(Läxor: Anslut 3 omkopplare ip 172.10.10.1, 172.10.10.2, 172.10.10.3
- skapa två lokala användare med ett krypterat lösenord
plikt 5-pass: stöd
admin plevel 15 pass: root
- öppna på alla telnet-switchar
- anslut en dator och logga in via telnet till alla 3 omkopplarna
Seriell port (Eng. serieport, COM-port, Eng. kommunikationsport) - slangnamnet på RS-232-standardgränssnittet, som var allmänt utrustat med persondatorer. En port kallas "seriell", eftersom information överförs genom den en bit åt gången, en bit åt gången (i motsats till en parallellport). Trots att vissa datorgränssnitt (till exempel Ethernet, FireWire och USB) också använder en seriell metod för att utbyta information tilldelas namnet "seriell port" till RS-232 standardport.
Vid nummer 5, vår COM-port
Konsolhantering
Du tog med brytaren, skrev ut den, gav den ström. Han raslade långsamt kylare, blinkar mot dig med lysdioderna i sina hamnar. Och vad ska jag göra nu?
Vi kommer att använda ett av de äldsta och tidlösa sätten att kontrollera nästan alla smart enhet: konsol. För att göra detta behöver du en dator, själva enheten och en lämplig kabel.
Här är varje säljare mycket annorlunda. Vilka kontakter de inte använder: RJ-45, DB-9 hane, DB-9 mamma, DB-9 med icke-standard pinout, DB-25.
Tsiska använder RJ-45-kontakten på enhetssidan och DB-9-modern (för anslutning till COM-porten) på PC-sidan. Konsolporten ser ut så här:
Och det här är konsolkabeln från olika leverantörer:
Problemet är att moderna datorer ofta inte har en COM-port. Ofta använda USB-till-COM-omvandlare räddas:
Drivrutinen för det är mycket svårt att hitta vem du behöver ladda ner
När du har installerat drivrutinen kan du ansluta konsolkabeln med ena sidan till omkopplaren och den andra i USB-till-COM och sedan köra programmet
Typ av anslutning välj SERIAL
Nu uppstår frågan: vad är vår COM-port? vilken hastighet att ställa in?
- efter att ha installerat drivrutinen på USB-till-COM kommer den automatiskt att visas i vår Windows enhetshanterare, där vi kommer att ta reda på vilken Com-port som är:
Klicka på Start - högerklicka på Computer - Properties
Klicka på Enhetshanteraren
Hitta COM- eller LPT-portar
Klicka på den
Och vi ser att vi har COM-port \u003d COM6 och följaktligen i PuTTy, i avsnittets serielinje, borde vi ha COM6
- När det gäller valet av hastighet kan jag säga att en sak för varje leverantör har sin egen hastighet, men i de flesta fall är den lika med 9600 Bit per sekund
Hantering via konsolen på vissa leverantörer är tillgänglig omedelbart och för vissa krävs det godkännande, i de flesta fall är det admin admin. Du kan läsa mer om konfigurationen i manualerna (till exempel har jag en liten mängd på sidan Strömställare (manual))
Till exempel, Cisco, vi gick till enheten
switch\u003e
Detta är en standardinbjudan absolut för alla Cisco-linjer, som kännetecknar användarläget, där du kan se statistik och utföra de enklaste operationerna som ping. Att ange ett frågetecken visar en lista över tillgängliga kommandon:
Grovt sagt är detta ett läge för en nätoperatör som bara kan lära sig så att han inte skadar någonting där, förstöra det eller lära sig för mycket.
En mycket större möjlighet ger ett läge med ett talande namn privilegierad. Du kan komma in på det genom att ange kommandot \u003e aktivera. Nu ser inbjudan ut så här:
Växla #
Här är listan över operationer mycket mer omfattande, till exempel kan du köra ett av de mest använda kommandona som visar de aktuella enhetsinställningarna som en "config" #show running-config. I privilegierat läge kan du visa all information om enheten.
Innan vi startar, kommer vi att nämna några användbara saker om att arbeta med cisco CLI som kan förenkla livet mycket:
Alla kommandon i konsolen kan förkortas. Det viktigaste är att minskningen tydligt pekar på laget. Exempelvis är show running-config förkortat till sh run. Varför inte upp till s? Eftersom s (i användarläge) kan betyda både show-kommandot och ssh-kommandot, och vi får% Ambiguous-kommandot: “s r”-felmeddelande (tvetydigt kommando).
Använd Tab-tangenten och frågetecknet. Genom att trycka på Tab, läggs det förkortade kommandot till i det hela, och frågetecknet som följer kommandot visar en lista med ytterligare alternativ och lite hjälp med dem (prova det själv i PT).
Använd kortkommandona i konsolen:
Ctrl + A - Flytta markören till början av raden
Ctrl + E - Flytta markören till slutet av raden
Markören upp, ner - Gå igenom kommandornas historik
Ctrl + W - Radera föregående ord
Ctrl + U - Radera hela linjen
Ctrl + C - Avsluta konfigurationsläget
Ctrl + Z - Använd det aktuella kommandot och avsluta konfigurationsläget
Ctrl + Shift + 6 - Stoppa långa processer (den så kallade escape-sekvensen)
Använd kommandoutputfiltrering. Det händer att teamet visar mycket information där du till exempel behöver gräva länge för att hitta ett specifikt ord.
Vi underlättar arbetet med filtrering: efter kommandot vi lägger |, skriv typen av filtrering och i själva verket sökordet (eller en del av det). Typer av filtrering (alias utgångsmodifierare):
börja - utgången från alla rader, med början från den där ordet hittades,
sektion - mata ut avsnitt av konfigurationsfilen där ordet inträffar,
inkludera - utgångslinjer där ordet förekommer,
utesluta - utgångslinjer där ordet INTE förekommer.
Men tillbaka till lägena. Det tredje huvudläget, tillsammans med användare och privilegierade: global konfigurationsläge. Som namnet antyder tillåter det att vi gör ändringar i enhetsinställningarna. Det aktiveras av kommandot #configure terminal från privilegierat läge och visar följande prompt:
Växla (config) #
I det globala konfigurationsläget körs ibland inte helt nödvändiga kommandon för andra lägen (samma show running-config, ping, etc.). Men det finns en sådan användbar sak som göra. Tack vare det kan vi utan att lämna konfigurationsläget utföra samma kommandon genom att helt enkelt lägga till do framför dem. Något som det här:
Växla (config) #då visa running-config
Huvudlag
1) Växla\u003e aktivera - gå in i privilegierat läge
2) Växla # sh running-config - visa aktuell maskinvarukonfiguration
3) Växla # konfigurera terminal - globalt konfigurationsläge
4) Växla (config) # aktiverat lösenord "lösenord" - ställ in lösenordet till privilegierat läge
5) Växla (config) #servicelösenordskryptering - kryptera lösenord för privilegierat läge
6) Växla (config) # aktiverbart hemligt "lösenord" - kryptera lösenordet för privilegierat läge med den hemliga parametern, glöm inte att det har företräde framför alla lösenord i aktivera
7) Växla (config) # användarnamn "namn" privilegium "1-15" lösenord "lösenord" - skapa en lokal användare
8) Växla (config) # line - terminallinjekonfigurationsläge
9) Växla (config) #linjekonsol 0 - inställ åtkomst genom konsolen
#login - aktivera lösenord
10) Växla (config) #line vty 0 4 - inställning av åtkomst via en virtuell terminal
#login - aktivera lösenord
Växla (config-line) #login lokalt - använda åtkomst via en lokal användare
#transport - välj ett transportprotokoll
Växla (config-line) #transportinmatning telnet - öppen åtkomst via telnet
Växla (config-line) #transport input ssh - öppen åtkomst via ssh
11) Växla (config) #gränssnitt vlan N - gå till en specifik vlan
Växla (config-if) #ip-adress "172.18.197.2 255.255.255.0" - anslut ip till omkopplaren i en specifik vlan N
Växla (config-if) # ingen avstängning - aktivera vlan
Växla (config-if) # avstängning - stäng av vlan
12) Växla (config) #ip default-gateway "172.18.197.1" - ange standard gateway (kommandot är användbart när vi använder routern, L3-enheten)
Utvecklingen av nätverksteknologier under de senaste åren har lett till en ny hållbar trend i utvecklingen av videoövervakningssystem. Från Closed Circuit Television (CCTV) -systemet förändras videoövervakningen alltmer mot ett av ägarens IT-system. Med samma principer för överföring, behandling och lagring av information, och ofta med samma dataöverföringsmedium för kundens lokala nätverk (LAN).
Denna trend har många positiva aspekter för säkerhetsbranschen - enhet och som ett resultat billigare utrustning med ökande funktionalitet och tekniska egenskaper; hög, tidigare ouppnåbar grad av integration mellan olika tekniska säkerhetssystem och kundens IT-system; enorm redundans för central utrustning, datalagringssystem och dataöverföringssystem; automatisering av arbetet för operatören för ett videoövervakningssystem och mass introduktion av videoanalytiska moduler och maskinsyn.
