@ Карта сайта News Автора!

Bog BOS: hardware:  Ethernet

Последнее изменение файла: 2017.03.07
Скопировано с www.bog.pp.ru: 2017.03.26

Bog BOS: hardware: Ethernet

Ethernet - локальная сеть, построенная на случайном методе доступа к разделяемой среде передачи данных с обнаружением коллизий - CSMA/CD (Ethernet Network - Xerox, 1975; Ethernet II или Ethernet DIX - Digital, Intel, Xerox - 1980). Ethernet DIX отличается от IEEE 802.3 (совмещены уровни MAC и LLC, отличается формат кадра). Эталонная модель IEEE 802 включает уровни LLC (Logical Link Control, управление логическим каналом, 802.2), MAC (Media Access Control, управление доступом к среде, 802.1D, 802.1G, 802.1H, 802.1Q) и PHY (физический уровень, 802.3, 802.3ae). Уровень PHY соответствует физическому уровню эталонной модели OSI. Уровни LLC и MAC соответствуют уровню передачи данных эталонной модели OSI. Компоненты локальной сети: сетевой адаптер, кабельная структура, повторитель (концентратор, хаб, hub), коммутатор (switch, мост, bridge), маршрутизатор (router), шлюз (gateway). Хаб делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Коммутатор делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. Коммутатор с возможностями VLAN позволяет разделять широковещательные сегменты. Маршрутизаторы сегментируют сеть на уровне IP адресов и позволяют организовывать логическую топологию с петлями. Шлюз позволяет строить сеть из сегментов различной физической природы. Разделяемый сегмент Ethernet не рекомендуется загружать свыше 30% в среднем, иначе большую часть времени сеть будет заниматься обработкой коллизий, в результате время ожидания возрастет, а пропускная способность упадет (хотя пересылать файлы с одного узла на другой можно с полной скоростью, если другие узлы в это время молчат). Устройства не отслеживают потерю и дублирование кадров и не сообщают об этом протоколу верхнего уровня, испорченные кадры молча выбрасываются (ни извещений, ни перепосылки). Реактивное управление потоком (опция). Порядок, время задержки и полоса пропускания не гарантируются. Фрагментация пакетов не предусмотрена, поэтому все устройства в сегменте должны иметь одинаковое MTU.

Стандарты

Стандарты Ethernet образуют семейство стандартов IEEE 802.x (IEEE Standard for Local and Metropolitan Area Networks, ISO 8802, ECMA-80, ECMA-81, ECMA-82).

Уровень LLC

Уровень LLC (Logical Link Control, управление логическим каналом) организует сопряжение с вышестоящими уровнями стека сетевых протоколов, управление потоком и обработку ошибок передачи (выявлением ошибок занимается уровень MAC).

Заголовок PDU (Protocol Data Unit) состоит из 3 полей: номер протокола получателя (DSAP, один байт, 0x6 - IP, 0xF0 - NetBIOS), номер протокола отправителя (SSAP), управляющее поле - 1 или 2 байта (для ненумерованного кадра - 1 байт, не содержащий дополнительной информации). Старший бит DSAP задает тип адреса: индивидуальный или групповой, старший бит SSAP задает флаг: команда или ответ.

В любом режиме работы можно использовать управляющие кадры XID (обмен информацией о поддерживаемых режимах и размере окна) и TEST.

LLC предоставляет 3 вида услуг (протокола, режима работы):

  1. Type 1: услуги без подтверждений и установления соединения, не включают механизмы подтверждения, управления потоком и обработки ошибок; используются ненумерованные информационные кадры (UI PDU)
  2. Type 2: устанавливается логическое соединение, обеспечивается управление потоком и обработка ошибок (похож на асинхронный сбалансированный режим HDLC с 7-битной нумерацией)
  3. Type 3: обеспечивается подтверждение доставки PDU с помощью передачи ненумерованного PDU и ответа со взведенным битом отклика, но логическое соединение не устанавливается; используется 1-битовый порядковый номер

В стеках протоколов TCP/IP и IPX/SPX всегда используется режим LLC1. Процедуры LLC лишь извлекают из PDU пакеты IP, ARP и RARP. NetBIOS/NetBEUI может использовать режим LLC2. В этом случае используются также информационные и управляющие кадры (заголовок длиной 3 или 4 байта).

Уровень MAC

Уровень MAC регулирует доступ к среде передачи данных, дополняет модуль данных LLC (PDU LLC) информацией об адресах и контрольной суммой, формирует кадр (frame) MAC. Выявляет ошибки и отклоняет ошибочные кадры. Обработкой ошибок (повторной передачей) может заниматься уровень LLC или вышестоящий уровень.

Для надежного распознавания коллизий время передачи кадра минимальной длины должно быть больше времени распространения коллизии до самого дальнего узла локальной сети (сегмента коллизий) и обратно. Минимальная длина поля данных - 46 байт (64 байта с заголовком кадра, 72 байта с заголовком и преамбулой). Битовая скорость - 10 Мбит/сек (14880 кадров минимальной длины в секунду). Межкадровый интервал (IPG) - 9.6 мкс (Fast Ethernet - 0.96 мкс). Максимальная длина кадра без преамбулы - 1518 байт. Максимальное расстояние между станциями - 2500 м (Fast Ethernet - 250 м). Максимальное количество станций - 1024.

Форматы кадра (MAC+LLC, попытки унификации привели только к увеличению вариантов):

Возможно автоматическое распознавание типов кадров, т.к. тип протокола в формате кадра Ethernet II всегда больше максимальной длины кадра (1500), а в начале пакета IPX идут байты 0xFF, что отличается от возможных значений DSAP и SSAP. Стек IP обычно использует формат кадров Ethernet II или Ethernet SNAP. Коммутаторы обычно поддерживают только один формат кадров на каждом порту, а групповой и широковещательный трафик рассылается только по портам с тем же форматом кадра (это может привести к изоляции устройства из=за неработоспособности протоколов типа ARP).

Типы адресов MAC (в IEEE младший бит изображается слева):

IEEE пропагандирует новый 64-битный формат адреса EUI-64, в котором в качестве номера устройства используется 5 байт вместо 3.

Для Gigabit Ethernet минимальный размер кадра без преамбулы - 512 байт. В Gigabit Ethernet введен монопольный пакетный режим (Burst Mode), позволяющий передавать несколько коротких пакетов подряд (до 8192 байт, дополнения до 512 байт не производится).

Ошибки:

Физический уровень, кабели и разъемы

Физический уровень занимается кодированием и декодированием сигналов, генерацией синхронизирующей последовательности битов, приемом и передачей битов. Также включает спецификацию среды передачи и её топологию.

Обычно при инициализации устройства производится автоматическое согласование параметров передачи (NWay, auto-negotiation, Config_Reg для 1000Base-X и FLP (fast link pulse) для *-TX (LCW - link code word - Register 4 передатчика)) между двумя устройствами (неприменимо к разделяемой среде; не реализовано для 10GE; для оптических сред невозможно согласовать скорость): полный дуплекс, полудуплекс, управление потоком (симметричное, асимметричное, никакого), обработка ошибок автосогласования (выключение, ошибка соединения, ошибка автосогласования), скорость, технология (802.3, 802.5, 802.9). Начальная передача длится 10 мс. Устройство может скрыть (маскировать) некоторые свои возможности.

Стандарт определяет следующие виды среды передачи:

Интерфейс между картой сетевого адаптера (коммутатором) и сменным трансивером (приёмопередатчик) и механические характеристики трансиверов определяются не в стандарте, а организацией MSA:

Примеры информации, полученной по DDM:

Оптические разъёмы для подключения кабеля к трансиверу:

MPO (IEC-61754-7, EIA/TIA-604-5) - 12 или 24 оптических волокна в одном разъёме (соединителе, кабеле). MTP - улучшенный вариант, имя защищено торговой маркой. В набор возможностей входят коммутационная панель для 3 кассет MPO24, кассета распределительная MPO24 на 12 портов LC. Для QSFP+ используется 12-волоконный вариант: волокна 1-4 (передатчик 1, 2, 3, 4) и 9-12 (приёмник 4, 3, 2, 1), белая точка у волокна 1, если смотреть в торец так, чтобы выступ (key) был сверху, то волокна нумеруются слева направо от 1 до 12. Коннектор может быть со штифтами (male) и отверстиями (female). Предусмотрены MPO адаптеры между коннекторами MPO male и MPO female: Type A - выступ вверх к выступу вниз, Type B - выступ вверх к выступу вверх. Про поляризацию кабелей описано на сайте изготовителя (дубль):

Для прямого соединения трансиверов QSFP+ (40GBE) используется кабель MPO типа B с коннекторами female на обоих концах. В более сложных случаях используются MPO кассеты и переходные кабели соответствующей полярности.

Объединение портов (trunking, link aggregation)

Объединение портов (trunking, link aggregation group, link bundling) позволяют объединить несколько портов (соединений, каналов) в единое целое (группу портов), увеличивая как производительность, так и надежность. Протоколы верхних уровней рассматривают транк как один канал. Для управления транками (можно использовать группы без использования управляющего протокола) может использоваться фирменный протокол (например, Cisco: Port Aggregation Protocol - PAgP) или LACP (Link Aggregation Control Protocol), описанный в IEEE 802.3ad и вошедший в состав 802.3-2005 (clause 43, реализация) и IEEE 802.1AX-2008 (определение) или EtherChannels.

LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы (LACPDU) на объединение. Порты с обоих сторон могут быть в активном режиме.

Ограничения LACP:

Inter-Switch Trunk (IST) - возможность объединять порты на разных коммутаторах.

Объединение портов в Linux осуществляется с помощью модуля bonding (создаёт интерфейс bond0, при создании имеет MAC адрес 00:00:00:00:00:00, затем берёт MAC адрес от первого присоединённого интерфейса, он же раздаётся всем присоединённым интерфейсам, не изменяется при падении первого присоединённого интерфейса, можно изменить командой "ip link set bond0 address адрес") и утилиты ifenslave (входит в пакет iputils, используется в initscripts в RHEL4) или непосредственно командой /sbin/ip и манипуляциями с /sys/class/net/ (RHEL5). Для объединения eth0 и eth1 в одну группу в RHEL5 достаточно создать /etc/sysconfig/network-scripts/ifcfg-bond0 и /etc/sysconfig/network-scripts/ifcfg-eth[01] и перезагрузить сеть (/etc/rc.d/init.d/network restart):

DEVICE=bond0
#IPADDR=192.168.1.1
#NETMASK=255.255.255.0
ONBOOT=yes
BOOTPROTO=dhcp
TYPE=Bonding
DHCPCLASS=
DHCP_HOSTNAME=s87.cs.niisi.ras.ru
USERCTL=no
BONDING_OPTS="mode=802.3ad miimon=100"

DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USERCTL=no
HWADDR=адрес

Параметры модуля bonding:

Параметры модуля bonding (доступны через /sys/class/net/; изменять для активного интерфейса нельзя) можно занести в /etc/modprobe.conf перед загрузкой:

alias bond0 bonding
options bond0 mode=802.3ad miimon=100 xmit_hash_policy=1

Будут проблемы с VLAN, с "необычной" маршрутизацией. Бойтесь перенумерации интерфейсов. Для правильной работы агента SNMP модуль bonding д.б. загружен до модулей интерфейсов. Прослушивание (promiscuous) в режимах active-backup, balance-tlb, balance-alb распространяется только на текущий (?) активный подчинённый интерфейс. Коммутатор посылает пакет на все интерфейсы, если MAC адреса нет в его таблице - это вызывает дублирование пакетов.

Сетевые адаптеры

Сетевой адаптер (NIC, Network Interface Card) реализует (вместе с драйвером) физический и MAC-уровень. Теоретически, они различаются типом шины, но единственно разумным выбором в настоящее время является PCI адаптер (кстати, они PnP) с использованием bus master DMA.

Двух(трёх)скоростные адаптеры позволяют работать как в режиме 10 Mb/s, так и 100 Mb/s и 1000 Mb/s (адаптер Fast Ethernet не обязан уметь работать с 10Base-T, хотя у них одинаковые разъемы!). Приличный адаптер должен поддерживать стандарт NWay автоматического согласования скорости и режима дуплекса.

Важными компонентами адаптера являются светодиодные индикаторы наличия связи, передачи данных и режима работы.

Адаптер может иметь микросхему загрузки по сети Boot PROM по стандартам PXE (Pre-boot eXecution Environment), bootp.

WOL (Wake-on-LAN): возможность сетевой платы (совместо с BIOS метеринской платы) включать питание компьютера по приходу специального пакета (на материнской плате имеется специальный разъем для дополнительного соединения с сетевым адаптером).

Уменьшение загрузки CPU: Bus Master, zerocopy (карта самостоятельно копирует данные ОП), аппаратное вычисление контрольных сумм, scatter-gather (слияние/разлияние кусков ОП в один пакет), уменьшение числа прерываний чтения за счёт небольшой задержки (NAPI).

Например, PCI адаптеры 100Base-TX:

Встроенный Intel Corporation 82573E Gigabit Ethernet Controller (Copper), фирменный драйвер e1000:

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0d:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit)
e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection

Встроенный Intel Corporation 82573L Gigabit Ethernet Controller, фирменный драйвер e1000

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0e:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit)
e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection

Intel PRO/1000 GT QUAD port (PWLA8494GT), интерфейс PCI-X:133MHz:64-bit, состоит из моста PCI-X в два PCI и двух микросхем 82546GB (2 гигабитных порта на PCI), нет PXE, нумерация снизу вверх

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0b:04.0: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:04.1: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:06.0: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:06.1: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection

Intel Corporation Ethernet Server Adapter X520-2 (2 x 82599EB 10-Gigabit SFP+)

Intel Corporation Ethernet Converged Network Adapter XL710-Q2 (2 QSFP+):

Интерфейс называется (точнее назывался) eth0 (alias eth0 3c59x в /etc/modules.conf (/etc/modprobe.conf) или alias eth0 eepro100 или alias eth0 e100 или alias eth0 tulip) в Linux и le0 в Solaris.

