/5
display stack topology
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
display stack troubleshooting
display interface 40ge1/0/5
display switchover state
display interface Stack-Port
Stack Port, Hash arithmetic : According to SIP-XOR-DIP
#system-view
#stack
#set system mac-address slot идентификатор # чтобы при перестройке стека оставался один и тот же MAC адрес
#set system mac-address switch-delay { минут | immediately } # чтобы при перестройке стека MAC адрес менялся с задержкой, 0 - бесконечность
stack member идентификатор description описание
...
save
Добавление коммутатора к стеку:
При отключении всех портов стекирования коммутатора он покидает стек: при необходимости производятся новые выборы, вычисляется топология и рассылается всем оставшимся членам стека, рекомендуется восстановить кольцо. При отключении портов стекирования коммутаторов стек может разделиться, в сохранившей главный коммутатор части пересчитывается и рассылается новая топология, если в отделившейся части оказывается запасной коммутатор, то он становится главным, иначе отщепенцы перезагружаются, проводят выборы и образуют новый стек. При слиянии 2 стеков (в т.ч. при восстановлении после разделения) производятся выборы, члены победившей стаи продолжают работу, другие перезагружаются и присоединяются к единому стеку как подчинённые.
При разделении стека может возникнуть неприятная ситуация двойного активного подключения, с которой можно бороться настройкой DAD (dual-active detection, "лишняя" половина мозга перестаёт обслуживать клиентов - Recovery mode, обслуживание возобновляется автоматически после слияния стека или по команде "dual-active restore"):
system-view
interface meth 0/0/0
dual-active detect enable
dual-active backup ip address адрес { маска | длина-маски } member { идентификатор | all }
quit
dual-active exclude interface 40GE1/0/6 # для клиентов, которые подключены только к одному коммутатору из стека и uplink?
commit
display dual-active
Добавление физического интерфейса в порт 1
system-view
interface 40GE1/0/6
shutdown
quit
commit
interface stack-port 1/1
port member-group interface 40GE1/0/6
quit
commit
interface 40GE1/0/6
undo shutdown
quit
commit
interface 40GE2/0/6
shutdown
quit
commit
interface stack-port 2/1
port member-group interface 40GE2/0/6
quit
commit
interface 40GE2/0/6
undo shutdown
quit
commit
display stack topology
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port1/1 40GE1/0/6 up 40GE2/0/6 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
Stack-Port2/1 40GE2/0/6 up 40GE1/0/6 up
Обновление ПО коммутаторов стека может производиться (заплатки ставятся обычной командой "patch load имя-файла all run"):
Super Virtual Fabric (SVF) - нестандартная технология, которая позволяет образовать виртуальный коммутатор из головного коммутатора (parent) и до 24 оконечных (leaf, каждый получает уникальный идентификатор Leaf ID при подключении к порту, интерфейсы нумеруются соответственно). Главный коммутатор управляет виртуальным коммутатором, оконечные коммутаторы выполняют роль удалённых интерфейсных карт (теряют интерфейс управления, не хранят настройки). CE8860-EI не умеет SVF совсем; CE6851-48S6Q-HI/CE6855-48S6Q-HI может рулить CE5855-EI и CE6810-LI; CE7850-32Q-EI/CE7855-32Q-EI может рулить CE5855-EI и CE6810-LI и CE6810-EI и CE5850-EI и CE6850-HI и CE6851-HI; CE6850-HI может рулить CE6810-LI и CE6810-EI и CE5810-LI. В качестве головного коммутатора можно использовать iStack из 2 (и только 2, остальные не войдут в SVF) коммутаторов для увеличения надёжности, каждый оконечный коммутатор подключается к обоим коммутаторам стека, серверы подключаются к 2 оконечным коммутаторам с использованием LACP. Оконечные коммутаторы могут подключаться только к головным коммутаторам одного SVF. Для одиночного коммутатора необходимо настроить домен стека. Идентификатор члена домена д.б. меньше или равен 4. Можно также настроить M-LAG (см. ниже) между двумя SVF системами. Логический порт между головным и оконечным называется фабричным (fabric), идентификатор оконечного коммутатора (leaf ID) определяется портом подключения, при изменении Leaf ID оконечный коммутатор перегружается. Можно использовать до 8 оптических портов 10GE и 40GE (с ограничениями), нельзя использовать агрегированный из 4 10GE портов 40GE, автосогласование может оказаться неожиданностью. При замене оконечного коммутатора на другую модель требуется тщательная работа с конфигурацией до подключения. Интерфейсы группы портов (Eth-Trunk) должны располагаться на головных коммутаторах или оконечных коммутаторах одной серии. При использовании оконечного устройства CE5810 группа портов не может включать более 8 интерфейсов. При использовании оконечного устройства CE5855 по умолчанию используются все 2 порта 40G. При использовании оконечного устройства CE6810LI с участием модульных устройств на нём не поддерживаются подинтерфейсы L3. При использовании оконечного устройства CE6850 по умолчанию используются все 6 портов 40G, можно сконфигурировать (^B или ^Y при загрузке) 4 последних порта 40G, их нельзя использовать для обычных подключений. SVF несовместим с Open System (Linux контейнеры).
Потенциальный оконечный коммутатор может работать в режиме стека (полноценный коммутатор) или в оконечном (leaf) режиме (получает идентификатор от головного, ПО - а место есть? после обновления перезагружается - и настройки от головного), алгоритм выбора режима:
После определения, что устройство работает в оконечном режиме, от главного коммутатора получаются идентификатор, настройки и новая прошивка (при необходимости; в этом случае устройство перезагружается). Устройство пытается зарегистрироваться на главном коммутаторе с полученным идентификатором.
Режимы коммутации пакетов в SVF (в V100R005C00 только распределённый режим):
Процедура создания SVF:
system-view
interface fabric-port номер-порта # от 1 до 24
port bind member идентификатор-оконечного-коммутатора # leaf ID, от 101 до 254
[description описание]
port member-group interface 40GE1/0/5 [to 40GE1/0/6] [...] # port crc-statistics trigger error-down
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=DOWN, Reason=The link protocol is down, mainIfname=40GE2/0/1)
[leaf negotiation disable] # чтобы ошибочно подключённый в порт ненастроенный коммутатор не включился в SVF
[load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac }] # по умолчанию src-dst-ip
quit
[
interface 40GE1/0/5
port copper mode sr4 # DAC на 40Gb ?
quit
...