Men glöm inte problemen med detta - behovet av att säkerställa prioritering vid överföring av data från säkerhetssystem när du delar överföringsmediet, behovet av att säkerställa informationssäkerhet, samt ta hänsyn till belastningen vid planering av lokala nätverk.
I den här artikeln kommer vi att diskutera de viktigaste metoderna för val av nätverksomkopplare för videoövervakningssystem med hjälp av utrustning från ZAO NVP Bolid som exempel.
Switches - The Heart of IP Surveillance Systems
I IP-videoövervakningssystem kan nätverksomkopplare jämföras med hjärtat, där de data som genereras av IP-kameror spelar blodets roll. För att säkerställa att systemet inte är "sjukt" och att data från videoövervakningssystemet garanteras att levereras till konsumenterna - till övervakningscentret och datalagringscentret - är det nödvändigt att ordentligt anpassa LAN-anläggningen för LAN och korrekt konfigurera och konfigurera nätverksomkopplare.
Principer för val av utrustning
Det första och kanske det mest avgörande steget är valet av utrustning för kundens specifika uppgift. Som regel är det nödvändigt att välja den tillräckliga minimilösningen med hänsyn till kundens planer för ytterligare utvidgning av systemet.
Låt oss försöka förstå de grundläggande principerna för att välja nätverksomkopplare för videoövervakning.
Hanterad eller obestämd?
För att få ett behörigt svar på den här frågan måste du dyka lite i hur processen för dataöverföring i kommunikationsnätverk är ordnad. Det enklaste sättet att göra detta är att använda den grundläggande referensmodellen med öppen källkod för öppen källkod.
Det finns 7 nivåer i OSI-modellen. Men i praktiken är vi bara intresserade av två av dem: den andra kanalen (lager 2-datalänk eller L2) och det tredje nätverket (lager 3-nätverk eller L3).
Nätverksomkopplaren fungerar antingen på nivå 2 eller på nivå 2 och 3 enligt OSI-modellen. Låt oss ta reda på vad det här betyder. Datalänkskiktet är utformat för datautbyte mellan noder som finns i samma segment i det lokala nätverket. Nätverkslagret involverar interaktionen mellan olika segment i det lokala nätverket. För videoövervakningssystem, som vanligtvis är fysiskt separerade från företagets lokala datornätverk, används emellertid sällan OSI-modell nivå 3. Trots det faktum att hanterade switchar kan stödja både lager 2 och nivå 3 i OSI-modellen (L3) och endast 2 (L2), används L2-switchar för videoövervakningssystem.
Nu kan du bestämma hur de hanterade switcharna skiljer sig från de ostyrda. En okontrollerad switch är en enhet som oberoende överför datapaket från en port till resten. Men inte alla enheter i rad, men bara direkt till mottagaren, eftersom omkopplaren har en tabell med MAC-adresser. Tack vare denna tabell "kommer man ihåg" vilken port enheten är på. En okontrollerad switch med optiska portar kan vara ett alternativ till en mediaomvandlare med ett begränsat antal portar, till exempel när det är nödvändigt att konvertera optik och överföra datapaket till flera portar / enheter samtidigt. Det är värt att notera att den här typen av switchar inte har ett webbgränssnitt, varför de kallas obemannade.
Det mest uppenbara exemplet på att använda icke-hanterade switchar är kombinationen av DVR: er, servrar, videokameror, operatörsstationer i ett nätverk.
En hanterad switch är en mer komplex enhet som kan fungera som en obehandlad enhet, men samtidigt har den en utökad uppsättning funktioner och stöder nätverkshanteringsprotokoll på grund av närvaron av en mikroprocessor (i själva verket är en hanterad switch en mycket specialiserad dator). Tillgång till inställningarna för denna typ av enhet utförs vanligtvis via WEB-gränssnittet. En av de viktigaste fördelarna med en hanterad switch är förmågan att dela upp ett lokalt nätverk med hjälp av ett virtuellt lokalt nätverk (VLAN). Detta är nödvändigt om det av någon anledning är omöjligt att isolera det lokala videoövervakningsnätverket från företagets allmänna lokala nätverk fysiskt.
Hanterade switchar tillåter dig att prioritera specifik trafik genom mekanismen för att tilldela kvalitetsnivåer - QoS (servicekvalitet).
En annan skillnad mellan en hanterad switch är redundansprotokoll som låter dig skapa komplexa topologier, till exempel fysiska ringar. I detta fall förblir den logiska anslutningen fortfarande buss.
Således kan alla switchar delas in i tre kategorier:
Formfaktor - Rackmontering (rackmontering) eller DIN Rail-fästen (industrifäste)?
Valet av formfaktor beror på omkopplarens installationsplats. I byggnaden installeras switchar som regel i servern / korset. För detta används specialserver eller väggmonterade 19 ”skåp. I det här fallet är det nödvändigt att använda en faktor som är lämplig för formhyllor - Rackmontering.
Om du vill installera brytaren utanför byggnaden i ett värmeskåp behöver du en kompakt storlek, industriell design och din skena montering. Därför är det enda rätt valet DIN Rail-fästen.
“Twisted pair” eller “optics”?
Det beror på avståndet mellan kameran, switch och server. Avståndet från termineringspunkten för "tvinnat par" -kabeln (UTP / FTP-kabel i kategori 5 eller högre) i det horisontella telekommunikationskorslandet (nära servern / registratören) till termineringspunkten i telekommunikationsuttaget (nära övervakningskameran) bör inte överstiga 90 meter (punkt 5.2 .1 GOST R 53246-2008 Strukturerade kabelsystem).
Det betyder inte att kameran inte kan överföra video på stora avstånd. Snabb Ethernet 100BASE-TX överföringsteknologi innebär drift med hastigheter upp till 100 Mb / s. Uppenbarligen är bitraten från kamerorna mindre och därför kan segmentlängden ökas. Men många faktorer påverkar ett visst objekt. Standarder - de är främst avsedda för nätverksplanering, för förening. Om du certifierar nätverket för överensstämmelse med kraven i SCS-standarder (som kan krävas av kunden), måste du följa de begränsningar som föreskrivs i GOST R 53246-2008, GOST R 53245-2008 och internationell ISO / IEC.
Därför används som regel koppar med tvinnat par på avstånd upp till 90 meter från kameran till omkopplaren, och fiberoptisk kabel används vid överskridande av 90 meter.
| modell | Antal 10/100 Base-T-portar med PoE (koppar) | Antalet Up-link-portar 10/100/1000 Base-T (“koppar”) | Antal up-link-portar 100/1000 Base-X (“optik”) | Typer av SFP-moduler för optiska portar |
|---|---|---|---|---|
| SW-104 | 4 | 1 | 1 | 155 Mb / s 850 nm, 2 km, LC, multimode fiber 1,25 Gb / s 850 nm, 500 m, LC, multimode fiber 155 Mb / s 1310/1550 nm, 20 km, LC, enkelläge fiber 155 Mb / s 1550/1310 nm, 20 km, LC, enkelläge fiber |
| SW-108 | 8 | 1 | 1 | |
| SW-204 | 3 | 1 | 2 | 1,25 Gb / s 850 nm, 500 m, LC, multimode fiber 1,25 Gb / s 1310/1550 nm, 20 km, LC, enkelmodsfibrer 1,25 Gb / s 1550/1310 nm, 20 km, LC, enkelläge fiber |
| SW-216 | 16 | 2 | 0 | - |
| SW-224 | 24 | 2 | 0 | - |
Är nätverkstopologin en "stjärna" eller en "ring"?
Nästan alltid är topologin för att bygga ett lokalt nätverk (LAN) för videoövervakningssystem baserad på topologi av typen "stjärna". För stora system finns en åtskillnad: på åtkomstnivåomkopplare, till vilka CCTV-kameror är anslutna, och på en nätverkskärnnivåomkopplare, till vilken åtkomstnivåomkopplare, videoservrar och arbetsstationer är anslutna. För små LAN kan en enda switch kombinera åtkomstnivån och kärnnivån.
Det finns dock tillfällen då standardtopologin inte är idealisk. Detta gäller främst CCTV: s omkretssystem, där fördelarna med ringtopologin är uppenbara: en mer enhetlig belastning på kommunikationskanalerna, automatisk återställning av nätverket efter en enda paus.
BOLID SW-204-omkopplaren med två 100/1000 Base-X gigabit-optiska portar stöder standard Rapid Spanning Tree Protocol (RSTP) och ringtopologin med Red Ring Network redundansfunktion för att bygga lokala nätverk av perimeterövervakningssystem (se Fig. 1 ).
Figur 1. Jämförelse av ringtopologier för byggnadsövervakningssystem.