Параметры модуля tulip

Параметры модуля 3c59x (см. vortex.txt, автосогласование при переподключении может занять до минуты):

Параметры модуля e100 (информацию и статистику можно получить из файла /proc/net/PRO_LAN_Adapters/eth0.info):

Модуль e100 3.0.27-k2-NAPI из дистрибутива CentOS 4.0 (ядро 2.6.9) не имеет параметров (кроме debug), всё управление осуществляется через mii-tool/ethtool.

Параметры модуля e1000 5.3.19-k2-NAPI

Программа ifrename (пакет wireless-tools) позволяет переименовать неактивный интерфейс или все интерфейсы. Ключ -t позволяет поменять имена местами. Конфигурационный файл /etc/iftab задаёт правила переименования. Правила просматриваются по очереди с конца файла. Каждая строка содержит имя интерфейса и набор правил выбора (И):

Программа nameif (пакет net-tools) позволяет привязать имя неактивного интерфейса к его MAC адресу (каждая строка файла /etc/mactab содержит имя интерфейса и MAC адрес).

Программа mii-tool (пакет net-tools) позволяет посмотреть (вместо 1000baseTx показывает 100baseTx) или установить режим автосогласования скорости и дуплекса для указанного интерфейса (для устройств, использующих MII, про гигабитные устройства программа не знает):

Программа ethtool (пакет ethtool) показывает или устанавливает режимы карты ethernet:

Демон netplugd (скрипт /etc/netplug.d/netplug, список интерфейсов - /etc/netplug/netplugd.conf) позволяет автоматически запускать скрипты при наступлении определённого события (появление или пропадание сигнала). Ещё есть hotplug и /etc/hotplug/net.agent.

Файл /etc/ethers содержит в каждой строке соответствие MAC адреса и IP адреса (доменного имени):

08:00:20:00:61:CA server.domain.com

Посмотреть привязку сетевых интерфейсов к MAC адресам можно командой (или заглянуть в /sys/class/net/eth0/address):

ip -o link show

Специфические скрипты Red Hat и клонов:

Настройки сетевой карты 10Гб от Intel

Повторители

Концентратор (повторитель, хаб, concentrator, repeater, hub) делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Он передает полученный на одном порту битовый поток на все другие порты с очень небольшой задержкой (без буферизации), восстанавливая форму сигнала. Порт не имеет MAC адреса, поэтому послать кадр на него невозможно.

Возможна изоляция порта, являющегося источником большого числа ошибок (FCE), коллизий (ECE) или затянувшейся передачи (autopartitioning).

Концентраторы (и коммутаторы) могут образовывать только иерархические связи без петель, но некоторые модели позволяют поределять резервный порт, который будет активизирован в случае изоляции основного порта.

Может иметь кнопку, позволяющую переключать один из портов из обычного для концентратора режима MDI-X с обратной распайкой приемника и передатчика в режим MDI с распайкой как у сетевого адаптера. Это позволяет соединять два концентратора обычным прямым кабелем.

Повторители Fast Ethernet могут быть класса I (поддерживают все типы логического кодирования и могут иметь порты 100Base-TX, 100Base-T4 и 100Base-FX) и класса II (поддерживают только один тип кодирования и могут иметь либо только порты 100Base-T4, либо 100Base-TX и 100Base-FX). В одном сегменте коллизий может быть не более 1 концентратора класса I или не более 2 концентраторов класса II (расстояние между ними не более 5 м, соединение через специальный uplink порт). В одном сегменте нельзя использовать концентраторы разных классов. Данные правила (а также максимальные диаметры сети, приведенные выше) рассчитаны исходя из наихудших предположений. Аккуратный расчет конкретной сети может позволить установить большее количество концентраторов или увеличить длину кабеля.

Узлы с наиболее интенсивным трафиком желательно размещать поближе к концентратору. Это уменьшает коичество коллизий и увеличивает производительность сети.

Защита от прослушивания может быть обеспечена привязкой допустимого MAC адреса к порту. Для этого концентратор должен иметь возможность настройки (порт RS-232 или SNMP). При поступлении через порт кадров с неразрешенным MAC адресом данный порт отключается (по-моему, это никак не может помешать прослушиванию, если сидеть тихо; к тому же многие сетевые адаптеры позволяют прошить в EEPROM любой MAC адрес). Дополнительной защитой может служить преднамеренное искажение кадров, передаваемых на все порты кроме того, к которому подсоединен узел назначения (для этого также необходимо приписать MAC адрес к порту). Для управления по протоколу SNMP концентратор (точнее, SNMP агент в нем) должен иметь IP и MAC адреса.

Многосегментные концентраторы имеют несколько шин, к одной из которых может быть подключен любой порт. Получается как бы несколько концентраторов в одном корпусе и с возможностью гибкого переключения портов (иногда даже через RS-232 или SNMP, этакая кроссовая панель с дистанционным управлением).

Выпускаются (выпускались?) также стековые и модульные концентраторы. При нынешних ценах на коммутаторы их использование потеряло смысл.

Дополнительные возможности: резервные порты, RMON, дистанционное отключение портов, загрузка firmware по Xmodem или TFTP, поддержка BOOTP и DHCP, telnet.

Повторители не позволяют объединять в один сегмент узлы Ethernet и Fast Ethernet, т.к. у них отсутствует буфер, но выпускаются гибридные устройства, имеющие мост вместо одно (или даже всех!) из портов. Подобные устройства позволяют также каскадировать повторители.

Коммутаторы

Коммутатор (мост, switch, bridge) делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. То есть пакет, адресованный на индивидуальный адрес, получит только этот узел, но широковещательные пакеты будут распространяться по всей сети.

Мост (IEEE 802.1d) называется прозрачным, т.к. он работает незаметно для сетевых адаптеров, строя адресную таблицу исходя из пассивного наблюдения трафика. Порт моста не имеет собственного MAC адреса и буферизует все пакеты, приходящие на его порты. Адрес источника записывается в адресную таблицу. Если адрес получателя присутствует в таблице, то пакет передается в нужный сегмент через соответствующий порт (forwarding). Если при этом адрес получателя приписан к тому же порту, что и адрес отправителя, то пакет фильтруется (filtering). Если адрес получателя отсутствует в таблице или он групповой или широковещательный, то пакет рассылается по всем сегментам, кроме исходного (flooding). По мере проявления активности узлов таблица адресов заполняется. При переполнении таблицы новый адрес замещает один из старых. Элементы адресной таблицы могут также статически задаваться администратором сети (только для управляемых коммутаторов). При этом администратор может устанавливать фильтр, указывающий что делать с пакетом, имеющим данный адрес получателя (передать на определенный порт, выбросить, распространить по всем портам). В целях усиления безопасности администратор может запретить или ограничить занесение новых элементов в таблицу, а также задать фильтрацию пакетов, поступающих с неизвестных MAC адресов. Динамические элементы имеют ограниченный срок жизни, чтобы коммутатор мог отслеживать перемещения компьютеров. Для борьбы с избыточным широковещательным трафиком для каждого узла может быть установлена максимальная интенсивность широковещательных рассылок.

Неблокирующий коммутатор (wire speed) позволяет передавать кадры через порты с максимальной скоростью, обеспечиваемой этими портами (10 Mb/s, 100 Mb/s, полудуплекс или полный дуплекс, желательна поддержка стандарта NWay автоматического согласования скорости и режима дуплекса). Например, для 24-портового коммутатора, работающего в режиме полного дуплекса необходима пропускная способность 24x200Mbps = 4.8 Gbps. Практически все продаваемые в настоящее время коммутаторы рекламируются как неблокирующие, но при сочетании различных скоростей и режимов дуплекса на разных портах могут быть проблемы вплоть до падения скорости до 50 КБ/сек. См., например, результаты испытаний дешевых коммутаторов.

Даже неблокирующий коммутатор не сможет обслуживать полноскоростные входящие потоки из 2 портов, направленные в один выходной порт. Через некоторое время (зависит от размера буфера) он начнет терять кадры. Коммутатор может воздействовать на генерирующие пакеты узлы слегка нарушая протокол доступа к среде:

При подключении к порту коммутатора одного узла (микросегментация) появляется возможность работать в дуплексном режиме: достаточно не считать одновременную работу приемника и передатчика коллизией (в любом случае, они используют отдельные витые пары). Если при полудуплексном режиме интенсивность генерации пакетов узлом "автомагически" контролировалась алгоритмом доступа к разделяемой среде, то в дуплексном режиме ничто не мешает одному узлу выдавать пакеты со скоростью, неприемлемой для принимающего узла. Стандарт IEEE 802.3x ввел команды физического уровня "приостановить передачу" (PAUSE) и "возобновить передачу".

Методы коммутации:

Конструктивное исполнение:

Транковые соединения (link aggregation group, EtherChannels) позволяют объединить несколько связей в единое целое, увеличивая как производительность, так и надежность.

Построенная на коммутаторах сеть не может содержать петли, иначе пакет начинает бесконечно циркулировать по этой петле (нет аналога TTL), а коммутаторы перестраивать свои адресные таблицы. Для повышения надежности между узлами прокладывают избыточные связи, но при этом некоторые порты блокируют вручную или с помощью алгоритма STA (Spanning Tree Algorithm, IEEE 802.1d/802.1D-2004, Spanning Tree Protocol, RSTP, IEEE 802.1W). STA (STP) позволяет коммутаторам автоматически строить покрывающее дерево на множестве всех связей сети с помощью постоянного обмена служебными пакетами (BPDU) по групповым или широковещательному адресу. Обмен начинается при включении или при обнаружении потери связности. Для работы STA необходимо назначить корневой коммутатор (может выбираться автоматически по минимальному MAC адресу блока управления) и определить время передачи для каждого соединения (расстояние). Для перестройки дерева при отказе связи или узла требуется несколько секунд (минута?). Ускоренный механизм резервных связей (RSTP, distance vector model) работает значительно быстрее (меньше секунды при правильной настройке). Для сетей с VLAN используется MSTP (Multiple Spanning Tree Protocol).

Коммутатор может иметь для каждого выходного порта несколько очередей с различным приоритетом. Приоритет может назначаться исходя из номера входного порта, MAC адреса, IP адреса (для коммутаторов 3 уровня) или согласно IEEE 802.1p/802.1Q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о номере VLAN из IEEE 802.1Q), вставляемый перед полем даных и содержащий 3-битный уровень приоритета. Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1p. Могут использоваться частные протоколы назначения приоритета (например, PACE фирмы 3COM). Класификация трафика может использоваться не только для задания приоритетов, но и для ограничения полосы пропускания сверху и снизу.

Коммутатор с возможностями VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик, полностью изолируя сегменты друг от друга. Помогает противостоять хакерским атакам, превращающим коммутатор в концентратор путем переполнения таблицы адресов (т.е. таблица переполняется, но границы между VLAN остаются неприступными). Разрабатывался для оптимизации трафика, а не для защиты, так что полагаться на него не стоит. Один узел может входить в состав нескольких VLAN. Для передачи кадров между виртуальными сегментами необходимо использовать маршрутизатор, который может быть подключен через один интерфейс сразу в несколько VLAN ("однорукий" маршрутизатор). VLAN образуются на основе номеров подсетей (для коммутаторов 3 уровня), портов, MAC адресов или стандарта IEEE 802.1q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о приоритете кадра согласно IEEE 802.1p), вставляемый перед полем данных и содержащий 12-битный идентификатор VLAN (VID 0, 1 и 4095 зарезервированы). Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1q. Могут использоваться частные протоколы (ISL фирмы Cisco). Для каждой VLAN строится свое покрывающее дерево STA.

Стандарты 802.1p/802.1Q/802.1Q-2003 (вошли в 802.1D в 1998 году) определяют новые форматы MAC кадра (помеченные кадры) для различных вариантов кадра (802.3/LLC, Ethernet II) и правила трансляции из обычных кадров в помеченные и обратно. Например, помеченный кадр Ethernet II состоит из полей (заметьте, что максимальный размер увеличивается на 4 байта - с 1518 до 1522 байт):

Протокол GARP между узлом и коммутатором позволяет узлам динамически присоединяться к VLAN или группе (multicast) и покидать ее.

IGMP snooping (IGMP, RFC 1112) - способность коммутатора "заглядывать" в пакеты IGMP и DVMRIP для определения на каких портах находятся члены многоадресных IP групп (224.0.0.0 - 239.255.255.255).

Полезной возможностью "продвинутых" коммутаторов является способность фильтровать трафик или назначать приоритеты исходя из содержания пакета (смещение поля, размер, значение).

Управление коммутатором (заметьте, что многие in-band методы управления передают информацию - включая пароль! - открытым текстом):

HP ProCurve 1400

HP ProCurve 1400 (J9077A) представляет собой 8-портовый неуправляемый коммутатор с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab 1000Base-T Gigabit Ethernet). Монтируется только в горизонтальном положении. Размер пакетного буфера: 144 КБ. Ёмкость ПЗУ/ОЗУ: 128 КБ. Задержки на скорости 100 Мб менее 3,9 мкс (размер пакета 64 байта), на скорости 1000 Мб - менее 2,1 мкс (размер пакета 64 байта). Размер адресной таблицы - 8 000 элементов. Производительность коммутации - 16 Гб/с. Пропускная способность до 11,9 млн. пакетов в секунду. Поддержка IEEE 802.3x Flow Control и приоритетности по протоколу IEEE 802.1p. Потребляемая мощность - 18 Вт.