]
commit
stack
stack forwarding-model { centralized | distributed | hybrid }
quit
commit # требуется перезагрузка
stack leaf member идентификатор-оконечного-коммутатора type тип # в документации предлагается нажать "?" leaf member идентификатор-оконечного-коммутатора serial-number серийный-номер quit commit
system-view
stack
switch mode leaf member { идентификатор-оконечного-коммутатора | all }
return
reboot
# можно настраивать на головном коммутаторе (можно использовать настройки BIOS или настройки режима - Continue to boot, выбор из меню)
system-view
stack
leaf uplink-port type { auto-negotiation | 4*10ge | 8*10ge | 2*40ge | 4*40ge | 6*40ge } member { идентификатор-оконечного-коммутатора | all }
commit
return
save # требуется перезагрузка оконечного коммутатора (reset slot идентификатор-оконечного-коммутатора)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is plugged in
display stack
Total Spine Number : 2
Total Leaf Number : 1
--------------------------------------------------------------------------------
MemberID Role MAC Priority DeviceType Description
--------------------------------------------------------------------------------
+1 Master 6008-10b9-7730 200 CE6851-48S6Q-HI t239 rack9
2 Standby 6008-10b9-77c0 100 CE6851-48S6Q-HI t232 rack12
101 Leaf 7079-9040-0d00 N/A CE5855-48T4S2Q-EI
но что-то пошло не так
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=DOWN, Reason=Interface physical link is down, mainIfname=Fabric-Port1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is pulled out abnormally
CE6851-core %%01DEVM/1/hwBoardInvalid_active(l):CID=0x80fa0016-alarmID=0x0813002e;
The board totally failed. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
перезагрузка оконечного
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
и опять неудача, но теперь пытается восстановиться
CE6851-core %%01STACKMNG/4/hwFabricLinkProtocolAlarm_active(l):CID=0x80a22713-alarmID=0x09a2201e;
The physical status of the fabric link for the logical port is up, but the protocol status is down. (hwStackFabricPort=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=DOWN, Reason=The link protocol is down, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is pulled out abnormally.
CE6851-core %%01DEVM/1/hwBoardInvalid_clear(l):CID=0x80fa0016-alarmID=0x0813002e-clearType=service_resume;
The board resumed from total failure. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
CE6851-core %%01DEVM/1/hwBoardInvalid_active(l):CID=0x80fa0016-alarmID=0x0813002e;
The board totally failed. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
CE6851-core %%01IFNET/2/linkDown_active(l):CID=0x807a0405-alarmID=0x08520003;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=DOWN, Reason=Interface physical link is down, mainIfname=Fabric-Port1)
CE6851-core %%01STACKMNG/4/hwFabricLinkProtocolAlarm_clear(l):CID=0x80a22713-alarmID=0x09a2201e-clearType=service_resume;
The physical status and protocol status of the fabric link for the logical port are up or down at the same time. (hwStackFabricPort=Fabric-Port1)
ещё одна попытка, более удачная
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=Fabric-Port1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=Fabric-Port1)
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE2/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE2/0/1)
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fa0016;Slot 101 MPU is plugged in
CE6851-core %%01DRIVER/4/WBoardStsChanged(l):CID=0x80fc0488;Slot 101 MPU registered successfully.
CE6851-core %%01DEVM/1/hwBoardInvalid_clear(l):CID=0x80fa0016-alarmID=0x0813002e-clearType=service_resume;
The board resumed from total failure. (EntPhysicalIndex=23396352, EntPhysicalName=LPU slot 101, EntityType=1, EntityTrapFaultID=132627,
Reason=The board was not registered.)
uplink на оконечном коммутаторе поднят
CE6851-core %%01IFNET/2/linkDown_clear(l):CID=0x807a0405-alarmID=0x08520003-clearType=service_resume;
The interface status changes. (ifName=40GE101/0/1, AdminStatus=UP, OperStatus=UP, Reason=Interface physical link is up, mainIfname=40GE101/0/1)
подозреваю, что виноват клиент, подключённый к 40GE101/0/2 - интерфейс Down, оба порта забираются на связь с фабрикой
без клиентов удачной оказалась вторая попытка
display stack conf
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Spine Attribute Configuration:
--------------------------------------------------
MemberID Domain Priority
Oper(Conf) Oper(Conf) Oper(Conf)
--------------------------------------------------
1(1) 1000(1000) 200(200)
2(2) 1000(1000) 100(100)
--------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5
Stack-Port2/1 40GE2/0/5
Fabric-Port Configuration:
---------------------------------------------------------------------------------
Fabric-Port BindMember Ports
---------------------------------------------------------------------------------
Fabric-Port1 101 40GE2/0/1
---------------------------------------------------------------------------------
Leaf Attribute Configuration:
-------------------------------------------------
MemberID Switch Mode Uplink Port
Oper(Conf) Oper(Conf)
-------------------------------------------------
101 Leaf(Leaf) 2*40GE(2*40GE)
display stack topology link
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
----------------------------------------------------------------------------
Fabric Link:
--------------------------------------------------------------------------------
Fabric-Port Port Status Discard PeerPort PeerStatus PeerDiscard
--------------------------------------------------------------------------------
Fabric-Port1 40GE2/0/1 up 1 40GE101/0/1 up 0
display stack topology neighbor
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Fabric Topology:
------------------------------------------------------------
SpineMemberID Fabric-Port LeafMemberID Status
------------------------------------------------------------
2 Fabric-Port1 101 up
display stack troubleshooting
Total :0
display stack link-state last-down-reason
Info: The last-down-reason record does not exist.
display stack blocked-interface
подключение второго интерфейса к другому члену стека
interface fabric-port 1
port member-group interface 40GE1/0/2
пропадает и появляется
interface 40GE1/0/2
port mode stack
fabric-port 1
port crc-statistics trigger error-down
device transceiver 40GBASE-FIBER
display stack conf
System Forwarding Model:
-------------------------------
Oper Conf
-------------------------------
hybrid hybrid
-------------------------------
Spine Attribute Configuration:
--------------------------------------------------
MemberID Domain Priority
Oper(Conf) Oper(Conf) Oper(Conf)
--------------------------------------------------
1(1) 1000(1000) 200(200)
2(2) 1000(1000) 100(100)
--------------------------------------------------
Stack-Port Configuration:
--------------------------------------------------------------------------------
Stack-Port Member Ports
--------------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 40GE1/0/6
Stack-Port2/1 40GE2/0/5 40GE2/0/6
--------------------------------------------------------------------------------
Fabric-Port Configuration:
---------------------------------------------------------------------------------
Fabric-Port BindMember Ports
---------------------------------------------------------------------------------
Fabric-Port1 101 40GE1/0/2 40GE2/0/1
---------------------------------------------------------------------------------
Leaf Attribute Configuration:
-------------------------------------------------
MemberID Switch Mode Uplink Port
Oper(Conf) Oper(Conf)
-------------------------------------------------
101 Leaf(Leaf) 2*40GE(2*40GE)
-------------------------------------------------
display stack topology link
Stack Link:
----------------------------------------------------------------------------
Stack-Port Port Status PeerPort PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1 40GE1/0/5 up 40GE2/0/5 up
Stack-Port1/1 40GE1/0/6 up 40GE2/0/6 up
Stack-Port2/1 40GE2/0/5 up 40GE1/0/5 up
Stack-Port2/1 40GE2/0/6 up 40GE1/0/6 up
----------------------------------------------------------------------------
Fabric Link:
--------------------------------------------------------------------------------
Fabric-Port Port Status Discard PeerPort PeerStatus PeerDiscard
--------------------------------------------------------------------------------
Fabric-Port1 40GE1/0/2 up 0 40GE101/0/2 up 1
Fabric-Port1 40GE2/0/1 up 0 40GE101/0/1 up 1
--------------------------------------------------------------------------------
display stack topology neighbor
Stack Topology:
----------------------------------------------
Stack-Port 1 Stack-Port 2
MemberID Status Neighbor Status Neighbor
----------------------------------------------
1 up 2 -- --
2 up 1 -- --
----------------------------------------------
Fabric Topology:
------------------------------------------------------------
SpineMemberID Fabric-Port LeafMemberID Status
------------------------------------------------------------
1 Fabric-Port1 101 up
2 Fabric-Port1 101 up
------------------------------------------------------------
display stack troubleshooting
Total :0
display stack link-state last-down-reason
Info: The last-down-reason record does not exist.