Den viktigaste skillnaden mellan RSTP och Fast Ring Network är hastigheten för nätverksåterhämtning efter ett ringsignal. Fast Ring Network har en garanterad återhämtningstid (den så kallade ”konvergenstiden”) på mindre än 50 ms för en ring på 30 switchar. RSTP är långsammare (återhämtningstid från några sekunder till 1-2 minuter) och beror direkt på antalet brytare i ringen.
För tillfället, för att skapa en ringtopologi med stöd för Fast Ring Network, krävs det att använda tredjeparts L2 + -omkopplare som stöder Fast Ring Network (Ring topology) -protokollet, men nästa uppdatering av Bolid-videoövervakningslinjen kommer dock att överväga genomförbarheten att utvidga modellintervallet för switchar.
* Kundens nätverk måste ha minst en L3-switch för att tilldela videoövervakningstrafik till ett separat logiskt subnät (VLAN)** för en ringtopologi med Fast Ring Network-stöd i Bolid-switchar krävs en L2 + -strömbrytare, resten L2
Strömredundans
När du väljer en omkopplare måste du ta hänsyn till parametrarna för nätspänningen. Vanligtvis drivs rackmonterade 19 ”-omkopplare med 220 VAC. Industriella omkopplare kan ha olika, inte alltid standardvärden för matningsspänningen.
För säkerhetskopiering använder du som regel avbrottsfri strömförsörjning (UPS) eller redundanta strömförsörjningar med batterier. Det är viktigt att planera i förväg exakt hur man reserverar strömförsörjningen till strömbrytaren, med hänsyn till inte bara den egna förbrukningen utan också lastförbrukningen - övervakningskameror anslutna till switchportarna med PoE-stöd.
PoE (Power over Ethernet) - vi överväger budgeten för ström
Power over Ethernet (PoE) är en teknik som låter dig överföra elektrisk energi tillsammans med data till en fjärrenhet via en standard tvinnad parkabel i ett Ethernet-nätverk.
När du väljer en switch måste två parametrar beaktas när det gäller användning av PoE-teknik:
- maximal effekt tilldelad av omkopplaren till 1 port
- växla PoE total effekt
Den maximala strömmen som tilldelas omkopplaren till en port bör inte vara mindre än strömförbrukningen för någon av de kameror som är anslutna till omkopplaren. Den totala energiförbrukningen för alla kameror bör inte överstiga den totala effekten som tilldelas av omkopplaren till alla PoE-portar. Firewall-switchar stöder IEEE 802.3af-2003 och IEEE 802.3at-2009. Tabellen visar data för omkopplarna "Bolid":
Klasser PoE-förbrukning av IP-kameror Bolid
Energiförbrukningsklasserna för de drivna enheterna visas i tabellen:
| modell | Strömförbrukning, inte mer än W | PoE-standard | PoE-klass |
|---|---|---|---|
| VCI-113 | 4,5 | IEEE 802.3af-2003 | 2 |
| VCI-122 | 5,1 | IEEE 802.3af-2003 | 2 |
| VCI-123 | 5,1 | IEEE 802.3af-2003 | 2 |
| VCI-120 | 9,09 | IEEE 802.3af-2003 | 3 |
| VCI-121-01 | 13 | IEEE 802.3af-2003 | 3 |
| VCI-130 | 5,5 | IEEE 802.3af-2003 | 2 |
| VCI-143 | 6 | IEEE 802.3af-2003 | 2 |
| VCI-140-01 | 11,5 | IEEE 802.3af-2003 | 3 |
| VCI-184 | 7 | IEEE 802.3af-2003 | 2 |
| VCI-180-01 | 12,95 | IEEE 802.3af-2003 | 3 |
| VCI-212 | 4,5 | IEEE 802.3af-2003 | 2 |
| VCI-222 | 2,6 | IEEE 802.3af-2003 | 1 |
| VCI-722 | 5 | IEEE 802.3af-2003 | 2 |
| VCI-220 | 9,75 | IEEE 802.3af-2003 | 3 |
| VCI-220-01 | 10 | IEEE 802.3af-2003 | 3 |
| VCI-230 | 5,5 | IEEE 802.3af-2003 | 2 |
| VCI-830-01 | 7,5 | IEEE 802.3af-2003 | 3 |
| VCI-242 | 4 | IEEE 802.3af-2003 | 2 |
| VCI-742 | 5 | IEEE 802.3af-2003 | 2 |
| VCI-240-01 | 11,5 | IEEE 802.3af-2003 | 3 |
| VCI-884 | 4,97 | IEEE 802.3af-2003 | 2 |
| VCI-280-01 | 15 | IEEE 802.3at-2009 | 4 |
| VCI-252-05 | 6 | IEEE 802.3af-2003 | 2 |
| VCI-320 | 10 | IEEE 802.3af-2003 | 3 |
| VCI-412 | 4,5 | IEEE 802.3af-2003 | 2 |
| VCI-432 | 4,85 | IEEE 802.3af-2003 | 2 |
| VCI-627-00 | 10 | IEEE 802.3af-2003 | 3 |
| VCI-627 | 13 | IEEE 802.3at-2009 | 4 |
| VCI-628-00 | 12 | IEEE 802.3af-2003 | 3 |
| VCI-528-00 | 20 | IEEE 802.3at-2009 | 4 |
| VCI-528 | 26 | IEEE 802.3at-2009 | 5 |
| VCI-529 | 43 | IEEE 802.3at-2009 | 5 |
| VCI-529-06 | 38 | IEEE 802.3at-2009 | 5 |
| TCI-111 | 7 | IEEE 802.3af-2003 | 3 |
En intressant funktion för videoövervakning är PoE Management. Den till exempel tillåter dig att styra spänningen till kameran, vilket till exempel är viktigt för fjärrstart av en "frusen" kamera. Följande funktioner stöds dessutom:
- effektprioritetsfunktionen för varje port kan vara 3 grader: låg, medelhög, hög. Vid systemöverbelastning kommer portar med låg prioritet att inaktiveras
- funktion för inställning av överbelastningströskel - vid överskridande av den maximala tillåtna effekten, stänger systemet av strömmen från porten med lägsta prioritet
- manuell kontroll av att aktivera eller inaktivera PoE-funktionen på porten
Driftsförhållanden - temperaturområde, överspänningsskydd
När du väljer en switch måste du ta hänsyn till villkoren för dess framtida drift. Om operationen utförs utomhus är det lämpligt att välja kamrar med ett utökat temperaturområde upp till -30 ° C även för värmeskåp. Vid planering av ett lokalt nätverk är det dessutom nödvändigt att ta hänsyn till möjligheten till överspänningar i kommunikation och kraftledningar. För Bolid-omkopplare presenteras överspänningsbrusöverspänningar i tabell 4:
rön
Valet av switchar för att organisera ett LAN-system för videoövervakning är en uppgift med ett stort antal variabler, men det är ganska enkelt och formaliserat. Uppgifterna i artikeln hjälper dig att välja rätt modell av Bolid-omkopplaren för alla uppgifter - från videoövervakningssystemet i ett kontorsbyggnad till ett stort omkretssystem med industriella omkopplare i utomhusvärmeskåp med fiberoptiska kommunikationslinjer kopplade till redundanta kanaler med en ring LAN-topologi.
Artikeln avslöjar funktionerna i att ställa in VLAN-teknik på exemplet med specifik utrustning.God dag, kära besökare. Idag kommer jag, som vanligt, i vår goda tradition att berätta för dig något intressant. Och idag handlar berättelsen om en underbar sak i lokala nätverk som kallas VLAN. I naturen finns det inte några få sorter av denna teknik, vi kommer inte att prata om allt utan bara om de som skulle lösa uppgiften som vårt företag står inför. Denna teknik har upprepade gånger använts av våra experter i vår praktik för IT-outsourcing i regionen, men denna gång var allt något mer intressant, eftersom den utrustning som jag var tvungen att arbeta med var "avrivad" (en tidigare liknande uppgift släpptes på D-länken DES-1210-28-omkopplaren). Men först saker först.
Vad ärVLAN?
VLAN - ett logiskt ("virtuellt") lokalt nätverk, är en grupp värdar med en gemensam uppsättning krav som samverkar som om de var anslutna till en sändningsdomän, oavsett deras fysiska plats. En VLAN har samma egenskaper som ett fysiskt lokalt nätverk, men tillåter slutstationer att gruppera även om de inte är i samma fysiska nätverk. En sådan omorganisation kan göras baserat på programvara istället för fysiskt rörliga enheter.
Den här tekniken låter dig utföra två uppgifter:
1) gruppera enheter vid datalänkskiktet (dvs. enheter som finns i en VLAN'e), även om de fysiskt kan anslutas till olika nätverksomkopplare (som till exempel finns geografiskt på distans);
2) för att skilja mellan enheter (finns i olika VLAN: er) anslutna till samma switch.
Med andra ord, VLAN låter dig skapa separata sändningsdomäner och därmed minska procentandelen av sändningstrafik i nätverket.
