На российском рынке сейчас достаточно много коммутаторов для ЦОД, но как найти действительно подходящее устройство, которое не подведет в самый ответственный момент?
Рассмотрим одну из новинок отечественного рынка — «Аттика-5960М».
Конструктивные особенности
Коммутатор имеет строгий, минималистичный дизайн. Корпус выполнен из металла с порошковым покрытием.
Весит устройство добрых девять с небольшим килограммов, что не мало. Такой вес обусловлен как материалом корпуса, так и комплектующими.
Коммутатор выполнен в стандарте 19 дюймов для монтажа в серверную стойку. Из-за внушительного веса, предусмотрено два вида крепления в стойку: спереди с помощью «ушек» и сзади с помощью направляющих. Крепежные элементы входят в комплект поставки.
До восьмидесяти процентов площади передней панели занимают 48 портов форм-фактора SFP+, позволяющих использовать SFP-модули с максимально возможной скоростью передачи данных в 10Гбит/с. Также справа расположились 6 портов форм-фактора QSFP28 поддерживающих 100-гигабитные QSFP28. Тут же можно найти OOB (out-of-band) порт 10/100/1000BASE-T (RJ45) для удаленного управления устройством и консольный порт RS-232 (RJ45).
Архитектурно OOB порт подключен напрямую к CPU и не участвует в маршрутизации с остальными портами, его можно использовать только в качестве интерфейса управления.
Вдоль горизонтальных граней передней панели расположены отверстия для обеспечения прохождения воздушного потока к системе охлаждения.
Слева внизу под оптическими портами находится группа светодиодных индикаторов, позволяющих визуально оценить состояние коммутатора в целом и его сменных модулей (блоков питания и модулей вентиляторов).
В серию пойдет версия коммутатора с USB 2.0, расположенным между двумя административными портами.
На тыльной стороне коммутатора расположены слоты для установки двух блоков питания и четырех модулей вентиляторов с поддержкой функции «горячей» замены.
Каждый блок питания и модуль вентилятора имеют отдельный индикатор состояния, расположенный на корпусе.
Чтобы предотвратить автоматическое отключение, устройству требуется не менее 3 работающих модуля вентиляторов.
Электропитание коммутатора осуществляется от сети DC 18-36 V, сети DC 36-72 V, сети АС 100-240 V. Блоки питания формируют дежурное напряжение 5 V.
Номинальная мощность блоков питания – 300 Вт, выходное напряжение –12 В.
Мощность, потребляемая коммутатором от сети при максимальном наполнении и нагрузке, не более 250 Вт.
Место в сети
Устройство предназначено для использования в качестве коммутатора ToR в составе серверной стойки ЦОД, а также для организации магистральных каналов связи по кабельным линиям для передачи потоков данных между узлами сети Ethernet и между потребителями.
Длина сегмента определяется установленным трансивером и типом кабеля – электрический или оптический (одномодовый, многомодовый).
Возможности коммутатора. Управление и информирование
Устройство поддерживает следующие протоколы управления:
1. NETCONF
2. LLDP
3. NTP сервер & клиент
4. Telnet-сервер
5. SSH-сервер
6. SNMP
7. CFM OAM
Покажем, как настроить NETCONF over SSHv2
NETCONF – это протокол для удаленного управления конфигурацией сетевого оборудования. Коммутатор «Аттика-5960М» поддерживает его использование через защищенное подключение SSH.
Для включения NETCONF в первую очередь требуется активировать SSH-сервер:
Здесь команда «ip address 10.1.1.1 255.255.255.0» устанавливает IP-адрес на VLAN, команда «ssh server enable» включает SSH-сервер и команда «netconf ssh» включает протокол NETCONF.
После задания первичных настроек становится доступна функция удаленного управления коммутатором через NETCONF. Для этого нужно использовать специализированные программы, например, yangcli. Для подключения необходимо будет указать IP-адрес устройства, логин и пароль подключения, а также порт 830 (именно этот порт используется в соответствии со стандартом IETF для работы протокола NETCONF по ssh)..
Пример создания VLAN 3 через NETCONF:
Вывод конфигурации коммутатора после применения настроек:
Созданному VLAN 3 можно назначить IP-адрес и маску, как приведено на рисунке ниже:
Вывод конфигурации коммутатора после применения настроек:
Также можно вывести конфигурацию, переданную через Netconf устройству:
Возможности коммутатора. Безопасность .