display stack blocked-interface
BUM: The broadcast, unknown unicast or multicast packets
Stack Blocked Interface:
-----------------------------------------------------------------
Status Block
Interface Physical Protocol MemberID Direction Packet-Type
-----------------------------------------------------------------
-----------------------------------------------------------------
Fabric Blocked Interface:
-----------------------------------------------------------------
Status Block
Interface Physical Protocol MemberID Direction Packet-Type
-----------------------------------------------------------------
40GE1/0/2 up up ALL egress BUM
-----------------------------------------------------------------
При слиянии головных коммутаторов в iStack их SVF также сливаются (с ограничениями, предварительно сконфигурировать). При разделении iStack его SVF тоже делится (с особенностями и с учётом DAD, рекомендуется DAD на портах головных коммутаторов).
Обновление ПО коммутаторов SVF может производиться (?заплатки ставятся обычной командой "patch load имя-файла all run"):
stack upgrade fast номер-группы [add | delete ] member идентификатор-оконечного1 [to идентификатор-оконечного2] ...
display stack upgrade fast group номер-группы
# reset stack upgrade fast group {номер-группы | all}
ISSU (In-Service Software Upgrade) - механизм поочерёдного обновления прошивки стека или SVF - сначала обновляется запасной коммутатор, затем запасной и главный меняются ролями, подчинённые коммутаторы обновляются по очереди, в последнюю очередь обновляется бывший главный коммутатор. Возможен откат всего стека на предыдущую версию при неудаче, по истечению времени, вручную ("issu abort"). Несовместим с M-LAG, FCoE, DCB, Open System, TRILL active-active, удалённое зеркалирование портов. Предварительно необходимо загрузить новую прошивку на все коммутаторы (кроме оконечных в SVF). Если в стеке более 2 устройств, то необходимо использовать топологию кольцо. Для обеспечения непрерывности коммутации все "низшие" устройства должны подключаться 2 каналами к "высшим". ISSU автоматически распределяет оконечные коммутаторы по группам, это распределение можно посмотреть ("display issu group") и изменить ("issu group номер add slot идентификатор"). Процедура:
Check Date : 2020/12/04 21:23:59
Check Result : failure
Base package : CE6851HI-V200R001C00SPC700.cc
Upgrade package : CE6851HI-V200R005C10SPC800.cc
Base patch : CE6851HI-V200R001SPH025.PAT
Upgrade patch : CE6851HI-V200R005SPH025.PAT
Base paf : default
Upgrade paf : default
Failure Reason :
Error: The current system software version is not in the paths of upgrading to the upgrade system software, the path list is below, please check it.
V200R003C00SPC810 supportMode: group-reset
V200R005C00SPC800 supportMode: group-reset
Error: The operation of checking the upgrade system software and upgrade patch consistency failed.
Технология VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик: каждая VLAN - отдельный широковещательный домен, прямой обмен данными между узлами из разных VLAN невозможен. Один узел может входить в состав нескольких VLAN. VLAN может быть:
VLAN 1 всегда существует, её нельзя удалить или настроить как mVLAN или super-VLAN. По умолчанию всем интерфейсам разрешено работать с VLAN 1, и она же установлена как VLAN по умолчанию. VLAN использует тот же пул ресурсов, что и GRE, маршрутизация. Команды:
Внутри коммутатора все кадры имеют этикетку. Входящие кадры с этикеткой не изменяются. Для входящих кадров без этикетки присваивается идентификатор VLAN одним из способов (можно указать несколько способов в убывающем порядке):
Порты (интерфейсы?) разделяются на типы, влияющие на приём, обработку и передачу (область интерфейса: "port link-type { access | hybrid | trunk | dot1q-tunnel }"; при изменении типа настройки VLAN для интерфейса сбрасываются; биты 802.1p для вставляемых этикеток определяются настройкой "port priority от0до7", по умолчанию 0, 7 - высший приоритет; учитываются также "trust 8021p ..." и "trust upstream ..."):
Можно запретить получение кадров с этикетками (по умолчанию разрешено) на интерфейсе (не для QinQ), область интерфейса: "port discard tagged-packet".
В случае хеш коллизий таблицы VLAN-XLATE (что это? как узнать?) можно изменить алгоритм хеширования (по умолчанию crc32-lower) на входе (ingress) или выходе (egress): "assign forward vlan-xlate { egress | ingress } hash { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb }" (требуется перезагрузка) и "display forward vlan-xlate hash mode".
Так как прямой обмен данными между узлами из разных VLAN невозможен, то предлагаются варианты организации обмена:
VLANIF с IP адресом управления можно также использовать для доступа к управлению коммутатором вместо или в дополнение к meth. Для ограничения доступа к IP управления с интерфейсов доступа и dot1q туннелей можно объявить mVLAN (management VLAN), к такой VLAN можно добавлять интерфейсы только типов trunk и hybrid, VLAN 1 не м.б. mVLAN:
Тем, кому жалко IP адресов, предлагается съэкономить их с помощью агрегации VLAN - служебная super-VLAN без физического порта со шлюзом VLANIF на уровне 3 (нет статистики) и рабочие sub-VLAN на уровне 2 без шлюза разделяют общую IP подсеть и общий широковещательный IP адрес. Требуется Proxy ARP на VLANIF super-VLAN. Рабочая sub-VLAN может быть связана только с 1 super-VLAN.
