@ Карта сайта News Автора!

Bog BOS: hardware:  Ethernet

Последнее изменение файла: 2024.11.06
Скопировано с www.bog.pp.ru: 2024.11.23

Bog BOS: hardware: Ethernet

Ethernet - локальная сеть, построенная на случайном методе доступа к разделяемой среде передачи данных с обнаружением коллизий - CSMA/CD (Ethernet Network - Xerox, 1975; Ethernet II или Ethernet DIX - Digital, Intel, Xerox - 1980). Ethernet DIX отличается от IEEE 802.3 (совмещены уровни MAC и LLC, отличается формат кадра). Эталонная модель IEEE 802 включает уровни LLC (Logical Link Control, управление логическим каналом, 802.2), MAC (Media Access Control, управление доступом к среде, 802.1D, 802.1G, 802.1H, 802.1Q) и PHY (физический уровень, 802.3, 802.3ae). Уровень PHY соответствует физическому уровню эталонной модели OSI. Уровни LLC и MAC соответствуют уровню передачи данных эталонной модели OSI. Компоненты локальной сети: сетевой адаптер, кабельная структура, повторитель (концентратор, хаб, hub), коммутатор (switch, мост, bridge), маршрутизатор (router), шлюз (gateway). Хаб делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Коммутатор делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. Коммутатор с возможностями VLAN позволяет разделять широковещательные сегменты. Маршрутизаторы сегментируют сеть на уровне IP адресов и позволяют организовывать логическую топологию с петлями. Шлюз позволяет строить сеть из сегментов различной физической природы. Разделяемый сегмент Ethernet не рекомендуется загружать свыше 30% в среднем, иначе большую часть времени сеть будет заниматься обработкой коллизий, в результате время ожидания возрастет, а пропускная способность упадет (хотя пересылать файлы с одного узла на другой можно с полной скоростью, если другие узлы в это время молчат). Устройства не отслеживают потерю и дублирование кадров и не сообщают об этом протоколу верхнего уровня, испорченные кадры молча выбрасываются (ни извещений, ни перепосылки). Реактивное управление потоком (опция). Порядок, время задержки и полоса пропускания не гарантируются. Фрагментация пакетов не предусмотрена, поэтому все устройства в сегменте должны иметь одинаковое MTU.

Стандарты

Стандарты Ethernet образуют семейство стандартов IEEE 802.x (IEEE Standard for Local and Metropolitan Area Networks, ISO 8802, ECMA-80, ECMA-81, ECMA-82).

Уровень LLC

Уровень LLC (Logical Link Control, управление логическим каналом) организует сопряжение с вышестоящими уровнями стека сетевых протоколов, управление потоком и обработку ошибок передачи (выявлением ошибок занимается уровень MAC).

Заголовок PDU (Protocol Data Unit) состоит из 3 полей: номер протокола получателя (DSAP, один байт, 0x6 - IP, 0xF0 - NetBIOS), номер протокола отправителя (SSAP), управляющее поле - 1 или 2 байта (для ненумерованного кадра - 1 байт, не содержащий дополнительной информации). Старший бит DSAP задает тип адреса: индивидуальный или групповой, старший бит SSAP задает флаг: команда или ответ.

В любом режиме работы можно использовать управляющие кадры XID (обмен информацией о поддерживаемых режимах и размере окна) и TEST.

LLC предоставляет 3 вида услуг (протокола, режима работы):

  1. Type 1: услуги без подтверждений и установления соединения, не включают механизмы подтверждения, управления потоком и обработки ошибок; используются ненумерованные информационные кадры (UI PDU)
  2. Type 2: устанавливается логическое соединение, обеспечивается управление потоком и обработка ошибок (похож на асинхронный сбалансированный режим HDLC с 7-битной нумерацией)
  3. Type 3: обеспечивается подтверждение доставки PDU с помощью передачи ненумерованного PDU и ответа со взведенным битом отклика, но логическое соединение не устанавливается; используется 1-битовый порядковый номер

В стеках протоколов TCP/IP и IPX/SPX всегда используется режим LLC1. Процедуры LLC лишь извлекают из PDU пакеты IP, ARP и RARP. NetBIOS/NetBEUI может использовать режим LLC2. В этом случае используются также информационные и управляющие кадры (заголовок длиной 3 или 4 байта).

Уровень MAC

Уровень MAC регулирует доступ к среде передачи данных, дополняет модуль данных LLC (PDU LLC) информацией об адресах и контрольной суммой, формирует кадр (frame) MAC. Выявляет ошибки и отклоняет ошибочные кадры. Обработкой ошибок (повторной передачей) может заниматься уровень LLC или вышестоящий уровень.

Для надежного распознавания коллизий время передачи кадра минимальной длины должно быть больше времени распространения коллизии до самого дальнего узла локальной сети (сегмента коллизий) и обратно. Минимальная длина поля данных - 46 байт (64 байта с заголовком кадра, 72 байта с заголовком и преамбулой). Битовая скорость - 10 Мбит/сек (14880 кадров минимальной длины в секунду). Межкадровый интервал (IPG) - 9.6 мкс (Fast Ethernet - 0.96 мкс). Максимальная длина кадра без преамбулы - 1518 байт. Максимальное расстояние между станциями - 2500 м (Fast Ethernet - 250 м). Максимальное количество станций - 1024.

Форматы кадра (MAC+LLC, попытки унификации привели только к увеличению вариантов):

Возможно автоматическое распознавание типов кадров, т.к. тип протокола в формате кадра Ethernet II всегда больше максимальной длины кадра (1500, а jumbo frame?), а в начале пакета IPX идут байты 0xFF, что отличается от возможных значений DSAP и SSAP. Стек IP обычно использует формат кадров Ethernet II или Ethernet SNAP. Коммутаторы обычно поддерживают только один формат кадров на каждом порту, а групповой и широковещательный трафик рассылается только по портам с тем же форматом кадра (это может привести к изоляции устройства из=за неработоспособности протоколов типа ARP).

Типы адресов MAC EUI-48 (обычно записываются в виде 6 шестнадцатеричных чисел чем-нибудь и как-нибудь разделяемых):

IEEE пропагандирует новый 64-битный формат адреса EUI-64, в котором в качестве номера устройства используется 5 байт вместо 3.

Некоторые устройства позволяют перепрошивать MAC адрес.

Для Gigabit Ethernet минимальный размер кадра без преамбулы - 512 байт. В Gigabit Ethernet введен монопольный пакетный режим (Burst Mode), позволяющий передавать несколько коротких пакетов подряд (до 8192 байт, дополнения до 512 байт не производится).

Ошибки:

Физический уровень, кабели и разъемы

Физический уровень занимается кодированием и декодированием сигналов, генерацией синхронизирующей последовательности битов, приемом и передачей битов. Также включает спецификацию среды передачи и её топологию.

Обычно при инициализации устройства производится автоматическое согласование параметров передачи (NWay, auto-negotiation, Config_Reg для 1000Base-X и FLP (fast link pulse) для *-TX (LCW - link code word - Register 4 передатчика)) между двумя устройствами (неприменимо к разделяемой среде; не реализовано для 10GE; для оптических сред невозможно согласовать скорость): полный дуплекс, полудуплекс, управление потоком (симметричное, асимметричное, никакого), обработка ошибок автосогласования (выключение, ошибка соединения, ошибка автосогласования), скорость, технология (802.3, 802.5, 802.9). Начальная передача длится 10 мс. Устройство может скрыть (маскировать) некоторые свои возможности.

Стандарт определяет следующие виды среды передачи:

Интерфейс между картой сетевого адаптера (коммутатором) и сменным трансивером (приёмопередатчик) и механические характеристики трансиверов определяются не в стандарте, а организацией MSA:

Примеры информации, полученной по DDM:

Оптические разъёмы для подключения кабеля к трансиверу:

MPO (IEC-61754-7, EIA/TIA-604-5) - 12 или 24 оптических волокна в одном разъёме (соединителе, кабеле). MTP - улучшенный вариант, имя защищено торговой маркой. В набор возможностей входят коммутационная панель для 3 кассет MPO24, кассета распределительная MPO24 на 12 портов LC. Для QSFP+ используется 12-волоконный вариант: волокна 1-4 (передатчик 1, 2, 3, 4) и 9-12 (приёмник 4, 3, 2, 1), белая точка у волокна 1, если смотреть в торец так, чтобы выступ (key) был сверху, то волокна нумеруются слева направо от 1 до 12. Коннектор может быть со штифтами (male) и отверстиями (female). Предусмотрены MPO адаптеры между коннекторами MPO male и MPO female: Type A - выступ вверх к выступу вниз, Type B - выступ вверх к выступу вверх. Про поляризацию кабелей описано на сайте изготовителя (дубль):

Для прямого соединения трансиверов QSFP+ (40GBE) используется кабель MPO типа B с коннекторами female на обоих концах. В более сложных случаях используются MPO кассеты и переходные кабели соответствующей полярности.

Объединение портов (trunking, link aggregation)

Объединение портов (trunking, link aggregation group, link bundling) позволяют объединить несколько портов (соединений, каналов) в единое целое (группу портов), увеличивая как производительность, так и надежность. Протоколы верхних уровней рассматривают транк как один канал. Для управления транками (можно использовать группы без использования управляющего протокола) может использоваться фирменный протокол (например, Cisco: Port Aggregation Protocol - PAgP) или LACP (Link Aggregation Control Protocol), описанный в IEEE 802.3ad и вошедший в состав 802.3-2005 (clause 43, реализация) и IEEE 802.1AX-2008 (определение) или EtherChannels.

LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы (LACPDU) на объединение. Порты с обоих сторон могут быть в активном режиме.

Ограничения LACP:

Inter-Switch Trunk (IST) - возможность объединять порты на разных коммутаторах.

Объединение портов в Linux осуществляется с помощью модуля bonding (создаёт интерфейс bond0, при создании имеет MAC адрес 00:00:00:00:00:00, затем берёт MAC адрес от первого присоединённого интерфейса, он же раздаётся всем присоединённым интерфейсам, не изменяется при падении первого присоединённого интерфейса, можно изменить командой "ip link set bond0 address адрес") и утилиты ifenslave (входит в пакет iputils, используется в initscripts в RHEL4) или непосредственно командой /sbin/ip и манипуляциями с /sys/class/net/ (RHEL5). Для объединения eth0 и eth1 в одну группу в RHEL5 достаточно создать /etc/sysconfig/network-scripts/ifcfg-bond0 и /etc/sysconfig/network-scripts/ifcfg-eth[01] и перезагрузить сеть (/etc/rc.d/init.d/network restart):

DEVICE=bond0
#IPADDR=192.168.1.1
#NETMASK=255.255.255.0
ONBOOT=yes
BOOTPROTO=dhcp
TYPE=Bonding
DHCPCLASS=
DHCP_HOSTNAME=s87.cs.niisi.ras.ru
USERCTL=no
BONDING_OPTS="mode=802.3ad miimon=100"

DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USERCTL=no
HWADDR=адрес

Параметры модуля bonding:

Параметры модуля bonding (доступны через /sys/class/net/; изменять для активного интерфейса нельзя) можно занести в /etc/modprobe.conf перед загрузкой:

alias bond0 bonding
options bond0 mode=802.3ad miimon=100 xmit_hash_policy=1

Будут проблемы с VLAN, с "необычной" маршрутизацией. Бойтесь перенумерации интерфейсов. Для правильной работы агента SNMP модуль bonding д.б. загружен до модулей интерфейсов. Прослушивание (promiscuous) в режимах active-backup, balance-tlb, balance-alb распространяется только на текущий (?) активный подчинённый интерфейс. Коммутатор посылает пакет на все интерфейсы, если MAC адреса нет в его таблице - это вызывает дублирование пакетов.

Информация доступна в /proc/net/bonding/имя и /sys/class/net/.

Сетевые адаптеры

Сетевой адаптер (NIC, Network Interface Card) реализует (вместе с драйвером) физический и MAC-уровень. Теоретически, они различаются типом шины, но единственно разумным выбором в настоящее время является PCI адаптер (кстати, они PnP) с использованием bus master DMA.

Двух(трёх)скоростные адаптеры позволяют работать как в режиме 10 Mb/s, так и 100 Mb/s и 1000 Mb/s (адаптер Fast Ethernet не обязан уметь работать с 10Base-T, хотя у них одинаковые разъемы!). Приличный адаптер должен поддерживать стандарт NWay автоматического согласования скорости и режима дуплекса.

Важными компонентами адаптера являются светодиодные индикаторы наличия связи, передачи данных и режима работы.

Адаптер может иметь микросхему загрузки по сети Boot PROM по стандартам PXE (Pre-boot eXecution Environment), bootp.

WOL (Wake-on-LAN): возможность сетевой платы (совместо с BIOS метеринской платы) включать питание компьютера по приходу специального пакета (на материнской плате имеется специальный разъем для дополнительного соединения с сетевым адаптером).

Уменьшение загрузки CPU: Bus Master, zerocopy (карта самостоятельно копирует данные ОП), аппаратное вычисление контрольных сумм, scatter-gather (слияние/разлияние кусков ОП в один пакет), уменьшение числа прерываний чтения за счёт небольшой задержки (NAPI).

Например, PCI адаптеры 100Base-TX:

Встроенный Intel Corporation 82573E Gigabit Ethernet Controller (Copper), фирменный драйвер e1000:

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0d:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit)
e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection

Встроенный Intel Corporation 82573L Gigabit Ethernet Controller, фирменный драйвер e1000

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0e:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit)
e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection

Intel PRO/1000 GT QUAD port (PWLA8494GT), интерфейс PCI-X:133MHz:64-bit, состоит из моста PCI-X в два PCI и двух микросхем 82546GB (2 гигабитных порта на PCI), нет PXE, нумерация снизу вверх

Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI
e1000: 0000:0b:04.0: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:04.1: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:06.0: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:0b:06.1: e1000_probe: (PCI-X:133MHz:64-bit)
e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection

LREC9222HT от LR-Link на базе Intel I350: PCIe v2.1 x1; 2 RJ-45 (10Base-T, 100Base-T, 1000Base-T); аппаратное вычисление контрольный сумм и сегментация/сборка. Предназначен для ПК, но имеет крепления как 3U (FH), так и 2U (LP). Поддержка PXE (не обнаружена (UEFI)), WoL, Jumbo до ?, iSCSI (?), SR-IOV. Драйвер - igb. bootutil64e показывает (прописать прошивку от Intel не рискнул, а свою фирма не предоставляет).

Port Network Address Location Series  WOL Flash Firmware                Version
  5   6CB31129479C   152:00.0 Gigabit YES PXE                           1.3.98
  6   6CB31129479D   152:00.1 Gigabit NO  FLASH Disabled

Intel Corporation Ethernet Server Adapter X520-2 (2 x 82599EB 10-Gigabit SFP+)

Mellanox ConnectX-2, -3 и -4 позволяет работать как в режиме InfiniBand, так и в режиме Ethernet 10Gb (разъём QSFP+!). Например, плата MHQH19-XTC ("InfiniBand: Mellanox Technologies MT26428 [ConnectX VPI PCIe 2.0 5GT/s - IB QDR / 10GigE]") или встроенный в платформу Intel H2000JF ("Network controller: Mellanox Technologies MT27500 Family [ConnectX-3]") или в платформу Intel H2000G (MT27504A1-FCCR-FV, MT27508A1-FCCR-FV). Имеются варианты HCA Mellanox (VPI) для подключения к коммутатору Mellanox кабелями Mellanox на скорости 40/56 Gbps. Модуль ядра mlx4_core имеет параметр port_type_array, который позволяет выбрать режим InfiniBand (1) или Ethernet (2), переехал в /etc/rdma/mlx4.conf:

insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_core.ko port_type_array=2
Jan 10 22:43:14 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A disabled
Jan 10 22:44:24 x98 kernel: mlx4_core: Mellanox ConnectX core driver v1.1 (Dec, 2011)
Jan 10 22:44:24 x98 kernel: mlx4_core: Initializing 0000:01:00.0
Jan 10 22:44:24 x98 kernel: mlx4_core 0000:01:00.0: PCI INT A -> GSI 26 (level, low) -> IRQ 26
Jan 10 22:44:26 x98 kernel: mlx4_core 0000:01:00.0: 64B EQEs/CQEs supported by the device but not enabled

cat /sys/bus/pci/devices/0000\:01\:00.0/driver/module/parameters/port_type_array
2

cat /sys/bus/pci/devices/0000\:01\:00.0/mlx4_port1
eth

insmod /lib/modules/2.6.32-431.5.1.el6.x86_64/kernel/drivers/net/mlx4/mlx4_en.ko

eth2      Link encap:Ethernet  HWaddr 00:1E:67:66:FB:9D
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

обычная настройка в /etc/sysconfig/network-scripts/ifcfg-eth2
ifup eth2

ethtool -i eth2
driver: mlx4_en
version: 2.0 (Dec 2011)
firmware-version: 2.10.2370
bus-info: 0000:01:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: no
supports-register-dump: no
supports-priv-flags: no 

соединил 2 сервера кабелем InfiniBand Mellanox MCC4Q30C-002 Rev B0 (Amphenol 57778JJ03)

ethtool eth2
Settings for eth2:
    Supported ports: [ TP ]
    Supported link modes:   10000baseT/Full
    Supported pause frame use: No
    Supports auto-negotiation: No
    Advertised link modes:  10000baseT/Full
    Advertised pause frame use: No
    Advertised auto-negotiation: No
    Speed: 10000Mb/s
    Duplex: Full
    Port: Twisted Pair
    PHYAD: 0
    Transceiver: internal
    Auto-negotiation: off
    MDI-X: Unknown
    Supports Wake-on: d
    Wake-on: d
    Current message level: 0x00000014 (20)
                   link ifdown
    Link detected: yes 

modprobe mlx4_ib 
modprobe ib_umad
ibstat 
CA 'mlx4_0'
        CA type: MT4099
        Number of ports: 1
        Firmware version: 2.10.2370
        Hardware version: 0
        Node GUID: 0x001e67030066fb9c
        System image GUID: 0x001e67030066fb9f
        Port 1:
                State: Active
                Physical state: LinkUp
                Rate: 10
                Base lid: 0
                LMC: 0
                SM lid: 0
                Capability mask: 0x04010000
                Port GUID: 0x021e67fffe66fb9d
                Link layer: Ethernet 


# подключение к коммутору Huawei
display interface 40GE1/0/5

40GE1/0/5 current state : UP (ifindex: 57)
Line protocol current state : UP
Description:
Switch Port, PVID :    1, TPID : 8100(Hex), The Maximum Frame Length is 9216
Internet protocol processing : disabled
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 6008-10b9-7731
Port Mode:    COMMON COPPER,     Port Split:                   DISABLE
Speed:                10000,     Loopback:                        NONE
Duplex:                FULL,     Negotiation:                   ENABLE
Input Flow-control: DISABLE,     Output Flow-control:          DISABLE
Mdi:                   AUTO 

нормально воспринял "чужой" DAC (Intel XLDACBL3, QSFP+), но тоже на 10 Gb

замена кабеля на Mellanox MC2210126-005 40GbE не меняет картины

Intel Corporation Ethernet Converged Network Adapter XL710-QDA2 (2 QSFP+):

Silicom PE340G2Qi71-QX4 (на базе Intel XL710BM2, драйвера по запросу)

LREC9902BF-2QSFP+ от LR-Link (Shenzhen Lianrui Electronics Co., Ltd.) на базе Intel XL710: PCIe 3.0 x8 (8 GT/s), 2 порта QSFP+ (2 по 40Gb не помещаются), проблем с DAC и AOC не было, рамки форматов FH и HH (MD2), Jumbo до 9.5KB, PXE (UEFI), iSCSI, FCoE, массивный радиатор. За утилитами и прошивками посылают к Intel, а он сами знаете кто.

Интерфейс называется (точнее назывался) eth0 (alias eth0 3c59x в /etc/modules.conf (/etc/modprobe.conf) или alias eth0 eepro100 или alias eth0 e100 или alias eth0 tulip) в Linux и le0 в Solaris.

Параметры модуля tulip

Параметры модуля 3c59x (см. vortex.txt, автосогласование при переподключении может занять до минуты):

Параметры модуля e100 (информацию и статистику можно получить из файла /proc/net/PRO_LAN_Adapters/eth0.info):

Модуль e100 3.0.27-k2-NAPI из дистрибутива CentOS 4.0 (ядро 2.6.9) не имеет параметров (кроме debug), всё управление осуществляется через mii-tool/ethtool.

Параметры модуля e1000 5.3.19-k2-NAPI

Программа ifrename (пакет wireless-tools) позволяет переименовать неактивный интерфейс или все интерфейсы. Ключ -t позволяет поменять имена местами. Конфигурационный файл /etc/iftab задаёт правила переименования. Правила просматриваются по очереди с конца файла. Каждая строка содержит имя интерфейса и набор правил выбора (И):

Программа nameif (пакет net-tools) позволяет привязать имя неактивного интерфейса к его MAC адресу (каждая строка файла /etc/mactab содержит имя интерфейса и MAC адрес).

Программа mii-tool (пакет net-tools) позволяет посмотреть (вместо 1000baseTx показывает 100baseTx) или установить режим автосогласования скорости и дуплекса для указанного интерфейса (для устройств, использующих MII, про гигабитные устройства программа не знает):

Программа ethtool (пакет ethtool) показывает или устанавливает режимы карты ethernet:

Демон netplugd (скрипт /etc/netplug.d/netplug, список интерфейсов - /etc/netplug/netplugd.conf) позволяет автоматически запускать скрипты при наступлении определённого события (появление или пропадание сигнала). Ещё есть hotplug и /etc/hotplug/net.agent.