HP ProCurve 2626

HP ProCurve 2626 (J4900B): 24 порта RJ-45 (10/100, Auto-MDIX) и 2 гигабитных порта, совмещённых с mini-GBIC.

HP ProCurve 2610-48

HP ProCurve 2610-48 (J9088A): 48 портов RJ-45 (10/100, Auto-MDIX).

Отличия версии H.10.108 (декабрь 2012) от H.10.83: исправления ошибок в STP, SSH, аутентификации, LLDP, DHCP, ARP, 802.1X, syslog. Обновление по TFTP:

copy tftp flash IP-адрес имя-файла primary
boot

HP ProCurve 2824 и 2848

HP ProCurve 2824 (J4903A) и 2848 (): 24 или 48 портов RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto-MDIX) и mini-GBIC. Последняя прошивка (обновление по TFTP) - I_10_101.swi (2012). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков).

HP ProCurve 2810-48

HP ProCurve 2810-24G (J9021A) и 2810-48 (J9022A): 20 или 44 порта RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto MDI/MDI-X) и mini-GBIC (ревизии B и новее, ProCurve Gigabit-SX-LC Mini-GBIC (J4858C), горячее подключение), MIPS BCM5836 264 MHz, 64 MB SDRAM, 16 MB Flash, буфер пакетов 1.5 MB, задержка 5.4 мкс, 96 Gbps, 71.4 Mpps, таблица MAC адресов - 8000, 100 W, 4 кг, 341 BTU/h (360 kJ/h), 1U. Поддержка: Jumbo кадров до 9224 байта, VLAN (802.1Q, до 256) и GARP, MSTP (802.1s), RSTP (802.1w), LACP (802.3ad), SNTP, SNMPv1/v2c/v3 (MIB: MIB II (RFC 1213), Bridge MIB (RFC 1493), RMONv2 (RFC 2021), Ethernet-Like-MIB (RFC 2665), IP Forwarding Table MIB (RFC 2096), 802.3 MAU (RFC 2668), 802.1p and IEEE 802.1Q Bridge MIB (RFC 2674), Entity MIB v2 (RFC 2737), Interfaces group (RFC 2863)), LLDP, 802.1X, TACACS+, RADIUS, настройка блокировки чрезмерного широковещательного потока для каждого порта, QoS (802.1p) и CoS (установка меток QoS по IP адресам и номерам портов), sFlow (RFC 3176), разрешение или ограничение доступа по MAC адресам (статически назначенным или обучаемым), изолированные порты. Опциональный резервный БП HP ProCurve 600 RPS/EPS, J8168A, автоматически начинает питать 1 из 6 подключённых к нему коммутаторов при отказе его БП. 3 или 5 вентиляторов, может работать без одного из них при комнатной температуре. До 16 устройств можно объеденить в виртуальный стек. Индикаторы питания, аварии (мигает - проблема, горит - большая проблема), идентификации (Locator, нечем включить?), состояния самотестирования (50 секунд, мигает - проблема), вентилятора (мигает - проблема), RPS (горит - доступен, мигает - питает другой коммутатор или сломан). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков). Для каждого порта индикаторы соединения (мигает - проблема), активности, дуплекса (горит - full duplex), скорости (горит - 1Gb, мигает - 100 Mb, не горит - 10Mb). Последовательный порт для управления (разъём RJ-45, кабель DB-9), VT-100, автоматическое распознавание скорости от 1200 до 115200 бод, 8N1, Xon/Xoff, перед началом работы нажать Enter. Если выставить скорость 9600 и нажать кнопку сброса, то можно прочитать журнал загрузки или узнать ошибку самотестирования. Выключатель питания отсутствует. Можно располагать горизонтально или вертикально (боковые стенки не должны быть расположены вверх или вниз).

Порты разбиты на 2 банка (1-24 и 25-48). При отключении автосогласования скорости и дуплекса порт работает только в режиме MDI-X (т.е. для подключения оконечного устройства необходимо использовать прямой кабель) при использовании оборудования не от HP (поправлено в новой версии?).

Интерфейс управления: командная строка или меню (1 telnet и/или RS-232), веб-интерфейс (требуется Java; HTTP и HTTPS), SNMP, бесплатное приложение ProCurve Manager (PCM), платное приложение ProCurve Manager Plus (PCM+). До 4 сессий SSH (посмотреть: "show ip ssh"; убить: "kill номер-сессии"). Меню и веб-интерфейс обеспечивают простой доступ к подмножеству функций. Запуск меню из командной строки: menu. Управление сервером telnet: "[no] telnet-server". Управление веб-сервером: "[no] web-management". Настройка параметров консоли (требуется перезагрузка): console [local-terminal]

По умолчанию получает IP адрес и прочие сетевые настройки по DHCP для VLAN по умолчанию. Не получив ответа от BOOTP/DHCP сервера повторяет запросы с увеличивающимися интервалами. Проблема при смене сети, получаемой от DHCP, "на ходу" (настаивает на получении адреса из старой сети). Для каждой VLAN можно назначить 1 основной и 7 дополнительных IP адресов (только при ручной настройке).

Уровни прав доступа (при входе запрашивается только пароль, надо ввести пароль нужного уровня; длина пароля - до 16 печатных символов ASCII; в настройках можно задать имя оператора и администратора для веб-интерфейса - до 16 печатных символов ASCII):

Уровни командной строки: оператор (выход по команде exit или logout), администратор (вход на уровень по команде manager или enable; команды ? и exit), глобальные настройки (команды configure и exit), контекстные настройки (порт, VLAN; команды interface, vlan и exit). Клавиша Tab дополняет частично введённую команду или выдаёт список возможных дополнений, а также позволяет получить список возможных операндов. Символ "?" в качестве операнда выдаёт краткую подсказку. "help" в качестве операнда выдаёт некраткую подсказку. Имеется история команд и редактирование строки.

Обновление прошивки по TFTP (настройки не изменяются, требуется перезагрузка, secondary - это запасная прошивка): "copy tftp flash IP-адрес имя-файла [primary|secondary]". Проверка версии: "show version" (загруженная); "show flash" (обе). Копирование основной версии в запасную: "copy flash flash secondary". Загрузка запасной версии: "boot system flash secondary". Быстрая перезагрузка той же версии: "reload [after часов:минут]". Есть возможность обновления через веб-интерфейс. Относительно N.11.15 (ROM N.10.01) в прошивке N.11.25 добавлена поддержка учёта с помощью RADIUS. В прошивке N.11.52 добавили возможность заносить статические значения в ARP таблицу, возможность управлять режимом Eavesdrop Prevention (включён по умолчанию в режиме port security), поправлены ошибки с SSH/SSL, мониторингом портов из другого банка, задержками между банками, защита от петель. Отличия прошивки N.11.64 от N.11.52: исправлены ошибки в SNMP (перезагрузка, неправильные ответы) и GMRP (флуд), улучшения в RADIUS.

Конфигурация бывает текущая (running-config file; "show running-config" или "write terminal"; сохраняется командой "write memory") и загрузочная (startup-config file; "show config"; вернуться к настройкам по умолчанию - "erase startup-config"). Части настройки, совпадающие с умолчальными, не показываются. Сравнение конфигураций: "show config status". При использовании меню и веб-интерфейса изменения вносятся сразу в оба файла.

Можно поменять часть приветствия командой "banner motd символ-завершения", посмотреть "show banner motd", отключить - "no banner motd".

Информация о системе:

Настройка времени (скачки времени более 3 секунд записываются в журнал):

Умеет выводить сообщения на syslog (по умолчанию в user):

logging ip-адрес
logging facility имя
debug event
show debug

Настройка портов (интерфейсов):

STP

По умолчанию, определена 1 VLAN по имени DEFAULT_VLAN

Разрешение приёма Jumbo кадров (до 9224 (9220?) байт, включая метку VLAN) осуществляется по всей VLAN (по умолчанию выключено), если не на всех портах VLAN нужно принимать Jumbo кадры - создавайте дополнительную VLAN из нужного подмножества портов, наложенную на исходную VLAN. Включается только для только статических VLAN. Действует только для портов 1Gbps без включённого контроля потока (выключен по умолчанию). Если на одной из VLAN, к которой приписан порт, разрешён приём Jumbo кадров, то порт будет получать Jumbo кадры от устройств с любой VLAN. Прорвавшийся в коммутатор Jumbo пакет будет выведен через гигабитный порт при любых настройках. Настройка:

  [no] vlan номер-VLAN jumbo # разрешить Jumbo кадры

Настройки Jumbo кадров в Linux:

ip l set dev eth0 mtu 9000

Режим QoS Pass-Through (по умолчанию?, qos-passthrough-mode) упрощает схему обработки QoS для ускорения передачи от 1Gb устройства к 100 Mb устройству (2 выходные очереди вместо 4).

Агрегирование портов (до 24 транковых портов, до 6 групп портов, до 4 активных портов и до 4 резервных на группу) для увеличения скорости и/или надёжности: ручное (trunk) или с использованием 802.3ad (LACP, Link Aggregation Control Protocol, статическое и динамическое объединение). Для распределения кадров по выходным портам используется алгоритм SA/DA: все кадры с одинаковыми парами MAC адресов источника и назначения идут через один и тот же порт; кадры с одинаковыми адресами источника, но разными адресами назначения равномерно разбрасываются по портам; кадры с разными адресами источника, но одинаковыми адресами назначения также равномерно разбрасываются (возможна ситуация когда один порт переполнен, а другие простаивают). Порты устройства сегментированы и группа портов должна входить в один сегмент (ссылка на таблицу сегментов есть, самой таблицы нет). Требуется сначала настроить LACP или транки и только затем соединять устройства. При настройке возможен перерыв в обслуживании до 30 секунд. Настройки STP и VLAN едины для всей группы. LACP несовместим с приоритетами, аутентификацией 802.1X и port-security. Группа не может быть портом мониторинга, но можно мониторить статическую группу. Порты, входящие в группу, должны быть соединены между устройствами напрямую одним типом носителя и иметь одинаковую скорость, режим дуплекса и управление потоком. Для LACP необходим полный дуплекс (рекомендуется установить Auto). LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме (выключён по умолчанию, хотя в документации утверждается обратное, в 2824/2848 - включён) отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы на объединение. Порты с обоих сторон могут быть в активном режиме. Статический LACP необходим для использования мониторинга, использования нестандартных настроек STP или IGMP, включения во VLAN, отличный от DEFAULT_VLAN, без использования GVRP и если с другой стороны статический LACP. Статический LACP (Trk), динамический LACP (Dyn) и транк (Trk) несовместимы. Посмотреть статические группы: "show trunks". Создать статическую группу: "trunk список-портов trkНомер {trunk | lacp}". Удалить порт из статической группы: "no trunk список-портов" (необходимо предварительно разъединить устройства, иначе без STP - выключен по умолчанию - будет широковещательный шторм). Посмотреть LACP группы: "show lacp". Перевод группы портов в активный режим LACP: "interface список-портов lacp active". Отключение LACP: "no interface список-портов lacp". Отключение активного режима: "no interface список-портов lacp; interface список-портов lacp passive". Отключение активного режима, если группа уже используется:

configure
  interface список-портов
    disable
    lacp passive
    enable

HP V1910 (aka 3COM Baseline Switch 2900)

Серия коммутаторов HP V1910 (в девичестве 3COM Baseline Switch 2900) включает модели на 8 (JG348A), 16 (JE005A, 3CRBSG2093, 3Com Baseline Plus Switch 2920), 24 (JE006A, 3CRBSG2893, 3Com Baseline Plus Switch 2928) и 48 (JE009A, 3CRBSG5293, 3Com Baseline Plus Switch 2952) портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Дополнительно (не взамен!) от 1 до 4 портов SFP. Полная скорость коммутатции. Возможность статической маршрутизации (полная скорость по битам, но не по пакетам), инспекции ARP и DHCP. Встроенный БП и 1 вентилятор с переменной скоростью вращения (выдувает направо), потребление HP V1910-48G - от 25 до 60 Вт. Включает комплект для монтажа в стойку (1U). Требует заземления. Загружается более минуты. Гарантия lifetime на устройство, вентиляторы и БП (доставка на следующий рабочий день). Индикаторы питания (часто мигает - ошибка), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния каждого SFP (мигают только при приёме). Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока, VT100, нажать ^B в течении 1 секунды для входа в меню загрузчика, ввести пароль загрузчика (не системы! пустой поначалу); позволяет пропустить разбор конфигурационного файла, поменять пароль загрузчика, загрузить прошивку, удалить прошивку, посмотреть список прошивок. Процессор: ARM @ 333 МГц, 128 MБ ОЗУ (показываются только 68 МБ), 512 КБ под буфер пакетов, 128 МБ флэш-памяти (показываются только 96 МБ). Размер таблицы MAC адресов - 8192. Управление: консоль, telnet и SSH - можно обновить прошивку, сбросить настройки, установить IP адрес или перезагрузиться; IMC (Intelligent Management Center, что это?); FTP; SFTP; веб-браузер (до 5 пользователей одновременно, HTTP и HTTPS, изначально пользователь admin с пустым паролем, капча! тормозной, после изменения настроек необходимо нажать кнопку Save, требуется JavaScript и XML стили, интервал неактивности по умолчанию - 10 минут); SNMPv1, v2c, and v3 (отсутствуют ветви SNMP BRIDGE-MIB::dot1dTpFdbAddress и BRIDGE-MIB::dot1dTpFdbPort (за SNMPv2-SMI::mib-2.17.4.2.0 сразу идёт SNMPv2-SMI::mib-2.17.4.4)); возможность сохранить настройки в файл и восстановить обратно (текстовый файл с нормальными понятными командами). Судя по внутренней нумерации портов устройство состоит из 2 коммутирующих микросхем (по 24 обычных порта и 2 SFP на каждую).