Тем, кому жалко идентификаторов VLAN на совсем изолированные сервера, предлагается съэкономить их с помощью технологии Multiplex VLAN (MUX VLAN). Несовместимо с ограничением числа MAC адресов на интерфейсе, port security, VBST. Нет статистики VLANIF. Порты делятся на:
trunk и VLAN в сборе, включая доступ к другим коммутаторам:
vlan batch 2 to 6 dhcp enable dhcp relay server group имя-группы server адрес-DHCP-сервера-VLAN1 0 vlan 1 description legacy name legacy vlan 2 description service name service mac-vlan mac-address ... vlan 3 description grid name grid mac-vlan mac-address ... vlan 4 description users name users interface Vlanif1 description legacy ip address адрес маска interface Vlanif2 description service ip address адрес маска dhcp select relay dhcp relay binding server group имя-группы interface Vlanif3 mtu 9216 description grid ip address адрес маска dhcp select relay dhcp relay binding server group имя-группы interface Vlanif4 description users ip address адрес маска interface Eth-Trunk1 description link to switch1 port link-type hybrid port hybrid tagged vlan 2 to 4 mode lacp-static interface Eth-Trunk1 description link to switch2 ... interface Eth-Trunk5 description link to сервер1 port link-type hybrid undo port hybrid untagged vlan 1 port hybrid untagged vlan 2 to 3 mac-vlan enable interface Eth-Trunk6 description link to сервер2 ... interface GE101/0/1 description link to BMC1 port link-type hybrid undo port hybrid untagged vlan 1 port hybrid untagged vlan 2 to 3 mac-vlan enable ... interface GE101/0/46 eth-trunk 5 interface GE101/0/48 eth-trunk 5 ... interface 10GE1/0/1 eth-trunk 1 device transceiver 10GBASE-FIBER interface 10GE1/0/2 eth-trunk 1 device transceiver 10GBASE-FIBER interface 10GE2/0/1 eth-trunk 1 device transceiver 10GBASE-FIBER interface 10GE2/0/2 eth-trunk 1 device transceiver 10GBASE-FIBER ...
QinQ.
VLAN mapping.
GVRP.
802.1x.
ACL: определение и использование.
Защита от специфических атак, включая атаки на само устройство, ограничение трафика, блокировка интефейса.
LLDP.
STP, RSTP, MSTP, VBST, защита корня, фильтрация.
ARP: статические, динамические, VLAN, Gratuitous ARP, Proxy ARP. Извлечение информации из ARP пакетов (используется ЦП), DAI (dynamic ARP inspection), противодействие подставным пакетам ARP, ограничение потока ARP запросов.
Устройство работает с DHCP: сервер, relay, подслушивание (используется ЦП) - извлечение информации из пакетов DHCP, ведение таблицы соответствия IP и MAC, предотвращение подмены DHCP пакетов и DHCP атак. Сервер DHCP (оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP сервера с непересекающимися пулами адресов). Последовательность поиска IP адреса для выделения клиенту:
Для настройки посредника DHCP (relay agent, оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP посредника) необходимо иметь работающие и настроенные DHCP сервера и маршруты к ним, настроить описание используемых групп DHCP серверов, привязать группы к интерфейсам (если сервер всего 1, то можно привязать сразу):
Подслушивание DHCP.
IPv6: для CE5855 требуется прошивка V200R002C10.
assign forward mode store-and-forward # управление потоком несовместимо с режимом cut-through; не поддерживается на CE5800; требуется перезагрузка
Исследование внутренних таблиц передачи трафика (FEI- программный вид, SDK - аппаратный вид):
display forward entry l2 interface ge103/0/25 vlan 2 dst-mac 001c-c08b-181e src-mac a4bf-0119-6b52 slot 103
Маршрутизация IP: статические маршруты, RIPv1, RIPv2, RIPng, OSPFv2, OSPFv3, IS-IS, BGP, BGP4+, политики машрутизации и маршрутизация по правилам.
MPLS (нет в CE6810LI и CE58xx).
VPN (нет в CE6810LI): Multi-VPN-Instance CE (MCE, развитие BGP/MPLS IP VPN), GRE.
IP multicast: IGMP, PIM, маршрутизация.
L2 multicast: подслушивание IGMP (используется ЦП), прокси IGMP, VLAN.
BFD (Bidirectional Forwarding Detection) - быстрое обнаружение проблем, BFD и группа портов.
VRRP - протокол виртуального шлюза для борьбы с отказами шлюза.
DLDP - обнаружение однонаправленных соединений (оборванные или перепутанные оптические волокна).
Smart Link - резервное соединение (упрощённый до предела STP, но быстрый).
QoS: классификация и маркировка, ограничение трафика, перемаркировка, права доступа, перенаправление, управление очередями, WRED и прочие попытки предотвращения перегрузки, ограничение исходящего трафика.
MMF (MAC-Forced Forwarding) - изоляция пользователей на уровне 2 и возможность соединения между пользователями на уровне 3. Перехватывает запросы ARP от пользователя и подсовывает ответы ARP со своим MAC адресом.
IPSG - предотвращение подделки исходных IP адресов (проверка соответствия IP, MAC, интерфейса и VLAN таблице от DHCP).
URPF (Unicast Reverse Path Forwarding) - проверка исходящего IP адреса в таблице FIB (Forwarding Information Base).
Зеркалирование портов и трафика.
observe-port 1 interface GE101/0/1 # где будем смотреть interface GE101/0/2 # что будем смотреть port-mirroring observe-port 1 both
Подерживается мониторинг и управление с помощью протокола SNMP версий 1, 2c и 3. На каждую версию свой агент, который выключен по умолчанию. У агента версии 3 по умолчанию выключены аутентификация и шифрование. Команды управления агентами SNMP:
Имеется SNMP прокси.
Посмотреть результаты настройки можно командами:
Пример настройки агента 2c:
snmp-agent sys-info version v2c snmp-agent sys-info version v3 disable snmp-agent community complexity-check disable snmp-agent community read public snmp-agent community write cipher ... snmp-agent sys-info contact кто snmp-agent sys-info location где commit
Полный обход snmpwalk выдаёт 183105 OID и занимает около часа (SVF из 10 коммутаторов). Из интересного:
NETCONF.
OpenFlow.
NetStream.
sFlow.
Трассировка пакетов (только CE8860EI).
Определение маршрута (не поддерживается в CE6810 и CE5855).