Port- basVLAN
Port-Base VLAN - En grupp portar eller en port i en switch som ingår i en enda VLAN. Portar i ett sådant VLAN kallas omärkt (omärkt), detta beror på att ramar som kommer och lämnar hamnen inte har en etikett eller identifierare. Denna teknik kan beskrivas kort - VLAN är bara i omkopplaren. Vi kommer att överväga denna teknik på den hanterade D-link DGS-1100-24-omkopplaren.
IEEE 802.1Q
IEEE 802.1Q är en öppen standard som beskriver en procedur för att märka trafik för överföring av VLAN-medlemsinformation. För att göra detta placeras en tagg som innehåller information om VLAN: s medlemskap i ramen. eftersom taggen placeras i kroppen och inte i ramhuvudet, sedan enheter som inte stöder VLAN: s passera trafik transparent, det vill säga utan hänsyn till dess bindning till VLAN: s.
Lite beroende, nämligen - proceduren för att placera en tagg i ramen kallas - injektion.
Taggstorleken är 4 byte. Det består av följande fält:
- Tag Protocol Identifier (TPID). Fältets storlek är 16 bitar. Anger vilket protokoll som används för taggning. För 802.1Q används värdet 0x8100.
- Priority (prioritet). Fältets storlek är 3 bitar. Används av IEEE 802.1p-standarden för att prioritera överförd trafik.
- Canonical Format Indicator (CFI, Canonical Format Indicator). Fältets storlek är 1 bit. Anger formatet för MAC-adressen. 0 är kanoniskt, 1 är inte kanoniskt. CFI används för kompatibilitet mellan Ethernet- och Token Ring-nätverk.
- VLAN-identifierare (VID, VLAN-identifierare). Fältets storlek är 12 bitar. Anger vilken VLAN ramen tillhör. Området för möjliga värden är från 0 till 4095.
Hamnar 802.1Q
Portar kan vara i ett av följande lägen:
- Taggad port (i CISCO-terminologi - trunk-port) - porten passerar paket markerade med de angivna VLAN-numren, men markerar inte paket på något sätt
- Omärkt port (i CISCO-terminologi - access-port) - porten passerar öppet omärkt trafik för de angivna VLAN: om trafiken går till andra switchportar utanför det angivna VLAN, är den redan synlig som markerad med numret på denna VLAN.
- Porten tillhör inte något VLAN och deltar inte i driften av omkopplaren
Ett exempel. Det finns ett kontor där personalavdelningen är uppdelad i två våningar, det är nödvändigt att anställda separeras från det allmänna nätverket. Det finns två omkopplare. Vi kommer att skapa VLAN 3 på en och den andra, vi kommer att specificera portar som kommer att vara i en av VLAN som Untagget Port. För att omkopplarna ska förstå vilken VLAN ramen riktas till behövs en port genom vilken trafik kommer att vidarebefordras till samma VLAN för en annan switch. Välj till exempel en port och ange den som Tagget. Om vi, förutom VLAN 3, andra och PC-1 som finns i VLAN 3 kommer att söka efter PC-2, kommer sändningstrafiken inte att "gå igenom" hela nätverket, utan bara i VLAN 3. Den ankommande ramen passeras genom MAC-tabellen, om mottagaradressen inte hittas, kommer en sådan ram att skickas genom alla portarna i VLAN där den kom från och Tagget-porten med VLAN-etiketten så att den andra omkopplaren återger sändningen till den grupp portar som anges i VID-fältet. Detta exempel beskriver en VLAN - en port kan bara finnas i en VLAN.
IEEE 802.1ad
802.1ad är en öppen standard (liknande 802.1q) som beskriver en dubbel tagg. Även känd som Q-in-Q eller staplade VLAN. Den viktigaste skillnaden från föregående standard är närvaron av två VLAN: er - externa och interna, vilket gör att du kan dela upp nätverket inte i 4095 VLAN, utan i 4095x4095.
Scenarier kan vara annorlunda - leverantören måste "vidarebefordra" klientstammen utan att påverka VLAN: s numreringsschema, det är nödvändigt att balansera belastningen mellan delgränssnitten i leverantörens nätverk, eller helt enkelt finns det inte tillräckligt många nummer. Det enklaste är att göra en annan tagg av samma sort.
asymmetriskVLAN
Inom D-Link-terminologi, såväl som i VLAN-inställningar, finns det begreppet asymmetrisk VLAN - detta är en sådan VLAN där en port kan vara i flera VLAN.
Portstatusändringar
- Taggade portar fungerar på samma sätt
- Det finns en möjlighet att tilldela flera portar på flera VLAN som otaggade. dvs en port på en gång fungerar i flera VLAN som otaggade
- Varje port har ytterligare en PVID-parameter - detta är VLAN-ID som markerar trafiken från denna port om den går till taggade portar och utanför omkopplaren. Varje port kan bara ha en PVID.
Således får vi att inuti enheten kan en port tillhöra flera VLANer samtidigt, men samtidigt kommer trafiken som går till den taggade (TRUNK) porten att markeras med det nummer som vi ställt in i PVID.
Begränsning: IGMP Snooping fungerar inte när du använder asymmetriska VLAN.
Skapa VLAN påD-länkDGS-1100-24.
Vad är tillgängligt. Två omkopplare, en av dem är D-länk DGS-1100-24, omkopplare nr 2 är ansluten till den. Strömbrytaren # 2 ansluter användarens maskiner - absolut alla, såväl som servern, standard gateway och nätverkslagring.
Uppgift. Begränsa personalavdelningen från den allmänna miljön så att servrar, en gateway och nätverkslagring är tillgängliga.
Dessutom har D-link DGS-1100-24-omkopplaren precis tagits ur lådan. Som standard är de flesta D-Link-hanterade switchar 10.90.90.90/8. Vi är inte intresserade av att vara fysiskt vid växeln eller byta adress. Det finns ett specialverktyg D-Link SmartConsole Utility, som hjälper till att hitta vår enhet i nätverket. Kör verktyget efter installationen.
Innan du fortsätter med konfigurationen, byter portarna ordentligt:
1) Växla personalavdelningsporten från omkopplare nr 2 till omkopplare nr 1
2) Växla server, gateway och nätverkslagring från switch nr 2 till switch nr 1
3) Anslut omkopplaren nummer 2 till omkopplaren nummer 1
Efter en sådan växel ser vi följande bild: servern, gateway, nätverkslagring och personalavdelningen är ansluten till switch nr 1, och alla andra användare är anslutna till switch nr 2.
.JPG)
Klicka på knappen "Upptäckt"
.JPG)
Vi sätter en bock och klickar på växelsymbolen, fönstret för omkopplarinställningar öppnas. Efter att ha ställt in adress, mask och gateway skriver vi lösenordet, som är administratör som standard.
.JPG)
.JPG)
Klicka på "Lägg till VLAN" och ange namnet på VLAN och portar
.JPG)
Klicka på "Apply"
.JPG)
Spara inställningarna efter att du har skapat nödvändiga VLAN: er, klicka på "Spara", "Spara konfiguration"
.JPG)
Så vi ser att VLAN 3 inte har tillgång till portarna 01-08, 15-24 - därför har den inte tillgång till servrar, en gateway, nätverkslagring, VLAN2 och andra klienter - som är anslutna till switch nr 2. VLAN 2 har dock tillgång till servrar, en gateway, nätverkslagring, men har inte tillgång till resten av maskinerna. Och slutligen ser alla andra maskiner servern, gateway, nätverkslagring, men ser inte portarna 05.06.]
Således, om du har viss kunskap om utrustningsfunktionerna och IT-outsourcingfärdigheterna, kan du tillfredsställa kundernas behov även på budgetutrustning som D-Link DGS1100-24-omkopplaren.
Alla människor, fred vara med er!
I en tid av informationsteknologi och Internet används växlar allt mer. Det är specialenheter som används för att överföra paket med dokument till alla nätverksadresser samtidigt. Det är svårt att överskatta denna funktion hos omkopplarna, eftersom alla kontor fungerar på grundval av denna funktion. Växlarna kommer ihåg alla de aktuella adresserna på arbetsstationerna och enheterna och filtrerar också trafik enligt ett visst schema som ställts in av experter. Vid rätt tidpunkt öppnar de porten och vidarebefordrar det tilldelade paketet till alla destinationer.
Det används ofta för att konfigurera switchar.l3 Modular Switch Table . Inställningen ska utföras i följande ordning. Först ansluts omkopplaren till strömförsörjningen, och han - genom uttaget till ström. Sedan tas en nätverkskabel som ger anslutningen av omkopplaren till datorns nätverkskort. Du bör vara extremt försiktig här - kablar i tvinnat par bör ha flikar med trassliga kontakter. Allt detta finns i instruktionerna som anges i brytarens tekniska pass.