Файл /etc/ethers содержит в каждой строке соответствие MAC адреса и IP адреса (доменного имени):

08:00:20:00:61:CA server.domain.com

Посмотреть привязку сетевых интерфейсов к MAC адресам можно командой (или заглянуть в /sys/class/net/eth0/address):

ip -o link show

Специфические скрипты Red Hat и клонов:

Настройки сетевой карты 10Гб от Intel

Повторители

Концентратор (повторитель, хаб, concentrator, repeater, hub) делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Он передает полученный на одном порту битовый поток на все другие порты с очень небольшой задержкой (без буферизации), восстанавливая форму сигнала. Порт не имеет MAC адреса, поэтому послать кадр на него невозможно.

Возможна изоляция порта, являющегося источником большого числа ошибок (FCE), коллизий (ECE) или затянувшейся передачи (autopartitioning).

Концентраторы (и коммутаторы) могут образовывать только иерархические связи без петель, но некоторые модели позволяют поределять резервный порт, который будет активизирован в случае изоляции основного порта.

Может иметь кнопку, позволяющую переключать один из портов из обычного для концентратора режима MDI-X с обратной распайкой приемника и передатчика в режим MDI с распайкой как у сетевого адаптера. Это позволяет соединять два концентратора обычным прямым кабелем.

Повторители Fast Ethernet могут быть класса I (поддерживают все типы логического кодирования и могут иметь порты 100Base-TX, 100Base-T4 и 100Base-FX) и класса II (поддерживают только один тип кодирования и могут иметь либо только порты 100Base-T4, либо 100Base-TX и 100Base-FX). В одном сегменте коллизий может быть не более 1 концентратора класса I или не более 2 концентраторов класса II (расстояние между ними не более 5 м, соединение через специальный uplink порт). В одном сегменте нельзя использовать концентраторы разных классов. Данные правила (а также максимальные диаметры сети, приведенные выше) рассчитаны исходя из наихудших предположений. Аккуратный расчет конкретной сети может позволить установить большее количество концентраторов или увеличить длину кабеля.

Узлы с наиболее интенсивным трафиком желательно размещать поближе к концентратору. Это уменьшает коичество коллизий и увеличивает производительность сети.

Защита от прослушивания может быть обеспечена привязкой допустимого MAC адреса к порту. Для этого концентратор должен иметь возможность настройки (порт RS-232 или SNMP). При поступлении через порт кадров с неразрешенным MAC адресом данный порт отключается (по-моему, это никак не может помешать прослушиванию, если сидеть тихо; к тому же многие сетевые адаптеры позволяют прошить в EEPROM любой MAC адрес). Дополнительной защитой может служить преднамеренное искажение кадров, передаваемых на все порты кроме того, к которому подсоединен узел назначения (для этого также необходимо приписать MAC адрес к порту). Для управления по протоколу SNMP концентратор (точнее, SNMP агент в нем) должен иметь IP и MAC адреса.

Многосегментные концентраторы имеют несколько шин, к одной из которых может быть подключен любой порт. Получается как бы несколько концентраторов в одном корпусе и с возможностью гибкого переключения портов (иногда даже через RS-232 или SNMP, этакая кроссовая панель с дистанционным управлением).

Выпускаются (выпускались?) также стековые и модульные концентраторы. При нынешних ценах на коммутаторы их использование потеряло смысл.

Дополнительные возможности: резервные порты, RMON, дистанционное отключение портов, загрузка firmware по Xmodem или TFTP, поддержка BOOTP и DHCP, telnet.

Повторители не позволяют объединять в один сегмент узлы Ethernet и Fast Ethernet, т.к. у них отсутствует буфер, но выпускаются гибридные устройства, имеющие мост вместо одно (или даже всех!) из портов. Подобные устройства позволяют также каскадировать повторители.

Коммутаторы

Коммутатор (мост, switch, bridge) делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. То есть пакет, адресованный на индивидуальный адрес, получит только этот узел, но широковещательные пакеты будут распространяться по всей сети.

Мост (IEEE 802.1d) называется прозрачным, т.к. он работает незаметно для сетевых адаптеров, строя адресную таблицу исходя из пассивного наблюдения трафика. Порт моста не имеет собственного MAC адреса и буферизует все пакеты, приходящие на его порты. Адрес источника записывается в адресную таблицу. Если адрес получателя присутствует в таблице, то пакет передается в нужный сегмент через соответствующий порт (forwarding). Если при этом адрес получателя приписан к тому же порту, что и адрес отправителя, то пакет фильтруется (filtering). Если адрес получателя отсутствует в таблице или он групповой или широковещательный, то пакет рассылается по всем сегментам, кроме исходного (flooding). По мере проявления активности узлов таблица адресов заполняется. При переполнении таблицы новый адрес замещает один из старых. Элементы адресной таблицы могут также статически задаваться администратором сети (только для управляемых коммутаторов). При этом администратор может устанавливать фильтр, указывающий что делать с пакетом, имеющим данный адрес получателя (передать на определенный порт, выбросить, распространить по всем портам). В целях усиления безопасности администратор может запретить или ограничить занесение новых элементов в таблицу, а также задать фильтрацию пакетов, поступающих с неизвестных MAC адресов. Динамические элементы имеют ограниченный срок жизни, чтобы коммутатор мог отслеживать перемещения компьютеров. Для борьбы с избыточным широковещательным трафиком для каждого узла может быть установлена максимальная интенсивность широковещательных рассылок.

Неблокирующий коммутатор (wire speed) позволяет передавать кадры через порты с максимальной скоростью, обеспечиваемой этими портами (10 Mb/s, 100 Mb/s, полудуплекс или полный дуплекс, желательна поддержка стандарта NWay автоматического согласования скорости и режима дуплекса). Например, для 24-портового коммутатора, работающего в режиме полного дуплекса необходима пропускная способность 24x200Mbps = 4.8 Gbps. Практически все продаваемые в настоящее время коммутаторы рекламируются как неблокирующие, но при сочетании различных скоростей и режимов дуплекса на разных портах могут быть проблемы вплоть до падения скорости до 50 КБ/сек. См., например, результаты испытаний дешевых коммутаторов.

Даже неблокирующий коммутатор не сможет обслуживать полноскоростные входящие потоки из 2 портов, направленные в один выходной порт. Через некоторое время (зависит от размера буфера) он начнет терять кадры. Коммутатор может воздействовать на генерирующие пакеты узлы слегка нарушая протокол доступа к среде:

При подключении к порту коммутатора одного узла (микросегментация) появляется возможность работать в дуплексном режиме: достаточно не считать одновременную работу приемника и передатчика коллизией (в любом случае, они используют отдельные витые пары). Если при полудуплексном режиме интенсивность генерации пакетов узлом "автомагически" контролировалась алгоритмом доступа к разделяемой среде, то в дуплексном режиме ничто не мешает одному узлу выдавать пакеты со скоростью, неприемлемой для принимающего узла. Стандарт IEEE 802.3x ввел команды физического уровня "приостановить передачу" (PAUSE) и "возобновить передачу".

Методы коммутации:

Конструктивное исполнение:

Транковые соединения (link aggregation group, EtherChannels) позволяют объединить несколько связей в единое целое, увеличивая как производительность, так и надежность.

Построенная на коммутаторах сеть не может содержать петли, иначе пакет начинает бесконечно циркулировать по этой петле (нет аналога TTL), а коммутаторы перестраивать свои адресные таблицы. Для повышения надежности между узлами прокладывают избыточные связи, но при этом некоторые порты блокируют вручную или с помощью алгоритма STA (Spanning Tree Algorithm, IEEE 802.1d/802.1D-2004, Spanning Tree Protocol, RSTP, IEEE 802.1W). STA (STP) позволяет коммутаторам автоматически строить покрывающее дерево на множестве всех связей сети с помощью постоянного обмена служебными пакетами (BPDU, MAC адрес назначения 01:80:c2:00:00:00) по групповым или широковещательному адресу. Обмен начинается при включении или при обнаружении потери связности. Для работы STA необходимо назначить корневой коммутатор (может выбираться автоматически по минимальному MAC адресу блока управления) и определить время передачи для каждого соединения (расстояние). Для перестройки дерева при отказе связи или узла требуется несколько секунд (минута?). Ускоренный механизм резервных связей (RSTP, distance vector model) работает значительно быстрее (меньше секунды при правильной настройке). Для сетей с VLAN используется MSTP (Multiple Spanning Tree Protocol).

Коммутатор может иметь для каждого выходного порта несколько очередей с различным приоритетом. Приоритет может назначаться исходя из номера входного порта, MAC адреса, IP адреса (для коммутаторов 3 уровня) или согласно IEEE 802.1p/802.1Q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о номере VLAN из IEEE 802.1Q), вставляемый перед полем даных и содержащий 3-битный уровень приоритета. Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1p. Могут использоваться частные протоколы назначения приоритета (например, PACE фирмы 3COM). Класификация трафика может использоваться не только для задания приоритетов, но и для ограничения полосы пропускания сверху и снизу.

Коммутатор с возможностями VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик, полностью изолируя сегменты друг от друга. Помогает противостоять хакерским атакам, превращающим коммутатор в концентратор путем переполнения таблицы адресов (т.е. таблица переполняется, но границы между VLAN остаются неприступными). Разрабатывался для оптимизации трафика, а не для защиты, так что полагаться на него не стоит. Один узел может входить в состав нескольких VLAN. Для передачи кадров между виртуальными сегментами необходимо использовать маршрутизатор, который может быть подключен через один интерфейс сразу в несколько VLAN ("однорукий" маршрутизатор). VLAN образуются на основе номеров подсетей (для коммутаторов 3 уровня), портов, MAC адресов или стандарта IEEE 802.1q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о приоритете кадра согласно IEEE 802.1p), вставляемый перед полем данных и содержащий 12-битный идентификатор VLAN (VID 0, 1 и 4095 зарезервированы). Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1q. Могут использоваться частные протоколы (ISL фирмы Cisco). Для каждой VLAN строится свое покрывающее дерево STA.

Стандарты 802.1p/802.1Q/802.1Q-2003 (вошли в 802.1D в 1998 году) определяют новые форматы MAC кадра (помеченные кадры) для различных вариантов кадра (802.3/LLC, Ethernet II) и правила трансляции из обычных кадров в помеченные и обратно. Например, помеченный кадр Ethernet II состоит из полей (заметьте, что максимальный размер увеличивается на 4 байта - с 1518 до 1522 байт):

Протокол GARP между узлом и коммутатором позволяет узлам динамически присоединяться к VLAN или группе (multicast) и покидать ее.

IGMP snooping (IGMP, RFC 1112) - способность коммутатора "заглядывать" в пакеты IGMP и DVMRIP для определения на каких портах находятся члены многоадресных IP групп (224.0.0.0 - 239.255.255.255).

Полезной возможностью "продвинутых" коммутаторов является способность фильтровать трафик или назначать приоритеты исходя из содержания пакета (смещение поля, размер, значение).

Управление коммутатором (заметьте, что многие in-band методы управления передают информацию - включая пароль! - открытым текстом):

HP ProCurve 1400

HP ProCurve 1400 (J9077A) представляет собой 8-портовый неуправляемый коммутатор с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab 1000Base-T Gigabit Ethernet). Монтируется только в горизонтальном положении. Размер пакетного буфера: 144 КБ. Ёмкость ПЗУ/ОЗУ: 128 КБ. Задержки на скорости 100 Мб менее 3,9 мкс (размер пакета 64 байта), на скорости 1000 Мб - менее 2,1 мкс (размер пакета 64 байта). Размер адресной таблицы - 8 000 элементов. Производительность коммутации - 16 Гб/с. Пропускная способность до 11,9 млн. пакетов в секунду. Поддержка IEEE 802.3x Flow Control и приоритетности по протоколу IEEE 802.1p. Потребляемая мощность - 18 Вт.

HP ProCurve 2626

HP ProCurve 2626 (J4900B): 24 порта RJ-45 (10/100, Auto-MDIX) и 2 гигабитных порта, совмещённых с mini-GBIC.

HP ProCurve 2610-48

HP ProCurve 2610-48 (J9088A): 48 портов RJ-45 (10/100, Auto-MDIX).

Отличия версии H.10.108 (декабрь 2012) от H.10.83: исправления ошибок в STP, SSH, аутентификации, LLDP, DHCP, ARP, 802.1X, syslog. Обновление по TFTP:

copy tftp flash IP-адрес имя-файла primary
boot

HP ProCurve 2824 и 2848

HP ProCurve 2824 (J4903A) и 2848 (J4904A): 24 или 48 портов RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto-MDIX) и mini-GBIC. Последняя прошивка (обновление по TFTP) - I_10_101.swi (2012). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков).

HP ProCurve 2848 имеет 5 вентиляторов (2824 - 3 вентилятора), 1 из которых имеет право не работать при нормальной окружающей температуре. Имеются SNMP датчики работы вентиляторов (good или bad) и температуры (good или bad).

HP ProCurve 2810-48

HP ProCurve 2810-24G (J9021A) и 2810-48 (J9022A): 20 или 44 порта RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto MDI/MDI-X) и mini-GBIC (ревизии B и новее, ProCurve Gigabit-SX-LC Mini-GBIC (J4858C), горячее подключение), MIPS BCM5836 264 MHz, 64 MB SDRAM, 16 MB Flash, буфер пакетов 1.5 MB, задержка 5.4 мкс, 96 Gbps, 71.4 Mpps, таблица MAC адресов - 8000, 100 W, 4 кг, 341 BTU/h (360 kJ/h), 1U. Поддержка: Jumbo кадров до 9224 байта, VLAN (802.1Q, до 256) и GARP, MSTP (802.1s), RSTP (802.1w), LACP (802.3ad), SNTP, SNMPv1/v2c/v3 (MIB: MIB II (RFC 1213), Bridge MIB (RFC 1493), RMONv2 (RFC 2021), Ethernet-Like-MIB (RFC 2665), IP Forwarding Table MIB (RFC 2096), 802.3 MAU (RFC 2668), 802.1p and IEEE 802.1Q Bridge MIB (RFC 2674), Entity MIB v2 (RFC 2737), Interfaces group (RFC 2863)), LLDP, 802.1X, TACACS+, RADIUS, настройка блокировки чрезмерного широковещательного потока для каждого порта, QoS (802.1p) и CoS (установка меток QoS по IP адресам и номерам портов), sFlow (RFC 3176), разрешение или ограничение доступа по MAC адресам (статически назначенным или обучаемым), изолированные порты. Опциональный резервный БП HP ProCurve 600 RPS/EPS, J8168A, автоматически начинает питать 1 из 6 подключённых к нему коммутаторов при отказе его БП. 3 или 5 вентиляторов, может работать без одного из них при комнатной температуре. До 16 устройств можно объеденить в виртуальный стек. Индикаторы питания, аварии (мигает - проблема, горит - большая проблема), идентификации (Locator, нечем включить?), состояния самотестирования (50 секунд, мигает - проблема), вентилятора (мигает - проблема), RPS (горит - доступен, мигает - питает другой коммутатор или сломан). Кнопки сброса (загрузка и самотестирование) и очистки (нажать 1 секунду - очистка паролей; нажать reset и clear, отпустить reset, отпустить clear - сброс всех настроек и очистка журналов и счётчиков). Для каждого порта индикаторы соединения (мигает - проблема), активности, дуплекса (горит - full duplex), скорости (горит - 1Gb, мигает - 100 Mb, не горит - 10Mb). Последовательный порт для управления (разъём RJ-45, кабель DB-9), VT-100, автоматическое распознавание скорости от 1200 до 115200 бод, 8N1, Xon/Xoff, перед началом работы нажать Enter. Если выставить скорость 9600 и нажать кнопку сброса, то можно прочитать журнал загрузки или узнать ошибку самотестирования. Выключатель питания отсутствует. Можно располагать горизонтально или вертикально (боковые стенки не должны быть расположены вверх или вниз).

Порты разбиты на 2 банка (1-24 и 25-48). При отключении автосогласования скорости и дуплекса порт работает только в режиме MDI-X (т.е. для подключения оконечного устройства необходимо использовать прямой кабель) при использовании оборудования не от HP (поправлено в новой версии?).

Интерфейс управления: командная строка или меню (1 telnet и/или RS-232), веб-интерфейс (требуется Java; HTTP и HTTPS), SNMP, бесплатное приложение ProCurve Manager (PCM), платное приложение ProCurve Manager Plus (PCM+). До 4 сессий SSH (посмотреть: "show ip ssh"; убить: "kill номер-сессии"). Меню и веб-интерфейс обеспечивают простой доступ к подмножеству функций. Запуск меню из командной строки: menu. Управление сервером telnet: "[no] telnet-server". Управление веб-сервером: "[no] web-management". Настройка параметров консоли (требуется перезагрузка): console [local-terminal]

По умолчанию получает IP адрес и прочие сетевые настройки по DHCP для VLAN по умолчанию. Не получив ответа от BOOTP/DHCP сервера повторяет запросы с увеличивающимися интервалами. Проблема при смене сети, получаемой от DHCP, "на ходу" (настаивает на получении адреса из старой сети). Для каждой VLAN можно назначить 1 основной и 7 дополнительных IP адресов (только при ручной настройке).

Уровни прав доступа (при входе запрашивается только пароль, надо ввести пароль нужного уровня; длина пароля - до 16 печатных символов ASCII; в настройках можно задать имя оператора и администратора для веб-интерфейса - до 16 печатных символов ASCII):

Уровни командной строки: оператор (выход по команде exit или logout), администратор (вход на уровень по команде manager или enable; команды ? и exit), глобальные настройки (команды configure и exit), контекстные настройки (порт, VLAN; команды interface, vlan и exit). Клавиша Tab дополняет частично введённую команду или выдаёт список возможных дополнений, а также позволяет получить список возможных операндов. Символ "?" в качестве операнда выдаёт краткую подсказку. "help" в качестве операнда выдаёт некраткую подсказку. Имеется история команд и редактирование строки.

Обновление прошивки по TFTP (настройки не изменяются, требуется перезагрузка, secondary - это запасная прошивка): "copy tftp flash IP-адрес имя-файла [primary|secondary]". Проверка версии: "show version" (загруженная); "show flash" (обе). Копирование основной версии в запасную: "copy flash flash secondary". Загрузка запасной версии: "boot system flash secondary". Быстрая перезагрузка той же версии: "reload [after часов:минут]". Есть возможность обновления через веб-интерфейс.

Изменения:

Конфигурация бывает текущая (running-config file; "show running-config" или "write terminal"; сохраняется командой "write memory") и загрузочная (startup-config file; "show config"; вернуться к настройкам по умолчанию - "erase startup-config"). Части настройки, совпадающие с умолчальными, не показываются. Сравнение конфигураций: "show config status". При использовании меню и веб-интерфейса изменения вносятся сразу в оба файла.

Можно поменять часть приветствия командой "banner motd символ-завершения", посмотреть "show banner motd", отключить - "no banner motd".

Информация о системе:

Настройка времени (скачки времени более 3 секунд записываются в журнал):

Умеет выводить сообщения на syslog (по умолчанию в user):

logging ip-адрес
logging facility имя
debug event
show debug

Настройка портов (интерфейсов):

STP

RSTP

MSTP

Защита от локальных циклов неуправляемых устройств (например, EtherCat) с помощью посылки специальных кадров на указанные интерфейсы, при получении пакета обратно интерфейс блокируется:

По умолчанию, определена 1 VLAN по имени DEFAULT_VLAN

Разрешение приёма Jumbo кадров (до 9224 (9220?) байт, включая метку VLAN) осуществляется по всей VLAN (по умолчанию выключено), если не на всех портах VLAN нужно принимать Jumbo кадры - создавайте дополнительную VLAN из нужного подмножества портов, наложенную на исходную VLAN. Включается только для только статических VLAN. Действует только для портов 1Gbps без включённого контроля потока (выключен по умолчанию). Если на одной из VLAN, к которой приписан порт, разрешён приём Jumbo кадров, то порт будет получать Jumbo кадры от устройств с любой VLAN. Прорвавшийся в коммутатор Jumbo пакет будет выведен через гигабитный порт при любых настройках. Настройка:

  [no] vlan номер-VLAN jumbo # разрешить Jumbo кадры

Настройки Jumbo кадров в Linux:

ip l set dev eth0 mtu 9000

Режим QoS Pass-Through (по умолчанию?, qos-passthrough-mode) упрощает схему обработки QoS для ускорения передачи от 1Gb устройства к 100 Mb устройству (2 выходные очереди вместо 4).