Обновил прошивку до V1910-CMW520-R1513P06 (загружается после обновления 3 минуты). Обновление возможно через HTTP/HTTPS, FTP, TFTP, XModem. Файл .bin содержит обновление как загрузчика, так и системы. Можно обновить основную или резервную прошивку. Прошивка имеет имя файла (лучше оставить то имя, что получилось при загрузке с сайта HP). Флеш содержит не только файлы прошивки, но и резервные копии конфигураций, журналы и, в принципе, может содержать любые файлы (файлы могут иметь атрибут невидимости). Имеется менеджер файлов: загрузка, выгрузка, удаление. Изменения в версиях от P7 до 51 - добавлена поддержка IE10 и исправлены ошибки: перезагрузка при административной блокировке порта, нулевые ошибки в отчётах по SNMP, деблокировка многопортовых конфигураций после обнаружения цикла, перезагрузка при попытке получить диагностическую информацию.

Возможности:

HP V1900-8G (aka 3COM 3CDSG8 CA)

HP V1900-8G (JD865A), в девичестве 3COM 3CDSG8 (3Com OfficeConnect Managed Gigabit Switch 8, 3CGSU08A). Гарантия 3 года с авансовой заменой на следующий рабочий день. 8 портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Последний порт совмещён с SFP. Внешний блок питания, совмещённый с вилкой; к счастью, узкий; 12V, 1A, 8 Вт. Безвентиляторный. Индикаторы питания, состояния коммутатора, состояния SFP, состояния и скорости каждого порта, дуплекса каждого порта. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока. Процессор: Vitesse VSC7398 @ 25 МГц, 128 КБ SDRAM, 2 МБ флэш-памяти. Размер таблицы MAC адресов - 8192 (8000? в управляющем процессоре - 128). Управление: консоль (интерфейс командной строки), IMC (Intelligent Management Center, что это?), веб-браузер (требуется JavaScript и CSS, HTTPS не реализован), SNMP. Сброс настроек: если в течении 15 секунд после включения (после "Booting..." до "0") ввести "Ctrl+Shift+minus" на последовательном порту.

Возможности:

Не брать для больших сетей.

3COM SuperStack 3 Baseline 10/100 Switch 24 port 3C16465B

SuperStack 3 Baseline Switch 3C16465B - 24 порта 10/100, неуправлвяемый, автоопределение скорости, дуплекса (при отсутствии автоопределения с другой стороны - half duplex). Порты 1-23 - MDI-X, порт 24 - можно переключить в режим MDI. Потребляемая мощность - 88 VA.

3COM SuperStack 3 Switch 3226

3COM SuperStack 3 Switch 3226 (3CR17500-91) - 24 порта 10/100. Ныне называется HP SuperStack 3 3200 26-port Switch (JF062A).

Синхронизации времени и syslog нет.

3COM SuperStack 3 Switch 4400-48 PT

3COM SuperStack 3 Switch 4400-48 PT (3C17204) - 48 портов 10/100 и модуль 3C17220 SuperStack3 Switch 1000Base-T. Консоль - DB-9/male 19200,8,N,1. Узнать список MAC: bridge/addressDatabase/summary. Активность портов: bridge/port/summary.

Веб-интерфейс проверяет браузер на IE4 или NN4. Немного работает в Firefox под видом IE7,

3COM Baseline Switch 2948-SFP Plus

3COM Baseline Switch 2948-SFP Plus (3CBLSG48, HP JE004A) - 48 портов 10/100/1000 и 4 совмещённых SFP). Встроенный БП, 1U. Отсутствует telnet. Не поддерживает Jumbo frame (пробовал 4000).

3COM Switch 3870 48-port

3COM Switch 3870 48-port (3CR17451-91, HP JF061A) - 48 портов 10/100/1000.

Последняя прошивка (2008) - s3h03_00s56p07 (обновление по TFTP).

Синхронизации времени и syslog нет, CDP и LLDP тоже.

Нумерация вентиляторов (на правой стороне) сзади. Имеется мониторинг количества сбоев каждого вентилятора (заявлен мониторинг скорости вращения, но она всегда равна нулю), имеется мониторинг температуры (0 до достижения какой-то границы). Управление вентиляторами неадекватное.

Cisco Catalist WS-C2950-24

Cisco Catalist WS-C2950-24 - 24 порта 10/100.

Краткое и устаревшее описание IOS

Dell PowerConnect 5548

Серия коммутаторов Dell PowerConnect 5500 включает модели на 24 и 48 портов (Dell PowerConnect 5548, сервисный код - JKXMTS1) 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Дополнительно 2 порта SFP+ (10 Gbps, XG, 1000Base-X-SFP+), 2 порта для объединения коммутаторов (10Gbps, HDMI), консоль и порт USB для обновления прошивки и конфигурации. Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps (транисиверы от FC распознались как 1Gbps). В серию входит модель с 24 портами и модели с PoE. Обещается полная скорость коммутации (non-blocking). Управляющий процессор Marvell ARM CPU, 256 MB SDRAM, 16 MB flash, 2 пакетных процессора Marvell: 98DX4122 и 98DX4123 (Prestera-DX4122 - 24 порта Gigabit Ethernet, 4 порта 10 Gbit Ethernet, пакетный процессор FlexLink 800 MHz, общая пропускная способность - 64 Gbps? а для связи между половинками используется всего 1 порт на 10 Gbps?). Встроенный БП, потребление - от ? до 100 Вт. 2 вентилятора (выдувает налево) с автоматическим управлением (включается при более 50°C, выключается при менее 40°C при отсутствии нагрузки получалось 42°C и вентиляторы никогда не выключались). Резервное питание от источника постоянного тока RPS (Redundant Power Supply). (экономия энергии по 802.3az для простаивающих и неактивных портов). Включает комплект для монтажа в стойку (1U). Гарантия lifetime (ремонт и замена). Индикаторы: питания (мигает при локации устройства), состояния коммутатора (мигает при загрузке, красный мигает при проблемах, красный горит когда совсем плохо), номер коммутатора в стеке, является ли коммутатор главным в стеке, подключение резервного питания (зелёный - OK, красный - неудача), состояние вентиляторов (зелёный - OK, красный - неудача), локатор (сзади) для поиска устройства (Unit Identification), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния ((зелёный - 10Gbps, жёлтый - 1Gbps)) и активности каждого SFP+, соединение и активность стековых портов HDMI. Имеется кнопка сброса коммутатора. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Размер таблицы MAC адресов - 16000. Управление: консоль, telnet и SSH (до 4 сессий; CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до 27 сессий одновременно, HTTP и HTTPS); для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, USB), автоматическая загрузка конфигурации и прошивки с TFTP сервера или USB. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1).

Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, для избежания этого необходимо нажать "Other format". Отдельно обновляются загрузчик (.rbf) и система (.ros). Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. Для аппаратной версии A03 настоятельно рекомендуется прошивка 4.1.0.5 и выше. Прошивка 4.1.0.8 (загрузчик - powerconnect_55xx_boot-10014.rfb; ОС - powerconnect_55xx-4108.ros). Установка с помощью CLI с TFTP (можно указывать только адрес, не имя!):

console# copy running-config startup-config
console# copy tftp://адрес-tftp-сервера/путь-к-файлу-ros [unit://*/]image
console# copy tftp:///адрес-tftp-сервера/путь-к-файлу-rbf [unit://*/]boot
console# show bootvar
console# boot system image-X [all]
console# reload

Возможности:

Dell PowerConnect 8024F

Серия коммутаторов Dell PowerConnect 8024F (сервисный код - 9QYNTS1) включает модели на 24 порта SFP/SFP+ (Ethernet 1 или 10 Gbps), последние 4 совмещёны с 4 портами 1Gb/10GBase-T (модель 8024 - наоборот) для монтажа в стойку (1U) с 2 блоками питания 300 Вт горячей замены (максимальное потребление коммутатора 160 Вт), охлаждение спереди назад (3 модуля охлаждения горячей замены), до 6 устройств могут быть объединены в стек через SFP+. Вот только глубина коммутатра в 50 см не позволит дотянуться до заменяемых блоков. Работоспособен при температуре от 0 до 40°C (в другом месте 45°C). Порты SFP+ позволяют использование оптических трансиверов (SX или LX, например, Finisar FTLX8571D3BCL - 10GBASE-SR LC multimode 850nm) на скорости 10Gbps или 1Gbps (трансиверы от коммутатора FC на 8Gbps распознались как 1Gbps) или "прямой кабель" (например, DELL 470-11430, SFP+ Direct Attached Twinax Cable; кстати, купить кабели длиной более 3 метров не удалось). Сделан на базе BCM56820_B0 (24 порта 10GbE (также поддерживает 1Gbps и 2.5Gbps) и 4 порта 1Gbps; полный дуплекс 240+ Gbps, поддержка VLAN и таблиц уровня 3 - DPI, ACL и прочее - на полной скорости, 357 Mpps, 32000 MAC адресов, 4000 элементов в таблице ARP, 16 Mb памяти пакетов). Управляющий ЦП - PowerPC 8533 (1 GHz), ОП - 1ГБ, флеш - 32 МБ. Поддерживает протоколы маршрутизации RIP (512 маршрутов), OSPF (3000 маршрутов). Предназначен для использования в качестве ToR (Top-of-Rack) коммутатора, агрегатора или ценьра сети (для маленьких ЦОД). Гарантия lifetime (ремонт и замена). Индикаторы сзади: диагностика (мигает - идёт тест, красный - авария) температура (оранжевый - перегрев), питания на каждом БП (красный - авария), состояние вентиляторов на каждом модуле вентиляторов (зелёный - OK, красный - неудача), стек (зелёный - мастер, оранжевый - подчинённый, не обнаружил). Имеется кнопка сброса коммутатора (?). Индикаторы спереди: состояния коммутатора (красный мигает при загрузке, синий - нормально), состояния и скорости каждого порта (зелёный - 10Gbps, жёлтый - 100/1000 Mbps). Управляющий порт RS-232 (верхний RJ-45, переходник на DB-9 в комплекте): DTE, 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Имеется дополнительный порт для управления out-of-band (нижний RJ-45 сзади, 1000Base-T). Управление (до 8 локальных пользователей): консоль; telnet (до 4 сессий) и SSH (до 5 сессий; выключен по умолчанию, перед включением сгенерировать или загрузить ключи хоста); CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ?27 сессий одновременно, HTTP и HTTPS; поддерживаются IE 9, Firefox 14, Chrome 21; для сохранения изменений необходимо нажать кнопку Apply); ?для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP), автоматическая загрузка конфигурации и прошивки с TFTP сервера. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1 (в версии прошивки 3 - IPv4 для коммутатора "в целом"), адрес управляющей станции, адрес шлюза, имя SNMPv1/2c).

Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, чтобы избежать этого необходимо выбрать "Other format" (Другие форматы). ? Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. При покупке оказалась прошивка 3.1.4.5 (VxWorks 6.5). Прошивка 5.1.0.1 (VxWorks 6.6; один файл PC8024v5.1.0.1.stk - совместное обновление загрузчика и системы). Для перехода с версий 3 или 4 или 5.0 требуется специальная процедура. Установка с помощью CLI с TFTP (для записи в файл на сервере нужны права 777, можно указывать только адрес сервера, а не имя!):

подключаться только от ИБП!

обеспечить вход после обновления прошивки

console#configure
console(config)#enable password пароль
console(config)#exit
console#copy running-config startup-config

сохранение настроек

console#copy running-config tftp://адрес-tftp-сервера/путь-к-файлу.config

копирование прошивки на устройство (требует права доступа на запись в каталог!) и замена

console#copy tftp:///адрес-tftp-сервера/путь-к-файлу-stk image
console#show version
console#boot system нужный-образ
console#show version
console#update bootcode

перезагрузка (автоматически), 
обновление загрузчика и прошивки каждого PHY (процесс виден только в консоли, занимает несколько минут)

не понравился startup-config ("ip address"), нужно поправить с консоли

console#configure
console(config)#interface vlan 1
console(config-if-vlan1)#ip addres адрес маска
console(config-if-vlan1)#exit
console(config)#line telnet
console(config-telnet)#enable authentication enableList
console(config-telnet)#exit
console(config)#exit
console#copy running-config startup-config
console#show bootvar

проверить (нужна версия 6) и обновить CPLD (только с консоли, команд нет в списке!)
console#dev cpldTest
console#dev cpldUpdate

выключить питание на 10 секунд

Отличия версии 5.1 от 4.2:

Отличия версии 4.2 от 3:

Возможности:

D-Link DGS-1510-52X

Серия коммутаторов D-Link SmartPro DGS-1510 (Layer 3 Lite) включает модели на 16, 24 и 48 портов 1000Base-T (IEEE 802.3ab) с 2 или 4 портами SFP+ (1G или 10G, XG, 1000Base-X-SFP+), с возможностью PoE, с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Бессрочная ограниченная гарантия.