Fortsätt för att konfigurera nätverkskortet. För att göra detta, klicka på "Start" -menyn, välj fliken "Kontrollpanelen" i menyn som öppnas. I fönstret som öppnas, hitta och öppna "Nätverk och nätverksanslutningar." Välj ditt nätverkskort med höger musknapp. På fliken "Lokal anslutning" aktiverar du avsnittet "Egenskaper" och bläddrar sedan ner till slutet, där raden "Internetprotokoll (TCP / IP)" kommer att vara. Klicka där på "Egenskaper" -knappen och ange mask och subnätadress. På fliken "Allmänt" bör du registrera IP-adressen 192.168.0.2, och också skapa en subnätmask genom att ange siffrorna 255.255.255.0, varefter du måste bekräfta korrektheten för alla poster.
I nästa steg måste du verifiera funktionen för omkopplaren. Sedan anger du datorns nätverksadress genom nätverkskommandot som heter ping i nätverket och ställer sedan in data som ska skickas via ping 192.168.0.2. Detta görs i ändlöst läge, men om du vill stoppa det måste du trycka på tangentkombinationen Ctrl + C. Programmet kommer omedelbart att meddela om förlusten av data som inträffade under överföringen.
Låt oss titta närmare på ett specifikt exempel - ställa in omkopplaren CISCO CATALYST 2900XL OCH 3500 SERIES.
Intelligenta switchar (på ryska switchar) Cisco Catalyst 2900XL och 3500-serien är designade för stora företagsnätverk. Det är avancerade switchar med mikroprocessorstyrning, flashminne med en kapacitet på 4 MB och DRAM-minne med en kapacitet på 8 MB. Dessa enheter har vanligtvis ett dedicerat Cisco IOS-operativsystem.
I den här artikeln kommer jag huvudsakligen att prata om version 12.0.x. (skillnader mellan versioner, främst i webbgränssnittet och stöd för vissa tekniker). På var och en av switcharna kan man installera mjukvarustandard (Standard Edition) och avancerad typ (Enterprise Edition). Företagsutgåvan inkluderar:
- stöd för 802.1Q stammar,
- tACACS + -protokoll för enstaka godkännande på switchar,
- modifierad Spanning Tree accelererad urvalsteknik (Cisco Uplink Fast), etc.
Dessa växlar ger många servicealternativ. Dessutom är de idealiska för stora nätverk, eftersom de har hög genomströmning - upp till 3 miljoner paket per sekund, stora adresstabeller (ARP-cache) - 2048 mac-adresser för Catalyst 2900XL och 8192 för Catalyst 3500, stöd för klustering och virtuell Nätverk (VLAN), tillhandahåller hårdvaruportsäkerhet (endast en enhet med en specifik mac-adress kan anslutas till en port), stödja SNMP-protokollet för hantering, använda fjärrhantering via webbgränssnittet och via kommandoraden (dvs via telnet eller modemport ). Dessutom är det möjligt att övervaka portar, dvs. Trafiken från en port (eller portar) övervakas på en annan. Många tycker att det är användbart att begränsa sändningstrafik på portar och därmed förhindra överbelastning av nätverket med sådana paket. Baserat på allt detta kan man hävda att valet av Cisco Catalyst-switchar är idealiskt för stora och medelstora nätverk, eftersom de trots de höga kostnaderna (\u003e $ 1 500) erbjuder ett stort urval av servicefunktioner och ger bra bandbredd. De mest attraktiva funktionerna hos dessa switchar är: organisering av virtuella nätverk (nedan kallade VLAN), helt isolerade från varandra, men synkroniserade mellan switchar i nätverket, och möjligheten att klustera för en enda post i switchhanteringssystemet och en visuell bild av nätverkstopologin (för webbgränssnittet) . Lovande är användningen av en multiport-switch som ett centralt element i nätverket (i en stjärnformad arkitektur). Även om omkopplarna har detaljerad dokumentation, är det allt på engelska och rapporterar ofta inte några saker, och ibland är det tvärtom för överflödigt. Till att börja med skulle jag vilja prata om den initiala konfigurationen av omkopplaren.
Montering av konsolkabeln:
Anslut den medföljande platta kabeln i kontakten på baksidan av den märkta konsolen.
Anslut den andra änden av kabeln till datorns comport genom lämplig adapter och kör terminalemulatorprogrammet (till exempel HyperTerminal eller ZOC). Konsolporten har följande funktioner:
a) 9600 baud;
b) Ingen paritet;
c) 8 databitar;
d) 1 stoppbit.
En viktig anmärkning för ett kluster (genom att kombinera flera switchar): om du vill använda en switch som medlem i ett kluster kan du inte tilldela en IP-adress till den och inte starta klusterbyggaren. Vid kommandoswitch måste du utföra följande stycke.
Tilldela en IP-switch.
Första gången du startar en switch, ber den om en IP-adress.
Om du tilldelar det till det, vilket är mycket önskvärt, kan det konfigureras via Telnet.
IP-krav
Innan du installerar måste du känna till följande nätverksinformation:
IP-adress för omkopplaren.
Subnetmask
Standard gateway (det kan inte vara).
Tja, lösenordet för omkopplaren (även om det troligtvis är bättre att komma med detta själv).
Första lanseringen
Följ dessa steg för att tilldela en IP-adress till växeln:
Steg 1 Tryck på Y vid systemets första uppmaning:
|
Fortsätt med konfigurationsdialogen? |
|
: y |
Steg 2 . Ange IP-adressen:
Steg 5 . Ange IP-adressen för gateway:
|
IP-adress för standard gateway: |
Steg 6 . Ange switchens värdnamn:
Följande konfigurationsfil skapades:
|
Inledande konfiguration: gränssnitt VLAN1 ip-adress 172.16.01.24 255.255.0.0 ip default-gateway 172.16.01.01 aktivera hemliga 5 $ 1 $ M3pS $ cXtAlkyR3 / 6Cn8 / snmp community privat rw snmp community public ro änden Använd den här konfigurationen. : Fortsätt med konfigurationsdialogen. : y |
Steg 8 . Om allt är bra, tryck på Y; nej - N (kom bara ihåg att lösenordet lagras i krypterad form).
I de allra flesta hemmenätverk från aktiv utrustning används bara en trådlös router. Men om du behöver mer än fyra trådbundna anslutningar, måste du lägga till en nätverksomkopplare (även om det idag finns routrar med sju till åtta portar för klienter). Det andra vanliga skälet till att köpa denna utrustning är en mer bekväm nätverkslayout. Du kan till exempel installera en switch nära en TV, ansluta en kabel från en router till den och TV: n, mediaspelaren, spelkonsolen och annan utrustning i andra portar.
De enklaste modellerna för nätverksomkopplare har bara ett par viktiga egenskaper - antalet portar och deras hastighet. Och med tanke på de moderna kraven och utvecklingen av elementbasen kan vi säga att om du inte vill spara till någon kostnad eller vissa specifika krav, bör du köpa modeller med gigabit-portar. FastEthernet-nätverk med en hastighet på 100 Mbps används naturligtvis idag, men det är osannolikt att deras användare kommer att stöta på problemet med brist på portar på routern. Även om detta naturligtvis är möjligt om du minns produkterna från några kända tillverkare för en eller två portar för ett lokalt nätverk. Dessutom är det lämpligt att använda en gigabit-switch för att öka prestandan för hela det trådbundna LAN.
Dessutom, när du väljer, kan du också ta hänsyn till varumärket, materialet och utformningen av fallet, implementeringsalternativet för strömförsörjningen (extern eller intern), närvaron och plats för indikatorer och andra parametrar. Överraskande, den vanliga hastighetskarakteristiken för många andra enheter i detta fall praktiskt taget inte vettigt, som nyligen släpptes. I dataöverföringstester visar modeller av helt olika kategorier och kostnader samma resultat.
I den här artikeln bestämde vi oss för att kort prata om vad som kan vara intressant och användbart i "riktiga" andra-nivå switchar (Nivå 2). Naturligtvis låtsas detta material inte vara så detaljerat och fördjupat som möjligt, men förhoppningsvis kommer det att vara användbart för de som har ställt inför allvarligare uppgifter eller krav när man bygger sitt lokala nätverk i en lägenhet, hus eller kontor än att sätta en router och konfigurera Wi- Fi. Dessutom kommer många ämnen att presenteras i ett förenklat format, vilket endast återspeglar huvudpunkterna i ett intressant och mångsidigt ämne för att byta nätverkspaket.
Tidigare artiklar i serien "Bygga ett hemnätverk" finns tillgängliga på länkarna:
Dessutom är användbar nätverksinformation tillgänglig i det här avsnittet.
teori
Låt oss först komma ihåg hur en "vanlig" nätverksbrytare fungerar.