Агрегирование портов (до 24 транковых портов, до 6 групп портов, до 4 активных портов и до 4 резервных на группу) для увеличения скорости и/или надёжности: ручное (trunk) или с использованием 802.3ad (LACP, Link Aggregation Control Protocol, статическое и динамическое объединение). Для распределения кадров по выходным портам используется алгоритм SA/DA: все кадры с одинаковыми парами MAC адресов источника и назначения идут через один и тот же порт; кадры с одинаковыми адресами источника, но разными адресами назначения равномерно разбрасываются по портам; кадры с разными адресами источника, но одинаковыми адресами назначения также равномерно разбрасываются (возможна ситуация когда один порт переполнен, а другие простаивают). Порты устройства сегментированы и группа портов должна входить в один сегмент (ссылка на таблицу сегментов есть, самой таблицы нет). Требуется сначала настроить LACP или транки и только затем соединять устройства. При настройке возможен перерыв в обслуживании до 30 секунд. Настройки STP и VLAN едины для всей группы. LACP несовместим с приоритетами, аутентификацией 802.1X и port-security. Группа не может быть портом мониторинга, но можно мониторить статическую группу. Порты, входящие в группу, должны быть соединены между устройствами напрямую одним типом носителя и иметь одинаковую скорость, режим дуплекса и управление потоком. Для LACP необходим полный дуплекс (рекомендуется установить Auto). LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме (выключён по умолчанию, хотя в документации утверждается обратное, в 2824/2848 - включён) отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы на объединение. Порты с обоих сторон могут быть в активном режиме. Статический LACP необходим для использования мониторинга, использования нестандартных настроек STP или IGMP, включения во VLAN, отличный от DEFAULT_VLAN, без использования GVRP и если с другой стороны статический LACP. Статический LACP (Trk), динамический LACP (Dyn) и транк (Trk) несовместимы. Посмотреть статические группы: "show trunks". Создать статическую группу: "trunk список-портов trkНомер {trunk | lacp}". Удалить порт из статической группы: "no trunk список-портов" (необходимо предварительно разъединить устройства, иначе без STP - выключен по умолчанию - будет широковещательный шторм). Посмотреть LACP группы: "show lacp". Перевод группы портов в активный режим LACP: "interface список-портов lacp active". Отключение LACP: "no interface список-портов lacp". Отключение активного режима: "no interface список-портов lacp; interface список-портов lacp passive". Отключение активного режима, если группа уже используется:

configure
  interface список-портов
    disable
    lacp passive
    enable

HP V1910 (aka 3COM Baseline Switch 2900)

Серия коммутаторов HP V1910G (в девичестве 3COM Baseline Switch 2900) включает модели на 8 (JG348A), 16 (JE005A, 3CRBSG2093, 3Com Baseline Plus Switch 2920), 24 (JE006A, 3CRBSG2893, 3Com Baseline Plus Switch 2928) и 48 (JE009A, 3CRBSG5293, 3Com Baseline Plus Switch 2952) портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Также имеются модели с PoE - 1910-24G-PoE на 365 Вт (JE007A, 3Com Baseline Plus Switch 2928 HPWR); 1910-24G-PoE на 170 Вт (JE008A, 3Com Baseline Plus Switch 2928 PWR) и др.. Дополнительно (не взамен!) от 1 до 4 портов SFP. Полная скорость коммутатции. Возможность статической маршрутизации (полная скорость по битам, но не по пакетам), инспекции ARP и DHCP. Процессор: ARM @ 333 МГц, 128 MБ ОЗУ (показываются только 68 МБ), 512 КБ под буфер пакетов, 128 МБ флэш-памяти (показываются только 96 МБ). Размер таблицы MAC адресов - 8192. Встроенный БП и 1 вентилятор с переменной скоростью вращения (выдувает направо), потребление HP V1910-48G - от 25 до 60 Вт. Включает комплект для монтажа в стойку (1U). Требует заземления. Загружается более минуты. Гарантия lifetime на устройство, вентиляторы и БП (доставка на следующий рабочий день).

Индикаторы питания (часто мигает - ошибка), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния каждого SFP (мигают только при приёме).

Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока, VT100, нажать ^B в течении 1 секунды для входа в меню загрузчика, ввести пароль загрузчика (не системы! пустой поначалу); позволяет пропустить разбор конфигурационного файла, поменять пароль загрузчика, загрузить прошивку, удалить прошивку, посмотреть список прошивок.

Управление:

Судя по внутренней нумерации портов устройство состоит из 2 коммутирующих микросхем (по 24 обычных порта и 2 SFP на каждую).

Обновил прошивку до V1910-CMW520-R1513P06 (загружается после обновления 3 минуты). Обновление возможно через HTTP/HTTPS, FTP, TFTP, XModem. Файл .bin содержит обновление как загрузчика, так и системы. Можно обновить основную или резервную прошивку. Прошивка имеет имя файла (лучше оставить то имя, что получилось при загрузке с сайта HP). Флеш содержит не только файлы прошивки, но и резервные копии конфигураций, журналы и, в принципе, может содержать любые файлы (файлы могут иметь атрибут невидимости). Имеется менеджер файлов: загрузка, выгрузка, удаление. Изменения в версиях от P7 до 51 - добавлена поддержка IE10 и исправлены ошибки: перезагрузка при административной блокировке порта, нулевые ошибки в отчётах по SNMP, деблокировка многопортовых конфигураций после обнаружения цикла, перезагрузка при попытке получить диагностическую информацию.

По названию очень похожи коммутаторы серии HP 1910 (без G, порты 100Base-T) - HP 1910-8 (JG536A), HP 1910-24 (JG538A), HP 1910-24-PoE+ (JG539A, 170 Вт на PoW+ (IEEE 802.3at) суммарно, до 30 Вт на порт, 2 вентилятора) и др. Вместо 4 дополнительных SFP имеется 2 комбо порта - либо 1000Base-T либо SFP (т.е. 26 портов для HP 1910-24), дальше идут интерфейсы NULL0 и Vlan-interface1. Фальшивый стек только из 4 устройств вместо 32. Заявлено: процессор MIPS @ 500 МГц (прошивки несовместимы), 128 MБ ОЗУ, 512 КБ под буфер пакетов, 32 МБ флэш-памяти (видимы 28.42 МБ). Размер таблицы маршрутизации: 32 (следующие добавляются, но не работают). Размер таблицы MAC адресов - 8192. QoS: 4 аппаратные очереди. Отсутствует датчик температуры. Прошивка при поступлении: 5.20.99 R1115 (больше возможностей, чем в R1513P06 для v1910-48G). В версии R1116 исправлены проблемы с DoS для NTP. В аппаратной ревизии A (REVA) пакеты не маршрутизириуются обратно на тот же порт.

Возможности:

Настроить:

HP V1900-8G (aka 3COM 3CDSG8 CA)

HP V1900-8G (JD865A), в девичестве 3COM 3CDSG8 (3Com OfficeConnect Managed Gigabit Switch 8, 3CGSU08A). Гарантия 3 года с авансовой заменой на следующий рабочий день. 8 портов 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Последний порт совмещён с SFP. Внешний блок питания, совмещённый с вилкой; к счастью, узкий; 12V, 1A, 8 Вт. Безвентиляторный. Индикаторы питания, состояния коммутатора, состояния SFP, состояния и скорости каждого порта, дуплекса каждого порта. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 38400, 8N1, без контроля потока. Процессор: Vitesse VSC7398 @ 25 МГц, 128 КБ SDRAM, 2 МБ флэш-памяти. Размер таблицы MAC адресов - 8192 (8000? в управляющем процессоре - 128). Управление: консоль (интерфейс командной строки), IMC (Intelligent Management Center, что это?), веб-браузер (требуется JavaScript и CSS, HTTPS не реализован), SNMP. Сброс настроек: если в течении 15 секунд после включения (после "Booting..." до "0") ввести "Ctrl+Shift+minus" на последовательном порту.

Возможности:

Не брать для больших и средних сетей (более 100 узлов).

3COM SuperStack 3 Baseline 10/100 Switch 24 port 3C16465B

SuperStack 3 Baseline Switch 3C16465B - 24 порта 10/100, неуправлвяемый, автоопределение скорости, дуплекса (при отсутствии автоопределения с другой стороны - half duplex). Порты 1-23 - MDI-X, порт 24 - можно переключить в режим MDI. Потребляемая мощность - 88 VA.

3COM SuperStack 3 Switch 3226

3COM SuperStack 3 Switch 3226 (3CR17500-91) - 24 порта 10/100. Ныне называется HP SuperStack 3 3200 26-port Switch (JF062A).

Синхронизации времени и syslog нет.

3COM SuperStack 3 Switch 4400-48 PT

3COM SuperStack 3 Switch 4400-48 PT (3C17204) - 48 портов 10/100 и модуль 3C17220 SuperStack3 Switch 1000Base-T. Консоль - DB-9/male 19200,8,N,1. Узнать список MAC: bridge/addressDatabase/summary. Активность портов: bridge/port/summary.

Веб-интерфейс проверяет браузер на IE4 или NN4. Немного работает в Firefox под видом IE7,

3COM Baseline Switch 2948-SFP Plus

3COM Baseline Switch 2948-SFP Plus (3CBLSG48, HP JE004A) - 48 портов 10/100/1000 и 4 совмещённых SFP). Встроенный БП, 1U. Отсутствует telnet. Не поддерживает Jumbo frame (пробовал 4000).

3COM Switch 3870 48-port

3COM Switch 3870 48-port (3CR17451-91, HP JF061A) - 48 портов 10/100/1000.

Последняя прошивка (2008) - s3h03_00s56p07 (обновление по TFTP).

Синхронизации времени и syslog нет, CDP и LLDP тоже.

Нумерация вентиляторов (на правой стороне) сзади. Имеется мониторинг количества сбоев каждого вентилятора (заявлен мониторинг скорости вращения, но она всегда равна нулю), имеется мониторинг температуры (0 до достижения какой-то границы). Управление вентиляторами неадекватное.

Cisco Catalist WS-C2950-24

Cisco Catalist WS-C2950-24 - 24 порта 10/100.

Краткое и устаревшее описание IOS

Dell PowerConnect 5548

Серия коммутаторов Dell PowerConnect 5500 включает модели на 24 и 48 портов (Dell PowerConnect 5548, сервисный код - JKXMTS1) 10/100/1000BASE-T с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Дополнительно 2 порта SFP+ (10 Gbps, XG, 1000Base-X-SFP+), 2 порта для объединения коммутаторов (10Gbps, HDMI), консоль и порт USB для обновления прошивки и конфигурации. Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps (транисиверы от FC распознались как 1Gbps), опробовал модули переходники с SFP+ на 10GBase-T - SFPp-10G-UTP-S1-C. В серию входит модель с 24 портами и модели с PoE. Обещается полная скорость коммутации (non-blocking). Управляющий процессор Marvell ARM CPU, 256 MB SDRAM, 16 MB flash, 2 пакетных процессора Marvell: 98DX4122 и 98DX4123 (Prestera-DX4122 - 24 порта Gigabit Ethernet, 4 порта 10 Gbit Ethernet, пакетный процессор FlexLink 800 MHz, общая пропускная способность - 64 Gbps? а для связи между половинками используется всего 1 порт на 10 Gbps?). Встроенный БП, потребление - от ? до 100 Вт. 2 вентилятора (выдувает налево) с автоматическим управлением (включается при более 50°C, выключается при менее 40°C при отсутствии нагрузки получалось 42°C и вентиляторы никогда не выключались). Резервное питание от источника постоянного тока RPS (Redundant Power Supply). (экономия энергии по 802.3az для простаивающих и неактивных портов). Включает комплект для монтажа в стойку (1U). Гарантия lifetime (ремонт и замена). Индикаторы: питания (мигает при локации устройства), состояния коммутатора (мигает при загрузке, красный мигает при проблемах, красный горит когда совсем плохо), номер коммутатора в стеке, является ли коммутатор главным в стеке, подключение резервного питания (зелёный - OK, красный - неудача), состояние вентиляторов (зелёный - OK, красный - неудача), локатор (сзади) для поиска устройства (Unit Identification), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния ((зелёный - 10Gbps, жёлтый - 1Gbps)) и активности каждого SFP+, соединение и активность стековых портов HDMI. Имеется кнопка сброса коммутатора. Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте): 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Размер таблицы MAC адресов - 16000. Управление: консоль, telnet и SSH (до 4 сессий; CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до 27 сессий одновременно, HTTP и HTTPS); для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, USB), автоматическая загрузка конфигурации и прошивки с TFTP сервера или USB. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1).

Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, для избежания этого необходимо нажать "Other format". Отдельно обновляются загрузчик (.rbf) и система (.ros). Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. Для аппаратной версии A03 настоятельно рекомендуется прошивка 4.1.0.5 и выше. Прошивка 4.1.0.8 (загрузчик - powerconnect_55xx_boot-10014.rfb; ОС - powerconnect_55xx-4108.ros, называет себя 4.1.0.15). Установка с помощью CLI с TFTP (можно указывать только адрес, не имя!):

console# copy running-config startup-config # на всякий случай
console# copy tftp://адрес-tftp-сервера/путь-к-файлу-ros [unit://*/]image # номер выбирается автоматически?
console# copy tftp:///адрес-tftp-сервера/путь-к-файлу-rbf [unit://*/]boot # не показывается в списке файлов
console# show bootvar
console# boot system image-X [all]
console# reload

Изменения от 4.1.0.8 до 4.1.0.15: OpenSSH 5.9, исправление ошибок.

Изменения от 4.1.0.15 до 4.1.0.20: удалён доставший ^M из сообщений syslog, поддержка кабеля 40G Molex break-out, OpenSSL 1.0.1j (прощай SSL3), исправление ошибок.

Возможности:

Dell PowerConnect 8024F

Серия коммутаторов Dell PowerConnect 8024F (сервисный код - 9QYNTS1) включает модели на 24 порта SFP/SFP+ (Ethernet 1 или 10 Gbps), последние 4 совмещёны с 4 портами 1Gb/10GBase-T (модель 8024 - наоборот) для монтажа в стойку (1U) с 2 блоками питания 300 Вт горячей замены (максимальное потребление коммутатора 160 Вт), охлаждение спереди назад (3 модуля охлаждения горячей замены), до 6 устройств могут быть объединены в стек через SFP+. Вот только глубина коммутатра в 50 см не позволит дотянуться до заменяемых блоков. Работоспособен при температуре от 0 до 40°C (в другом месте 45°C). Порты SFP+ позволяют использование оптических трансиверов (SX или LX, например, Finisar FTLX8571D3BCL - 10GBASE-SR LC multimode 850nm) на скорости 10Gbps или 1Gbps (трансиверы от коммутатора FC на 8Gbps распознались как 1Gbps) или "прямой кабель" (например, DELL 470-11430, SFP+ Direct Attached Twinax Cable; кстати, купить кабели длиной более 3 метров не удалось), опробовал модули переходники с SFP+ на 10GBase-T - SFPp-10G-UTP-S1-C - модуль виден, но не работает. Сделан на базе BCM56820_B0 (24 порта 10GbE (также поддерживает 1Gbps и 2.5Gbps) и 4 порта 1Gbps; полный дуплекс 240+ Gbps, поддержка VLAN и таблиц уровня 3 - DPI, ACL и прочее - на полной скорости, 357 Mpps, 32000 MAC адресов, 4000 элементов в таблице ARP, 16 Mb памяти пакетов). Управляющий ЦП - PowerPC 8533 (1 GHz), ОП - 1ГБ, флеш - 32 МБ. Поддерживает протоколы маршрутизации RIP (512 маршрутов), OSPF (3000 маршрутов). Предназначен для использования в качестве ToR (Top-of-Rack) коммутатора, агрегатора или ценьра сети (для маленьких ЦОД). Гарантия lifetime (ремонт и замена). Индикаторы сзади: диагностика (мигает - идёт тест, красный - авария) температура (оранжевый - перегрев), питания на каждом БП (красный - авария), состояние вентиляторов на каждом модуле вентиляторов (зелёный - OK, красный - неудача), стек (зелёный - мастер, оранжевый - подчинённый, не обнаружил). Имеется кнопка сброса коммутатора (?). Индикаторы спереди: состояния коммутатора (красный мигает при загрузке, синий - нормально), состояния и скорости каждого порта (зелёный - 10Gbps, жёлтый - 100/1000 Mbps). Управляющий порт RS-232 (верхний RJ-45, переходник на DB-9 в комплекте): DTE, 9600 (можно изменять от 2400 до 115200 bps), 8N1, без контроля потока, VT100. Имеется дополнительный порт для управления out-of-band (нижний RJ-45 сзади, 1000Base-T). Управление (до 8 локальных пользователей): консоль; telnet (до 4 сессий) и SSH (до 5 сессий; выключен по умолчанию, перед включением сгенерировать или загрузить ключи хоста); CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ?27 сессий одновременно, HTTP и HTTPS; поддерживаются IE 9, Firefox 14, Chrome 21; для сохранения изменений необходимо нажать кнопку Apply); ?для построения графиков (Charts) необходима Java); SNMPv1, v2c, and v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP), автоматическая загрузка конфигурации и прошивки с TFTP сервера. Для первоначальной настройки необходимо использование консоли для задания пароля администратора (до установки пароля доступ и по telnet и по HTTP закрыт) с использованием мастера настройки (задаются имя и пароль локального пользователя 15 уровня, ручная конфигурация IPv4 для VLAN1 (в версии прошивки 3 - IPv4 для коммутатора "в целом"), адрес управляющей станции, адрес шлюза, имя SNMPv1/2c).

Для загрузки новых прошивок Dell хочет запустить на моём ПК свою программу, чтобы избежать этого необходимо выбрать "Other format" (Другие форматы). ? Обновление прошивки возможно через TFTP, XModem при консольном подключении или с USB флешки. Можно обновить основную (image-1) или резервную (image-2) прошивку, назначить нужную прошивку активной при следующей загрузке. При покупке оказалась прошивка 3.1.4.5 (VxWorks 6.5). Прошивка 5.1.0.1 (VxWorks 6.6; один файл PC8024v5.1.0.1.stk - совместное обновление загрузчика и системы). Для перехода с версий 3 или 4 или 5.0 требуется специальная процедура. Установка с помощью CLI с TFTP (для записи в файл на сервере нужны права 777, можно указывать только адрес сервера, а не имя!):

подключаться только от ИБП!

обеспечить вход после обновления прошивки

console#configure
console(config)#enable password пароль
console(config)#exit
console#copy running-config startup-config

сохранение настроек

console#copy running-config tftp://адрес-tftp-сервера/путь-к-файлу.config

копирование прошивки на устройство (требует права доступа на запись в каталог!) и замена

console#copy tftp:///адрес-tftp-сервера/путь-к-файлу-stk image
console#show version
console#boot system нужный-образ
console#show version
console#update bootcode

перезагрузка (автоматически), 
обновление загрузчика и прошивки каждого PHY (процесс виден только в консоли, занимает несколько минут)

не понравился startup-config ("ip address"), нужно поправить с консоли

console#configure
console(config)#interface vlan 1
console(config-if-vlan1)#ip addres адрес маска
console(config-if-vlan1)#exit
console(config)#line telnet
console(config-telnet)#enable authentication enableList
console(config-telnet)#exit
console(config)#exit
console#copy running-config startup-config
console#show bootvar

проверить (нужна версия 6) и обновить CPLD (только с консоли, команд нет в списке!)
console#dev cpldTest
console#dev cpldUpdate

выключить питание на 10 секунд

Отличия версии 5.1 от 4.2:

Отличия версии 4.2 от 3:

Возможности:

D-Link DGS-1510-52X

Серия коммутаторов D-Link SmartPro DGS-1510 (Layer 3 Lite) включает модели на 16, 24 и 48 портов 1000Base-T (IEEE 802.3ab) с 2 или 4 портами SFP+ (1G или 10G, XG, 1000Base-X-SFP+), с возможностью PoE, с автоматическим распознаванием MDI/MDIX и скорости и дуплекса. Бессрочная ограниченная гарантия.

Модель D-Link DGS-1510-52X (RGS151052XA1AA1G, H/W Ver: A1, L2-switch VER-1.61) на 48 портов 1000Base-T и 4 порта SFP+ (1G или 10G), обещается коммутационная матрица 176 Гбит/сек (видимо просто просуммированы скорости портов). Порты SFP+ позволяют использование оптических трансиверов (SX или LX) на скорости 10Gbps или 1Gbps, 2 порта можно использовать для объединения в стек до 6 устройств, нижние порты (50 и 52) перевёрнуты. Не все подсистемы воспринимают порты 51 и 52 - STP. Родные трансиверы: DEM-311GT (1000BASE-SX, multi-mode, 550м), DEM-312GT2 (1000BASE-SX, multi-mode, 2км?), DGS-712 (1000BASE-T to SFP), DEM-431XT (10GBASE-SR, without DDM, 300м для OM3 MMF), DEM-431X-DD (10GBASE-SR, with DDM - Digital Diagnostics Monitoring, 300м для OM3 MMF), DEM-CB100S (SFP+ DAC, 1м), DEM-CB300S, DEM-CB700S. Нормально воспринял "неродные" трансиверы Finisar FTLX8571D3BCL и SFPp-10GUTP-S1-C (10GBase-T RJ45 UTP Cat.6 30m) и DAC кабели от Dell (нет полюбившихся нам команд "service unsupported-transceiver", "no errdisable detect cause sfp-config-mismatch" и "no errdisable detect cause gbic-invalid"), опробовал модули переходники с SFP+ на 10GBase-T - SFPp-10G-UTP-S1-C. Встроенный БП (100-240В), потребление - от 29Вт (ожидание) до 44 Вт, 2 вентилятора справа (выдувает направо) с автоматическим управлением (выше 45°C - полная скорость, ниже 40°C - пониженная скорость). Управляющий процессор ?, 256 MB SDRAM, 30 MB flash, 2 пакетных процессора ?. Размер таблицы MAC адресов - 16000 (512 статических записей). Метод передачи пакетов только Store-and-forward (обещается 130 Mpps, видимо просто просуммированы скорости портов). Буфер пакетов 3МБ (судя по всему внутри 2 коммутирующие матрицы с 1.5 MB на каждую? или глядя на таблицу ERPS - 6 по 0.5MB?). Рабочая температура до 50°C. Включает комплект для монтажа в стойку (1U).