TRILL (Transparent Interconnection of Lots of Links) - стандарт IETF, который использует для построения сети уровня 2 развитие протокола маршрутизации сети уровня 3 IS-IS (RFC 6329), а именно SPB (Shortest Path Bridging, IEEE 802.1aq) и расширение ECMP (Equal Cost Multiple Paths, 802.1Qbp). SPB является современной альтернативой старому семейству протоколов, основанных на остовном дереве (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP), которые умеют использовать только один маршрут пересылки трафика к корневому коммутатору (root bridge) и блокируют любые альтернативные пути, так как это может привести к образованию сетевой петли на 2-м уровне. На границе домена TRILL определяется идентификатор коммутатора выхода из домена TRILL, пакеты инкапсулируются либо с помощью механизма MAC-in-MAC (SPBM, Individual Service ID - I-SID, IEEE 802.1ah, где требуется полная изоляция клиентских VLAN и их MAC адресов) или тэгированных кадров 802.1Q/802.1ad (SPBV, VID - VLAN ID, обратная совместимость с STP/MSTP, 802.1aq, на границе домена TRILL для Service ID (ISID) назначается VID, которому соответствует ровно 1 набор кратчайших путей) и транспортируются к точке выхода внутри домена TRILL в соответствии с SPB/ECMP. В заголовке имеется счётчик прыжков (по аналогии с TTL TCP/IP), который позволяет избегать бесконечных циклов. На выходе оверлейный заголовок убирается из пакета. Cisco FabricPath - аналогичная технология, несовместима со стандартом.
Архитектура TRILL:
Ограничения TRILL (несколько страниц):
Базовые команды TRILL:
VXLAN (Virtual Extensible LAN) инкапсулирует кадры Ethernet в пакеты UDP (порт 4789), что позволяет связать L2 сегменты через IP сеть. Поддержка VXLAN в транспортной сети не требуется, только на пограничных устройствах, пограничным устройством может быть виртуальный коммутатор, работающий на хосте. И зачем здесь специальные коммутаторы с лицензией за специальную цену? Для заполнения таблицы MAC адресов используется multicast, что вызывает множество проблем, или внешние средства наполнения этой таблицы.
VRP работает в контейнере в ОС Linux, рядом с ней можно запустить контейнер Open System (нужен отдельный IP адрес), содержащий агента Puppet, агента OpenFlow, сервер OMI (Netconf?) и OVSDB (?). Open System загружает файловую систему sqfs (файлы .sqfs, https://github.com/HuaweiSwitch), использует виртуальную сеть для взаимодействия с контейнером VRP, можно запускать скрипты и программы. Не поддерживается в CE6810 и CE58xx. Несовместимо со стеком и SVF. Для V200R002C20 и выше требуется дополнение.
Allied Telesyn AT-8124XL (V2) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.5Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость, MAC адрес порта можно проверить средствами удаленного управления. Один порт может быть переключен кнопкой из режима MDI-X в MDI. 4 MB DRAM (до 8192 MAC адресов, 2 MB под буфер).
Поддерживает алгоритм покрывающего дерева STA (802.1D), по умолчанию - выключен (включение делает устройство временно недоступным), позволяет задавать приоритет коммутатора (используется для определения корня), интервал между пакетами, время устаревания информации, время задержки перед переходом к новому дереву. Есть возможность посмотреть идентификатор корня, корневой порт и расстояние до корня. Для каждого порта можно установить приоритет и расстояние (cost), используемые в STA (но не для 802.1p!).
Поддержка 4 очередей с приоритетами, приоритетов на основе портов нет, имеется возможность задать соответствие приоритета 802.1p входящих пакетов (0 - низший, 7 - высший) номеру очереди (3 - низший, 0 - высший). Включение QoS отключает управление потоком на всех портах.
До 64 VLAN на основе меток 802.1Q и/или портов. Конфигурировать VLAN можно только через RS-232: чтобы добавить порт в новую VLAN, его надо удалить из Default VLAN, а редактировать можно только отключенные VLAN, а отключение Default VLAN остановит всю сетку. При создании каждой VLAN назначается идентификатор (VID, 1-4094) и имя (для красоты, до 32 символов). Также для каждого порта указывается, принадлежит ли он данной VLAN и тип порта (с метками или без). Порт без меток может принадлежать только одной VLAN. Порт может быть определен как порт без меток для одной VLAN и как порт с метками для нескольких других VLAN. Каждому порту назначается PVID (Port VLAN Identifier). PVID порта без меток должет совпадать с его VLAN. При получении кадра без метки 802.1Q, коммутатор назначает ему VLAN исходя из PVID порта и посылает (может быть) только на порты, входящие в данную VLAN. При получении кадра с меткой 802.1Q коммутатор выбрасывает его, если порт не принадлежит указанной в кадре VLAN и включена Ingress фильтрация, иначе кадр посылается (может быть) только на порты, входящие в указанные VLAN. Перед отправкой кадра в порт без меток, метка удаляется. Подключенное к порту с метками устройство должно уметь принимать кадры с метками и должно отправлять кадры с метками.
Имеется возможность включить "подглядывание" за пакетами протоколов IGMP и DVMRIP, а также задать время старения полученной информации. Пакеты с групповым IP адресом получателя будут передаваться только на необходимые порты. Можно также посмотреть таблицу соответствия групповых IP адресов и портов, к которым подключены члены группы.
Агрегирование до 4 портов на транк и до 4 транков. Есть физические ограничения на принадлежность портов к одному транку (разночтения в документации). Все порты одного транка должны принадлежать одной VLAN. Все порты транка будут 100 Mb, полный дуплекс с управлением потоком. Протокол транкинга (свой или 802.3ad) неизвестен.
Последняя версия firmware AT-S30 1.0.4 (MIB заменили на собственный). Загрузка новых версий по TFTP (задается IP адрес и имя файла до 30 символов). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям и с возвратом к фабричным значениям, кроме IP.
Управляется по RS-232 (я соединяю его с AUX на Cisco 2500 и захожу обратным telnet), telnet, HTTP (местами требуется Java), SNMPv1 (MIB-II - RFC-1213, MIB моста - RFC-1493, исправленная под SNMPv2 группа interfaces MIB-II - RFC-1573 (однако, ifMIB с ее 64-битными счетчиками отсутствует), Ethernet MIB - RFC-1643, RMON - RFC-1757 (только группы 1, 2 и 3), private MIB). При управлении через RS-232 или telnet перед заполнением любого поля (например, пароль при входе ;) требуется нажать Enter. Во всех режимах, кроме RS-232, данные (в том числе пароль!) передаются по сети в открытом виде. Все режимы управления, кроме RS-232 можно запретить (по умолчанию они все разрешены). Для всех in-band режимов управления необходимо установить IP адрес, маску подсети, IP адрес шлюза по умолчанию (если станция управления находится в другой локальной сети), возможность получения этих параметров от сервера BOOTP или DHCP (выводится MAC адрес блока управления). Уровень доступа при управлении по RS-232, telnet и HTTP только один (при изготовлении устройства устанавливается имя admin и пустой пароль). При задании пароля рекомендуется ограничиться латинскими буквами и цифрами, иначе будут проблемы с доступом по HTTP. Имеются отдельные таймеры неактивности для RS-232 и telnet. При управлении по SMTP имеются отдельные пароли доступа (community) для чтения (public), для записи (private) и посылки trap (public, необходимо также указать до 4 IP адресов получателей). Единственный trap, который можно настроить - это посылка сообщений при неавторизованном SNMP доступе.