Denna "ruta" har en liten storlek, flera RJ45-portar för anslutning av nätverkskablar, en uppsättning indikatorer och en strömingång. Det fungerar enligt de tillverkare-programmerade algoritmerna och har inga inställningar tillgängliga för användaren. Principen är "anslutna kablar - påslagen ström - fungerar". Varje enhet (närmare bestämt dess nätverkskort) i det lokala nätverket har en unik adress - en MAC-adress. Den består av sex byte och är skriven i formatet "AA: BB: CC: DD: EE: FF" med hexadecimala siffror. Du kan ta reda på det programmatiskt eller titta på informationsskylten. Formellt ges denna adress av tillverkaren på produktionsstadiet och är unik. Men i vissa fall är detta inte så (unikhet krävs endast inom det lokala nätverkssegmentet, och att ändra adress kan enkelt göras i många operativsystem). Förresten, de tre första byte kan ibland vara namnet på skaparen av chipet eller till och med hela enheten.
Om för ett globalt nätverk (särskilt Internet), enhetsadressering och paketbehandling utförs på IP-adressnivå, används i varje separat lokalt nätverkssegment MAC-adresser för detta. Alla enheter på samma LAN måste ha olika MAC-adresser. Om detta inte är fallet kommer det att vara problem med leverans av nätverkspaket och nätverksdrift. Dessutom implementeras detta låga informationsutbyte i nätverksstackarna i operativsystem och användaren behöver inte interagera med honom. Kanske, i verkligheten, är bokstavligen ett par situationer vanliga där en MAC-adress kan användas. När du t.ex. byter ut en router på en ny enhet, ange samma WAN-port MAC-adress som var på den gamla. Det andra alternativet är att aktivera filter på routern via MAC-adress för att blockera åtkomst till Internet eller Wi-Fi.
Med en normal nätverksomkopplare kan du kombinera flera klienter för att implementera utbytet av nätverkstrafik mellan dem. Dessutom kan inte bara en dator eller annan klientenhet anslutas till varje port, utan också en annan switch med sina klienter. Det grova schemat för switchens operation är som följer: när ett paket anländer till en port, kommer det ihåg avsändarens MAC och skriver det till "klienterna på denna fysiska port" -tabellen, mottagaradressen kontrolleras mot de andra tabellerna och när den finns i en av dem skickas paketet till motsvarande fysisk port. Dessutom tillhandahålls algoritmer för att eliminera slingor, söka efter nya enheter, kontrollera om enhetsportändringar och andra. För att implementera detta schema krävs ingen komplicerad logik; allt fungerar på ganska enkla och billiga processorer, så att, som vi sa ovan, även yngre modeller kan visa högsta hastigheter.
Hanterade eller ibland kallade ”smarta” switchar är betydligt mer komplexa. De kan använda mer information från nätverkspaket för att implementera mer komplexa algoritmer för deras bearbetning. Vissa av dessa tekniker kan vara användbara för hemmabrukare på "hög nivå" eller med avancerade krav, liksom för att lösa vissa specialuppgifter.
Växlarna på den andra nivån (Nivå 2, datakanalens nivå) kan ta hänsyn till när informationen byts paket i vissa fält i nätverkspaket, särskilt VLAN, QoS, multicast och vissa andra. Det handlar om detta alternativ som vi kommer att diskutera i den här artikeln. Mer komplexa modeller på tredje nivå (nivå 3) kan redan betraktas som routrar, eftersom de arbetar med IP-adresser och fungerar med protokoll på tredje nivå (i synnerhet RIP och OSPF).
Observera att det inte finns en enda universell och standarduppsättning funktioner för hanterade switchar. Varje tillverkare tillverkar sina egna produktlinjer baserat på deras förståelse för konsumenternas krav. Så i båda fallen bör du vara uppmärksam på specifikationerna för en viss produkt och deras relevans för uppgifterna. Naturligtvis är det ingen fråga om någon "alternativ" firmware med bredare kapacitet.
Som exempel använder vi en Zyxel GS2200-8HP-enhet. Denna modell har länge presenterats på marknaden, men är ganska lämplig för den här artikeln. Zyxels modernaste produkter inom detta segment ger i allmänhet liknande funktioner. I synnerhet erbjuds en aktuell enhet med samma konfiguration under artikelnumret GS2210-8HP.
Zyxel GS2200-8HP är en åtta-port (i serien finns en 24-port version) hanterad gigabit switch Level 2, som också har PoE-stöd och kombinerade RJ45 / SFP-portar, samt vissa funktioner av högre växlingsnivåer.
Formatet kan kallas en skrivbordsmodell, men leveransomfånget ger ytterligare hårdvara för installation i ett standard 19 ″-rack. Kroppen är tillverkad av metall. På höger sida ser vi en ventilationsgrill, och på motsatt sida finns det två små fläktar. På baksidan finns det bara ingången på nätverkskabeln för den inbyggda strömförsörjningen.
Alla anslutningar är traditionellt gjorda för sådan utrustning framifrån för att underlätta att använda i rack med patch-paneler. Till vänster är en bilaga med tillverkarens logotyp och enhetens markerade namn. Nästa är indikatorerna - ström, system, larm, status / aktivitet och strömlampor för varje port.
Följande är de viktigaste åtta nätverkskontakterna, följt av två RJ45 och två duplicerade SFP: er med sina egna indikatorer. Sådana lösningar är ett annat kännetecken för sådana anordningar. Vanligtvis används SFP för att ansluta optiska länkar. Deras största skillnad från den vanliga tvinnade parkabeln är förmågan att arbeta på betydligt stora avstånd - upp till tiotals kilometer.
På grund av det faktum att olika typer av fysiska linjer kan användas här installeras SFP-standardportar direkt på omkopplaren, i vilka speciella sändtagarmoduler måste installeras, och optiska kablar är redan anslutna till dem. Samtidigt skiljer sig de mottagna portarna inte i sin kapacitet från resten, naturligtvis, med undantag för bristen på PoE-stöd. De kan också användas i hamnsamlingsläge, scenarier med VLAN och annan teknik.
Konsolens seriella port slutför beskrivningen. Det används för service och andra funktioner. Vi noterar särskilt att det inte finns någon återställningsknapp som är vanlig för hemutrustning här. I svåra fall måste kontrollförlust ansluta genom seriell port och i felsökningsläge ladda hela konfigurationsfilen igen.
Lösningen stöder webb- och kommandoradadministration, uppgradering av firmware, 802.1x-protokoll för skydd mot obehöriga anslutningar, SNMP för integrering i övervakningssystem, paket upp till 9216 byte i storlek (Jumbo Frames) för att öka nätverksprestanda, andra nivåers switchningstjänster, stapling för enkel administration.
Av de åtta huvudportarna stöder hälften PoE + med upp till 30 watt per port, och de återstående fyra - PoE med 15,4 watt. Den maximala energiförbrukningen är 230 W, varav upp till 180 W kan ges via PoE.
Den elektroniska versionen av användarmanualen har mer än tre hundra sidor. Så de funktioner som beskrivs i den här artikeln representerar bara en liten del av funktionerna för den här enheten.
Hantering och kontroll
Till skillnad från enkla nätverksomkopplare har smarta sådana faciliteter för fjärrkonfiguration. Deras roll spelas oftast av det välbekanta webbgränssnittet, och för "riktiga administratörer" ges åtkomst till kommandoraden med dess gränssnitt via telnet eller ssh. En liknande kommandorad kan också erhållas genom att ansluta till den seriella porten på omkopplaren. Förutom vana har arbetet med kommandoraden fördelen med en bekväm automatiseringsfunktion med skript. Det finns också stöd för FTP-protokollet, som gör att du snabbt kan ladda ner nya firmwarefiler och hantera konfigurationer.
Du kan till exempel kontrollera status för anslutningar, hantera portar och lägen, aktivera eller inaktivera åtkomst osv. Dessutom är detta alternativ mindre krävande för bandbredd (kräver mindre trafik) och den utrustning som används för åtkomst. Men webbgränssnittet ser vackrare ut på skärmdumparna, så i den här artikeln kommer vi att använda det för att illustrera. Skydd ges av det traditionella administratörsnamnet / lösenordet, det finns stöd för HTTPS, och du kan också konfigurera ytterligare begränsningar för åtkomst till switchhantering.
Observera att till skillnad från många hemanordningar har gränssnittet en tydlig knapp för att spara den aktuella konfigurationen av växeln till dess icke-flyktiga minne. På många sidor kan du också använda hjälpknappen för att visa kontextuell hjälp.
Ett annat alternativ för att kontrollera driften av omkopplaren är att använda SNMP-protokollet. Med hjälp av specialiserade program kan du få information om enhetens hårdvarestatus, till exempel temperatur eller förlust av länk på porten. För stora projekt kommer det att vara användbart att implementera ett speciellt läge för att hantera flera switchar (kluster av switchar) från ett enda gränssnitt - Cluster Management.
Minimala initiala steg för att starta en enhet inkluderar vanligtvis uppdatering av firmware, ändring av administratörslösenord och konfigurering av switchens egen IP-adress.
Dessutom är det vanligtvis värt att uppmärksamma alternativ som ett nätverksnamn, synkronisering av den inbyggda klockan, skicka en händelselogg till en extern server (till exempel Syslog).