Индикаторы: питания, консоли (мигает во время самотестирования), номер коммутатора в стеке (от 1 до 6, H - главный, h - резервный, G - самозащита, E - ошибка самотестирования), состояние вентиляторов (зелёный - OK, красный - неудача), состояния и скорости каждого порта (зелёный - 1Gbps, жёлтый - 10/100 Mbps), состояния (зелёный - 10Gbps, жёлтый - 1Gbps) и активности каждого SFP+. Имеется утопленная кнопка сброса - удерживать 5 секунд для сброса настроек. Загружается медленно (более 3 минут).

Управляющий порт RS-232 (RJ45, переходник на DB-9 в комплекте - приём, передача, общая земля): 115200, 8N1, без контроля потока, VT100. Управление: консоль, telnet и SSH (CLI, похожий на "индустриальный стандарт", а точнее Cisco IOS); веб-браузер (до ? сессий одновременно; либо HTTP, либо HTTPS (можно встроить нужный сертификат); для просмотра графиков требуется Adobe Flash; есть русский, но я не рискнул; не все функции); SNMPv1, v2c и v3; конфигурацию можно сохранять и восстанавливать из файла (TFTP, HTTP). Видимо конфигурация хранится во внутреннем формате и команды CLI преобразуются в него и обратно ("show running [all|effective]" размером 60 КБ и безумной структуры). По умолчанию DHCP выключен, IP адрес 10.90.90.90/8 и шлюз 0.0.0.0, пустые имя и пароль (неотображаемые admin/admin в новой версии). При смене ip адреса явно - нет доступа ни по новому адресу, ни по старому, необходимо использовать DHCP.

Общие сведения о командном языке:

Исходная прошивка (на базе vxworks) для DGS-1510-52X - 1.10.005,

Перед обновление необходимо проверить версию оборудования и сравнить с версией прошивки (D-Link под одним именем модели выпускает оборудование совершенно разной архитектуры, например, с управляющим процессором другой архитектуры). Обновление прошивки возможно через TFTP, HTTP (требуется JAVA и TFTP ;). Возможность иметь несколько копий прошивки и конфигураций (всего места во флеш - 29937 K, прошивка занимает около 9МБ):

Процедура установки (в документации ошибки, в заголовке значится DXS-3600):

dir
copy tftp: //адрес/имя-файла flash: имя-файла # не воспринимает адрес из командной строки, только в интерактиве
configure terminal
boot image check имя-файла
boot image имя-файла # copy running startup не нужен
exit
show boot
reboot

Начальная установка с консоли:

enable
crypto key generate rsa
crypto key generate dsa
configure terminal

# создание пользователя с максимальными привилегиями (простой, но неправильный метод)
username имя password пароль
username имя privilege 15

# смена пароля для стандартного пользователя admin
username admin password пароль
service password-encryption

# защита консоли и telnet
line console
login local
exit
line telnet
login local
session-timeout 10
exit

# SSH
ip ssh server
ssh user root authentication-method password
ssh user admin authentication-method password
line ssh
login local
session-timeout 10
exit

# http, здравствуй новый чудный мир! из-за борьбы за "настоящую" безопасность приходится отключать SSL
#ip http secure-server
ip http server
ip http timeout-policy idle 600

# настройка IP адреса
interface vlan 1
ip address адрес маска-сети

# SNTP
clock timezone + 3  0
no clock summer-time
sntp server IP-адрес1
sntp server IP-адрес2
sntp enable

# syslog
logging buffered severity debugging write-delay 300
logging console severity warnings
logging server IP-адрес severity debugging facility 16 port 514
command logging enable

# SNMP
no snmp-server
no snmp-server enable traps

snmp-server name имя
snmp-server location местонахождение
snmp-server contact ответственный

no snmp-server community public
no snmp-server community private
no snmp-server user initial initial v2c
no snmp-server user initial initial v3
no snmp-server group initial v3 noauth
no snmp-server group public v1
no snmp-server group public v2c
no snmp-server group private v1
no snmp-server group private v2c
no snmp-server view restricted
no snmp-server view CommunityView

# snmp-server engineID local ...

#snmp-server view restricted 1.3.6.1.2.1.1 included
#snmp-server view restricted 1.3.6.1.2.1.11 included
#snmp-server view restricted 1.3.6.1.6.3.10.2.1 included
#snmp-server view restricted 1.3.6.1.6.3.11.2.1 included
#snmp-server view restricted 1.3.6.1.6.3.15.1.1 included

snmp-server view CommunityView 1 included
snmp-server view CommunityView 1.3.6.1.6.3 excluded # пароли
snmp-server view CommunityView 1.3.6.1.6.3.1 included
snmp-server community имя-для-чтения view CommunityView ro # хранится в открытом виде

#snmp-server community имя-для-записи view CommunityView rw

snmp-server

# Jumbo frame
interface range eth1/0/1-52
max-rcv-frame-size 9216

# включение мониторинга оптических трансиверов
interface range ethernet 1/0/49-52
transceiver-monitoring enable
exit

# LLDP
lldp run
interface range ethernet 1/0/1-52
lldp dot3-tlv-select mac-phy-cfg
lldp dot3-tlv-select max-frame-size
lldp dot3-tlv-select link-aggregation
lldp management-address IP-адрес-коммутатора
lldp tlv-select system-name
lldp tlv-select system-description
exit

# детектор циклов
errdisable recovery cause loopback-detect interval 60
loopback-detection mode port-based

# статический LACP
port-channel load-balance src-dst-mac
interface range ethernet 1/0/49-50
channel-group 1 mode on
exit
exit

# сохранение (ошибка в документации)
copy running-config startup-config

Возможности:

Huawei Cloud Engine

Фирма Huawei с 2013 года представляет для ЦОД несколько линеек коммутаторов Cloud Engine (CE, для кампусов другая линейка S) на программной платформе VRP8 (Huawei Versatile Routing Platform Software):

Опробованные модели:

При нормальной установке (F) порты сзади (port side, back side), БП и вентиляторы спереди (power supply side, front side), поток воздуха дует с передней стороны (голубая метка, AIR IN) к задней стороне (порты), корпус немного скошен сзади, воздух выходит в отверстия этого скоса. Модули вентиляторов (2 вентилятора на модуль) горячей замены не резервированные - сломанный вентилятор д.б. заменён в течении 3 минут, 1 вентилятор из 4 - резервированный. БП горячей замены резервированные, при удалении необходимо заменить заглушкой, выдерживают разрывы питания до 10 мс, синус в рамках 5%. Максимальное потребление - 245 Вт (CE6810-24S2Q-LI - 171 Вт, CE5855-48T4S2Q-EI - 103 Вт), типовое потребление (100% траффик, медные кабели во всех портах) - 145 Вт (CE6810-24S2Q-LI - 88 Вт, CE5855-48T4S2Q-EI - 76 Вт). ЦП - 4 ядра по 1.2 ГГц (CE5855-48T4S2Q-EI - 2 ядра по 1 ГГц), ОП - 2 ГБ, NOR - 16 МБ, NAND - 1 ГБ (CE6810-24S2Q-LI и CE5855-48T4S2Q-EI - 512 МБ, dir показывает 269168 байт). Может быть подключён в стек с помощью 10GE/25GE (не витая пара) или 40GE/100GE портов.

Имеется отдельный Ethernet порт управления (RJ-45, старшие модели имеют 2 порта RJ-45/SFP - только 1 из 4 может использоваться), при настройке интерфейс именуется meth 0/0/0.

Последовательный порт управления EIA/TIA-232 DCE (нестандартное гнездо RJ-45 с распайкой 2-3-5), в старших версиях дополнительно, но не одновременно mini USB (требуется драйвер TUSB3410), в комплекте приходит кабель с DB-9 female, распайка 3-6-5. Стандартные настройки - 9600-8-1-none.

Индикаторы:

Определение возможностей по имени модели и сравнение моделей по их возможностям (комментарии на китайском).

Подбор компонент по имени модели. Настойчиво рекомендуется использовать сертифицированные оптические модули (про DAC и AOC не говорится), Intel E10GSFPSR SFP+ с FTLX8571D3BCV-IT1 внутри (ещё есть версия с AFBR-703SDZ-IN2 внутри) - опознаётся, включается лазер, нормальная мощность входного сигнала и никаких проблем, но интерфейс не поднимается (намекают на проблемы с автосогласованиме или тестированием):

Процедура установки заплатки (обещана совместимость вверх в рамках ветви с одинаковыми V и R, во время и после установки коммутатор горячей заплатки (HP) продолжает работать, для ввода в действие холодной заплатки (CP) требуется перезагрузка - см. описание изменений; заплатки могут быть инкрементальными (содержат предыдущие в серии, не требуется удалять предыдущие в серии) и нет; состояние заплатки: простаивающая (загрузили на устройство хранения), деактивированная (загрузили в область заплаток), активированная (работает до перезагрузки), работающая):

Заплатка может быть в одном из состояний:

После замены элемента стека необходимо синхронизовать заплатки: patch configuration-synchronize.

Сброс заплатки для следующей загрузки производится командой: reset patch-configure next-startup.

Процедура обновления прошивки (значимо: версия V100, выпуск R005, C10, SPC200; незначимы заплатки), обещается совместимость снизу вверх, можно откатываться с осторожностью (с использованием предварительно сохранённой конфигурации), в состав обновления прошивки .cc входит обновление BIOS, при перезагрузке коммутатор не обслуживает запросы, рекомендуется сохранить до и сравнить после таблицы маршрутизации, FIB и MAC:

В версии V100R005, заплатки от 8 до 12: существенных изменений нет, исправлены ошибки (84 страницы с описанием, часть заплаток требует перезагрузки).

В версии V100R006C00SPC600 (VRP V800R011C00), документация, размер удвоился:

В версии V200R001C00SPC700 (VRP V800R012C01 или 8.120), документация:

В версии V200R001C00SPC700 заплатки до SPH025: изменений нет, исправлены ошибки (264 страницы с описанием, часть заплаток требует перезагрузки для активации):

В версии V200R002C50SPC800 (VRP V800R015C00), документация (разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006 V200R001, V200R002C20SPC100 и V200R002C50), изменения относительно V200R001C00SPC700:

В версии V200R003C00SPC810 (VRP V800R016C06), документация, (разрешено прямое обновление с версий V100R001, V100R002, V100R003, V100R005, V100R006, V200R001, V200R002, V200R003C00SPC100 и V200R003C00SPC200), изменения относительно V200R002C50SPC800:

Версий V200R005 много: V200R005C00SPC600, V200R005C00SPC800, V200R005C10SPC300, V200R005C10SPC800 (доступна), V200R005C20SPC600 (VRP V800R019C06), V200R005C20SPC800 (VRP V800R019C06, 8.180), V200R005C20SPC810 (для отдельных устройств). (разрешено прямое обновление с сохранением всех функций на V200R005C10SPC800 с версий V200R001, V200R002, V200R003, V200R005C00, V200R005C10, or V200R005C10SPC300):

V200R005C20SPC600 сделана специально для поддержки CE6863-48S6CQ и CE6881-48S6CQ, обновление на неё не предусмотрено. В V200R005C20SPC800 добавлена поддержка CE6820-48S6CQ и БП PDC1000S12; можно обновляться только с V200R005C20SPC600; добавлены PFC, BFD для M-LAG, "port-isolate l3 enable", "display stack upgrade status".

V200R019C10, V300R020C00

Для работы VXLAN в версии V100R005C00 и выше требуется лицензия CE-LIC-VXLAN (CE68-LIC-VXLAN) . На одно устройство (ESN) полагается только 1 лицензия, поэтому для добавления лицензии необходимо отозвать текущую (revoke), при это выдаётся код, который необходимо указать при заказе объединённой лицензии. Отозванная лицензия переходит в режим Trial на 60 дней, после истечения пробного периода становится невозможно добавить новую конфигурацию, но можно пользоваться уже созданной. При создании стека достаточно одной лицензии на любое участвующее в стеке устройство.

При включении требуется подключиться к консольному порту (9600-8-none-1-none), прервать ZTP (^C) и ввести пароль (от 8 до 16 символов, символы д.б. не менее 2 классов), эквивалент

user-interface con 0
authentication-mode password
set authentication password cipher ...
user privilege level 15
commit
return
save

Настройка входа и первоначальная настройка:

system-view
sysname имя-устройства
commit

interface meth 0/0/0
ip address ip-адрес бит-маски
quit # interface
commit

clock timezone MSK add 03:00:00
ntp unicast-peer IP-адрес1
ntp unicast-peer IP-адрес2
undo ntp server disable
info-center timestamp log format-date precision-time second
info-center timestamp trap format-date precision-time second
info-center timestamp debugging format-date precision-time second
info-center loghost адрес facility local0 local-time transport udp
commit

aaa # вот именно "А-А-А!!!" главное - это не отпилить сук, на котором сидишь
# "улучшения" безопасности ограничивают длину имени пользователя от 6 до 253 символов
# пароль от 8 символов должен включать прописные и строчные буквы, цифры и символы
undo local-user policy security-enhance
undo user-name minimum-length
undo local-user policy password complexity-enhance
commit
local-user имя-пользователя password irreversible-cipher пароль
local-user имя-пользователя level 15 # 3
local-user имя-пользователя service-type telnet ssh terminal
commit
quit # из aaa
display aaa local-user username имя-пользователя

user-interface vty 0 4
user privilege level 15 # 3
authentication-mode aaa
protocol inbound all
quit # user-interface
undo telnet server disable
commit # теперь можно заходить telnet, предлагает сменить небезопасный пароль

rsa local-key-pair create # 2048
dsa local-key-pair create # 2048
ecc local-key-pair create # 521
commit

stelnet server enable
commit

ssh user имя-пользователя
ssh user имя-пользователя authentication-type all
ssh user имя-пользователя service-type stelnet
ssh authorization-type default root

dsa peer-public-key имя-ключа encoding-type openssh
public-key-code begin
  содержимое ~/.ssh/id_dsa.pub  
public-key-code end
peer-public-key end
ssh user имя-пользователя assign dsa-key имя-ключа
commit # теперь можно заходить SSH

transceiver non-certified-alarm disable

return
save # в первый раз запрашивает имя файла, подставляет "vrpcfg.zip"

Узнай свой продукт

display device manufacture-info

Slot       Card   Type               Serial-number            Manu-date     
----------------------------------------------------------------------------
1          --     CE6851-48S6Q-HI    xxxxxxxxxxxxxxxxxxxx     2016-06-25    
           FAN1   FAN-40EA-F         xxxxxxxxxxxxxxxxxxxx     2016-06-11    
           FAN2   FAN-40EA-F         xxxxxxxxxxxxxxxxxxxx     2016-06-11    
           PWR1   PAC-600WA-F        xxxxxxxxxxxxxxxxxxxx     2016-05-25    
           PWR2   PAC-600WA-F        xxxxxxxxxxxxxxxxxxxx     2016-05-25    
2          --     CE6851-48S6Q-HI    xxxxxxxxxxxxxxxxxxxx     2016-06-25    
           FAN1   FAN-40EA-F         xxxxxxxxxxxxxxxxxxxx     2016-06-11    
           FAN2   FAN-40EA-F         xxxxxxxxxxxxxxxxxxxx     2016-06-11    
           PWR1   PAC-600WA-F        xxxxxxxxxxxxxxxxxxxx     2016-05-25    
           PWR2   PAC-600WA-F        xxxxxxxxxxxxxxxxxxxx     2016-05-25    
101        --     CE5855-48T4S2Q-EI  xxxxxxxxxxxxxxxxxxxx     2017-02-15    
           FAN1   FAN-040A-F         xxxxxxxxxxxxxxxxxxxx     2017-01-05    
           FAN2   FAN-040A-F         xxxxxxxxxxxxxxxxxxxx     2017-01-05    
           PWR1   ES0W2PSA0150       xxxxxxxxxxxxxxxxxxxx     2017-01-07    
           PWR2   ES0W2PSA0150       xxxxxxxxxxxxxxxxxxxx     2017-01-07

display version # SVF

Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.120 (CE6851HI V200R001C00SPC700)
Copyright (C) 2012-2016 Huawei Technologies Co., Ltd.
HUAWEI CE6851-48S6Q-HI uptime is 8 days, 1 hour, 24 minutes 
Patch Version: V200R001SPH006

CE6851-48S6Q-HI(Master) 1 : uptime is  8 days, 1 hour, 23 minutes
        StartupTime 2017/07/06   20:51:53+03:00 
Memory    Size    : 2048 M bytes
Flash     Size    : 1024 M bytes
CE6851-48S6Q-HI version information                               
1. PCB    Version : CEM48S6QP04    VER B
2. MAB    Version : 1
3. Board  Type    : CE6851-48S6Q-HI
4. CPLD1  Version : 102
5. CPLD2  Version : 102
6. BIOS   Version : 365

CE6851-48S6Q-HI(Standby) 2 : uptime is  3 days, 1 hour, 28 minutes
        StartupTime 2017/07/11   20:46:43+03:00 
Memory    Size    : 2048 M bytes
Flash     Size    : 1024 M bytes
CE6851-48S6Q-HI version information                               
1. PCB    Version : CEM48S6QP04    VER B
2. MAB    Version : 1
3. Board  Type    : CE6851-48S6Q-HI
4. CPLD1  Version : 102
5. CPLD2  Version : 102
6. BIOS   Version : 365

CE5855-48T4S2Q-EI(Leaf) 101 : uptime is  3 days, 1 hour, 27 minutes
        StartupTime 2017/07/11   20:47:30+03:00
Memory    Size    : 2048 M bytes
Flash     Size    : 512  M bytes
CE5855-48T4S2Q-EI version information                               
1. PCB    Version : CEM48T4S2QP03    VER B
2. MAB    Version : 1
3. Board  Type    : CE5855-48T4S2Q-EI
4. CPLD1  Version : 101
5. BIOS   Version : 365

display version # одиночный, старая прошивка

Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.100 (CE6810LI V100R005C10SPC200)
Patch Version: V100R005SPH007
Memory    Size    : 2048 M bytes
Flash     Size    : 512 M bytes
1. PCB    Version : CEM24S2QP01    VER A
2. MAB    Version : 1
3. Board  Type    : CE6810-24S2Q-LI
4. CPLD1  Version : 100
5. CPLD2  Version : 100
6. BIOS   Version : 312

display version # одиночный, новая прошивка

Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.150 (CE7855EI V200R002C50SPC800)
Copyright (C) 2012-2017 Huawei Technologies Co., Ltd.
HUAWEI CE7855-32Q-EI uptime is 0 day, 0 hour, 32 minutes 
Patch Version: V200R002SPH006

CE7855-32Q-EI(Master) 1 : uptime is  0 day, 0 hour, 31 minutes
        StartupTime 2018/03/30   02:59:18+03:00
Memory    Size    : 4096 M bytes
Flash     Size    : 1024 M bytes
NVRAM     Size    : 512  K bytes
CE7855-32Q-EI version information                               
1. PCB    Version : CEM32QP02    VER B
2. MAB    Version : 1
3. Board  Type    : CE7855-32Q-EI
4. CPLD1  Version : 101
5. CPLD2  Version : 101
6. BIOS   Version : 386

И его составные части

display sn all

Slot 1:
Equipement SN(ESN): серийный-номер
License ESN: серийный-номер

----------------------------------------------------------------------------
Slot       Sub    Type               SN                       P/N           
----------------------------------------------------------------------------
1          -      CE6851-48S6Q-HI                             02350JAR      
           FAN1   FAN-40EA-F                                  02355421      
           FAN2   FAN-40EA-F                                  02355421      
           PWR1   PAC-600WA-F                                 02310PMJ      
           PWR2   PAC-600WA-F                                 02310PMJ      
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Port                 Type                 SN                   Description
----------------------------------------------------------------------------
10GE1/0/1            74752-9506           224330379            12000Mb/sec--nm---3(Copper)
10GE1/0/2            OMXD30000            OSX12S50077          10300Mb/sec-850nm-LC-400(50um/125um OM4) # Dell ON743D aka Finisar FTLX8571D3BCL
10GE1/0/3            AFBR-2CAR10Z         AZ1530KDA0000B-A     10300Mb/sec--nm---10(Copper)  # AOC
40GE1/0/1            AFBR-79EBPZ-CS1      AVM1817S1GD          40GE-850nm-LC-100(50um/125um OM3)
40GE1/0/2            QSFP+ SR4            QB420625             40GE-850nm-MPO-100(50um/125um OM3),150(50um/125um OM4)
40GE1/0/3            606770003            APF16350030RF0       40GE--nm---3(Copper)
40GE1/0/5            MCC4Q30C-002         AC341054311          40GE--nm---2(Copper)
40GE1/0/6            AFBR-79EBPZ-CS2      AVM1848U73C          40GE-850nm-LC-100(50um/125um OM3)
40GE2/0/1            MCC4Q30C-002         AC341053969          40GE--nm---2(Copper)
40GE2/0/5            MC2210126-005        MT1645VS03705        40GE--nm---5(Copper)
40GE2/0/6            MC2210126-005        MT1645VS03696        40GE--nm---5(Copper)
40GE101/0/1          MCC4Q30C-002         AC341053969          40GE--nm---2(Copper)
40GE101/0/2          QSFP+ SR4            QB420626             40GE-850nm-MPO-100(50um/125um OM3),150(50um/125um OM4)
----------------------------------------------------------------------------

Более подробно:

display device elabel
...
[Board Properties]
BoardType=CE6851-HI-F-B0A
BarCode=серийный-номер
Item=02350JAR
Description=Basic Configuration,CE6800,CE6851-HI-F-B0A,CE6851-48S6Q-HI Switch ...
Manufactured=2016-06-25
VendorName=Huawei
...
[Port_10GE1/0/1]
...
[Board Properties]
BoardType=7452-9506 # в реальности DAC от Dell, 3м
BarCode=224330379
Item=
Description=12000Mb/sec--nm---3(Copper)
Manufactured=2012-08-30
VendorName=Molex Inc.
...
[Port_10GE1/0/2]
...
[Board Properties]
BoardType=OMXD30000 # в реальности Dell ON743D aka Finisar FTLX8571D3BCL
BarCode=OSX12S50077
Item=
Description=10300Mb/sec-850nm-LC-400(OM4)
Manufactured=2012-06-12
VendorName=HUAWEI
...
[Port_10GE1/0/3]
...
[Board Properties]
BoardType=AFBR-2CAR10Z
BarCode=AZ1530KDA0000B-A
Item=
Description=10300Mb/sec--nm---10(Copper) # в реальности AOC
Manufactured=2015-07-22
VendorName=AVAGO
...
[Port_40GE1/0/3]
...
[Board Properties]
BoardType=MC2210126-005
BarCode=MT1645VS03705
Item=
Description=40GE--nm---5(Copper)
Manufactured=2016-08-02
VendorName=Mellanox
...
[Port_40GE1/0/4]
...
[Board Properties]
BoardType=MC1204127-003 # в реальности DAC переходный от Infiniband QDR к SDR, 3м
BarCode=AC341052636
Item=
Description=40GE--nm---3(Copper)
Manufactured=2010-08-27
VendorName=Mellanox
...
[Port_40GE1/0/5]
...
[Board Properties]
BoardType=MCC4Q30C-002 # в реальности DAC Infiniband QDR, 2м
BarCode=AC341054311
Item=
Description=40GE--nm---2(Copper)
Manufactured=2010-08-31
VendorName=Mellanox
...
[Port_40GE1/0/6]
...
[Board Properties]
BoardType=AFBR-79EBPZ-CS2
BarCode=AVM1848U73C
Description=40GE-850nm-LC-100(50um/125um OM3)
Manufactured=2014-12-01
VendorName=CISCO-AVAGO
...
[FAN1]
...
[Board Properties]
BoardType=FAN-40EA-F
BarCode=серийный-номер
Item=02355421
Description=Assembling Components,Fan box(EA,Front to Back,FAN panel side intake),FAN-40EA-F,Fan box(EA,Front to Back,FAN panel side intake)
Manufactured=2016-06-11
VendorName=Huawei
...
[PWR1]
...
[Board Properties]
BoardType=PAC-600WA-F
BarCode=серийный-номер
Item=02310PMJ
Description=Function Module,AC PSU,PAC-600WA-F,600W AC Power Module(Front to Back,Power panel side intake)
Manufactured=2016-05-25
VendorName=Huawei
...