HTTP доступ не позволяет: сбросить коммутатор, конфигурировать QoS, IGMP, мониторинг порта, посмотреть таблицу MAC адресов.
Коммутатор позволяет посмотреть или установить по RS-232, telnet или HTTP объекты SNMP группы System: SysUpTime (время работы после загрузки), SysDescr (AT-8124XL), SysObjectID (уникальный серийный номер), SysName, SysLocation, SysContact. Здесь же можно посмотреть разнообразную статистику, собираемую SNMP агентом для каждого порта первой группы RMON: число байт и пакетов из сегмента, число broadcast и multicast, число различного типа ошибок и распределение пакетов по размерам.
К сожалению, нет возможности вручную задать MAC адреса подключенных к порту устройств и отключить режим самообучения (адреса хранятся в DRAM и сбрасываются при отключении питания). Можно задать только время устаревания информации, по умолчанию - 300 секунд. Есть также средства поиска номера порта по MAC адресу, что можно использовать для приблизительного внешнего контроля.
Можно мониторить только входной или только выходной трафик одного порта на 14 порту. Скорость 14 порта необходимо принудительно установить равной скорости исследуемого порта. Во время мониторинга к 14 порту нельзя подключать обычную станцию, т.к. собственный трафик порта блокируется (даже ее MAC адрес не заносится в таблицу). Собственный трафик станции надо пропускать через вторую сетевую карту и не забыть проделать дырку в сетевом экране.
Zyxel Dimension ES-2008-GTP EE представляет собой 8-портовый неблокирующий коммутатор (3.6 Gbps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 10) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления (MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3, номера портов в mib-2.17.7.1.2.2.1.2 (snmpwalk -c public -v 1 10.101.0.243 SNMPv2-SMI::mib-2.17.7.1.2.2.1.2, в десятичной нотации)). До 8000 MAC адресов, 2 Mb под буфер пакетов. Встроенный блок питания, 17 W, но греется сильно. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться), адрес шлюза - 192.168.1.254, имя/пароль - admin/1234. DHCP - нет! В прошивке до 1.10 имеется имя/пароль для HTTP - guest:guest (неотключаемые ;), в новой прошивке их поменяли на что-то другое. Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232 и ввести имя/пароль: superuser/zyxel, после чего ввести команду flashdf и отключить питание. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение.
Управляется по HTTP (требуется IE 5.5, иначе работает не всё - устройство выдаёт всю информацию, но JavaScript-ы отображают её только в IE; состояние порта: http://192.168.1.1/portcot.htm?port=1; 5-секундный refresh на каждой странице доводит до бешенства), telnet, RS-232, SNMPv1 (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, ES-2008-GTP.MIB). Доступ по telnet и HTTP можно ограничить четырьмя исходящими IP адресами или запретить совсем. Только один оператор одновременно. В прошивке до 1.15 имеется возможность обойти систему безопасности при управлении по HTTP.
Имеется управление очередью пакетов (FIFO, приоритетный (в смысле QoS) пакет вперёд, соотношение между высоко- и низкоприоритетным трафиком), STP (IEEE 802.1D, обеспечение запасных путей без образования циклов), IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable), VLAN (по портам, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). Агрегирование портов: до 8 портов, ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры. LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически, можно запретить динамическое занесение новых MAC адресов для указанных портов (port security), можно задать список фильтруемых MAC адресов. Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды), возможность задать максимальную долю широковещательных пакетов (broadcast storm filter).
По умолчанию все порты имеют VLAN ID 1 (удалять её нельзя). При распределении VLAN по портам каждый порт приписывается ровно к одной VLAN (ID от 1 до 4094). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток. GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны).
Последняя версия firmware (1.17 для EPCB04602). Загрузка новых версий по TFTP (задается IP адрес и имя файла, не более 15 символов) при конфигурировании через браузер или X-Modem при конфигурировании через RS-232 (конфигурировании по telnet не позволяет заменить прошивку). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.
Zyxel ES-2108-G представляет собой 8-портовый неблокирующий коммутатор (5.6 Gbps (используется 3.6 Gbps), 2.7 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 9, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для исходящик пакетов. mini-GBIC слот (SFP, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта. До 24 коммутаторов можно соединять в стек с одним IP адресом. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 Mb под буфер пакетов. Встроенный блок питания, 10 W, тихий вентилятор. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. DHCP - есть (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh и сконфигурировать (enable, затем configure) статический маршрут, обязательно разрешить подключение нескольких операторов (multi-login), заодно поменять пароль (password пароль, затем admin-password пароль пароль, сохраниться (write memory) и перезагрузиться. Теперь можно зайти с другого сегмента по HTTP/HTTPS и включить DHCP, маршрут убрать, (в старой версии в CLI не было возможности включить DHCP, в сегменте 192.168.1.0 у меня нет клиентских компьютеров, lynx/elinks не позволяют нажать кнопку Apply). В новой версии появилась возможность включить DHCP из CLI:
enable configure multi-login password пароль admin-password пароль пароль vlan 1 ip address default-management dhcp-bootp перейти на другую консоль ;) enable configure service-control icmp snmp no service-control ftp snmp-server contact ответственный location расположение snmp-server get-community пароль-на-чтение snmp-server set-community пароль-на-запись time timezone 0300 timesync server адрес-NTP-сервера timesync ntp exit write memory exit
Имеется возможность задавать статические маршруты для исходящих пакетов. Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. Имеет встроенный журнал и возможность удалённого тестирования портов.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, файл?), перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; можно изменять интервал неактивности - 3минуты), HTTPS (самоподписанный сертификат), telnet, SSH (SSH2, RSA, DES, 3DES, Blowfish, аутентификации по ключу нет), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; прошивка 3.80 содержит MIB). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов пуста, но есть таблица ARP (без указания номера порта и VLAN ID, может он ещё и маршрутизировать умеет). Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh, один FTP сеанс, 5 web сеансов под разными именами, но только один администратор с именем admin). Возможна локальная аутентификация или RADIUS (IEEE 802.1x), в т.ч. отдельно для каждого порта. Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p) на номер очереди (по умолчанию, уровни 1 и 2 отображаются на очередь 0, а уровень 0 - на очередь 1). Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно задать таблицу соответствия уровней DSCP и 802.1P. STP/RSTP (IEEE 802.1D и быстрый вариант 802.1W, обеспечение запасных путей без образования циклов). IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable). Агрегирование портов (до 2 групп на коммутатор, до 4 портов в группе, только порты 100M): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически (до 256 адресов), можно задать список фильтруемых MAC адресов (до 256 адресов). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов, а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды). Можно задать максимальный трафик широковещательных пакетов (broadcast storm filter). Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).
VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN, нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, не позволять или привязать его статически. Есть возможность изоляции портов. При распределении VLAN по портам каждый порт приписывается к VLAN 1. Порт с именем CPU является портом управления (его разумно соединить со всеми портами). Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Последняя версия firmware (v3.80 (ABL.0) C0, Bootbase Version 1.02, RomFile Version 84; автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping). Загрузка новых версий по
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS: подсказки по нажатию клавиши Tab или "?", двухуровневый доступ (после входа можно только посмотреть состояние, команда enable с отдельным паролем для перехода на уровень администратора и префиксом строки "#" вместо ">" на начальном уровне; правда, zyxel похоже запутался с этими паролями на разных уровнях, в web интерфейсе и SNMP), команда configure для перехода на уровень настройки (префикс строки "config#" и подуровни interface, router, VLAN), история команд, редактирование (недоделанное) команд и т.д.. Ключевые слова команды необходимо вводить полностью. Команда "help" выдаёт список имеющихся команд и подкоманд. Команды "?" выдаёт список команд и их описаний. Если первым параметром команды указать "help", то выдаётся синтаксис команды. Если первым параметром команды указать "?", то выдаётся описание параметров команды.
Основные команды уровня оператора:
Основные команды уровня администратора:
Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):
Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):
Основные параметры настройки VLAN ("no" перед командой означает обратное действие):
Zyxel ES-2024A представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 1.5 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с 2 портами 1000Base-TX (адресуются как порты 25 и 26, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для входящих с этого порта пакетов без тега 802.1p. 2 mini-GBIC слот (SFP MSA, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта (1518 и тэги VLAN). До 24 коммутаторов в одной VLAN можно соединять в стек с одним IP адресом (iStacking, Cluster Management). Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Обещанного мониторинга температуры и скорости вращения вентилятора (?!) не заметил ни в SNMP, ни в HTTP. Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 MB под буфер пакетов. Встроенный блок питания, 21 W, вентилятор отсутствует (хотя в описании есть), возможен монтаж в стойку, имеется модель с PoE (потребление 200W, 15W на порт). Стандартные установки: свой адрес - 192.168.1.1/255.255.255.0 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN и статических маршрутов), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. Есть DHCP (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh, сконфигурировать и перезагрузиться:
enable configure multi-login password пароль admin-password пароль пароль vlan 1 ip address default-management dhcp-bootp перейти на другую консоль ;) enable configure hostname имя-коммутатора no service-control ftp service-control icmp snmp snmp-server contact ответственный location расположение snmp-server get-community пароль-на-чтение snmp-server set-community пароль-на-запись time timezone 0300 time daylight-saving-time start-date last sunday march 2 time daylight-saving-time end-date last sunday october 2 time daylight-saving-time timesync server адрес-NTP-сервера timesync ntp syslog server адрес-syslog-сервера level 7 syslog type system syslog type interface syslog type switch syslog type aaa syslog type ip syslog exit write memory exit
В версии прошивки 3.80 появился DHCP Relay к общему DHCP серверу или отдельным для каждой VLAN. К запросу клиента добавляются имя коммутатора, номер слота в кластере, номер порта клиента, VLAN ID.
Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. В прошивке 3.80 появилась возможность настройки летнего времени.
Имеет встроенный журнал и возможность вывода сообщений на внешний сервер (серверы) syslog.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, где взять файл?), перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox и konqueror, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; отвратительная привычка включать текущее время в имя области осталась, что не позволяет хранить пароль в браузере; можно изменять интервал неактивности - 3 минуты), HTTPS (самоподписанный сертификат; RC4, MD5, SSLv3), telnet, SSH (SSH2, RSA/DSA, MD5/SHA1, 3DES, Blowfish, AES128-CBC, нет аутентификации по ключу, нет генерации ключей, медленно), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (совместим с SNMPv1; RFC-1155, RFC-1157, RFC-1213, RFC-1493, RFC-1643, RFC-1757, RFC-2674; zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; MIB идёт в комплекте с прошивкой 3.80), SNMPv3 (прошивка 3.80; MD5 или SHA; DES или AES). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов показывается только после выбора типа сортировки (MAC, VID, порт). Таблица ARP содержит соответствие между IP адресами и MAC адресами для хостов, обменивавшихся пакетами с коммутатором. Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh (до 9 в версии 3.80), один FTP сеанс, 5 web сеансов под разными именами, но только один администратор обязательно с именем admin). Возможна локальная аутентификация администратора или с использованием серверов RADIUS (до 2 серверов, разделяемый секрет) или TACACS+ (прошивка 3.80; до 2 серверов, разделяемый секрет). 2 уровня доступа при работе с telnet и ssh (можно назначить высокий уровень доступа любому пользователю). Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Аутентификация подключаемых устройств по 802.1x (RADIUS, до 2 серверов, разделяемый секрет) и учёт с использованием RADIUS (до 2 серверов, разделяемый секрет) и TACACS+ (до 2 серверов, разделяемый секрет). Возможен учёт системных событий (включение, выключение); вход администратора с помощью telnet, ssh или консоли; сессии протокола IEEE 802.1x; выполняемые администратором команды (только tacacs+). При использовании сервера RADIUS возможно ограничение входящего и исходящего трафика, выбор VLAN и уровня привилегий с помощью атрибутов изготовителя (Vendor Specific Attribute).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p/802.1d) на номер очереди. Кадры без тега QoS получают приоритет по входящему порту. Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно (?) задать таблицу соответствия уровней DSCP и 802.1P и необходимость преобразования и/или вставки DSCP в пакеты по портам. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды).
STP (IEEE 802.1D, Spanning Tree Protocol), RSTP (802.1W, Rapid Spanning Tree Protocol, ускоренное перестроение дерева) и MSTP (802.1s, Multiple Spanning Tree Protocol, адаптация RSTP к VLAN) - обеспечение запасных путей без образования циклов.
IGMP 1/2/3 (протокол управления членством в multicast группах): фильтрация и извлечение информации из проходящего трафика (до 16 VLAN: автоматический выбор первых 16, задание списка VID, MRV (Multicast VLAN Registration)). Работа в качестве IGMP сервера - Auto, Enable (Fixed), Disable (Edge).
Агрегирование портов (до 2 групп из 100Mb портов и одна группа из гигабитных портов, до 4 портов в группе): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять.
MAC адреса можно привязывать к портам статически (до 256 адресов; указывается имя, MAC адрес, VID, порт), можно задать список фильтруемых MAC адресов (до 256 адресов; указывается имя, MAC адрес, VID). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов (от 0 до 8192), а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Время нахождения MAC адреса в таблице известных настраивается (по умолчанию - 300 секунд). Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.
Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps) отдельно для каждого порта.
Можно задать максимальный трафик широковещательных и групповых пакетов (broadcast storm control) отдельно для каждого порта (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).
Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirroring), при этом порт мониторинга продолжает получать свой трафик. Возможна фильтрация по исодящему или входящему MAC адресу.
VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). Параметры GARP настраиваются (Join Period, Leave Period, Leave All Timer). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты и сам коммутатор (порт CPU) имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN (порт может входить в несколько VLAN), нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, позволять или не позволять привязывать его статически. Порт с именем CPU является портом управления (его разумно соединить со всеми портами), можно указать дополнительные IP адреса (маску, шлюз, VID) для порта управления. Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). Изолированный порт может взаимодействовать только с портом управления и гигабитным портом (которым из них?). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID (настройка по протоколам или исходящим адресам). Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Защита от фальшивых ARP пакетов (IP source guard) - администратор составляет таблицу со следующими полями: MAC адрес, идентификатор VLAN, IP адрес и номер порта коммутатора. Коммутатор пропускает только те ARP пакеты, которые соответствуют этой таблице (активируется отдельно для каждого порта и VLAN). При появлении поддельного пакета некоторое время блокируется весь траффик с этим MAC. Информация об этом может направляться на syslog сервер - указывается интервал и число сообщений в пакете.
Дополнительная (к STP) защита от петель в сети (loop guard) позволяет обнаруживать кабели, соединяющие 2 порта одного и того же коммутатора. Посылается тестовый пакет, если пакет возвращается обратно, значит порт соединён с "зацикленным" коммутатором и он блокируется. Побочным эффектом может являться потеря связности сети, так что применять можно только на портах, к которым подключены граничные коммутаторы или конечные устройства. Если тестовый пакет возвращается через другой порт, значит мы имеем "обычный" цикл и порт также блокируется. Разблокировать порт необходимо вручную после устранения проблемы.
Диагностика позволяет посмотреть внутренний журнал, протестировать ethernet порт (internal loopback test) и "пингануть" хост.
Последняя версия firmware (v3.80 (TX.0) C0, Bootbase 1.08, RomFile version ?, поддержка нового процессора): автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping. Загрузка новых версий (рекомендуется иметь в этот момент соединение по RS-232, чтобы контролировать процесс и ввести "boot config") по
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство с альтернативной конфигурацией.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS:
Основные команды уровня оператора:
Основные команды уровня администратора:
Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):
Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):
Основные параметры настройки VLAN ("no" перед командой означает обратное действие):
Allied Telesyn AT-8524M-50 (ATS62_LOADER v1.1.0, ATS62 v1.2.1 NE) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.6 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X только в режиме автосогласования) с двумя слотами, в которые вставляются модули AT-A46 (10/100/1000Base-TX, включить 1000 не смог), с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8000 MAC адресов, 32 MB ОП.
Управляется (один оператор одновременно) по HTTP (SSL, нет в версии NE), RS-232 (8N1, 9600, VT100, здесь же доступен загрузчик, меню и CLI), telnet (SSHv2, нет в версии NE; меню и CLI; некоторые ограничения по сравнению с локальным доступом), SNMPv1/2c/3 (RFC-1153, RFC-1213, RFC-1215, RFC-1493, RFC-1643, RFC-2674, RFC-2863, atistackswitch.mib, atistackinfo.mib). Только один сеанс telnet или RS-232 одновременно. Стандартные имя/пароль: manager/friend и operator/operator (только чтение, в т.ч. можно увидеть имя комьюнити SNMP с правами на изменение). Имена пользователей изменить нельзя (а также универсальный пароль доступа). Пароли доступны для SNMP. Поставляется с выключенным DHCP-клиентом и IP-адресом 0.0.0.0.
Позволяет получать время с NTP сервера (адрес и смещение относительно UTC может получать через DHCP). Летнее время необходимо переводить вручную. Внутренний таймер отстаёт на 1% (от сети 50Hz?).
SSH может использовать только ключи, созданные устройством. Ассиметричное шифрование - RSA, до 1536 бит. Обмен ключами - DH. Частный ключ экспортировать нельзя. Симметричное шифрование - DES (CBC), 3DES, RC4 (arcfour), AES. MAC - hmac-md5 и hmac-sha1. Для SSH требуется 2 пары ключей (1536 для ключей сервера и 1280 для хоста; зачем это для SSH2?). Аутентификация только по паролю. Генерация ключа длиной 1536 занимает 10 минут на ненагруженном коммутаторе. DSA нет, так что на клиентском компьютере необходимо создать пару ключей для RSA и добавить её в связку, а также разрешить их использование (RSAAuthentication yes; HostKeyAlgorithms ssh-rsa). Соединение очень медленное. Похоже, что внутри OpenSSH_3.6.1p2 (тогда почему нет DSA и public key?).
При статической привязке MAC адресов к портам (menu => MAC Address Tables => MAC Addresses Configuration => Add Static MAC Address) адреса необходимо указывать в формате: 00-80-AD-82-5F-6C. Установка состояния безопасности порта только через telnet (ssh) интерфейс (menu => Port Configuration => Port Security). Не забудьте сохранить конфигурацию. Безопасность портов несовместима с 802.1x управлением доступа. Каждый порт может находиться в одном из состояний безопасности (ingress фильтрация):
Соединить его прямым кабелем с Acorp (8-портовый коммутатор 10/100) не удалось ни в режиме автоопределения, ни вручную задавая скорости и MDI/MDIX).
Временами перестаёт воспринимать ответы DHCP сервера и теряет адрес.
Planet FGSW-2402S представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.54 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с двумя слотами, в которые вставляются модули 1000Base-TX, с автоматическим согласованием скорости и режима дуплекса, управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8K MAC адресов, 2.5Mb (6Mb?) ОП. Имеется кнопка Reset. Потребляемая мощность - 40 Вт, т.е. сильно греется и снабжён шумными вентиляторами.
Управляется по RS-232 (8N1, 19200, VT100, пароль "admin" или имя пользователя "admin" с пустым паролем): возможность вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком, задать параметры QoS (модель RS), агрегирования портов (до 4 транков по 8 портов в каждом, выбор ограничен), VLAN (до 8 штук по портам; 802.1Q только в RS), ограничение потока на каждом порту отдельно на приём и передачу (128K, 256K, 512K, 1M, 2M, 4M, 8M), мониторинг порта (указывается исходный порт, порт мониторинга), ограничение доли широковещательных пакетов (6%, 20%), сбор статистики по портам. Имеется режим (MTU), в котором оборудование подключённое к портам 1-25 может обмениваться пакетами только с портом 26 или порты 1-12 с портом 25, а порты 13-24 с портом 26.
|
Bog BOS: hardware: Ethernet |