När du planerar nätverksdiagrammet och omkopplarinställningarna rekommenderas att du förberäknar och tänker igenom alla punkter, eftersom enheten inte har inbyggda kontroller för blockering och motsägelser. Om du till exempel "glömmer" att du tidigare har konfigurerat portaggregering, kan VLAN: er med deras deltagande uppträda helt annorlunda än vad som krävs. För att inte tala om möjligheten att förlora kommunikationen med omkopplaren, vilket är särskilt obehagligt när du ansluter på distans.
En av de grundläggande ”smarta” funktionerna för switchar är att stödja nätverksport-aggregering (pooling) -teknologier. För denna teknik används också termer som trunking (trunking), limning adaptrar (limning), parning (teaming). I detta fall är klienter eller andra switchar anslutna till denna switch inte med en kabel utan med flera kablar samtidigt. Naturligtvis kräver detta flera nätverkskort på datorn. Nätverkskort kan vara lika separata och tillverkade i form av ett enda expansionskort med flera portar. I det här scenariot pratar vi vanligtvis om två eller fyra länkar. De viktigaste uppgifterna som lösas på detta sätt är att öka nätverksanslutningshastigheten och öka dess tillförlitlighet (dubblering). Strömställaren kan stödja flera sådana anslutningar samtidigt, beroende på hårdvarukonfigurationen, i synnerhet antalet fysiska portar och processorkraft. Ett alternativ är att ansluta ett par switchar på detta sätt, vilket kommer att öka den totala nätverksprestandan och eliminera flaskhalsar.
För att implementera schemat är det önskvärt att använda nätverkskort som uttryckligen stöder denna teknik. Men i allmänhet kan implementeringen av portaggregering utföras på mjukvarunivå. Denna teknik implementeras ofta genom det öppna protokollet LACP / 802.3ad, som används för att övervaka status för länkar och hantera dem. Men det finns också privata alternativ för enskilda leverantörer.
På klientoperativsystemnivå visas, efter lämplig konfiguration, vanligtvis ett nytt standardnätverksgränssnitt som har sina egna MAC- och IP-adresser, så att alla applikationer kan arbeta med det utan några speciella åtgärder.
Feltolerans tillhandahålls genom närvaron av flera fysiska anslutningar av enheter. Om anslutningen misslyckas omdirigeras trafiken automatiskt till de återstående länkarna. Efter restaurering av linjen återgår den till arbetet.
När det gäller ökningen av hastigheten är situationen här lite mer komplicerad. Formellt kan vi anta att produktiviteten multipliceras enligt antalet rader som används. Den verkliga ökningen av mottagning och överföring av data beror dock på specifika uppgifter och applikationer. Speciellt, om vi talar om en så enkel och vanlig uppgift som att läsa filer från en nätverksenhet på en dator, kommer det inte att dra nytta av kombinationen av portar, även om båda enheterna är anslutna till omkopplaren med flera länkar. Men om portsamlingen är konfigurerad på en nätverksenhet och flera "vanliga" klienter får åtkomst till den samtidigt, kommer detta alternativ redan att få en betydande vinst i total prestanda.
Vissa användningsexempel och testresultat finns i artikeln. Därför kan vi säga att användningen av hamnkombinationsteknologier hemma kommer att vara användbar endast om det finns flera snabba klienter och servrar, samt en ganska hög nätverksbelastning.
Det är vanligtvis enkelt att konfigurera portaggregering på omkopplaren. Speciellt på Zyxel GS2200-8HP finns de nödvändiga parametrarna i menyn Advanced Application - Link Aggregation. Totalt stöder denna modell upp till åtta grupper. Samtidigt finns det inga begränsningar för sammansättningen av grupper - du kan använda någon fysisk port i vilken grupp som helst. Strömställaren stöder både ett statiskt portbindningsschema och LACP.
På statussidan kan du kontrollera de aktuella grupptilldelningarna.
På inställningssidan indikeras aktiva grupper och deras typ (används för att välja fördelningsschema för paket med fysiska länkar), samt tilldelning av portar till nödvändiga grupper.
Aktivera vid behov LACP för de grupper som krävs på den tredje sidan.
Därefter måste du konfigurera samma inställningar på enheten på andra sidan länken. I synnerhet på en QNAP-nätverksenhet görs detta på följande sätt: vi går in i nätverksinställningarna, väljer portarna och typen av deras kombination.
Efter det kan du kontrollera statusen för portarna på omkopplaren och utvärdera lösningens effektivitet i dina uppgifter.
VLAN
I en typisk lokal nätverkskonfiguration använder nätverkspaket "vandring" längs det en gemensam fysisk miljö, som människor flyter vid överföringsstationer i tunnelbanan. Naturligtvis utesluter växlarna på ett sätt inmatningen av "främmande" paket på gränssnittet på ditt nätverkskort. Vissa paket, till exempel, sända paket, kan tränga in i alla hörn av nätverket. Trots enkelhet och hög hastighet i detta schema finns det situationer där du av någon anledning måste separera vissa typer av trafik. Detta kan bero på säkerhetskrav eller behovet av att säkerställa prestanda- eller prioriteringskrav.
Naturligtvis kan dessa problem lösas genom att skapa ett separat segment av det fysiska nätverket - med egna switchar och kablar. Men detta är inte alltid möjligt att genomföra. VLAN (Virtual Local Area Network) -teknologi, ett logiskt eller virtuellt lokalt nätverk, kan komma till nytta här. För henne kan beteckningen 802.1q också hittas.
I en grov tillnärmning kan man beskriva hur denna teknik fungerar som användning av ytterligare "taggar" för varje nätverkspaket när det behandlas i omkopplaren och på slutanordningen. Samtidigt fungerar datautbytet endast inom en grupp enheter med samma VLAN. Eftersom inte all utrustning använder VLAN, använder schemat också operationer som att lägga till och ta bort nätverkspaketaggar när de passerar genom omkopplaren. Följaktligen läggs det till när ett paket tas emot från den "vanliga" fysiska porten för sändning via VLAN, och det raderas om det är nödvändigt att överföra paketet från VLAN till den "vanliga" porten.
Som ett exempel på användningen av denna teknik kan vi komma ihåg operatörernas multitjänstanslutningar - när du får tillgång till Internet, IPTV och telefoni via en kabel. Detta sågs tidigare i ADSL-anslutningar och används idag i GPON.
Denna switch stöder det förenklade läget för "Portbaserat VLAN", när uppdelningen i virtuella nätverk utförs på nivån för fysiska portar. Denna design är mindre flexibel än 802.1q, men kan vara bekväm i vissa konfigurationer. Observera att detta läge är ömsesidigt exklusivt med 802.1q, och motsvarande objekt i webbgränssnittet tillhandahålls för val.
Om du vill skapa en 802.1q VLAN, ange namnet på det virtuella nätverket, dess identifierare på sidan Avancerade applikationer - VLAN - Statisk VLAN-sida, och välj sedan berörda portar och deras parametrar. När du till exempel ansluter vanliga klienter är det värt att ta bort VLAN-taggar från paket som skickas till dem.
Beroende på om det här är en klientanslutning eller en switchanslutning, på sidan Avancerade applikationer - VLAN - VLAN Portinställningar, måste du konfigurera önskade alternativ. Speciellt gäller detta för att lägga till etiketter till paket som anländer till portingången, tillåter sändningspaket utan taggar eller med andra identifierare genom porten och isolering av det virtuella nätverket.
Åtkomstkontroll och verifiering
Ethernet-teknik stödde ursprungligen inte fysiska åtkomstkontroller. Det räckte med att inkludera enheten i switchporten - och den började fungera som en del av det lokala nätverket. I många fall är detta tillräckligt, eftersom skyddet tillhandahålls genom komplexiteten i en direkt fysisk anslutning till nätverket. Men idag har kraven på nätverksinfrastruktur förändrats avsevärt och implementeringen av 802.1x-protokollet hittas alltmer i nätverksutrustning.
I det här scenariot, när den är ansluten till switchporten, tillhandahåller klienten sina autentiseringsdata och utan bekräftelse från åtkomstkontrollservern utbyts ingen information med nätverket. Oftast innebär schemat närvaron av en extern server, till exempel RADIUS eller TACACS +. Att använda 802.1x ger också ytterligare kontroll över nätverksdrift. Om du i standardschemat bara kan "binda" till klientens hårdvaruparameter (MAC-adress), till exempel för att utfärda IP, ställa in hastighetsbegränsningar och åtkomsträttigheter, kommer det att vara bekvämare i stora nätverk att arbeta med användarkonton eftersom det gör att klienter kan mobilisera och andra toppnivåfunktioner.
För att kontrollera använde vi RADIUS-servern på QNAP-nätverksenheten. Det är utformat som ett separat installerbart paket och har en egen användarbas. Den är ganska lämplig för den här uppgiften, även om den i allmänhet har få möjligheter.
Klienten var en dator med Windows 8.1. För att använda 802.1x måste du aktivera en tjänst på den och därefter visas ett nytt bokmärke i nätverkskortets egenskaper.