Модель D-Link DGS-1510-52X (RGS151052XA1AA1G, H/W Ver: A1, L2-switch VER-1.61) на 48 портов 1000Base-T и 4 порта SFP+ (1G или 10G), обещается коммутационная матрица 176 Гбит/сек (видимо просто просуммированы скорости портов). Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps, 2 порта можно использовать для объединения в стек до 6 устройств, нижние порты (50 и 52) перевёрнуты. Родные трансиверы: DEM-311GT (1000BASE-SX, multi-mode, 550м), DEM-312GT2 (1000BASE-SX, multi-mode, 2км?), DGS-712 (1000BASE-T to SFP), DEM-431XT (10GBASE-SR, without DDM, 300м для OM3 MMF), DEM-431X-DD (10GBASE-SR, with DDM - Digital Diagnostics Monitoring, 300м для OM3 MMF), DEM-CB100S (SFP+ DAC, 1м), DEM-CB300S, DEM-CB700S. Нормально воспринял "неродные" трансиверы Finisar FTLX8571D3BCL и DAC кабели от Dell (нет полюбившихся нам команд "service unsupported-transceiver", "no errdisable detect cause sfp-config-mismatch" и "no errdisable detect cause gbic-invalid"). Встроенный БП (100-240В), потребление - от 29Вт (ожидание) до 44 Вт, 2 вентилятора справа (выдувает направо) с автоматическим управлением (выше 45°C - полная скорость, ниже 40°C - пониженная скорость). Управляющий процессор ?, 256 MB SDRAM, 30 MB flash, 2 пакетных процессора ?. Рабочая температура до 50°C. Включает комплект для монтажа в стойку (1U). Индикаторы: питания, консоли (мигает во время самотестирования), номер коммутатора в стеке (от 1 до 6, H - главный, h - резервный, G - самозащита, E - ошибка самотестирования), состояние вентиляторов (зелёный - OK, красный - неудача), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния ((зелёный - 10Gbps, жёлтый - 1Gbps)) и активности каждого SFP+. Имеется кнопка сброса - удерживать 5 секунд для сброса настроек. Загружается медленно (более 3 минут). Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте - приём, передача, общая земля): 115200, 8N1, без контроля потока, VT100. Размер таблицы MAC адресов - 16000 (512 статических записей). Метод передачи пакетов только Store-and-forward (обещается 130 Mpps, видимо просто просуммированы скорости портов). Буфер пакетов 3МБ (сюдя по всему внутри 2 коммутирующие матрицы с 1.5 MB на каждую? или глядя на таблицу ERPS - 6 по 0.5MB?). Управление: консоль, telnet и SSH (CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ? сессий одновременно; либо HTTP, либо HTTPS (можно встроить нужный сертификат); для просмотра графиков требуется Adobe Flash; есть русский, но я не рискнул; не все функции); SNMPv1, v2c и v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, HTTP). Видимо конфигурация хранится во внутреннем формате и команды CLI преобразуются в него и обратно ("show running" размером 60 КБ). По умолчанию DHCP выключен, IP адрес 10.90.90.90/8 и шлюз 0.0.0.0, пустые имя и пароль (неотображаемые admin/admin в новой версии).

Общие сведения о командном языке:

Исходная прошивка (на базе vxworks) для DGS-1510-52X - 1.10.005, на российском сайте - 1.10.B017 (бета? инструкция и Release Notes отсутствуют), на тайваньском сайте - 1.20.11 (добавляет имя и пароль admin/admin, но не показывает его в настройках; сервер NTP; 16 IP адресов; ERPS (Ethernet Ring Protection Switching); sFlow; владельцы PoE ждут следующей версии). Обновление прошивки возможно через TFTP, HTTP (требуется JAVA и TFTP ;). Возможность иметь несколько копий прошивки и конфигураций (всего места во флеш - 29937 K, прошивка занимает около 9МБ). Выбор файла настройки для следующей загрузки (config.cfg): "boot config имя-файла"; выбор файла с прошивкой для следующей загрузки: "boot image имя-файла" (проверяется модель и контрольная сумма, резервная прошивка выбирается автоматически по дате); проверка файла с прошивкой: "boot image check имя-файла"; посмотреть назначаенную для следующей загрузки прошивку и файл настроек: ""show boot; сброс текущих настроек (кроме стека): "clear running-config"; сброс коммутатора (сброс текущих настроек включая стек, сохранение и перезагрузка): "reset system"; замена настроек на ходу: "configure replace {tftp: адрес | flash: имя-файла} [force]"; копирование файла: "copy [tftp:] исходный-файл [tftp:] результат" (вместо имён файлов можно использовать log, attack-log, startup-config и running-config (производится слияние, а не замена)); посмотреть текущие или будущие настройки: "show {running-config | startup-config}". Процедура установки (в документации ошибки, в заголовке значится DXS-3600):

copy tftp: //адрес/имя-файла flash: имя-файла # не воспринимает адрес из командной строки, только в интерактиве
configure terminal
boot image check имя-файла
boot image имя-файла # copy running startup не нужен
exit
show boot
reboot

Начальная установка с консоли:

enable
crypto key generate rsa
crypto key generate dsa
configure terminal
# создание пользователя с максимальными прививлегиями (простой, но неправильный метод)
username имя password пароль
username имя privilege 15
# смена пароля для стандартного пользователя admin
username admin password пароль
service password-encryption
# защита консоли и telnet
line console
login local
exit
line telnet
login local
session-timeout 10
exit
# SSH
ip ssh server
ssh user root authentication-method password
ssh user admin authentication-method password
line ssh
login local
session-timeout 10
exit
# http
ip http secure-server
ip http timeout-policy idle 600
# настройка IP адреса
interface vlan 1
ip address адрес маска-сети
# SNTP
clock timezone + 3  0
no clock summer-time
sntp server IP-адрес1
sntp server IP-адрес2
sntp enable
# syslog
logging buffered severity debugging write-delay 300
logging console severity warnings
logging server IP-адрес severity debugging facility 16 port 514
command logging enable
# SNMP
snmp-server
snmp-server name имя
snmp-server location местонахождение
snmp-server contact ответственный
no snmp-server community public
no snmp-server community private
no snmp-server user initial initial v2c
no snmp-server user initial initial v3
no snmp-server group initial v3 noauth
no snmp-server group public v1
no snmp-server group public v2c
no snmp-server group private v1
no snmp-server group private v2c
snmp-server community имя-для-чтения view CommunityView ro # хранится в открытом виде
# Jumbo frame
interface eth1/0/1-52
max-rcv-frame-size 9216
# включение мониторинга оптических трансиверов
interface range ethernet 1/0/49-52
transceiver-monitoring enable
exit
# LLDP
lldp run
interface range ethernet 1/0/1-52
lldp dot3-tlv-select mac-phy-cfg
lldp dot3-tlv-select max-frame-size
lldp dot3-tlv-select link-aggregation
lldp management-address IP-адрес-коммутатора
lldp tlv-select system-name
lldp tlv-select system-description
exit
# детектор циклов
errdisable recovery cause loopback-detect interval 60
loopback-detection mode port-based
# статический LACP
port-channel load-balance src-dst-mac
interface range ethernet 1/0/49-50
channel-group 1 mode on
exit
exit
# сохранение (ошибка в документации)
copy running-config startup-config

Возможности:

Huawei CE6851-48S6Q-HI

Фирма Huawei с 2013 года представляет для ЦОД несколько линеек коммутаторов Cloud Engine (CE, для кампусов другая линейка S) на программной платформе VRP8 (Huawei Versatile Routing Platform Software):

Huawei CE6851 (Cloud Engine CE6851-48S6Q-HI, CE6851-HI-F-B0A, Product Name: CloudEngine 6800, p/n 02350JAR) - 48-Port 10G SFP+, 6-Port 40GE QSFP+, 2*AC Power Module (PAC-600WA-F, P/N 02310PMJ, 600 Вт, выключатель), 2*FAN Box (FAN-40EA-F, P/N 02355421, 12.71 Вт, 18500±10% RPM, 46 CFM, управляемый), Port-side Exhaust, глубина - 420 мм. Huawei CE5855 (Cloud Engine CE5855-48T4S2Q-EI, CE5855-EI-F-B00, Product Name: CloudEngine 5800, p/n 02350GTU) - 48-Port GE RJ45, 4-Port 10G SFP+, 2-Port 40GE QSFP+, 2*AC Power Module (ES0W2PSA0150, p/n 02310JFA, безвентиляторный, 150 Вт, выключатель), 2*FAN Box (FAN-040A-F, P/N 02350JEY, 12 Вт, 16000±10% RPM, 40 CFM, управляемый), Port-side Exhaust, глубина - 420 мм. При нормальной установке (F) порты сзади (port side, back side), БП и вентиляторы спереди (power supply side, front side), поток воздуха дует с передней стороны (голубая метка, AIR IN) к задней стороне (порты), корпус немного скошен сзади, воздух выходит в отверстия этого скоса. < font color="red">Модули вентиляторов (2 вентилятора на модуль) горячей замены не резервированные - сломанный вентилятор д.б. заменён в течении 3 минут, 1 вентилятор из 4 - резервированный. БП горячей замены резервированные, при удалении необходимо заменить заглушкой, выдерживают разрывы питания до 10 мс. Максимальное потребление - 245 Вт (CE5855-48T4S2Q-EI - 103 Вт), типовое потребление (100% траффик, медные кабели во всех портах) - 145 Вт (CE5855-48T4S2Q-EI - 76 Вт). ЦП - 4 ядра по 1.2 ГГц (CE5855-48T4S2Q-EI - 2 ядра по 1 ГГц), ОП - 2 ГБ, NOR - 16 МБ, NAND - 1 ГБ (CE5855-48T4S2Q-EI - 512 ГБ). Может быть подключён в стек с помощью 10GE или 40 GE портов (только оптика?).

Имеется отдельный Ethernet порт управления (RJ-45, старшие модели имеют 2 порта RJ-45/SFP - только 1 из 4 может использоваться), при настройке интерфейс именуется meth 0/0/0.

Последовательный порт управления (RJ-45 с распайкой 2-3-5, в старших версиях mini USB - требуется драйвер TUSB3410), кабель с DB-9 female, распайка 3-6-5. Стандартные настройки - 9600-8-1-none.

Индикаторы:

Определение возможностей по имени модели и сравнение моделей по их возможностям (комментарии на китайском).

Подбор компонент по имени модели. Настойчиво рекомендуется использовать сертифицированные оптические модули (про DAC и AOC не говорится), пока проблем не заметил:

VRP - Huawei Versatile Routing Platform Software - Version 8.100 (CE6851HI V100R005C10SPC200, Patch V100R005SPH007). В версии V100R006:

Для доступа к документации требуется зарегистрироваться на сайте (V100R005, V100R006C00) .

Для обновлений требуется зарегистрировать продукт. Заплатки есть, а от новой версии V200 только документация. В версии V100R006C00 появилась агрегация интерфейсов (port aggregate; можно соединять получившиеся порты 4x10 друг с другом).

Для работы VXLAN в версии V100R005C00 и выше требуется лицензия CE-LIC-VXLAN (CE68-LIC-VXLAN) . На одно устройство (ESN) полагается только 1 лицензия, поэтому для добавления лицензии необходимо отозвать текущую (revoke), при это выдаётся код, который необходимо указать при заказе объединённой лицензии. Отозванная лицензия переходит в режим Trial на 60 дней, после истечения пробного периода становится невозможно добавить новую конфигурацию, но можно пользоваться уже созданной. При создании стека достаточно одной лицензии на любое участвующее в стеке устройство.

При включении требуется подключиться к консольному порту (9600-8-none-1-none), прервать ZTP и ввести пароль (от 8 до 16 символов, символы д.б. не менее 2 классов), эквивалент

user-interface con 0
authentication-mode password
set authentication password cipher ...
user privilege level 15
commit
return
save

Настройка входа и первоначальная настройка:

system-view
sysname имя-устройства
commit

interface meth 0/0/0
ip address ip-адрес бит-маски
quit # interface
commit

rsa local-key-pair create # 2048, а 4096?
commit

aaa # главное - это не отпилить сук, на котором сидишь
# "улучшения" безопасности ограничивают длину имени пользователя от 6 до 253 символов
# пароль от 8 символов должен включать прописные и строчные буквы, цифры и символы
undo local-user policy security-enhance
undo user-name minimum-length
undo local-user policy password complexity-enhance
commit
local-user имя-пользователя password irreversible-cipher пароль
local-user имя-пользователя level 15
local-user имя-пользователя service-type telnet ssh terminal
commit
quit # из aaa
display aaa local-user username имя-пользователя

user-interface vty 0 4
user privilege level 15
authentication-mode aaa
protocol inbound all
quit # user-interface
undo telnet server disable
commit # теперь можно заходить telnet, предлагает сменить небезопасный пароль

ssh user имя-пользователя authentication-type all
ssh user имя-пользователя service-type stelnet

stelnet server enable # ?!

clock timezone MSK add 03:00:00
undo ntp server disable
ntp unicast-peer IP-адрес
commit

return # quit?
save # в первый раз запрашивает имя файла, подставляет "vrpcfg.zip"

Узнай свой продукт

display version

Huawei Versatile Routing Platform Software
VRP (R) Software, Version 8.100 (CE6851HI V100R005C10SPC200)
Patch Version: V100R005SPH007
Memory Size 2048 M bytes
Flash Size 1024 M bytes
NVRAM Size 512 K bytes
PCB Version CEM48S6QPO4 Ver B
MAB Version 1
Board Type CE6851-48S6Q-HI
CPLD1 Version 102
CPLD2 Version 102
BIOS Version 312