О трансиверах отдельно:

display interface transceiver [non-certified] verbose

 10GE1/0/1 transceiver information:
# DAC от Intel
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :10GBASE_Passive_Copper_Cable
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :3(Copper)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :Molex Inc.
   Vendor Part Number                    :74752-9506
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :224330379
   Manufacturing Date                    :2012-08-30
   Vendor Name                           :Molex Inc.
-------------------------------------------------------------------
 Alarm information:

10GE1/0/2 transceiver information:
# трансивер от Dell, не знаю почему он выглядит от Huawei
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :10GBASE_SR
   Connector Type                        :LC
   Wavelength (nm)                       :850
   Transfer Distance (m)                 :20(62.5um/125um OM1)
                                          80(50um/125um OM2)
                                          300(50um/125um OM3)
                                          400(50um/125um OM4)
   Digital Diagnostic Monitoring         :YES
   Vendor Name                           :HUAWEI
   Vendor Part Number                    :OMXD30000
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :OSX12S50077
   Manufacturing Date                    :2012-06-12
   Vendor Name                           :HUAWEI
-------------------------------------------------------------------
 Alarm information:
-------------------------------------------------------------------
 Diagnostic information: 
   Temperature (Celsius)                 :27.43
   Voltage (V)                           :3.20
   Bias Current (mA)                     :7.75
   Bias High Threshold (mA)              :25.00
   Bias Low Threshold (mA)               :3.00
   Current RX Power (dBm)                :-3.93
   Default RX Power High Threshold (dBm) :2.00
   Default RX Power Low Threshold (dBm)  :-16.00
   Current TX Power (dBm)                :-2.65
   Default TX Power High Threshold (dBm) :2.00
   Default TX Power Low Threshold (dBm)  :-10.00
-------------------------------------------------------------------

 10GE1/0/3 transceiver information:
# "самодельный" AOC от SNR
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :10GBASE_Active_Copper_Cable
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :10(Copper)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :AVAGO
   Vendor Part Number                    :AFBR-2CAR10Z
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :AZ1530KDA0000B-A
   Manufacturing Date                    :2015-07-22
   Vendor Name                           :AVAGO
-------------------------------------------------------------------

                
 40GE1/0/5 transceiver information:
# DAC от комплекта Infiniband
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_CR4
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :2(Copper)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :Mellanox
   Vendor Part Number                    :MCC4Q30C-002
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :AC341054311
   Manufacturing Date                    :2010-08-31
   Vendor Name                           :Mellanox
-------------------------------------------------------------------
 Alarm information:

 40GE1/0/6 transceiver information:
# "самодельный" трансивер от SNR
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_BIDI
   Connector Type                        :LC
   Wavelength (nm)                       :850
   Transfer Distance (m)                 :100(50um/125um OM3)
   Digital Diagnostic Monitoring         :YES
   Vendor Name                           :CISCO-AVAGO
   Vendor Part Number                    :AFBR-79EBPZ-CS2
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :AVM1848U73C
   Manufacturing Date                    :2014-12-01
   Vendor Name                           :CISCO-AVAGO
-------------------------------------------------------------------
 Alarm information:
    LOS Alarm   
-------------------------------------------------------------------
 Diagnostic information: 
   Temperature (Celsius)                 :N/A
   Voltage (V)                           :N/A
   Bias Current (mA)                     :0.00|0.00    (Lane0|Lane1)
                                          0.00|0.00    (Lane2|Lane3)
   Bias High Threshold (mA)              :10.00
   Bias Low Threshold (mA)               :0.50
   Current RX Power (dBm)                :-50.00|-50.00(Lane0|Lane1)
                                          -50.00|-50.00(Lane2|Lane3)
   Default RX Power High Threshold (dBm) :5.00
   Default RX Power Low Threshold (dBm)  :-9.00
   Current TX Power (dBm)                :-50.00|-50.00(Lane0|Lane1)
                                          -50.00|-50.00(Lane2|Lane3)
   Default TX Power High Threshold (dBm) :5.00
   Default TX Power Low Threshold (dBm)  :-3.00
-------------------------------------------------------------------


   40GE1/0/32 transceiver information:
# "самодельный" кабель (SNR) без проблем работал как часть порта Fabric между CE6851 и CE5855
# при подключении между CE7855 и CE7855 не выдаёт ошибок, но несколько раз в час кладёт интерфейс
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_SR4
   Connector Type                        :MPO
   Wavelength (nm)                       :850
   Transfer Distance (m)                 :100(50um/125um OM3)
                                          150(50um/125um OM4)
   Digital Diagnostic Monitoring         :YES
   Vendor Name                           :OEM
   Vendor Part Number                    :QSFP+ SR4
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :QB420623
   Manufacturing Date                    :2011-10-18
   Vendor Name                           :OEM
-------------------------------------------------------------------
 Alarm information:
-------------------------------------------------------------------
 Diagnostic information:
   Temperature (Celsius)                 :35.74
   Voltage (V)                           :3.29
   Bias Current (mA)                     :6.12|6.05    (Lane0|Lane1)
                                          5.83|5.86    (Lane2|Lane3)
   Bias High Threshold (mA)              :13.00
   Bias Low Threshold (mA)               :0.50
   Current RX Power (dBm)                :4.65         (All lanes)
                                          -2.01|-2.72  (Lane0|Lane1)
                                          -0.62|-0.54  (Lane2|Lane3)
   Default RX Power High Threshold (dBm) :3.40
   Default RX Power Low Threshold (dBm)  :-13.51
   Current TX Power (dBm)                :6.98         (All lanes)
                                          0.96|0.96    (Lane0|Lane1)
                                          0.96|0.96    (Lane2|Lane3)
   Default TX Power High Threshold (dBm) :3.40
   Default TX Power Low Threshold (dBm)  :-11.60 

 40GE1/0/31 transceiver information:
# AOC кабель от Mellanox VPI 56Gbps нет диагностики, ошибки на интерфейсе, но зато он не отваливается как предыдущий
-------------------------------------------------------------------
 Common information:
   Transceiver Type                      :40GBASE_Active_Optical_Cable
   Connector Type                        :-
   Wavelength (nm)                       :-
   Transfer Distance (m)                 :20(Optical Cable)
   Digital Diagnostic Monitoring         :NO
   Vendor Name                           :Mellanox
   Vendor Part Number                    :MC220731V-020
   Ordering Name                         :
-------------------------------------------------------------------
 Manufacture information:
   Manu. Serial Number                   :DW361700574
   Manufacturing Date                    :2017-08-29
   Vendor Name                           :Mellanox

      Total Error:                 76
      CRC:                          5,   Giants:                          0
      Jabbers:                     71,   Fragments:                       0
      Runts:                        0,   DropEvents:                      0
      Alignments:                   0,   Symbols:                         0
      Ignoreds:                     0

      Total Error:                 18
      CRC:                          1,   Giants:                          0
      Jabbers:                     17,   Fragments:                       0
      Runts:                        0,   DropEvents:                      0
      Alignments:                   0,   Symbols:                         0
      Ignoreds:                     0 

О питании:

display device power system 
Average power consumption: 195 W
Current power consumption: 191 W
Power manage cycle: 1 hour
Power manage mode: Standard

Power Supply Module Information:
----------------------------------------------------------------------------------
Slot PowerNo Present Mode State        Current   Voltage   ActualPower RatedPower 
                                       (Ampere)  (Volt)      (Watts)     (Watts)  
----------------------------------------------------------------------------------
1    PWR1    YES     AC   Supply       3.3       12.1      40          600        
     PWR2    YES     AC   Supply       2.2       12.2      27          600        
2    PWR1    YES     AC   Supply       2.0       12.2      24          600        
     PWR2    YES     AC   Supply       3.5       12.1      42          600        
101  PWR1    YES     AC   Supply       --        --        --          150        
     PWR2    YES     AC   Supply       --        --        --          150        
----------------------------------------------------------------------------------
Board Power Information:
-----------------------------------------------------------------------
Slot  Card   BoardType            State        ActualPower  RatedPower 
                                                 (Watts)      (Watts)  
-----------------------------------------------------------------------
1     --     CE6851-48S6Q-HI      --           67           245        
2     --     CE6851-48S6Q-HI      --           66           245        
101   --     CE5855-48T4S2Q-EI    --           58           103        

О вентиляторах:

display device fan 
fan module:
---------------------------------------------------------------------------------
Slot   FanID    FanNum    Status       Speed         Mode    Airflow Direction   
---------------------------------------------------------------------------------
1      FAN1     [1-2]     Normal       40%(6950)     Auto    Front-to-Back       
                  1                    6900                                      
                  2                    7000                                      
       FAN2     [1-2]     Normal       40%(7050)     Auto    Front-to-Back       
                  1                    7100                                      
                  2                    7000                                      
2      FAN1     [1-2]     Normal       40%(7000)     Auto    Front-to-Back       
                  1                    7000                                      
                  2                    7000                                      
       FAN2     [1-2]     Normal       40%(7000)     Auto    Front-to-Back       
                  1                    7000                                      
                  2                    7000                                      
101    FAN1     [1-2]     Normal       60%(9950)     Auto    Front-to-Back       
                  1                    9900                                      
                  2                    10000                                     
       FAN2     [1-2]     Normal       60%(9850)     Auto    Front-to-Back       
                  1                    9900                                      
                  2                    9800                             

О температуре:

display device temperature all
---------------------------------------------------------------------------------
Slot    Card    SensorName    Status         Major        Fatal        Current   
                                           (Celsius)    (Celsius)     (Celsius)  
---------------------------------------------------------------------------------
1       --      Outlet-1(LSW) NORMAL          60           --            32      
        --      Intake-1(LSW) NORMAL          65           --            29      
        --      CPU           NORMAL          95          100            45      
        --      LSW           NORMAL         105          110            48      
2       --      Outlet-1(LSW) NORMAL          60           --            35      
        --      Intake-1(LSW) NORMAL          65           --            31      
        --      CPU           NORMAL          95          100            44      
        --      LSW           NORMAL         105          110            54      
101     --      Outlet-1(LSW) NORMAL          66           68            34      
        --      Intake-1(LSW) NORMAL          66           68            30      

О загрузке процессора:

display cpu slot 1
CPU utilization statistics at 2017-07-14 22:33:07 131 ms
System CPU Using Percentage :  12%
CPU utilization for five seconds: 13%, one minute: 12%, five minutes: 12%.
Max CPU Usage :                35%
Max CPU Usage Stat. Time : 2017-07-06 20:52:11 260 ms
State: Non-overload
Overload threshold:  90%, Overload clear threshold:  75%, Duration:  480s
---------------------------
ServiceName  UseRate   
---------------------------
SYSTEM           12%
...
CPU Usage Details
----------------------------------------------------------------
CPU     Current  FiveSec   OneMin  FiveMin  Max MaxTime         
----------------------------------------------------------------
cpu0        18%      19%      18%      20%  69% 2017-07-06 20:52:21
cpu1        15%      16%      14%      13%  73% 2017-07-06 20:52:01
cpu2        15%      15%      14%      13%  65% 2017-07-06 20:52:10
cpu3         2%       2%       2%       2%  20% 2017-07-06 20:52:21

display cpu slot 2
CPU utilization statistics at 2017-07-14 22:33:12 371 ms
System CPU Using Percentage :  10%
CPU utilization for five seconds: 10%, one minute: 10%, five minutes: 10%.
Max CPU Usage :                27%
Max CPU Usage Stat. Time : 2017-07-11 20:48:58 126 ms
State: Non-overload
Overload threshold:  90%, Overload clear threshold:  75%, Duration:  480s
---------------------------
ServiceName  UseRate   
---------------------------
SYSTEM           10%
...
CPU Usage Details
----------------------------------------------------------------
CPU     Current  FiveSec   OneMin  FiveMin  Max MaxTime         
----------------------------------------------------------------
cpu0        16%      17%      17%      16%  52% 2017-07-11 20:48:39
cpu1        10%      10%      10%      12%  56% 2017-07-11 20:48:29
cpu2        11%      11%      11%      11%  54% 2017-07-11 20:48:29
cpu3         3%       3%       2%       1%   7% 2017-07-11 20:48:19

display cpu slot 101
CPU utilization statistics at 2017-07-14 22:33:26 283 ms
System CPU Using Percentage :  20%
CPU utilization for five seconds: 20%, one minute: 20%, five minutes: 20%.
Max CPU Usage :                32%
Max CPU Usage Stat. Time : 2017-07-11 20:47:58 565 ms
State: Non-overload
Overload threshold:  90%, Overload clear threshold:  75%, Duration:  480s
---------------------------
ServiceName  UseRate   
---------------------------
SYSTEM           19%
FEA               1%
...
CPU Usage Details
----------------------------------------------------------------
CPU     Current  FiveSec   OneMin  FiveMin  Max MaxTime         
----------------------------------------------------------------
cpu0        22%      22%      19%      19%  47% 2017-07-11 20:48:08
cpu1        18%      18%      21%      21%  49% 2017-07-11 20:48:08

display cpu monitor all 
CPU overload information
--------------------------------------------------------------------
Slot       Time                     State                           
--------------------------------------------------------------------
1          0000-00-00 00:00:00      Unoverload                      
2          0000-00-00 00:00:00      Unoverload                      
101        0000-00-00 00:00:00      Unoverload      

О загрузке памяти:

display memory slot 1 # master
Memory utilization statistics at 2017-07-14 22:36:19 749 ms
System Total Memory: 1959744 Kbytes    
Total Memory Used: 938852 Kbytes     
Memory Using Percentage: 47%               
State: Non-overload      
Overload threshold:  95%, Overload clear threshold:  75%, Duration:    2s
----------------------------
ServiceName   MemUsage(KB)   
----------------------------
FEA                 159729
CMF                 102197
FEC                  23127
SYSTEM               13656
DEVICE                8118
STACKMNG              6019
IFM                   2993
VLAN                  2784
IP STACK              2579
...

display memory slot 2 # standby
Memory utilization statistics at 2017-07-14 22:36:25 388 ms
System Total Memory: 1959744 Kbytes    
Total Memory Used: 824776 Kbytes     
Memory Using Percentage: 42%               
State: Non-overload      
Overload threshold:  95%, Overload clear threshold:  75%, Duration:    2s
----------------------------
ServiceName   MemUsage(KB)   
----------------------------
FEA                 157486
CMF                  60405
FEC                  22970
SYSTEM               13297
DEVICE                7278
STACKMNG              5991
VLAN                  2717
IP STACK              2044
IFM                   1013
...

display memory slot 101 # leaf
Memory utilization statistics at 2017-07-14 22:36:29 793 ms
System Total Memory: 1896476 Kbytes    
Total Memory Used: 491384 Kbytes     
Memory Using Percentage: 25%               
State: Non-overload      
Overload threshold:  95%, Overload clear threshold:  75%, Duration:    2s
----------------------------
ServiceName   MemUsage(KB)   
----------------------------
FEA                 103836
FEC                  11653
DEVICE                3114
LOCAL PKT              595
IP STACK               489
...

Об интерфейсах вкратце:

display interface brief

InUti/OutUti: input utility rate/output utility rate
Interface                  PHY      Protocol  InUti OutUti   inErrors  outErrors
10GE1/0/3                  down     down         0%     0%          0          0
10GE1/0/4                  down     down         0%     0%          0          0
...
10GE1/0/47                 down     down         0%     0%          0          0
10GE1/0/48                 up       up           0%  0.01%          0          0
10GE2/0/1                  down     down         0%     0%          0          0
10GE2/0/2                  down     down         0%     0%          0          0
...
10GE2/0/43                 down     down         0%     0%          0          0
10GE2/0/44                 down     down         0%     0%          0          0
10GE101/0/1                up       up        0.01%  0.01%          0          0
10GE101/0/2                down     down         0%     0%          0          0
10GE101/0/3                down     down         0%     0%          0          0
10GE101/0/4                down     down         0%     0%          0          0
40GE1/0/1                  up       up           0%  0.01%          0          0
40GE1/0/2                  down     down         0%     0%          0          0
40GE1/0/3                  up       up        0.01%  0.01%          0          0
40GE1/0/4                  down     down         0%     0%          0          0
40GE2/0/2                  down     down         0%     0%          0          0
40GE2/0/3                  down     down         0%     0%          0          0
40GE2/0/4                  down     down         0%     0%          0          0
40GE101/0/1                up       up        0.01%  0.01%          0          0
40GE101/0/2                down     down         0%     0%          0          0
4x10GE2/0/45               up       up        0.01%  0.01%          0          0
Eth-Trunk1                 up       up        0.01%  0.01%          8          0
  10GE1/0/1                up       up        0.01%  0.01%          8          0
  10GE1/0/2                up       up        0.01%  0.01%          0          0
Fabric-Port1               up       up        0.01%  0.01%          0          0
  40GE2/0/1                up       up        0.01%  0.01%          0          0
GE101/0/1                  up       up           0%  0.01%          0          0
GE101/0/2                  up       up        0.01%  0.02%          0          0
GE101/0/3                  down     down         0%     0%          0          0
...
GE101/0/47                 down     down         0%     0%          0          0
GE101/0/48                 down     down         0%     0%          0          0
MEth0/0/0                  up       up        0.01%  0.01%        164          0
NULL0                      up       up(s)        0%     0%          0          0
Stack-Port1/1              up       up        0.01%  0.01%          0          0
  40GE1/0/5                up       up        0.01%  0.01%          0          0
  40GE1/0/6                up       up        0.01%  0.01%          0          0
Stack-Port2/1              up       up        0.01%  0.01%          0          0
  40GE2/0/5                up       up        0.01%  0.01%          0          0
  40GE2/0/6                up       up        0.01%  0.01%          0          0

Быстро узнать об аппаратных проблемах:

display device all

Device status:
-------------------------------------------------------------------------------------------
Slot  Card   Type                     Online   Power Register     Alarm     Primary        
-------------------------------------------------------------------------------------------
1     -      CE6851-48S6Q-HI          Present  On    Registered   Normal    Master         
      FAN1   FAN-40EA-F               Present  On    Registered   Normal    NA             
      FAN2   FAN-40EA-F               Present  On    Registered   Normal    NA             
      PWR1   PAC-600WA-F              Present  On    Registered   Normal    NA             
      PWR2   PAC-600WA-F              Present  On    Registered   Normal    NA             
2     -      CE6851-48S6Q-HI          Present  On    Registered   Normal    Standby        
      FAN1   FAN-40EA-F               Present  On    Registered   Normal    NA             
      FAN2   FAN-40EA-F               Present  On    Registered   Normal    NA             
      PWR1   PAC-600WA-F              Present  On    Registered   Normal    NA             
      PWR2   PAC-600WA-F              Present  On    Registered   Normal    NA             
101   -      CE5855-48T4S2Q-EI        Present  On    Registered   Normal    NA             
      FAN1   FAN-040A-F               Present  On    Registered   Normal    NA             
      FAN2   FAN-040A-F               Present  On    Registered   Normal    NA             
      PWR1   ES0W2PSA0150             Present  On    Registered   Normal    NA             
      PWR2   ES0W2PSA0150             Present  On    Registered   Normal    NA  

display alarm active [root] # system-view; alarm; clear alarm active sequence-number номер

--------------------------------------------------------------------------------
Sequence   AlarmId    Severity Date Time  Description                           
--------------------------------------------------------------------------------
1          0x10085    Major    2017-06-21 The storage usage exceeded the pre-set
                                17:19:25+  overload threshold.(TrapSeverity=4, P
                               03:00      robableCause=75265, EventType=3, Physi
                                          calIndex=16842753, PhysicalName=CE6851
                                          -48S6Q-HI 1, RelativeResource=flash, U
                                          sageType=5, SubIndex=1, UsageValue=86,
                                           Unit=1, UsageThreshold=85)    

display health

Power:
-------------------------------------------------------------------------------
Slot PowerNo Present Mode State     Current   Voltage   ActualPower RatedPower 
                                    (Ampere)  (Volt)      (Watts)     (Watts)  
-------------------------------------------------------------------------------
1    PWR1    YES     AC   Supply    2.9       12.2      35          600        
     PWR2    YES     AC   Supply    2.2       12.2      27          600        
-------------------------------------------------------------------------------
N/A:Power not available

Fan:
fan module:
---------------------------------------------------------------------------------
Slot   FanID    FanNum    Status       Speed         Mode    Airflow Direction   
---------------------------------------------------------------------------------
1      FAN1     [1-2]     Normal       40%(6950)     Auto    Front-to-Back       
                  1                    7000                                      
                  2                    6900                                      
       FAN2     [1-2]     Normal       40%(7050)     Auto    Front-to-Back       
                  1                    7100                                      
                  2                    7000                                      
---------------------------------------------------------------------------------
N/A:Fan not available

Temperature:    
---------------------------------------------------------------------------------
Slot    Card    SensorName    Status         Major        Fatal        Current   
                                           (Celsius)    (Celsius)     (Celsius)  
---------------------------------------------------------------------------------
1       --      Outlet-1(LSW) NORMAL          60           --            26      
        --      Intake-1(LSW) NORMAL          65           --            23      
        --      CPU           NORMAL          95          100            43      
        --      LSW           NORMAL         105          110            42      
---------------------------------------------------------------------------------

System Memory Usage Information:
----------------------------------------------------------------------------
Slot   Total Memory(MB)   Used Memory(MB)    Used Percentage    Upper Limit 
----------------------------------------------------------------------------
1      1837               752                40%                95%         
----------------------------------------------------------------------------

System CPU Usage Information:
--------------------------------------
Slot   CPU Usage          Upper Limit 
--------------------------------------
1      13%                90%         
--------------------------------------

System Disk Usage Information:
------------------------------------------------------------------------
Slot   Device     Total Memory(MB)   Used Memory(MB)    Used Percentage 
------------------------------------------------------------------------
1      flash:     615                99                 16%             
------------------------------------------------------------------------

Загружается 170-280 секунд до доступа к порту управления (CE5855 ещё минуту инициализирует порт управления).