Observera att i det här fallet vi uteslutande pratar om att kontrollera åtkomsten till den fysiska porten på omkopplaren. Glöm inte att det är nödvändigt att säkerställa en ständig och pålitlig åtkomst av växeln till RADIUS-servern.
För att implementera denna funktion har omkopplaren två funktioner. Den första, den enklaste, låter dig begränsa inkommande och utgående trafik på en specificerad fysisk port.
Denna växel tillåter också prioritering av fysiska portar. I det här fallet finns det inga hårda gränser för hastighet, men du kan välja enheter vars trafik kommer att behandlas först.
Det andra ingår i ett mer generellt schema med klassificering av omkopplad trafik enligt olika kriterier och är bara ett av alternativen för dess användning.
Först på Klassificeringssidan måste du definiera trafikklassificeringsregler. De tillämpar nivå 2-kriterier - särskilt MAC-adresser, och i denna modell kan nivå 3-regler också tillämpas - inklusive protokolltyp, IP-adresser och portnummer.
Därefter anger du på policyregler-sidan de nödvändiga åtgärderna med trafiken "vald" av de valda reglerna. Följande operationer tillhandahålls här: ställa in en VLAN-etikett, hastighetsbegränsande, mata ut ett paket till en given port, ställa in ett prioriteringsfält, släppa ett paket. Dessa funktioner tillåter till exempel att begränsa datautbyteskursen för kund- eller servicedata.
Mer komplexa scheman kan använda 802.1p-prioritetsfält i nätverkspaket. Till exempel kan du berätta att byta till att behandla telefontrafik först och ställa in surfning till lägsta prioritet.
PoE
En annan möjlighet som inte gäller direkt för paketomkopplingsprocessen är att tillhandahålla ström till klientenheter via en nätverkskabel. Detta används ofta för att ansluta IP-kameror, telefoner och trådlösa åtkomstpunkter, vilket minskar antalet ledningar och förenklar växlingen. När du väljer en sådan modell är det viktigt att ta hänsyn till flera parametrar, vars huvudsakliga är den standard som används av klientutrustning. Faktum är att vissa tillverkare använder sina egna implementationer, som är oförenliga med andra lösningar och till och med kan leda till att "främmande" utrustning går sönder. Det är också värt att lyfta fram ”passiv PoE” när en relativt lågspänningstransmission utförs utan feedback och mottagarkontroll.
Ett mer korrekt, bekvämt och universellt alternativ skulle vara att använda "aktiv PoE", som fungerar enligt 802.3af eller 802.3at standarder och kan överföra upp till 30 watt (högre värden finns också i nya versioner av standarderna). I detta schema utbyter sändaren och mottagaren information med varandra och enas om de nödvändiga effektparametrarna, särskilt kraftförbrukningen.
För verifiering anslöt vi en Axis-kamera som är kompatibel med PoE 802.3af till omkopplaren. På brytarens frontpanel tänds motsvarande indikator för strömförsörjning till denna port. Vidare kommer vi via webbgränssnittet att kunna övervaka konsumtionsstatusen per hamn.
Intressant är också möjligheten att styra strömförsörjningen till portarna. Eftersom kameran är ansluten med en kabel och är placerad på en svåråtkomlig plats för att starta om den, om det behövs, måste du koppla bort kabeln antingen på kamerans sida eller i kabelskåpet. Och här kan du logga in på fjärrkontrollen på vilket sätt som helst och helt enkelt avmarkera rutan "applicera ström" och sedan sätta tillbaka den. I PoE-inställningarna kan du dessutom konfigurera prioritetssystemet för att ge ström.
Som vi skrev tidigare är nyckelfältet för nätverkspaket i denna utrustning MAC-adressen. Hanterade switchar har ofta en uppsättning tjänster som fokuserar på användningen av denna information.
Till exempel stöder modellen som beaktas statisk tilldelning av MAC-adresser till en port (vanligtvis sker denna operation automatiskt), filtrering (blockering) av paket med MAC-adresser för en avsändare eller mottagare.
Dessutom kan du begränsa antalet klient-MAC-adressregistreringar på switchporten, vilket också kan betraktas som ett extra alternativ för säkerhetsförbättring.
De flesta nätverkspaket på tredje nivå är vanligtvis enkelriktade - de går från en destination till en mottagare. Men vissa tjänster använder multicast-teknik när det finns flera mottagare i ett paket samtidigt. Det mest kända exemplet är IPTV. Om du använder multicast här kan det minska bandbreddskraven betydligt om du behöver leverera information till ett stort antal kunder. Exempelvis kräver en multicast på 100 TV-kanaler med en ström på 1 Mbit / s 100 Mbit / s för valfritt antal klienter. Om du använder standardteknologi kräver 1000 klienter 1000 Mbps.
Vi kommer inte att gå in på detaljer om IGMP-drift, vi noterar bara möjligheten att finjustera strömställaren för effektiv drift under tung belastning av denna typ.
I komplexa nätverk kan specialprotokoll användas för att kontrollera passagen av nätverkspaket. I synnerhet tillåter de att utesluta topologiska slingor ("looping" av paket). Den övervägda omkopplaren stöder STP, RSTP och MSTP och har flexibla inställningar för deras arbete.
En annan funktion som krävs i stora nätverk är skydd mot situationer som sändning. Detta koncept kännetecknar en betydande ökning av sändningspaket i nätverket, vilket blockerar passering av "normal" användbar trafik. Det enklaste sättet att hantera detta är att sätta gränser för behandlingen av ett visst antal paket per sekund för switchportarna.
Dessutom har enheten en felaktiveringsfunktion. Det gör att omkopplaren kan koppla bort portar om överdriven trafik upptäcks på dem. Detta låter dig upprätthålla prestanda och tillhandahålla automatisk återställning efter att ett problem har rättats.
En annan uppgift, troligtvis relaterad till säkerhetskrav, är att övervaka all trafik. I normalt läge implementerar omkopplaren schemat för att skicka paket bara direkt till sina mottagare. Det är omöjligt att "fånga" ett "utländskt" paket i en annan hamn. För att utföra denna uppgift används portspeglingsteknologi - övervakningsutrustning ansluts till den valda switchporten och sändningen av all trafik från dessa andra portar till denna port konfigureras.
Funktionerna i IP Source Guard, DHCP Snooping ARP Inspection är också fokuserade på att förbättra säkerheten. Den första låter dig konfigurera filter med deltagande av MAC, IP, VLAN och portnummer genom vilka alla paket passerar. Den andra skyddar DHCP-protokollet, den tredje blockerar automatiskt obehöriga klienter.
slutsats
Naturligtvis är funktionerna som beskrivs ovan bara en bråkdel av den nätverksväxlingsteknologi som finns tillgänglig på marknaden idag. Och till och med från denna lilla lista kan långt ifrån alla hitta riktiga applikationer för hemmabrukare. Den kanske vanligaste är PoE (till exempel för nätverkskameror för nätverk), samlingsport (i fallet med ett stort nätverk och behovet av ett snabbt trafikutbyte), trafikstyrning (för att säkerställa drift av strömningsapplikationer med hög belastning på kanalen).
Naturligtvis är det inte nödvändigt att använda exakt enheter på affärsnivå för att lösa dessa problem. Till exempel i butikerna kan du hitta en vanlig switch med PoE, portaggregering finns också i vissa top-end routrar, prioritering börjar också ske i vissa modeller med snabba processorer och högkvalitativ programvara. Men enligt vår åsikt kan alternativet att skaffa mer professionell utrustning, inklusive på sekundärmarknaden, övervägas för hemmanät med ökade krav på prestanda, säkerhet och hanterbarhet.
Förresten, det finns faktiskt ett annat alternativ. Som vi sa ovan, i alla "smarta" switchar kan det finnas en annan mängd "sinne" direkt. Och många tillverkare har en serie produkter som passar perfekt i hembudgeten, samtidigt som de kan tillhandahålla många av de funktioner som beskrivs ovan. Ett exempel är Zyxel GS1900-8HP.
Denna modell har ett kompakt metallhölje och en extern strömförsörjning, den har åtta gigabitportar med PoE, och ett webbgränssnitt tillhandahålls för konfiguration och hantering.
Enhetens firmware stöder portaggregering med LACP, VLAN, porthastighetsbegränsning, 802.1x, portspegling och andra funktioner. Men till skillnad från den "verkliga hanterade switch" som beskrivs ovan, konfigureras allt detta uteslutande via webbgränssnittet och, om nödvändigt, även med hjälp av en assistent.
Naturligtvis talar vi inte om närheten till denna modell till den enhet som beskrivs ovan när det gäller dess kapacitet i allmänhet (i synnerhet finns det inga trafikklassificeringsverktyg och nivå 3-funktioner). Snarare är det helt enkelt ett mer lämpligt alternativ för hemmanvändaren. Liknande modeller finns i andra tillverkares kataloger.