И его составные части

display sn all

Slot 1:
Equipement SN(ESN): серийный-номер
License ESN: серийный-номер

----------------------------------------------------------------------------
Slot       Sub    Type               SN                       P/N           
----------------------------------------------------------------------------
1          -      CE6851-48S6Q-HI                             02350JAR      
           FAN1   FAN-40EA-F                                  02355421      
           FAN2   FAN-40EA-F                                  02355421      
           PWR1   PAC-600WA-F                                 02310PMJ      
           PWR2   PAC-600WA-F                                 02310PMJ      
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Port                 Type                 SN                   Description
----------------------------------------------------------------------------
10GE1/0/1            74752-9506           224330379            12000Mb/sec--nm---3(Copper)
10GE1/0/2            OMXD30000            OSX12S50077          10300Mb/sec-850nm-LC-400(50um/125um OM4)
40GE1/0/5            MCC4Q30C-002         AC341054311          40GE--nm---2(Copper)
40GE1/0/6            AFBR-79EBPZ-CS2      AVM1848U73C          40GE-850nm-LC-100(50um/125um OM3)
----------------------------------------------------------------------------

Более подробно:

display device elabel
...
[Board Properties]
BoardType=CE6851-HI-F-B0A
BarCode=серийный-номер
Item=02350JAR
Description=Basic Configuration,CE6800,CE6851-HI-F-B0A,CE6851-48S6Q-HI Switch ...
Manufactured=2016-06-25
VendorName=Huawei
...
[Port_10GE1/0/1]
...
[Board Properties]
BoardType=7452-9506 # в реальности DAC от Dell, 3м
BarCode=224330379
Item=
Description=12000Mb/sec--nm---3(Copper)
Manufactured=2012-08-30
VendorName=Molex Inc.
...
[Port_10GE1/0/2]
...
[Board Properties]
BoardType=OMXD30000 # в реальности Finisar от Dell
BarCode=OSX12S50077
Item=
Description=10300Mb/sec-850nm-LC-400(OM4)
Manufactured=2012-06-12
VendorName=HUAWEI
...
[Port_40GE1/0/4]
...
[Board Properties]
BoardType=MC1204127-003 # в реальности DAC переходный от Infiniband QDR к SDR, 3м
BarCode=AC341052636
Item=
Description=40GE--nm---3(Copper)
Manufactured=2010-08-27
VendorName=Mellanox
...
[Port_40GE1/0/5]
...
[Board Properties]
BoardType=MCC4Q30C-002 # в реальности DAC Infiniband QDR, 2м
BarCode=AC341054311
Item=
Description=40GE--nm---2(Copper)
Manufactured=2010-08-31
VendorName=Mellanox
...
[Port_40GE1/0/6]
...
[Board Properties]
BoardType=AFBR-79EBPZ-CS2
BarCode=AVM1848U73C
Description=40GE-850nm-LC-100(50um/125um OM3)
Manufactured=2014-12-01
VendorName=CISCO-AVAGO
...
[FAN1]
...
[Board Properties]
BoardType=FAN-40EA-F
BarCode=серийный-номер
Item=02355421
Description=Assembling Components,Fan box(EA,Front to Back,FAN panel side intake),FAN-40EA-F,Fan box(EA,Front to Back,FAN panel side intake)
Manufactured=2016-06-11
VendorName=Huawei
...
[PWR1]
...
[Board Properties]
BoardType=PAC-600WA-F
BarCode=серийный-номер
Item=02310PMJ
Description=Function Module,AC PSU,PAC-600WA-F,600W AC Power Module(Front to Back,Power panel side intake)
Manufactured=2016-05-25
VendorName=Huawei
...

О трансиверах отдельно:

display interface transceiver [non-certified] verbose

 10GE1/0/1 transceiver information:
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :10GBASE_Passive_Copper_Cable
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :3(Copper)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :Molex Inc.
   Vendor Part Number                    :74752-9506
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :224330379
   Manufacturing Date                    :2012-08-30
   Vendor Name                           :Molex Inc.
-------------------------------------------------------------------
 Alarm information:

10GE1/0/2 transceiver information:
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :10GBASE_SR
   Connector Type                        :LC
   Wavelength (nm)                       :850
   Transfer Distance (m)                 :20(62.5um/125um OM1)
                                          80(50um/125um OM2)
                                          300(50um/125um OM3)
                                          400(50um/125um OM4)
   Digital Diagnostic Monitoring         :YES
   Vendor Name                           :HUAWEI
   Vendor Part Number                    :OMXD30000
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :OSX12S50077
   Manufacturing Date                    :2012-06-12
   Vendor Name                           :HUAWEI
-------------------------------------------------------------------
 Alarm information:
-------------------------------------------------------------------
 Diagnostic information: 
   Temperature (Celsius)                 :27.43
   Voltage (V)                           :3.20
   Bias Current (mA)                     :7.75
   Bias High Threshold (mA)              :25.00
   Bias Low Threshold (mA)               :3.00
   Current RX Power (dBm)                :-3.93
   Default RX Power High Threshold (dBm) :2.00
   Default RX Power Low Threshold (dBm)  :-16.00
   Current TX Power (dBm)                :-2.65
   Default TX Power High Threshold (dBm) :2.00
   Default TX Power Low Threshold (dBm)  :-10.00
-------------------------------------------------------------------
                
 40GE1/0/5 transceiver information:
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_CR4
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :2(Copper)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :Mellanox
   Vendor Part Number                    :MCC4Q30C-002
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :AC341054311
   Manufacturing Date                    :2010-08-31
   Vendor Name                           :Mellanox
-------------------------------------------------------------------
 Alarm information:

 40GE1/0/6 transceiver information:
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_BIDI
   Connector Type                        :LC
   Wavelength (nm)                       :850
   Transfer Distance (m)                 :100(50um/125um OM3)
   Digital Diagnostic Monitoring         :YES
   Vendor Name                           :CISCO-AVAGO
   Vendor Part Number                    :AFBR-79EBPZ-CS2
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :AVM1848U73C
   Manufacturing Date                    :2014-12-01
   Vendor Name                           :CISCO-AVAGO
-------------------------------------------------------------------
 Alarm information:
    LOS Alarm   
-------------------------------------------------------------------
 Diagnostic information: 
   Temperature (Celsius)                 :N/A
   Voltage (V)                           :N/A
   Bias Current (mA)                     :0.00|0.00    (Lane0|Lane1)
                                          0.00|0.00    (Lane2|Lane3)
   Bias High Threshold (mA)              :10.00
   Bias Low Threshold (mA)               :0.50
   Current RX Power (dBm)                :-50.00|-50.00(Lane0|Lane1)
                                          -50.00|-50.00(Lane2|Lane3)
   Default RX Power High Threshold (dBm) :5.00
   Default RX Power Low Threshold (dBm)  :-9.00
   Current TX Power (dBm)                :-50.00|-50.00(Lane0|Lane1)
                                          -50.00|-50.00(Lane2|Lane3)
   Default TX Power High Threshold (dBm) :5.00
   Default TX Power Low Threshold (dBm)  :-3.00
-------------------------------------------------------------------

Быстро узнать об аппаратных проблемах:

display health

Power:
-------------------------------------------------------------------------------
Slot PowerNo Present Mode State     Current   Voltage   ActualPower RatedPower 
                                    (Ampere)  (Volt)      (Watts)     (Watts)  
-------------------------------------------------------------------------------
1    PWR1    YES     AC   Supply    2.9       12.2      35          600        
     PWR2    YES     AC   Supply    2.2       12.2      27          600        
-------------------------------------------------------------------------------
N/A:Power not available

Fan:
fan module:
---------------------------------------------------------------------------------
Slot   FanID    FanNum    Status       Speed         Mode    Airflow Direction   
---------------------------------------------------------------------------------
1      FAN1     [1-2]     Normal       40%(6950)     Auto    Front-to-Back       
                  1                    7000                                      
                  2                    6900                                      
       FAN2     [1-2]     Normal       40%(7050)     Auto    Front-to-Back       
                  1                    7100                                      
                  2                    7000                                      
---------------------------------------------------------------------------------
N/A:Fan not available

Temperature:    
---------------------------------------------------------------------------------
Slot    Card    SensorName    Status         Major        Fatal        Current   
                                           (Celsius)    (Celsius)     (Celsius)  
---------------------------------------------------------------------------------
1       --      Outlet-1(LSW) NORMAL          60           --            26      
        --      Intake-1(LSW) NORMAL          65           --            23      
        --      CPU           NORMAL          95          100            43      
        --      LSW           NORMAL         105          110            42      
---------------------------------------------------------------------------------

System Memory Usage Information:
----------------------------------------------------------------------------
Slot   Total Memory(MB)   Used Memory(MB)    Used Percentage    Upper Limit 
----------------------------------------------------------------------------
1      1837               752                40%                95%         
----------------------------------------------------------------------------

System CPU Usage Information:
--------------------------------------
Slot   CPU Usage          Upper Limit 
--------------------------------------
1      13%                90%         
--------------------------------------

System Disk Usage Information:
------------------------------------------------------------------------
Slot   Device     Total Memory(MB)   Used Memory(MB)    Used Percentage 
------------------------------------------------------------------------
1      flash:     615                99                 16%             
------------------------------------------------------------------------

Загружается 170 секунд до доступа к порту управления.

Для входа в BIOS необходимо при загрузке нажать ^B и в течении 3 секунд ввести пароль (). Позволяет: один раз войти с консоли без ввода консольного пароля (и быстренько что-нибудь поменять), изменить пароль BIOS. Пароль BIOS сбрасывается командой "reset boot password", если Вы смогли зайти на консоль. Что делать, если "обнаружил имущество на территории предприятия"?

Комментарии командной строки начинаются с "#" или "!". Русские буквы при вводе молча фильтруются. Ключевые слова регистронезависимы, их можно сокращать до предела различимости и автоматически дополнять по клавише Tab. Помощь вызывается символом "?" в нужном месте командной строки. Длина команды - до 1022 символов. Имеется многострочный редактор команд.

Области действия команд (view), команда "return" возвращает в пользовательскую область:

Режимы обработки команд:

Команды делятся на 4 уровня привилегий (настраиваются), при создании пользователя указывается его уровень привилегий от 0 до 16:

"undo" в начале командной строки возвращает параметр к значению по умолчанию, останавливает действие или удаляет конфигурацию.

Система хранит историю последних 10 команд пользователя (можно поменять в каждой области "history-command max-size до256"), её можно посмотреть ("display history-command [ all-users ]") или вызвать (стрелки вверх и вниз, ^P/^N) и отредактировать или удалить ("reset history-command").

Имеется множество системных горячих клавиш ("display hotkey") и можно определить 4 своих.

Можно определять макрокоманды:

MMF (MAC-Forced Forwarding) - изоляция пользователей на уровне 2 и возможность соединения между пользователями на уровне 3. Перехватывает запросы ARP от пользователя и подсовывает ответы ARP со своим MAC адресом.

Извлечение информации из ARP пакетов, DAI (dynamic ARP inspection), противодействие подставным пакетам ARP, ограничение потока ARP запросов.

Извлечение информации из пакетов DHCP, ведение таблицы соответствия IP и MAC, предотвращение подмены DHCP пакетов и DHCP атак.

IPSG - предотвращение подделки исходных IP адресов (проверка соответствия IP, MAC, интерфейса и VLAN).

URPF (Unicast Reverse Path Forwarding) - проверка исходящего IP адреса в таблице FIB.

Порядок установки стека (до 9 или 16 устройств, до 2 портов стекирования - до 16 (рекомендуется чётное число) высокоскоростных физических портов каждый (для CE5855-48T4S2Q-EI только 10GE1/0/1 до 10GE1/0/2 и 40GE1/0/2:1 до 40GE1/0/2:4 в первый порт стекирования, 10GE1/0/3 до 10GE1/0/4 и 40GE1/0/1:1 до 40GE1/0/1:4 - во второй; нельзя использовать 40GE1/0/1 и 40GE1/0/2 для одного порта стекирования), нельзя использовать QSFP-40G-SR-BD, устройства выстраиваются цепочкой или кольцом)

Super Virtual Fabric (SVF) - нестандартная технология, которая позволяет образовать виртуальный коммутатор из головного коммутатора (parent) и подчинённых (leaf). Главный коммутатор управляет виртуальным коммутатором, подчинённые коммутаторы выполняют роль удалённых интерфейсных карт. В качестве головного коммутатора можно использовать iStack из 2 коммутаторов для увеличения надёжности, каждый подчинённый коммутатор подключается к обоим коммутаторам стека, серверы подключаются к 2 подчинённым коммутаторам с использованием LACP.