Для входа в меню BIOS необходимо при загрузке нажать ^B и в течении 3 секунд ввести пароль, при нажатии ^T можно запустить тест памяти. Меню BIOS (как загрузить файл конфигурации?):

Для оконечного коммутатора SVF на 6-ю позицию меню вклинивается подменю изменения параметров стека, которое позволяет посмотреть текущий режим (оконечный коммутатор) и тип порта, поменять режим: автосогласование, обычный (stack) или оконечный (leaf), поменять тип порта "наверх": автосогласование, 10GE, 40GE.

Управление коммутатором с помощью командной строки (CLI) через консольный порт (CON0, нажать Enter) или удалённый интерфейс VTY0 (до 20, по умолчанию до 5, "user-interface maximum-vty число-до-21") сеансов telnet, stelnet/ssh (команды передаются; SSH 2.0; RSA, DSA и ECC для ассиметричного шифрования; алгоритмы симметричного шифрования - DES, 3DES, AES256, ARC4-128, ARC4-256, AES128-CTR, AES256-CTR и AES128), а также с помощью SNMP через NMS (настойчиво предлагается свой eSight).

Комментарии командной строки начинаются с "#" или "!". Русские буквы при вводе молча фильтруются. Ключевые слова регистронезависимы, их можно сокращать до предела различимости и автоматически дополнять по клавише Tab. Помощь вызывается символом "?" в нужном месте командной строки. Длина команды - до 1022 символов (после преобразования ключевых слов в полную форму). Имеется многострочный редактор команд.

Области действия команд (view), команда "return" возвращает в пользовательскую область:

Режимы обработки команд:

Некоторые изменения конфигурации могут быть отложены до перезагрузки ("display current-configuration inactive" или со значком "*" в "display current-configuration all").

Команды делятся на 4 уровня привилегий от 0 до 3 (настраиваются), при создании пользователя указывается его уровень привилегий от 0 до 15, уровень привилегий задаётся также для интерфейса (меньший приоритет):

"undo" в начале командной строки возвращает параметр к значению по умолчанию, останавливает действие или удаляет конфигурацию.

Система хранит историю последних 10 команд пользователя (можно поменять в каждой области ("user-interface console 0" или "user-interface vty 0 4"): "history-command max-size число-до-256"), её можно посмотреть ("display history-command [ all-users ]") или вызвать (стрелки вверх и вниз, ^P/^N) и отредактировать или удалить ("reset history-command").

Имеется множество системных горячих клавиш ("display hotkey": ^A/^E - в начало/конец строки, ^B/^F - назад/вперёд на символ, ^C - прервать, ^D/^H - удалить символ, ^N/^P - показать команду из истории, ^R - перерисовать и др.), можно определить 4 своих (^G, ^L, ^O, ^U).

Можно определять макрокоманды:

Вывод команды можно

Запуск пакетов команд (.bat, только видимые символы ASCII, команды выполняются строка за строкой несмотря на последствия) или скриптов VSL (VRP Shell Languages, описание отсутствует): "execute имя-файла параметр ...".

ZTP (Zero Touch Provisioning) обеспечивает автоматическую настройку нового коммутатора (ПО, заплатки, конфигурацию, лицензии) с USB флешки (промежуточный ztp_config.ini-файл (может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу) или python-скрипт ztp_script.py задают расположение (адрес и параметры сервера, в частности "file:/usb:/путь") и имена файлов) или в соответствии с данными DHCP (временный IP адрес, маска, шлюз, DNS сервер, адрес и параметры временного файлового сервера (TFTP, FTP, SFTP, HTTP) и имя .ini-файла или python-скрипт с адресом файлового сервера с файлами настроек). Для настройки стека необходимо использовать вариант с python скриптом. Журнал записывается в flash://ztp_дата.log.

Автоматическая настройка и обновление может происходить при вставке USB 2.0 флешки с файлом smart_config.ini в корне FAT32. Не применим для стека. Предварительно необходимо проверить наличие места. smart_config.ini задаёт время запуска, имена файлов ПО, заплатки, конфигурацию, может содержать отдельную секцию для каждого коммутатора по его серийному номеру или MAC адресу. Во время обновления мигает зелёный индикатор USB, при неудаче загорается красный индикатор USB. Результат записывается в корень USB флешки под именем usbload_verify.txt или usbload_error.txt. Включение функции (по умолчанию - выключено):

undo set device usb-deployment disable
[set device usb-deployment password пароль # используется для вычисления HMAC-SHA256 и сравнения с полем HMAC]

Настройки сохраняются в файле ("flash:/vrpcfg.zip") в виде строк команд и могут быть сохранены, отредактированы, перенесены на другой коммутатор. Весь мусор (ping, display и т.п.) при загрузке будет проигнорирован. Команды (следующая - выполняемая при следующей загрузке):

Настройки консольного порта ("user-interface console номер")

Настройки VTY ("user-interface vty от до"):

Аутентификация пользователя может производиться по паролю (password) или AAA (aaa) или отсутствовать (none)

user-interface con 0
authentication-mode password
set authentication password cipher ...
user privilege level 15

user-interface vty 0 4
user privilege level 15
authentication-mode aaa

user-interface con 1
authentication-mode none
user privilege level 0

AAA . Аутентификация: локальная, RADIUS, HWTACACS (Huawei Terminal Access Controller Access Control System).

aaa

local-user имя-пользователя password irreversible-cipher пароль
local-user имя-пользователя level 15
local-user имя-пользователя service-type telnet ssh terminal
commit
quit # из aaa

display aaa local-user
display aaa access-user

Настройка доступа по telnet:

Настройка доступа по SSH (stelnet):

Операции с сеансами:

Файловая система позволяет управлять файлами и каталогами в внутреннем хранилище и USB (FAT32). Имя состоит из имени устройства (flash: или идентификатор#flash:), имени каталога (/ для корня, чувствительно к регистру, нельзя использовать символы "~*/\:'" и '"') и имени файла. Служебные каталоги и файлы:

Команды работы с каталогами и файлами:

Дополнения (расширения, plug-in, .mod) записываются в каталог $_install_mod. Для стека рекомендуется выполнить "copy имя all#flash:/$_install_mod/". Загрузка модуля: "install-module имя-файла [next-startup]". Проверка наличия модулей: "display module-information [verbose|next-startup]". Перед выгрузкой модуля (uninstall-module) необходимо удалить все его настройки.

OPS (Open System) - контейнер Linux рядом с VRP (.sqfs, .img). Не может быть использован в стеке и SVF. Начиная с версии V200R002C20 оформлен в виде дополнения.

Коммутатор может быть клиентом TFTP, FTP, SFTP, SCP ("ssh client first-time enable") и сервером FTP (выключен по умолчанию), SFTP (выключен по умолчанию, у пользователя д.б. сконфигурирован SFTP каталог), SCP (выключен по умолчанию, включать отдельно от SSH: "scp server enable"). Пример использования:

scp  t239:2#flash:/logfile/log.log log2.log

Управление оборудованием:

Коммутатор в процессе эксплуатации выдаёт следующие типы сообщений ("info-center enable"; "display info-center"): журнал (действия оператора и системы, сообщения системы безопасности, сообщения диагностики), извещения (trap) о проблемах, отладочные сообщения (требуется переход в отладочный режим). Сообщения делятся на 8 категорий серьёзности (поменять умолчания: "info-center log-severity bymodule-alias имя-модуля краткое_описание severity категория":

Сообщения передаются через 10 каналов (имена и направления можно изменить: "info-center channel номер name имя"):

Направления вывода:

Формат вывода: символ (Int_16? только для syslog), время ("info-center timestamp {log | trap | debugging} { { date | format-date | short-date } [ precision-time { second | tenth-second | millisecond } ] | boot }", где boot - милисекунды относительно начала загрузки, date - как "mm dd yyyy hh:mm:ss", short date - укороченная дата как "mm dd hh:mm:ss", format-date - "YYYY-MM-DD hh:mm:ss", в реальности как "MMM DD YYYY HH:MM:SS+03:00"), пробел, имя коммутатора, пробел, "%%", номер версии информации, имя модуля, "/", уровень серьёзности, "/", краткое_описание, "(", тип (l- журнал, t - извещение), "):CID=", шестнадцатеричный номер компонента системы, ";", текст сообщения, "^M". Сообщения в канале фильтруются перед выводом по номеру модуля источника (CID, "display info-center statistics", "reset info-center statistics", "info-center filter-id { номер-модуля | bymodule-alias имя-модуля краткое_описание}"), серьёзности и статусу для типа сообщения ("info-center source { имя-модуля | default } channel { номер-канала | имя-канала } {log | trap | debug} { state { off | on } | level серьёзность }"). По умолчанию подавляются множественные повторные сообщения ("info-center statistic-suppress enable").

Автоматическая фильтрация на основе кратковременности и повторяемости, поиск корреляций и корневых событий (выключено по умолчанию). Уровни тревог (alarm) и соответствие уровням извещений: Critical (1 - Alert), Major (2 - Critical), Minor (3 - Error), Warning (4 - Warning). Настройки:

По-простому: хотите отладить DHCP Relay в терминальном сеансе (SSH)?

terminal monitor
terminal debugging
debugging dhcp relay all

Время и NTP. Коммутатор реализует функции сервера NTPv4 в режимах клиент-сервер, согласования равных соседей (peer), широковещательной рассылки (255.255.255.255), групповой рассылки от сервера (multicast), групповой рассылки от клиента (manycast). Возможно прикрыть с помощью ACL запросы: от соседа, от сервера, от клиента, управляющий запрос. До 128 серверов и до 128 одновременных сеансов. Возможна посылка в ответ пакетов KOD (Kiss-of-Death) при превышении нагрузки на коммутатор (DENY или RATE в зависимости от настройки ACL). Поддерживается аутентификация (шифрование пакетов по key ID, до 1024 ключей на устройство). Настройки:

Устройство умеет экономить электричество: управление вентиляторами, ALS (automatic laser shutdown - выключение лазера при потере связи, плохая мысль - будут проблемы при восстановлении), EEE (Energy Efficient Ethernet, отключить электричество на бездействующих интерфейсах, плохая мысль - будут проблемы, поддерживается только на медных интерфейсах, кроме meth), port dormancy (аналогично, плохая мысль - будут проблемы, поддерживается только на медных интерфейсах, кроме meth), отключение интерфейса при отсутствии трансивера, отключение резервных БП (плохая мысль - не успеет переключиться, не поддерживается), Описываются различные режимы сохранения энергии, после чего константируется, что устройство поддерживает только стандартный режим. Настройки:

Устройство собирает информацию о производительности - статистика трафика на интерфейсах, статистика протоколов, загрузка ЦП, загрузка памяти, температура. Статистика записывается в файлы (?) и может быть автоматически скопирована на внешний файловый сервер по FTP или SFTP. Для включения сбора статистики необходимо её включить ("pm; statistics enable", по умолчанию выключена), определить задачу ("pm; statistics-task имя"), запустить процесс, указать счётчики, интервал времени сбора, периодичность проб, формат файла и периодичность генерации.

Можно создавать скрипты (до 10 команд на задачу - автоматически подставляется "Y", пакет команд из файла, Python скрипт из файла), управляемые триггерами (время, тревоги, события, Trap OID, шаблон сообщений в журнале). Посмотреть текущее состояние: "display ops assistant current". Всё остановить: "ops; assistant scheduler suspend". Скрипты можно запускать вручную (OPS).

Поддерживаются Ethernet_II (RFC 894, Ethernet DIX) и IEEE 802.3 (RFC 1042).

Коммутация на уровне 2 (упрощённо): по входящим кадрам строится (и поддерживается) таблица соответствия MAC адресов и номеров портов (и VLAN ID?), при отправке пакета адрес получателя ищется в таблице (широковещательный адрес никогда не находится) и отправляется в найденный порт.

Коммутация на уровне 3 (упрощённо): коммутация уровня 2 внутри LAN (ARP даёт MAC получателя, ethernet кадр отправляется получателю) и IP маршрутизация между LAN (ARP даёт MAC шлюза на коммутаторе, IP пакет отправляется коммутатору, коммутатор дополнительно ведёт ARP таблицу соответствия IP и MAC адресов, микросхема передачи пакетов не находит в своей таблице IP адрес получателя и обращается к подсистеме управления (вот тут расходуются ресурсы ЦП), подсистема управление обрабатывает таблицу маршрутизации, подсистема управления делает ARP запрос на всех портах нужного VLAN и по ответу обновляет ARP таблицу IP и MAC адресов; ответ и последующие пакеты обрабатываются аппаратно).

Интерфейсы:

Настройка интерфейса (предварительно system-view и "interface тип номер", несуществовавший интерфейс создаётся, для введения в действие изменений интерфейса необходимо его погасить и поднять):

При исследовании проблем могут оказаться полезными функции ping и trace по MAC адресу (другое устройство тоже должно поддерживать эту функцию - LTM?):

По умолчанию максимальный размер кадров - 9216 (проверяется только на входе, необходимо учитывать возможность увеличения размера кадра при обработке VLAN/TRILL/VXLAN), его можно поменять для интерфейса до 12288 (12224, 15360) и задать границу в байтах между обычными и jumbo кадрами (1518):

system-view
interface ...
jumboframe enable максимальный-размер граница
commit

Возможно разбиение интерфейса 40GE/100GE на 4 по 10GE/25GE (port split) с использованием электрических (QSFP-4SFP10G-CU1M, QSFP-4SFP10G-CU3M, QSFP-4SFP10G-CU5M) или оптических (QSFP-4SFP10-AOC10M) переходников (breakout), с дальнейшим подключением к 10GE/25GE интерфейсам или передачей по трансиверам SFP+ и обратной сборкой. Имеются ограничения по устройствам (CE5850-48T4S2Q-EI, CE88-D16Q) и комбинациям портов. Ограничения совместимости со стеком и SVF. Ограничения совместимости с режимом cut-through. Индикатор показывает состояние соединения 10GE в соответствии с тактом (5 секунд на подинтерфейс) индикатора 40GE Breakout 1/2/3/4. Нумерация созданных интерфейсов образуется из нумерации исходного интерфейса с добавлением ":1", ":2", ":3" и ":4". Команды:

Агрегирование 4 последовательных интерфейсов 10GE коммутаторов CE6810EI, CE6810LI, CE6850-48S6Q-HI, CE6851HI и CE5855-24T4S2Q-EI в 40GE, точнее типа 4x10GE (в качестве номера интерфейса указывается первый из четвёрки, требуется перезагрузка модуля, можно подключать к 40GE интерфейсу кабелями breakout или к интерфейсу 4x10GE отдельными одинаковыми кабелями или трансиверами, обязательно соблюдение порядка, только агрегированные порты CE6810-48S-LI можно использовать для организации стека). Индикатором составного интерфейса служит индикатор первого порта из четвёрки, индикаторы остальных портов не используются. Пример разбиения:

# подключение к CE6851HI (резервный стека) сервера (Silicom PE340G2QI71-QX4) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 2/0/45
commit
quit
reset slot 2

display port aggregate

Aggregate-port           Port                                         
----------------------------------------------------------------------
4x10GE2/0/45             10GE2/0/45             10GE2/0/46            
                         10GE2/0/47             10GE2/0/48         

display interface brief

...
10GE2/0/44                 down     down         0%     0%          0          0
тут были порты с 10GE2/0/45 по 10GE2/0/48
...
4x10GE2/0/45               up       up        0.01%  0.01%          0          0

тестирование netperf завершилось успешно

save

# разборка
system-view
undo port aggregate aggregate-type 4*10GE interface 10GE2/0/45
commit
quit
reset slot 2 # 5 минут!