Коммутатор «Аттика 5960М» поддерживает следующие протоколы безопасности:
Port Security
ARP inspection
DHCP Snooping
IP Source Guard
Защита от DoS-атак SYN/SYN-ACK Flooding
Настройка Port Security
Port Security – это функция, предназначенная для защиты интерфейсов от несанкционированного использования. Она позволяет управлять изучением MAC-адресов и задавать алгоритм действий при выявлении нарушений безопасности.
Пример базовой настройки Port Security на коммутаторах Аттика-59ххМ выглядит следующим образом:
Эта конфигурация включает защиту на порт Te 0/1, добавляет безопасный MAC-адрес 00:1B:28:FF:FF:02 и задает действие shutdown для отключения интерфейса при нарушении. Таким образом, если придет пакет с неизвестным MAC-адресом, интерфейс будет немедленно отключен и выведется предупреждающее сообщение..
Также с помощью Port Security можно установить максимальное количество адресов, которое может быть изучено на интерфейсе. Следующий пример демонстрирует установку ограничения в 10 адресов:
На коммутаторах Аттика-59ххМ Port Security поддерживает несколько режимов изучения MAC-адресов и имеет несколько наборов действий при нарушении безопасности.
Режимы изучения MAC-адресов:
• max-addresses – режим с ограничением максимального количества изучаемых MAC-адресов. Первые пришедшие на коммутатор N адресов изучаются, и появление МАС-адресов сверх настроенного предела считается нарушением безопасности;
• lock – безопасный режим без изучения адресов, статические и безопасные адреса должны быть добавлены вручную. Получение на интерфейсе кадров с МАС-адресами, не входящими в настроенный список, считается нарушением безопасности;
• sticky – режим сохранения динамически изученных MAC-адресов на интерфейсе. После включения ведет себя как «lock», считая появление новых МАС-адресов нарушением безопасности.
Наборы действий при нарушении безопасности:
• forward – передача пакетов с неизвестным MAC-адресом (MAC-адрес не вносится в таблицу MAC-адресов);
• restrict – фильтрация пакетов с неизвестным MAC-адресом;
• shutdown – фильтрация пакетов с неизвестным MAC-адресом и отключение интерфейса при обнаружении пакета с неизвестным MAC-адресом.
Возможности коммутатора. Резервирование
Устройство поддерживает следующие протоколы резервирования:
Link Aggregation
Spanning Tree Protocol
Loopback Detection
Настройка Link Aggregation
LAG (Link Aggregation Group) – это технология, позволяющая объединить несколько физических каналов связи в один логический интерфейс, из-за чего остальные сетевые протоколы начинают взаимодействовать исключительно с логическим интерфейсом, считая все входящие в него физические каналы одним целым. А так как распределение нагрузки после такой настройки осуществляется динамически, значительно повышаются надежность и производительность сети.
Коммутаторы Аттика-59ххМ поддерживают до 8 активных портов в одной группе агрегации и до 32 портов-кандидатов, которые могут быть добавлены в LAG при необходимости.
Для демонстрации работы LAG на коммутаторах Аттика-59ххМ далее приведем некоторые настройки через терминал.
Пример настройки группы агрегации на портах TenGigabitEthernet 0/1-8 приведен на следующем скриншоте:
Через общий логический интерфейс можно задать параметры для всех портов, находящихся в группе агрегации. Следующие команды позволяют перевести порт portchannel 1 в режим «trunk», в котором интерфейс будет принимать и передавать пакеты с тегом и без тега 802.1Q, и добавить VLAN 10 в список VLAN, которые будут передаваться и приниматься в режиме «Trunk».
После ввода команд выведется следующая конфигурация:
Для мониторинга состояния группы агрегации можно использовать диагностические команды. Они позволяют получить информацию о портах, находящихся в статусе кандидатов, об активных участниках LAG, а также узнать MAC-адрес соседнего устройства.
Вывод команды «show lacp port-channel 1» демонстрирует, что порты Te 0/1-8 являются кандидатами, а порты Te 0/1-4 активными участниками группы. Подобная информация полезна для анализа производительности и устранения неисправностей.