M-LAG (Multichassis Link Aggregation Group) - нестандартная технология, которая позволяет объединить несколько каналов в единое целое (группу) при подключении к различным серверам в отличие от LACP за счёт обмена информацией между коммутаторами (peer-link). Обеспечивается балансировка трафика и непрерывность передачи данных как при обрыве канала, так и при отказе одного из коммутаторов. Может сочетаться с SVF (сервер подключается к 2 SVF системам). Аналогичные, но несовместимые технологии реализованы Mellanox и Netgear (MLAG), Alcatel-Lucent и Juniper и ZTE (MC-LAG), Dell N**** и Cisco Nexus (vPC - virtual port channel, "show vpc brief"), Force и Dell S**** (VLT - Virtual Link Trunking), Cisco Catalyst 6500 VSS (MEC - Multichassis Etherchannel), Cisco Catalyst 3750 (Cross-Stack EtherChannel), HP (Distributed Trunking, Intelligent Resilient Framework). Архитектура (dfs-group):

TRILL (Transparent Interconnection of Lots of Links) - стандарт IETF, который использует для построения сети уровня 2 развитие протокола маршрутизации сети уровня 3 IS-IS (RFC 6329), а именно SPB (Shortest Path Bridging, IEEE 802.1aq) и расширение ECMP (Equal Cost Multiple Paths, 802.1Qbp). SPB является современной альтернативой старому семейству протоколов, основанных на остовном дереве (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP), которые умеют использовать только один маршрут пересылки трафика к корневому коммутатору (root bridge) и блокируют любые альтернативные пути, так как это может привести к образованию сетевой петли на 2-м уровне. На грание домена TRILL определяется идентификатор коммутатора выхода из домена TRILL, пакеты инкапсулируются либо с помощью механизма MAC-in-MAC (SPBM, Individual Service ID - I-SID, IEEE 802.1ah, где требуется полная изоляция клиентских VLAN и их MAC адресов) или тэгированных кадров 802.1Q/802.1ad (SPBV, VID - VLAN ID, обратная совместимость с STP/MSTP, 802.1aq, на границе домена TRILL для Service ID (ISID) назначается VID, которому соответствует ровно 1 набор кратчайших путей) и транспортируются к точке выхода внутри домена TRILL в соответствии с SPB/ECMP. В заголовке имеется счётчик прыжков (по аналогии с TTL TCP/IP), который позволяет избегать бесконечных циклов. На выходе оверлейный заголовок убирается из пакета. Cisco FabricPath - аналогичная технология, несовместима со стандартом.

Архитектура:

Ограничения TRILL (несколько страниц):

Базовые команды TRILL:

VXLAN (Virtual Extensible LAN) инкапсулирует кадры Ethernet в пакеты UDP (порт 4789), что позволяет связать L2 сегменты через IP сеть. Поддержка VXLAN в транспортной сети не требуется, только на пограничных устройствах, пограничным устройством может быть виртуальный коммутатор, работающий на хосте. И зачем здесь специальные коммутаторы с лицензией за специальную цену? Для заполнения таблицы MAC адресов используется multicast, что вызывает множество проблем, или внешние средства наполнения этой таблицы.

Обновление прошивки: возможен откат в случае сбоя при обновлении, установка заплаток и откатка "на ходу" (?).

Allied Telesyn AT-8124XL (V2)

Allied Telesyn AT-8124XL (V2) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.5Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость, MAC адрес порта можно проверить средствами удаленного управления. Один порт может быть переключен кнопкой из режима MDI-X в MDI. 4 MB DRAM (до 8192 MAC адресов, 2 MB под буфер).

Поддерживает алгоритм покрывающего дерева STA (802.1D), по умолчанию - выключен (включение делает устройство временно недоступным), позволяет задавать приоритет коммутатора (используется для определения корня), интервал между пакетами, время устаревания информации, время задержки перед переходом к новому дереву. Есть возможность посмотреть идентификатор корня, корневой порт и расстояние до корня. Для каждого порта можно установить приоритет и расстояние (cost), используемые в STA (но не для 802.1p!).

Поддержка 4 очередей с приоритетами, приоритетов на основе портов нет, имеется возможность задать соответствие приоритета 802.1p входящих пакетов (0 - низший, 7 - высший) номеру очереди (3 - низший, 0 - высший). Включение QoS отключает управление потоком на всех портах.

До 64 VLAN на основе меток 802.1Q и/или портов. Конфигурировать VLAN можно только через RS-232: чтобы добавить порт в новую VLAN, его надо удалить из Default VLAN, а редактировать можно только отключенные VLAN, а отключение Default VLAN остановит всю сетку. При создании каждой VLAN назначается идентификатор (VID, 1-4094) и имя (для красоты, до 32 символов). Также для каждого порта указывается, принадлежит ли он данной VLAN и тип порта (с метками или без). Порт без меток может принадлежать только одной VLAN. Порт может быть определен как порт без меток для одной VLAN и как порт с метками для нескольких других VLAN. Каждому порту назначается PVID (Port VLAN Identifier). PVID порта без меток должет совпадать с его VLAN. При получении кадра без метки 802.1Q, коммутатор назначает ему VLAN исходя из PVID порта и посылает (может быть) только на порты, входящие в данную VLAN. При получении кадра с меткой 802.1Q коммутатор выбрасывает его, если порт не принадлежит указанной в кадре VLAN и включена Ingress фильтрация, иначе кадр посылается (может быть) только на порты, входящие в указанные VLAN. Перед отправкой кадра в порт без меток, метка удаляется. Подключенное к порту с метками устройство должно уметь принимать кадры с метками и должно отправлять кадры с метками.

Имеется возможность включить "подглядывание" за пакетами протоколов IGMP и DVMRIP, а также задать время старения полученной информации. Пакеты с групповым IP адресом получателя будут передаваться только на необходимые порты. Можно также посмотреть таблицу соответствия групповых IP адресов и портов, к которым подключены члены группы.

Агрегирование до 4 портов на транк и до 4 транков. Есть физические ограничения на принадлежность портов к одному транку (разночтения в документации). Все порты одного транка должны принадлежать одной VLAN. Все порты транка будут 100 Mb, полный дуплекс с управлением потоком. Протокол транкинга (свой или 802.3ad) неизвестен.

Последняя версия firmware AT-S30 1.0.4 (MIB заменили на собственный). Загрузка новых версий по TFTP (задается IP адрес и имя файла до 30 символов). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям и с возвратом к фабричным значениям, кроме IP.

Управляется по RS-232 (я соединяю его с AUX на Cisco 2500 и захожу обратным telnet), telnet, HTTP (местами требуется Java), SNMPv1 (MIB-II - RFC-1213, MIB моста - RFC-1493, исправленная под SNMPv2 группа interfaces MIB-II - RFC-1573 (однако, ifMIB с ее 64-битными счетчиками отсутствует), Ethernet MIB - RFC-1643, RMON - RFC-1757 (только группы 1, 2 и 3), private MIB). При управлении через RS-232 или telnet перед заполнением любого поля (например, пароль при входе ;) требуется нажать Enter. Во всех режимах, кроме RS-232, данные (в том числе пароль!) передаются по сети в открытом виде. Все режимы управления, кроме RS-232 можно запретить (по умолчанию они все разрешены). Для всех in-band режимов управления необходимо установить IP адрес, маску подсети, IP адрес шлюза по умолчанию (если станция управления находится в другой локальной сети), возможность получения этих параметров от сервера BOOTP или DHCP (выводится MAC адрес блока управления). Уровень доступа при управлении по RS-232, telnet и HTTP только один (при изготовлении устройства устанавливается имя admin и пустой пароль). При задании пароля рекомендуется ограничиться латинскими буквами и цифрами, иначе будут проблемы с доступом по HTTP. Имеются отдельные таймеры неактивности для RS-232 и telnet. При управлении по SMTP имеются отдельные пароли доступа (community) для чтения (public), для записи (private) и посылки trap (public, необходимо также указать до 4 IP адресов получателей). Единственный trap, который можно настроить - это посылка сообщений при неавторизованном SNMP доступе.

HTTP доступ не позволяет: сбросить коммутатор, конфигурировать QoS, IGMP, мониторинг порта, посмотреть таблицу MAC адресов.

Коммутатор позволяет посмотреть или установить по RS-232, telnet или HTTP объекты SNMP группы System: SysUpTime (время работы после загрузки), SysDescr (AT-8124XL), SysObjectID (уникальный серийный номер), SysName, SysLocation, SysContact. Здесь же можно посмотреть разнообразную статистику, собираемую SNMP агентом для каждого порта первой группы RMON: число байт и пакетов из сегмента, число broadcast и multicast, число различного типа ошибок и распределение пакетов по размерам.

К сожалению, нет возможности вручную задать MAC адреса подключенных к порту устройств и отключить режим самообучения (адреса хранятся в DRAM и сбрасываются при отключении питания). Можно задать только время устаревания информации, по умолчанию - 300 секунд. Есть также средства поиска номера порта по MAC адресу, что можно использовать для приблизительного внешнего контроля.

Можно мониторить только входной или только выходной трафик одного порта на 14 порту. Скорость 14 порта необходимо принудительно установить равной скорости исследуемого порта. Во время мониторинга к 14 порту нельзя подключать обычную станцию, т.к. собственный трафик порта блокируется (даже ее MAC адрес не заносится в таблицу). Собственный трафик станции надо пропускать через вторую сетевую карту и не забыть проделать дырку в сетевом экране.

Zyxel Dimension ES-2008-GTP EE

Zyxel Dimension ES-2008-GTP EE представляет собой 8-портовый неблокирующий коммутатор (3.6 Gbps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 10) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления (MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3, номера портов в mib-2.17.7.1.2.2.1.2 (snmpwalk -c public -v 1 10.101.0.243 SNMPv2-SMI::mib-2.17.7.1.2.2.1.2, в десятичной нотации)). До 8000 MAC адресов, 2 Mb под буфер пакетов. Встроенный блок питания, 17 W, но греется сильно. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться), адрес шлюза - 192.168.1.254, имя/пароль - admin/1234. DHCP - нет! В прошивке до 1.10 имеется имя/пароль для HTTP - guest:guest (неотключаемые ;), в новой прошивке их поменяли на что-то другое. Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232 и ввести имя/пароль: superuser/zyxel, после чего ввести команду flashdf и отключить питание. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение.

Управляется по HTTP (требуется IE 5.5, иначе работает не всё - устройство выдаёт всю информацию, но JavaScript-ы отображают её только в IE; состояние порта: http://192.168.1.1/portcot.htm?port=1; 5-секундный refresh на каждой странице доводит до бешенства), telnet, RS-232, SNMPv1 (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, ES-2008-GTP.MIB). Доступ по telnet и HTTP можно ограничить четырьмя исходящими IP адресами или запретить совсем. Только один оператор одновременно. В прошивке до 1.15 имеется возможность обойти систему безопасности при управлении по HTTP.

Имеется управление очередью пакетов (FIFO, приоритетный (в смысле QoS) пакет вперёд, соотношение между высоко- и низкоприоритетным трафиком), STP (IEEE 802.1D, обеспечение запасных путей без образования циклов), IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable), VLAN (по портам, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). Агрегирование портов: до 8 портов, ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры. LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически, можно запретить динамическое занесение новых MAC адресов для указанных портов (port security), можно задать список фильтруемых MAC адресов. Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды), возможность задать максимальную долю широковещательных пакетов (broadcast storm filter).

По умолчанию все порты имеют VLAN ID 1 (удалять её нельзя). При распределении VLAN по портам каждый порт приписывается ровно к одной VLAN (ID от 1 до 4094). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток. GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны).

Последняя версия firmware (1.17 для EPCB04602). Загрузка новых версий по TFTP (задается IP адрес и имя файла, не более 15 символов) при конфигурировании через браузер или X-Modem при конфигурировании через RS-232 (конфигурировании по telnet не позволяет заменить прошивку). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.

Zyxel ES-2108-G

Zyxel ES-2108-G представляет собой 8-портовый неблокирующий коммутатор (5.6 Gbps (используется 3.6 Gbps), 2.7 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 9, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для исходящик пакетов. mini-GBIC слот (SFP, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта. До 24 коммутаторов можно соединять в стек с одним IP адресом. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 Mb под буфер пакетов. Встроенный блок питания, 10 W, тихий вентилятор. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. DHCP - есть (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh и сконфигурировать (enable, затем configure) статический маршрут, обязательно разрешить подключение нескольких операторов (multi-login), заодно поменять пароль (password пароль, затем admin-password пароль пароль, сохраниться (write memory) и перезагрузиться. Теперь можно зайти с другого сегмента по HTTP/HTTPS и включить DHCP, маршрут убрать, (в старой версии в CLI не было возможности включить DHCP, в сегменте 192.168.1.0 у меня нет клиентских компьютеров, lynx/elinks не позволяют нажать кнопку Apply). В новой версии появилась возможность включить DHCP из CLI:

enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
  перейти на другую консоль ;)
enable
configure
service-control icmp snmp
no service-control ftp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
timesync server адрес-NTP-сервера
timesync ntp
exit
write memory
exit

Имеется возможность задавать статические маршруты для исходящих пакетов. Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. Имеет встроенный журнал и возможность удалённого тестирования портов.

Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, файл?), перезапустить коммутатор (atgo).

Управляется по HTTP (в этой версии поддерживается и Firefox, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; можно изменять интервал неактивности - 3минуты), HTTPS (самоподписанный сертификат), telnet, SSH (SSH2, RSA, DES, 3DES, Blowfish, аутентификации по ключу нет), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; прошивка 3.80 содержит MIB). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов пуста, но есть таблица ARP (без указания номера порта и VLAN ID, может он ещё и маршрутизировать умеет). Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh, один FTP сеанс, 5 web сеансов под разными именами, но только один администратор с именем admin). Возможна локальная аутентификация или RADIUS (IEEE 802.1x), в т.ч. отдельно для каждого порта. Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).

Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p) на номер очереди (по умолчанию, уровни 1 и 2 отображаются на очередь 0, а уровень 0 - на очередь 1). Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно задать таблицу соответствия уровней DSCP и 802.1P. STP/RSTP (IEEE 802.1D и быстрый вариант 802.1W, обеспечение запасных путей без образования циклов). IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable). Агрегирование портов (до 2 групп на коммутатор, до 4 портов в группе, только порты 100M): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически (до 256 адресов), можно задать список фильтруемых MAC адресов (до 256 адресов). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов, а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды). Можно задать максимальный трафик широковещательных пакетов (broadcast storm filter). Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).

VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN, нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, не позволять или привязать его статически. Есть возможность изоляции портов. При распределении VLAN по портам каждый порт приписывается к VLAN 1. Порт с именем CPU является портом управления (его разумно соединить со всеми портами). Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.

Последняя версия firmware (v3.80 (ABL.0) C0, Bootbase Version 1.02, RomFile Version 84; автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping). Загрузка новых версий по

Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство.

Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS: подсказки по нажатию клавиши Tab или "?", двухуровневый доступ (после входа можно только посмотреть состояние, команда enable с отдельным паролем для перехода на уровень администратора и префиксом строки "#" вместо ">" на начальном уровне; правда, zyxel похоже запутался с этими паролями на разных уровнях, в web интерфейсе и SNMP), команда configure для перехода на уровень настройки (префикс строки "config#" и подуровни interface, router, VLAN), история команд, редактирование (недоделанное) команд и т.д.. Ключевые слова команды необходимо вводить полностью. Команда "help" выдаёт список имеющихся команд и подкоманд. Команды "?" выдаёт список команд и их описаний. Если первым параметром команды указать "help", то выдаётся синтаксис команды. Если первым параметром команды указать "?", то выдаётся описание параметров команды.

Основные команды уровня оператора:

Основные команды уровня администратора:

Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):

Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):

Основные параметры настройки VLAN ("no" перед командой означает обратное действие):

Zyxel ES-2024A

Zyxel ES-2024A представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 1.5 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с 2 портами 1000Base-TX (адресуются как порты 25 и 26, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для входящих с этого порта пакетов без тега 802.1p. 2 mini-GBIC слот (SFP MSA, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта (1518 и тэги VLAN). До 24 коммутаторов в одной VLAN можно соединять в стек с одним IP адресом (iStacking, Cluster Management). Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Обещанного мониторинга температуры и скорости вращения вентилятора (?!) не заметил ни в SNMP, ни в HTTP. Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 MB под буфер пакетов. Встроенный блок питания, 21 W, вентилятор отсутствует (хотя в описании есть), возможен монтаж в стойку, имеется модель с PoE (потребление 200W, 15W на порт). Стандартные установки: свой адрес - 192.168.1.1/255.255.255.0 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN и статических маршрутов), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. Есть DHCP (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh, сконфигурировать и перезагрузиться:

enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
  перейти на другую консоль ;)
enable
configure
hostname имя-коммутатора
no service-control ftp
service-control icmp snmp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
time daylight-saving-time start-date last sunday march 2
time daylight-saving-time end-date last sunday october 2
time daylight-saving-time
timesync server адрес-NTP-сервера
timesync ntp
syslog server адрес-syslog-сервера level 7 
syslog type system 
syslog type interface 
syslog type switch 
syslog type aaa 
syslog type ip 
syslog
exit
write memory
exit

В версии прошивки 3.80 появился DHCP Relay к общему DHCP серверу или отдельным для каждой VLAN. К запросу клиента добавляются имя коммутатора, номер слота в кластере, номер порта клиента, VLAN ID.

Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. В прошивке 3.80 появилась возможность настройки летнего времени.

Имеет встроенный журнал и возможность вывода сообщений на внешний сервер (серверы) syslog.

Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, где взять файл?), перезапустить коммутатор (atgo).

Управляется по HTTP (в этой версии поддерживается и Firefox и konqueror, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; отвратительная привычка включать текущее время в имя области осталась, что не позволяет хранить пароль в браузере; можно изменять интервал неактивности - 3 минуты), HTTPS (самоподписанный сертификат; RC4, MD5, SSLv3), telnet, SSH (SSH2, RSA/DSA, MD5/SHA1, 3DES, Blowfish, AES128-CBC, нет аутентификации по ключу, нет генерации ключей, медленно), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (совместим с SNMPv1; RFC-1155, RFC-1157, RFC-1213, RFC-1493, RFC-1643, RFC-1757, RFC-2674; zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; MIB идёт в комплекте с прошивкой 3.80), SNMPv3 (прошивка 3.80; MD5 или SHA; DES или AES). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов показывается только после выбора типа сортировки (MAC, VID, порт). Таблица ARP содержит соответствие между IP адресами и MAC адресами для хостов, обменивавшихся пакетами с коммутатором. Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh (до 9 в версии 3.80), один FTP сеанс, 5 web сеансов под разными именами, но только один администратор обязательно с именем admin). Возможна локальная аутентификация администратора или с использованием серверов RADIUS (до 2 серверов, разделяемый секрет) или TACACS+ (прошивка 3.80; до 2 серверов, разделяемый секрет). 2 уровня доступа при работе с telnet и ssh (можно назначить высокий уровень доступа любому пользователю). Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).

Аутентификация подключаемых устройств по 802.1x (RADIUS, до 2 серверов, разделяемый секрет) и учёт с использованием RADIUS (до 2 серверов, разделяемый секрет) и TACACS+ (до 2 серверов, разделяемый секрет). Возможен учёт системных событий (включение, выключение); вход администратора с помощью telnet, ssh или консоли; сессии протокола IEEE 802.1x; выполняемые администратором команды (только tacacs+). При использовании сервера RADIUS возможно ограничение входящего и исходящего трафика, выбор VLAN и уровня привилегий с помощью атрибутов изготовителя (Vendor Specific Attribute).

Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p/802.1d) на номер очереди. Кадры без тега QoS получают приоритет по входящему порту. Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно (?) задать таблицу соответствия уровней DSCP и 802.1P и необходимость преобразования и/или вставки DSCP в пакеты по портам. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды).

STP (IEEE 802.1D, Spanning Tree Protocol), RSTP (802.1W, Rapid Spanning Tree Protocol, ускоренное перестроение дерева) и MSTP (802.1s, Multiple Spanning Tree Protocol, адаптация RSTP к VLAN) - обеспечение запасных путей без образования циклов.

IGMP 1/2/3 (протокол управления членством в multicast группах): фильтрация и извлечение информации из проходящего трафика (до 16 VLAN: автоматический выбор первых 16, задание списка VID, MRV (Multicast VLAN Registration)). Работа в качестве IGMP сервера - Auto, Enable (Fixed), Disable (Edge).

Агрегирование портов (до 2 групп из 100Mb портов и одна группа из гигабитных портов, до 4 портов в группе): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять.

MAC адреса можно привязывать к портам статически (до 256 адресов; указывается имя, MAC адрес, VID, порт), можно задать список фильтруемых MAC адресов (до 256 адресов; указывается имя, MAC адрес, VID). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов (от 0 до 8192), а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Время нахождения MAC адреса в таблице известных настраивается (по умолчанию - 300 секунд). Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.

Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps) отдельно для каждого порта.

Можно задать максимальный трафик широковещательных и групповых пакетов (broadcast storm control) отдельно для каждого порта (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).

Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirroring), при этом порт мониторинга продолжает получать свой трафик. Возможна фильтрация по исодящему или входящему MAC адресу.

VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). Параметры GARP настраиваются (Join Period, Leave Period, Leave All Timer). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты и сам коммутатор (порт CPU) имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN (порт может входить в несколько VLAN), нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, позволять или не позволять привязывать его статически. Порт с именем CPU является портом управления (его разумно соединить со всеми портами), можно указать дополнительные IP адреса (маску, шлюз, VID) для порта управления. Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). Изолированный порт может взаимодействовать только с портом управления и гигабитным портом (которым из них?). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID (настройка по протоколам или исходящим адресам). Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.

Защита от фальшивых ARP пакетов (IP source guard) - администратор составляет таблицу со следующими полями: MAC адрес, идентификатор VLAN, IP адрес и номер порта коммутатора. Коммутатор пропускает только те ARP пакеты, которые соответствуют этой таблице (активируется отдельно для каждого порта и VLAN). При появлении поддельного пакета некоторое время блокируется весь траффик с этим MAC. Информация об этом может направляться на syslog сервер - указывается интервал и число сообщений в пакете.

Дополнительная (к STP) защита от петель в сети (loop guard) позволяет обнаруживать кабели, соединяющие 2 порта одного и того же коммутатора. Посылается тестовый пакет, если пакет возвращается обратно, значит порт соединён с "зацикленным" коммутатором и он блокируется. Побочным эффектом может являться потеря связности сети, так что применять можно только на портах, к которым подключены граничные коммутаторы или конечные устройства. Если тестовый пакет возвращается через другой порт, значит мы имеем "обычный" цикл и порт также блокируется. Разблокировать порт необходимо вручную после устранения проблемы.

Диагностика позволяет посмотреть внутренний журнал, протестировать ethernet порт (internal loopback test) и "пингануть" хост.

Последняя версия firmware (v3.80 (TX.0) C0, Bootbase 1.08, RomFile version ?, поддержка нового процессора): автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping. Загрузка новых версий (рекомендуется иметь в этот момент соединение по RS-232, чтобы контролировать процесс и ввести "boot config") по

Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство с альтернативной конфигурацией.

Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS:

Основные команды уровня оператора:

Основные команды уровня администратора:

Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):

Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):

Основные параметры настройки VLAN ("no" перед командой означает обратное действие):

Allied Telesyn AT-8524M

Allied Telesyn AT-8524M-50 (ATS62_LOADER v1.1.0, ATS62 v1.2.1 NE) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.6 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X только в режиме автосогласования) с двумя слотами, в которые вставляются модули AT-A46 (10/100/1000Base-TX, включить 1000 не смог), с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8000 MAC адресов, 32 MB ОП.

Управляется (один оператор одновременно) по HTTP (SSL, нет в версии NE), RS-232 (8N1, 9600, VT100, здесь же доступен загрузчик, меню и CLI), telnet (SSHv2, нет в версии NE; меню и CLI; некоторые ограничения по сравнению с локальным доступом), SNMPv1/2c/3 (RFC-1153, RFC-1213, RFC-1215, RFC-1493, RFC-1643, RFC-2674, RFC-2863, atistackswitch.mib, atistackinfo.mib). Только один сеанс telnet или RS-232 одновременно. Стандартные имя/пароль: manager/friend и operator/operator (только чтение, в т.ч. можно увидеть имя комьюнити SNMP с правами на изменение). Имена пользователей изменить нельзя (а также универсальный пароль доступа). Пароли доступны для SNMP. Поставляется с выключенным DHCP-клиентом и IP-адресом 0.0.0.0.

Позволяет получать время с NTP сервера (адрес и смещение относительно UTC может получать через DHCP). Летнее время необходимо переводить вручную. Внутренний таймер отстаёт на 1% (от сети 50Hz?).

SSH может использовать только ключи, созданные устройством. Ассиметричное шифрование - RSA, до 1536 бит. Обмен ключами - DH. Частный ключ экспортировать нельзя. Симметричное шифрование - DES (CBC), 3DES, RC4 (arcfour), AES. MAC - hmac-md5 и hmac-sha1. Для SSH требуется 2 пары ключей (1536 для ключей сервера и 1280 для хоста; зачем это для SSH2?). Аутентификация только по паролю. Генерация ключа длиной 1536 занимает 10 минут на ненагруженном коммутаторе. DSA нет, так что на клиентском компьютере необходимо создать пару ключей для RSA и добавить её в связку, а также разрешить их использование (RSAAuthentication yes; HostKeyAlgorithms ssh-rsa). Соединение очень медленное. Похоже, что внутри OpenSSH_3.6.1p2 (тогда почему нет DSA и public key?).

При статической привязке MAC адресов к портам (menu => MAC Address Tables => MAC Addresses Configuration => Add Static MAC Address) адреса необходимо указывать в формате: 00-80-AD-82-5F-6C. Установка состояния безопасности порта только через telnet (ssh) интерфейс (menu => Port Configuration => Port Security). Не забудьте сохранить конфигурацию. Безопасность портов несовместима с 802.1x управлением доступа. Каждый порт может находиться в одном из состояний безопасности (ingress фильтрация):

Соединить его прямым кабелем с Acorp (8-портовый коммутатор 10/100) не удалось ни в режиме автоопределения, ни вручную задавая скорости и MDI/MDIX).

Временами перестаёт воспринимать ответы DHCP сервера и теряет адрес.

Planet FGSW-2402S

Planet FGSW-2402S представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.54 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с двумя слотами, в которые вставляются модули 1000Base-TX, с автоматическим согласованием скорости и режима дуплекса, управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8K MAC адресов, 2.5Mb (6Mb?) ОП. Имеется кнопка Reset. Потребляемая мощность - 40 Вт, т.е. сильно греется и снабжён шумными вентиляторами.

Управляется по RS-232 (8N1, 19200, VT100, пароль "admin" или имя пользователя "admin" с пустым паролем): возможность вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком, задать параметры QoS (модель RS), агрегирования портов (до 4 транков по 8 портов в каждом, выбор ограничен), VLAN (до 8 штук по портам; 802.1Q только в RS), ограничение потока на каждом порту отдельно на приём и передачу (128K, 256K, 512K, 1M, 2M, 4M, 8M), мониторинг порта (указывается исходный порт, порт мониторинга), ограничение доли широковещательных пакетов (6%, 20%), сбор статистики по портам. Имеется режим (MTU), в котором оборудование подключённое к портам 1-25 может обмениваться пакетами только с портом 26 или порты 1-12 с портом 25, а порты 13-24 с портом 26.

Ссылки

@ Карта сайта News Автора!

Bog BOS: hardware:  Ethernet

TopList

Copyright © 1996-2017 Sergey E. Bogomolov; www.bog.pp.ru (КГБ знает все, даже то что у Вас на диске ;)