# подключение к CE6810LI сервера (Intel XL710) кабелем QSFP breakout (40000baseCR4)
system-view
port aggregate aggregate-type 4*10GE interface 10GE 1/0/21
commit
quit

display port aggregate

----------------------------------------------------------------------
Aggregate-port           Port                                         
----------------------------------------------------------------------
4x10GE1/0/21             10GE1/0/21             10GE1/0/22            
                         10GE1/0/23             10GE1/0/24         
display interface brief

Interface                  PHY      Protocol  InUti OutUti   inErrors  outErrors
10GE1/0/1                  down     down         0%     0%          0          0
...
10GE1/0/20                 down     down         0%     0%          0          0
40GE1/0/1                  up       up        0.01%     0%          3          0
40GE1/0/2                  down     down         0%     0%          0          0
MEth0/0/0                  up       up        0.01%  0.01%  175119778          0
NULL0                      up       up(s)        0%     0%          0          0

display current-configuration inactive
*interface 4x10GE1/0/21

save
reset slot 1

display interface brief
Interface                  PHY      Protocol  InUti OutUti   inErrors  outErrors
10GE1/0/1                  down     down         0%     0%          0          0
...
10GE1/0/20                 down     down         0%     0%          0          0
40GE1/0/1                  up       up        0.01%  0.01%          0          0
40GE1/0/2                  down     down         0%     0%          0          0
4x10GE1/0/21               down     down         0%     0%          0          0
MEth0/0/0                  up       up        0.01%  0.01%          6          0
NULL0                      up       up(s)        0%     0%          0          0

Изоляция портов (изоляция интерфейсов на уровне 2) позволяет заблокировать взаимодействие между компьютерами из определённой группы, подключёнными к интерфейсам одного коммутатора (стека), в пределах одной VLAN (могут общаться через маршрутизатор-посредник). Интерфейсы д.б. на уровне 2. Интерфейсы из разных групп могут общаться. Настройка:

Группирование портов (Eth-Trunk, trunking, port channel, link aggregation group, LAG) ручное (непосредственно между 2 устройствами, равномерная балансировка трафика?) и с использованием IEEE 802.3ad Link Aggregation Control Protocol (LACP). LACP позволяет обнаруживать неправильные подключения. Системный приоритет LACP для выбора главного (Actor), чем меньше число, тем выше приоритет, при равных выбирается устройство с меньшим MAC, 32768. Приоритет интерфейса для выбора активных интерфейсов (чем меньше число, тем выше приоритет) берётся по информации Актора, 32768. Режимы LACP - статический (необходимо вручную создать Eth-Trunk и добавить в него интерфейсы, задать максимальное и минимальное количество активных интерфейсов) и динамический (при неудаче создать Eth-Trunk интерфейсы группы переходят в независимый режим, наследуют VLAN и могут передавать кадры на уровне 2, продолжают ожидать LACPDU для немедленного образования Eth-Trunk, рекомедуется только между коммутатором и сервером, который при загрузке ещё не знает про LACP). Основное назначение - обеспечение продолжения обмена данными после отказа части интерфейсов, но возможна статическая балансировка нагрузки между интерфейсами (примитивная - хеш MAC или IP адресов - борьба с перепутыванием пакетов потока) и балансировка попакетная (random и round-robin только в CE8860). Балансируется только исходящий трафик. Объединение происводится на уровне Data Link между подуровнями LLC и MAC), для каждой LAG ведётся таблица соответствия значения хеша и номера интерфейса в группе. Членство в группе несовместимо с некоторыми (?!) сервисами на интерфейсе и статическим MAC адресом (занесён в статическую таблицу MAC?). Перед добавлением интерфейса в группу необходимо убедиться, что интерфейс имеет "default link-type". В версии V100R005C10 и новее при использовании SVF интерфейсы группы должны быть подключены к одному родителю или листьям одной модели (?!), в примерах SVF и Trunk активно используются совместно, в реальности работает; При использовании SVF не может быть более 8 активных интерфейсов в группе (в настройках обещается 16). При использовании стека рекомендуется использовать 2^n членов группы, иначе неизвестные пакеты будут делиться между интерфейсами не поровну. В версии V200R002C10 обещана возможность включения в группу интерфейсов различных скоростей. Группа не может быть включена в группу. service loopback несовместим с интерфейсами группы на листьях SVF. Команды:

M-LAG (Multichassis Link Aggregation Group) - нестандартная технология, которая позволяет объединить несколько каналов в единое целое (группу) при подключении сервера к 2 коммутаторам в отличие от LACP за счёт обмена информацией между коммутаторами (peer-link). Обеспечивается балансировка трафика и непрерывность передачи данных как при обрыве канала, так и при отказе одного из коммутаторов. Аналогичные, но несовместимые технологии реализованы Mellanox и Netgear (MLAG), Alcatel-Lucent и Juniper и ZTE (MC-LAG), Dell N**** и Cisco Nexus (vPC - virtual port channel, "show vpc brief"), Force и Dell S**** (VLT - Virtual Link Trunking), Cisco Catalyst 6500 VSS (MEC - Multichassis Etherchannel), Cisco Catalyst 3750 (Cross-Stack EtherChannel), HP (Distributed Trunking, Intelligent Resilient Framework). Может сочетаться с SVF (сервер подключается к 2 SVF системам). Рекомендуется использовать коммутаторы одной модели. Несовместимо с DHCP snooping, MSTP и VBST. Несовместимо с GVRP на Eth-Trunk. Может (для шлюза?) потребоваться установить одинаковые IP и/или MAC адреса VLANIF обоих коммутаторов. M-LAG разделяет ограниченные ресурсы с некоторыми другими сервисами (ACL?). Ограничения на групповую маршрутизацию. Реализация вызывает ощущение недоделанного стека, но без жёсткого требования к использованию одинаковых моделей. Архитектура:

Управление таблицей MAC адресов (MAC, исходящий интерфейс, идентификатор VLAN): статические (настраиваются вручную, никогда не протухают, сохраняются между перезагрузками и заменой LPU - Line Procesing Unit, остальные интерфейсы выбрасывают кадры с этим MAC на входе, только 1 интерфейс, несовместимо с подслушиванием DHCP), динамические (заносятся в таблицу исходя из информации во входящих кадрах, имеют срок годности (300 секунд), интерфейс должен входить в существующую VLAN, несовместимо с Port Security, могут относиться к сервисам (?) - secure MAC, MUX MAC, authen MAC, guest MAC), чёрный список (настраиваются вручную, никогда не протухают, сохраняются между перезагрузками и заменой LPU, кадры с этим MAC в качестве источника или получателя выбрасываются). Если MAC относится к нескольким VLAN, то в таблице будет несколько записей (для одного MAC разным VLAN могут быть указаны разные интерфейсы). Если входящий интерфейс входит в группу портов, то в качестве исходящего интерфейса в таблицу заносится вся группа портов. Широковещательные и групповые MAC адреса не заносятся в таблицу. Можно ограничить количество MAC адресов, попадающих в таблицу с указанного интерфейса или VLAN (вплоть до 0, по умолчанию - 1, какие-то ограничения для SVF), пакеты от непопавших в таблицу MAC адресов удаляются по прибытию (временный чёрный список?). При образовании петель в сети MAC адреса будут мелькать по таблице туда-сюда, коммутатор может сообщать об этом (включено по умолчанию), удалять интерфейс из VLAN или гасить его (рекомендуется включать предупреждение на интерфейсах, обращённых к пользователю - downstream). Доверенным интерфейсам можно назначать больший приоритет (статические записи приоритетнее динамических. Команды:

Intelligent Stack (iStack) формирует из коммутаторов одной серии (например, CE5810-24T4S-EI и CE5810-48T4S-EI), виртуальный коммутатор с целью горизонтального масштабирования (увеличение портов - переподписка; утолщение соединения наружу), упрощение сети (избавление от MSTP и VRRP) и увеличения надёжности (если клиент подключён к 2 членам стека группой портов (Eth-Trunk), то он переживёт отказ одного из коммутаторов; если uplink подключён к 2 членам стека группой портов (Eth-Trunk), то клиенты переживут отказ внешнего соединения "своего" коммутатора). Можно объединить до 9 (CE5810EI, CE5855EI, CE5850HI, CE6870EI, CE8860EI) или 16 устройств, до 768 портов, до 1600 Gbps. Коммутаторы соединяются в цепочку (меньше соединений) или кольцо (падение соединения не разбивает стек, большая пропускная способность, не поддерживается PFC - Priority-based Flow Control) с помощью 2 логических портов стекирования (Stack-Port Ид/1 и Stack-Port Ид/2). В качестве порта стекирования можно использовать оптический физический порт (нельзя использовать трансиверы витой пары) или группу портов одного типа (до 16, рекомендуется чётное число, Eth-Trunk). Один из коммутаторов назначается главным (Master), второй - запасным (Standby), остальные - подчинённые (Slave). Можно посмотреть ("display switchover state") и поменять вручную ("slave switchover enable" и "slave switchover"). Каждый коммутатор получает идентификатор члена стека (Member Id), сам стек получает идентификатор домена (Domain Id). При выборе главного учитываются: приоритет (больше - лучше), версия ПО (больше - лучше), MAC (меньше - лучше). Все члены стека настраиваются как единое целое при входе на любой из них (в реальности вы попадаете на главный коммутатор, необходимо использовать его адрес), для управления ресурсами конкретного коммутатора необходимо указывать его идентификатор в качестве номера слота. При доступе к файловой системе коммутатора также необходимо указывать его идентификатор в флормате "Ид#flash:/" Если используется только 1 порт, то настоятельно рекомендуется использовать "carrier down-hold-time интервал" на портах стека, чтобы избежать болтанки. Не рекомендуется использовать flow-control на портах стека. На портах стека автоматически настраивается "port crc-statistics trigger error-down". Зеркалирование портов (mirror) между шасси не поддерживается. Конфликтует с контейнерами Linux. Некоторые настройки стека вступают в силу после перезагрузки, а "all" означает текущий список. Перезагрузка 1 коммутатора из стека: "reset slot идентификатор". Процедура создания стека (вариант соединения до настройки):

Добавление коммутатора к стеку:

При отключении всех портов стекирования коммутатора он покидает стек: при необходимости производятся новые выборы, вычисляется топология и рассылается всем оставшимся членам стека, рекомендуется восстановить кольцо. При отключении портов стекирования коммутаторов стек может разделиться, в сохранившей главный коммутатор части пересчитывается и рассылается новая топология, если в отделившейся части оказывается запасной коммутатор, то он становится главным, иначе отщепенцы перезагружаются, проводят выборы и образуют новый стек. При слиянии 2 стеков (в т.ч. при восстановлении после разделения) производятся выборы, члены победившей стаи продолжают работу, другие перезагружаются и присоединяются к единому стеку как подчинённые.

При разделении стека может возникнуть неприятная ситуация двойного активного подключения, с которой можно бороться настройкой DAD (dual-active detection, "лишняя" половина мозга перестаёт обслуживать клиентов - Recovery mode, обслуживание возобновляется автоматически после слияния стека или по команде "dual-active restore"):

Добавление физического интерфейса в порт 1

system-view

interface 40GE1/0/6
shutdown
quit
commit

interface stack-port 1/1
port member-group interface 40GE1/0/6
quit
commit

interface 40GE1/0/6
undo shutdown
quit
commit

interface 40GE2/0/6
shutdown
quit
commit

interface stack-port 2/1
port member-group interface 40GE2/0/6
quit
commit

interface 40GE2/0/6
undo shutdown
quit
commit

display stack topology 

Stack Topology:
----------------------------------------------
            Stack-Port 1      Stack-Port 2 
MemberID   Status Neighbor   Status Neighbor  
----------------------------------------------
1          up     2          --     --        
2          up     1          --     --        
----------------------------------------------

Stack Link:
----------------------------------------------------------------------------
Stack-Port       Port               Status     PeerPort           PeerStatus
----------------------------------------------------------------------------
Stack-Port1/1    40GE1/0/5          up         40GE2/0/5          up        
Stack-Port1/1    40GE1/0/6          up         40GE2/0/6          up        
Stack-Port2/1    40GE2/0/5          up         40GE1/0/5          up        
Stack-Port2/1    40GE2/0/6          up         40GE1/0/6          up        

Обновление ПО коммутаторов стека может производиться (заплатки ставятся обычной командой "patch load имя-файла all run"):

Super Virtual Fabric (SVF) - нестандартная технология, которая позволяет образовать виртуальный коммутатор из головного коммутатора (parent) и до 24 оконечных (leaf, каждый получает уникальный идентификатор Leaf ID при подключении к порту, интерфейсы нумеруются соответственно). Главный коммутатор управляет виртуальным коммутатором, оконечные коммутаторы выполняют роль удалённых интерфейсных карт (теряют интерфейс управления, не хранят настройки). CE8860-EI не умеет SVF совсем; CE6851-48S6Q-HI/CE6855-48S6Q-HI может рулить CE5855-EI и CE6810-LI; CE7850-32Q-EI/CE7855-32Q-EI может рулить CE5855-EI и CE6810-LI и CE6810-EI и CE5850-EI и CE6850-HI и CE6851-HI; CE6850-HI может рулить CE6810-LI и CE6810-EI и CE5810-LI. В качестве головного коммутатора можно использовать iStack из 2 (и только 2, остальные не войдут в SVF) коммутаторов для увеличения надёжности, каждый оконечный коммутатор подключается к обоим коммутаторам стека, серверы подключаются к 2 оконечным коммутаторам с использованием LACP. Оконечные коммутаторы могут подключаться только к головным коммутаторам одного SVF. Для одиночного коммутатора необходимо настроить домен стека. Идентификатор члена домена д.б. меньше или равен 4. Можно также настроить M-LAG (см. ниже) между двумя SVF системами. Логический порт между головным и оконечным называется фабричным (fabric), идентификатор оконечного коммутатора (leaf ID) определяется портом подключения, при изменении Leaf ID оконечный коммутатор перегружается. Можно использовать до 8 оптических портов 10GE и 40GE (с ограничениями), нельзя использовать агрегированный из 4 10GE портов 40GE, автосогласование может оказаться неожиданностью. При замене оконечного коммутатора на другую модель требуется тщательная работа с конфигурацией до подключения. Интерфейсы группы портов (Eth-Trunk) должны располагаться на головных коммутаторах или оконечных коммутаторах одной серии. При использовании оконечного устройства CE5810 группа портов не может включать более 8 интерфейсов. При использовании оконечного устройства CE5855 по умолчанию используются все 2 порта 40G. При использовании оконечного устройства CE6810LI с участием модульных устройств на нём не поддерживаются подинтерфейсы L3. При использовании оконечного устройства CE6850 по умолчанию используются все 6 портов 40G, можно сконфигурировать (^B или ^Y при загрузке) 4 последних порта 40G, их нельзя использовать для обычных подключений. SVF несовместим с Open System (Linux контейнеры).

Потенциальный оконечный коммутатор может работать в режиме стека (полноценный коммутатор) или в оконечном (leaf) режиме (получает идентификатор от головного, ПО - а место есть? после обновления перезагружается - и настройки от головного), алгоритм выбора режима:

После определения, что устройство работает в оконечном режиме, от главного коммутатора получаются идентификатор, настройки и новая прошивка (при необходимости; в этом случае устройство перезагружается). Устройство пытается зарегистрироваться на главном коммутаторе с полученным идентификатором.

Режимы коммутации пакетов в SVF (в V100R005C00 только распределённый режим):

Процедура создания SVF:

При слиянии головных коммутаторов в iStack их SVF также сливаются (с ограничениями, предварительно сконфигурировать). При разделении iStack его SVF тоже делится (с особенностями и с учётом DAD, рекомендуется DAD на портах головных коммутаторов).

Обновление ПО коммутаторов SVF может производиться (?заплатки ставятся обычной командой "patch load имя-файла all run"):

ISSU (In-Service Software Upgrade) - механизм поочерёдного обновления прошивки стека или SVF - сначала обновляется запасной коммутатор, затем запасной и главный меняются ролями, подчинённые коммутаторы обновляются по очереди, в последнюю очередь обновляется бывший главный коммутатор. Возможен откат всего стека на предыдущую версию при неудаче, по истечению времени, вручную ("issu abort"). Несовместим с M-LAG, FCoE, DCB, Open System, TRILL active-active, удалённое зеркалирование портов. Предварительно необходимо загрузить новую прошивку на все коммутаторы (кроме оконечных в SVF). Если в стеке более 2 устройств, то необходимо использовать топологию кольцо. Для обеспечения непрерывности коммутации все "низшие" устройства должны подключаться 2 каналами к "высшим". ISSU автоматически распределяет оконечные коммутаторы по группам, это распределение можно посмотреть ("display issu group") и изменить ("issu group номер add slot идентификатор"). Процедура:

Технология VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик: каждая VLAN - отдельный широковещательный домен, прямой обмен данными между узлами из разных VLAN невозможен. Один узел может входить в состав нескольких VLAN. VLAN может быть:

VLAN 1 всегда существует, её нельзя удалить или настроить как mVLAN или super-VLAN. По умолчанию всем интерфейсам разрешено работать с VLAN 1, и она же установлена как VLAN по умолчанию. VLAN использует тот же пул ресурсов, что и GRE, маршрутизация. Команды:

Внутри коммутатора все кадры имеют этикетку. Входящие кадры с этикеткой не изменяются. Для входящих кадров без этикетки присваивается идентификатор VLAN одним из способов (можно указать несколько способов в убывающем порядке):

Порты (интерфейсы?) разделяются на типы, влияющие на приём, обработку и передачу (область интерфейса: "port link-type { access | hybrid | trunk | dot1q-tunnel }"; при изменении типа настройки VLAN для интерфейса сбрасываются; биты 802.1p для вставляемых этикеток определяются настройкой "port priority от0до7", по умолчанию 0, 7 - высший приоритет; учитываются также "trust 8021p ..." и "trust upstream ..."):

Можно запретить получение кадров с этикетками (по умолчанию разрешено) на интерфейсе (не для QinQ), область интерфейса: "port discard tagged-packet".

В случае хеш коллизий таблицы VLAN-XLATE (что это? как узнать?) можно изменить алгоритм хеширования (по умолчанию crc32-lower) на входе (ingress) или выходе (egress): "assign forward vlan-xlate { egress | ingress } hash { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb }" (требуется перезагрузка) и "display forward vlan-xlate hash mode".

Так как прямой обмен данными между узлами из разных VLAN невозможен, то предлагаются варианты организации обмена:

VLANIF с IP адресом управления можно также использовать для доступа к управлению коммутатором вместо или в дополнение к meth. Для ограничения доступа к IP управления с интерфейсов доступа и dot1q туннелей можно объявить mVLAN (management VLAN), к такой VLAN можно добавлять интерфейсы только типов trunk и hybrid, VLAN 1 не м.б. mVLAN:

Тем, кому жалко IP адресов, предлагается съэкономить их с помощью агрегации VLAN - служебная super-VLAN без физического порта со шлюзом VLANIF на уровне 3 (нет статистики) и рабочие sub-VLAN на уровне 2 без шлюза разделяют общую IP подсеть и общий широковещательный IP адрес. Требуется Proxy ARP на VLANIF super-VLAN. Рабочая sub-VLAN может быть связана только с 1 super-VLAN.

Тем, кому жалко идентификаторов VLAN на совсем изолированные сервера, предлагается съэкономить их с помощью технологии Multiplex VLAN (MUX VLAN). Несовместимо с ограничением числа MAC адресов на интерфейсе, port security, VBST. Нет статистики VLANIF. Порты делятся на:

trunk и VLAN в сборе, включая доступ к другим коммутаторам:

vlan batch 2 to 6

dhcp enable
dhcp relay server group имя-группы
 server адрес-DHCP-сервера-VLAN1 0

vlan 1
 description legacy
 name legacy
vlan 2
 description service
 name service
 mac-vlan mac-address ...
vlan 3
 description grid
 name grid
 mac-vlan mac-address ...
vlan 4          
 description users
 name users

interface Vlanif1
 description legacy
 ip address адрес маска
interface Vlanif2
 description service
 ip address адрес маска
 dhcp select relay
 dhcp relay binding server group имя-группы
interface Vlanif3
 mtu 9216
 description grid
 ip address адрес маска
 dhcp select relay
 dhcp relay binding server group имя-группы
interface Vlanif4
 description users
 ip address адрес маска

interface Eth-Trunk1
 description link to switch1
 port link-type hybrid
 port hybrid tagged vlan 2 to 4
 mode lacp-static
interface Eth-Trunk1
 description link to switch2
...
interface Eth-Trunk5
 description link to сервер1
 port link-type hybrid
 undo port hybrid untagged vlan 1
 port hybrid untagged vlan 2 to 3
 mac-vlan enable
interface Eth-Trunk6
 description link to сервер2
...

interface GE101/0/1
 description link to BMC1
 port link-type hybrid
 undo port hybrid untagged vlan 1
 port hybrid untagged vlan 2 to 3
 mac-vlan enable
...
interface GE101/0/46
 eth-trunk 5
interface GE101/0/48
 eth-trunk 5
...

interface 10GE1/0/1
 eth-trunk 1
 device transceiver 10GBASE-FIBER
interface 10GE1/0/2
 eth-trunk 1
 device transceiver 10GBASE-FIBER
interface 10GE2/0/1
 eth-trunk 1
 device transceiver 10GBASE-FIBER
interface 10GE2/0/2
 eth-trunk 1
 device transceiver 10GBASE-FIBER
...

QinQ.

VLAN mapping.

GVRP.

802.1x.

ACL: определение и использование.

Защита от специфических атак, включая атаки на само устройство, ограничение трафика, блокировка интефейса.

LLDP.

STP, RSTP, MSTP, VBST, защита корня, фильтрация.

ARP: статические, динамические, VLAN, Gratuitous ARP, Proxy ARP. Извлечение информации из ARP пакетов (используется ЦП), DAI (dynamic ARP inspection), противодействие подставным пакетам ARP, ограничение потока ARP запросов.

Устройство работает с DHCP: сервер, relay, подслушивание (используется ЦП) - извлечение информации из пакетов DHCP, ведение таблицы соответствия IP и MAC, предотвращение подмены DHCP пакетов и DHCP атак.

Сервер DHCP (оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP сервера с непересекающимися пулами адресов) имеет ограниченные возможности по настройке (привязывается к интерфейсу, глобальные пулы адресов, до 8 исходящих шлюзов, исключения из пула, статическая привязка по MAC, следующий сервер, общее время аренды для пула, опции 82: Link Selection, Server Identifier Override; имя домена, список DNS серверов, незнакомые серверу опции и подопции можно определить вручную; сервер может самостоятельно определять свободность IP адреса; сервер может хранить данные об аренде в файлах lease.txt и conflict.txt - шифруются уникальным для каждого устройства ключом; IPsec между сервером и прокси агентами). Получение информации: "display ip pool", "display dhcp server database", "display dhcp server statistics". Последовательность поиска IP адреса для выделения клиенту:

  1. IP адрес в базе данных сервера привязан к MAC адресу клиента
  2. IP адрес был ранее выдан клиенту (указан в пакете Discover)
  3. IP адрес найден в пуле адресов
  4. IP адрес найден среди истёкших и конфликтных адресов

Для настройки посредника DHCP (relay agent, оба коммутатора в M-LAG должны иметь одинаковую конфигурацию DHCP посредника) необходимо иметь работающие и настроенные DHCP сервера и маршруты к ним, настроить описание используемых групп DHCP серверов, привязать группы к интерфейсам (если сервер всего 1, то можно привязать сразу):

Подслушивание DHCP.

IPv6: для CE5855 требуется прошивка V200R002C10.

assign forward mode store-and-forward # управление потоком несовместимо с режимом cut-through; не поддерживается на CE5800; требуется перезагрузка

Исследование внутренних таблиц передачи трафика (FEI- программный вид, SDK - аппаратный вид):

display forward entry l2 interface ge103/0/25 vlan 2 dst-mac 001c-c08b-181e src-mac a4bf-0119-6b52 slot 103

Маршрутизация IP: статические маршруты, RIPv1, RIPv2, RIPng, OSPFv2, OSPFv3, IS-IS, BGP, BGP4+, политики машрутизации и маршрутизация по правилам.

MPLS (нет в CE6810LI и CE58xx).

VPN (нет в CE6810LI): Multi-VPN-Instance CE (MCE, развитие BGP/MPLS IP VPN), GRE.

IP multicast: IGMP, PIM, маршрутизация.

L2 multicast: подслушивание IGMP (используется ЦП), прокси IGMP, VLAN.

BFD (Bidirectional Forwarding Detection) - быстрое обнаружение проблем, BFD и группа портов.

VRRP - протокол виртуального шлюза для борьбы с отказами шлюза.

DLDP - обнаружение однонаправленных соединений (оборванные или перепутанные оптические волокна).

Smart Link - резервное соединение (упрощённый до предела STP, но быстрый).

QoS: классификация и маркировка, ограничение трафика, перемаркировка, права доступа, перенаправление, управление очередями, WRED и прочие попытки предотвращения перегрузки, ограничение исходящего трафика.

MMF (MAC-Forced Forwarding) - изоляция пользователей на уровне 2 и возможность соединения между пользователями на уровне 3. Перехватывает запросы ARP от пользователя и подсовывает ответы ARP со своим MAC адресом.

IPSG - предотвращение подделки исходных IP адресов (проверка соответствия IP, MAC, интерфейса и VLAN таблице от DHCP).

URPF (Unicast Reverse Path Forwarding) - проверка исходящего IP адреса в таблице FIB (Forwarding Information Base).

Зеркалирование портов и трафика.

observe-port 1 interface GE101/0/1 # где будем смотреть
interface GE101/0/2 # что будем смотреть
port-mirroring observe-port 1 both

Подерживается мониторинг и управление с помощью протокола SNMP версий 1, 2c и 3. На каждую версию свой агент, который выключен по умолчанию. У агента версии 3 по умолчанию выключены аутентификация и шифрование. Команды управления агентами SNMP:

Имеется SNMP прокси.

Посмотреть результаты настройки можно командами:

Пример настройки агента 2c:

snmp-agent sys-info version v2c
snmp-agent sys-info version v3 disable
snmp-agent community complexity-check disable
snmp-agent community read public
snmp-agent community write cipher ...
snmp-agent sys-info contact кто
snmp-agent sys-info location где
commit

Полный обход snmpwalk выдаёт 183105 OID и занимает около часа (SVF из 10 коммутаторов). Из интересного:

NETCONF.

OpenFlow.

NetStream.

sFlow.

Трассировка пакетов (только CE8860EI).

Определение маршрута (не поддерживается в CE6810 и CE5855).

TRILL (Transparent Interconnection of Lots of Links) - стандарт IETF, который использует для построения сети уровня 2 развитие протокола маршрутизации сети уровня 3 IS-IS (RFC 6329), а именно SPB (Shortest Path Bridging, IEEE 802.1aq) и расширение ECMP (Equal Cost Multiple Paths, 802.1Qbp). SPB является современной альтернативой старому семейству протоколов, основанных на остовном дереве (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP), которые умеют использовать только один маршрут пересылки трафика к корневому коммутатору (root bridge) и блокируют любые альтернативные пути, так как это может привести к образованию сетевой петли на 2-м уровне. На границе домена TRILL определяется идентификатор коммутатора выхода из домена TRILL, пакеты инкапсулируются либо с помощью механизма MAC-in-MAC (SPBM, Individual Service ID - I-SID, IEEE 802.1ah, где требуется полная изоляция клиентских VLAN и их MAC адресов) или тэгированных кадров 802.1Q/802.1ad (SPBV, VID - VLAN ID, обратная совместимость с STP/MSTP, 802.1aq, на границе домена TRILL для Service ID (ISID) назначается VID, которому соответствует ровно 1 набор кратчайших путей) и транспортируются к точке выхода внутри домена TRILL в соответствии с SPB/ECMP. В заголовке имеется счётчик прыжков (по аналогии с TTL TCP/IP), который позволяет избегать бесконечных циклов. На выходе оверлейный заголовок убирается из пакета. Cisco FabricPath - аналогичная технология, несовместима со стандартом.

Архитектура TRILL:

Ограничения TRILL (несколько страниц):

Базовые команды TRILL:

VXLAN (Virtual Extensible LAN) инкапсулирует кадры Ethernet в пакеты UDP (порт 4789), что позволяет связать L2 сегменты через IP сеть. Поддержка VXLAN в транспортной сети не требуется, только на пограничных устройствах, пограничным устройством может быть виртуальный коммутатор, работающий на хосте. И зачем здесь специальные коммутаторы с лицензией за специальную цену? Для заполнения таблицы MAC адресов используется multicast, что вызывает множество проблем, или внешние средства наполнения этой таблицы.

VRP работает в контейнере в ОС Linux, рядом с ней можно запустить контейнер Open System (нужен отдельный IP адрес), содержащий агента Puppet, агента OpenFlow, сервер OMI (Netconf?) и OVSDB (?). Open System загружает файловую систему sqfs (файлы .sqfs, https://github.com/HuaweiSwitch), использует виртуальную сеть для взаимодействия с контейнером VRP, можно запускать скрипты и программы. Не поддерживается в CE6810 и CE58xx. Несовместимо со стеком и SVF. Для V200R002C20 и выше требуется дополнение.

Allied Telesyn AT-8124XL (V2)

Allied Telesyn AT-8124XL (V2) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.5Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость, MAC адрес порта можно проверить средствами удаленного управления. Один порт может быть переключен кнопкой из режима MDI-X в MDI. 4 MB DRAM (до 8192 MAC адресов, 2 MB под буфер).

Поддерживает алгоритм покрывающего дерева STA (802.1D), по умолчанию - выключен (включение делает устройство временно недоступным), позволяет задавать приоритет коммутатора (используется для определения корня), интервал между пакетами, время устаревания информации, время задержки перед переходом к новому дереву. Есть возможность посмотреть идентификатор корня, корневой порт и расстояние до корня. Для каждого порта можно установить приоритет и расстояние (cost), используемые в STA (но не для 802.1p!).

Поддержка 4 очередей с приоритетами, приоритетов на основе портов нет, имеется возможность задать соответствие приоритета 802.1p входящих пакетов (0 - низший, 7 - высший) номеру очереди (3 - низший, 0 - высший). Включение QoS отключает управление потоком на всех портах.

До 64 VLAN на основе меток 802.1Q и/или портов. Конфигурировать VLAN можно только через RS-232: чтобы добавить порт в новую VLAN, его надо удалить из Default VLAN, а редактировать можно только отключенные VLAN, а отключение Default VLAN остановит всю сетку. При создании каждой VLAN назначается идентификатор (VID, 1-4094) и имя (для красоты, до 32 символов). Также для каждого порта указывается, принадлежит ли он данной VLAN и тип порта (с метками или без). Порт без меток может принадлежать только одной VLAN. Порт может быть определен как порт без меток для одной VLAN и как порт с метками для нескольких других VLAN. Каждому порту назначается PVID (Port VLAN Identifier). PVID порта без меток должет совпадать с его VLAN. При получении кадра без метки 802.1Q, коммутатор назначает ему VLAN исходя из PVID порта и посылает (может быть) только на порты, входящие в данную VLAN. При получении кадра с меткой 802.1Q коммутатор выбрасывает его, если порт не принадлежит указанной в кадре VLAN и включена Ingress фильтрация, иначе кадр посылается (может быть) только на порты, входящие в указанные VLAN. Перед отправкой кадра в порт без меток, метка удаляется. Подключенное к порту с метками устройство должно уметь принимать кадры с метками и должно отправлять кадры с метками.

Имеется возможность включить "подглядывание" за пакетами протоколов IGMP и DVMRIP, а также задать время старения полученной информации. Пакеты с групповым IP адресом получателя будут передаваться только на необходимые порты. Можно также посмотреть таблицу соответствия групповых IP адресов и портов, к которым подключены члены группы.

Агрегирование до 4 портов на транк и до 4 транков. Есть физические ограничения на принадлежность портов к одному транку (разночтения в документации). Все порты одного транка должны принадлежать одной VLAN. Все порты транка будут 100 Mb, полный дуплекс с управлением потоком. Протокол транкинга (свой или 802.3ad) неизвестен.

Последняя версия firmware AT-S30 1.0.4 (MIB заменили на собственный). Загрузка новых версий по TFTP (задается IP адрес и имя файла до 30 символов). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям и с возвратом к фабричным значениям, кроме IP.

Управляется по RS-232 (я соединяю его с AUX на Cisco 2500 и захожу обратным telnet), telnet, HTTP (местами требуется Java), SNMPv1 (MIB-II - RFC-1213, MIB моста - RFC-1493, исправленная под SNMPv2 группа interfaces MIB-II - RFC-1573 (однако, ifMIB с ее 64-битными счетчиками отсутствует), Ethernet MIB - RFC-1643, RMON - RFC-1757 (только группы 1, 2 и 3), private MIB). При управлении через RS-232 или telnet перед заполнением любого поля (например, пароль при входе ;) требуется нажать Enter. Во всех режимах, кроме RS-232, данные (в том числе пароль!) передаются по сети в открытом виде. Все режимы управления, кроме RS-232 можно запретить (по умолчанию они все разрешены). Для всех in-band режимов управления необходимо установить IP адрес, маску подсети, IP адрес шлюза по умолчанию (если станция управления находится в другой локальной сети), возможность получения этих параметров от сервера BOOTP или DHCP (выводится MAC адрес блока управления). Уровень доступа при управлении по RS-232, telnet и HTTP только один (при изготовлении устройства устанавливается имя admin и пустой пароль). При задании пароля рекомендуется ограничиться латинскими буквами и цифрами, иначе будут проблемы с доступом по HTTP. Имеются отдельные таймеры неактивности для RS-232 и telnet. При управлении по SMTP имеются отдельные пароли доступа (community) для чтения (public), для записи (private) и посылки trap (public, необходимо также указать до 4 IP адресов получателей). Единственный trap, который можно настроить - это посылка сообщений при неавторизованном SNMP доступе.

HTTP доступ не позволяет: сбросить коммутатор, конфигурировать QoS, IGMP, мониторинг порта, посмотреть таблицу MAC адресов.

Коммутатор позволяет посмотреть или установить по RS-232, telnet или HTTP объекты SNMP группы System: SysUpTime (время работы после загрузки), SysDescr (AT-8124XL), SysObjectID (уникальный серийный номер), SysName, SysLocation, SysContact. Здесь же можно посмотреть разнообразную статистику, собираемую SNMP агентом для каждого порта первой группы RMON: число байт и пакетов из сегмента, число broadcast и multicast, число различного типа ошибок и распределение пакетов по размерам.

К сожалению, нет возможности вручную задать MAC адреса подключенных к порту устройств и отключить режим самообучения (адреса хранятся в DRAM и сбрасываются при отключении питания). Можно задать только время устаревания информации, по умолчанию - 300 секунд. Есть также средства поиска номера порта по MAC адресу, что можно использовать для приблизительного внешнего контроля.

Можно мониторить только входной или только выходной трафик одного порта на 14 порту. Скорость 14 порта необходимо принудительно установить равной скорости исследуемого порта. Во время мониторинга к 14 порту нельзя подключать обычную станцию, т.к. собственный трафик порта блокируется (даже ее MAC адрес не заносится в таблицу). Собственный трафик станции надо пропускать через вторую сетевую карту и не забыть проделать дырку в сетевом экране.

Zyxel Dimension ES-2008-GTP EE

Zyxel Dimension ES-2008-GTP EE представляет собой 8-портовый неблокирующий коммутатор (3.6 Gbps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 10) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления (MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3, номера портов в mib-2.17.7.1.2.2.1.2 (snmpwalk -c public -v 1 10.101.0.243 SNMPv2-SMI::mib-2.17.7.1.2.2.1.2, в десятичной нотации)). До 8000 MAC адресов, 2 Mb под буфер пакетов. Встроенный блок питания, 17 W, но греется сильно. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться), адрес шлюза - 192.168.1.254, имя/пароль - admin/1234. DHCP - нет! В прошивке до 1.10 имеется имя/пароль для HTTP - guest:guest (неотключаемые ;), в новой прошивке их поменяли на что-то другое. Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232 и ввести имя/пароль: superuser/zyxel, после чего ввести команду flashdf и отключить питание. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение.

Управляется по HTTP (требуется IE 5.5, иначе работает не всё - устройство выдаёт всю информацию, но JavaScript-ы отображают её только в IE; состояние порта: http://192.168.1.1/portcot.htm?port=1; 5-секундный refresh на каждой странице доводит до бешенства), telnet, RS-232, SNMPv1 (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, ES-2008-GTP.MIB). Доступ по telnet и HTTP можно ограничить четырьмя исходящими IP адресами или запретить совсем. Только один оператор одновременно. В прошивке до 1.15 имеется возможность обойти систему безопасности при управлении по HTTP.

Имеется управление очередью пакетов (FIFO, приоритетный (в смысле QoS) пакет вперёд, соотношение между высоко- и низкоприоритетным трафиком), STP (IEEE 802.1D, обеспечение запасных путей без образования циклов), IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable), VLAN (по портам, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). Агрегирование портов: до 8 портов, ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры. LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически, можно запретить динамическое занесение новых MAC адресов для указанных портов (port security), можно задать список фильтруемых MAC адресов. Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды), возможность задать максимальную долю широковещательных пакетов (broadcast storm filter).

По умолчанию все порты имеют VLAN ID 1 (удалять её нельзя). При распределении VLAN по портам каждый порт приписывается ровно к одной VLAN (ID от 1 до 4094). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток. GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны).

Последняя версия firmware (1.17 для EPCB04602). Загрузка новых версий по TFTP (задается IP адрес и имя файла, не более 15 символов) при конфигурировании через браузер или X-Modem при конфигурировании через RS-232 (конфигурировании по telnet не позволяет заменить прошивку). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.

Zyxel ES-2108-G

Zyxel ES-2108-G представляет собой 8-портовый неблокирующий коммутатор (5.6 Gbps (используется 3.6 Gbps), 2.7 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 9, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для исходящик пакетов. mini-GBIC слот (SFP, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта. До 24 коммутаторов можно соединять в стек с одним IP адресом. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 Mb под буфер пакетов. Встроенный блок питания, 10 W, тихий вентилятор. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. DHCP - есть (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh и сконфигурировать (enable, затем configure) статический маршрут, обязательно разрешить подключение нескольких операторов (multi-login), заодно поменять пароль (password пароль, затем admin-password пароль пароль, сохраниться (write memory) и перезагрузиться. Теперь можно зайти с другого сегмента по HTTP/HTTPS и включить DHCP, маршрут убрать, (в старой версии в CLI не было возможности включить DHCP, в сегменте 192.168.1.0 у меня нет клиентских компьютеров, lynx/elinks не позволяют нажать кнопку Apply). В новой версии появилась возможность включить DHCP из CLI:

enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
  перейти на другую консоль ;)
enable
configure
service-control icmp snmp
no service-control ftp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
timesync server адрес-NTP-сервера
timesync ntp
exit
write memory
exit

Имеется возможность задавать статические маршруты для исходящих пакетов. Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. Имеет встроенный журнал и возможность удалённого тестирования портов.

Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, файл?), перезапустить коммутатор (atgo).

Управляется по HTTP (в этой версии поддерживается и Firefox, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; можно изменять интервал неактивности - 3минуты), HTTPS (самоподписанный сертификат), telnet, SSH (SSH2, RSA, DES, 3DES, Blowfish, аутентификации по ключу нет), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; прошивка 3.80 содержит MIB). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов пуста, но есть таблица ARP (без указания номера порта и VLAN ID, может он ещё и маршрутизировать умеет). Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh, один FTP сеанс, 5 web сеансов под разными именами, но только один администратор с именем admin). Возможна локальная аутентификация или RADIUS (IEEE 802.1x), в т.ч. отдельно для каждого порта. Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).

Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p) на номер очереди (по умолчанию, уровни 1 и 2 отображаются на очередь 0, а уровень 0 - на очередь 1). Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно задать таблицу соответствия уровней DSCP и 802.1P. STP/RSTP (IEEE 802.1D и быстрый вариант 802.1W, обеспечение запасных путей без образования циклов). IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable). Агрегирование портов (до 2 групп на коммутатор, до 4 портов в группе, только порты 100M): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически (до 256 адресов), можно задать список фильтруемых MAC адресов (до 256 адресов). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов, а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды). Можно задать максимальный трафик широковещательных пакетов (broadcast storm filter). Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).

VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN, нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, не позволять или привязать его статически. Есть возможность изоляции портов. При распределении VLAN по портам каждый порт приписывается к VLAN 1. Порт с именем CPU является портом управления (его разумно соединить со всеми портами). Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.

Последняя версия firmware (v3.80 (ABL.0) C0, Bootbase Version 1.02, RomFile Version 84; автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping). Загрузка новых версий по

Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство.

Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS: подсказки по нажатию клавиши Tab или "?", двухуровневый доступ (после входа можно только посмотреть состояние, команда enable с отдельным паролем для перехода на уровень администратора и префиксом строки "#" вместо ">" на начальном уровне; правда, zyxel похоже запутался с этими паролями на разных уровнях, в web интерфейсе и SNMP), команда configure для перехода на уровень настройки (префикс строки "config#" и подуровни interface, router, VLAN), история команд, редактирование (недоделанное) команд и т.д.. Ключевые слова команды необходимо вводить полностью. Команда "help" выдаёт список имеющихся команд и подкоманд. Команды "?" выдаёт список команд и их описаний. Если первым параметром команды указать "help", то выдаётся синтаксис команды. Если первым параметром команды указать "?", то выдаётся описание параметров команды.

Основные команды уровня оператора:

Основные команды уровня администратора:

Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):

Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):

Основные параметры настройки VLAN ("no" перед командой означает обратное действие):

Zyxel ES-2024A

Zyxel ES-2024A представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 1.5 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с 2 портами 1000Base-TX (адресуются как порты 25 и 26, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для входящих с этого порта пакетов без тега 802.1p. 2 mini-GBIC слот (SFP MSA, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта (1518 и тэги VLAN). До 24 коммутаторов в одной VLAN можно соединять в стек с одним IP адресом (iStacking, Cluster Management). Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Обещанного мониторинга температуры и скорости вращения вентилятора (?!) не заметил ни в SNMP, ни в HTTP. Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 MB под буфер пакетов. Встроенный блок питания, 21 W, вентилятор отсутствует (хотя в описании есть), возможен монтаж в стойку, имеется модель с PoE (потребление 200W, 15W на порт). Стандартные установки: свой адрес - 192.168.1.1/255.255.255.0 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN и статических маршрутов), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. Есть DHCP (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh, сконфигурировать и перезагрузиться:

enable
configure
multi-login
password пароль
admin-password пароль пароль
vlan 1
ip address default-management dhcp-bootp
  перейти на другую консоль ;)
enable
configure
hostname имя-коммутатора
no service-control ftp
service-control icmp snmp
snmp-server contact ответственный location расположение
snmp-server get-community пароль-на-чтение
snmp-server set-community пароль-на-запись
time timezone 0300
time daylight-saving-time start-date last sunday march 2
time daylight-saving-time end-date last sunday october 2
time daylight-saving-time
timesync server адрес-NTP-сервера
timesync ntp
syslog server адрес-syslog-сервера level 7 
syslog type system 
syslog type interface 
syslog type switch 
syslog type aaa 
syslog type ip 
syslog
exit
write memory
exit

В версии прошивки 3.80 появился DHCP Relay к общему DHCP серверу или отдельным для каждой VLAN. К запросу клиента добавляются имя коммутатора, номер слота в кластере, номер порта клиента, VLAN ID.

Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. В прошивке 3.80 появилась возможность настройки летнего времени.

Имеет встроенный журнал и возможность вывода сообщений на внешний сервер (серверы) syslog.

Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, где взять файл?), перезапустить коммутатор (atgo).

Управляется по HTTP (в этой версии поддерживается и Firefox и konqueror, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; отвратительная привычка включать текущее время в имя области осталась, что не позволяет хранить пароль в браузере; можно изменять интервал неактивности - 3 минуты), HTTPS (самоподписанный сертификат; RC4, MD5, SSLv3), telnet, SSH (SSH2, RSA/DSA, MD5/SHA1, 3DES, Blowfish, AES128-CBC, нет аутентификации по ключу, нет генерации ключей, медленно), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (совместим с SNMPv1; RFC-1155, RFC-1157, RFC-1213, RFC-1493, RFC-1643, RFC-1757, RFC-2674; zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; MIB идёт в комплекте с прошивкой 3.80), SNMPv3 (прошивка 3.80; MD5 или SHA; DES или AES). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов показывается только после выбора типа сортировки (MAC, VID, порт). Таблица ARP содержит соответствие между IP адресами и MAC адресами для хостов, обменивавшихся пакетами с коммутатором. Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh (до 9 в версии 3.80), один FTP сеанс, 5 web сеансов под разными именами, но только один администратор обязательно с именем admin). Возможна локальная аутентификация администратора или с использованием серверов RADIUS (до 2 серверов, разделяемый секрет) или TACACS+ (прошивка 3.80; до 2 серверов, разделяемый секрет). 2 уровня доступа при работе с telnet и ssh (можно назначить высокий уровень доступа любому пользователю). Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).

Аутентификация подключаемых устройств по 802.1x (RADIUS, до 2 серверов, разделяемый секрет) и учёт с использованием RADIUS (до 2 серверов, разделяемый секрет) и TACACS+ (до 2 серверов, разделяемый секрет). Возможен учёт системных событий (включение, выключение); вход администратора с помощью telnet, ssh или консоли; сессии протокола IEEE 802.1x; выполняемые администратором команды (только tacacs+). При использовании сервера RADIUS возможно ограничение входящего и исходящего трафика, выбор VLAN и уровня привилегий с помощью атрибутов изготовителя (Vendor Specific Attribute).

Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p/802.1d) на номер очереди. Кадры без тега QoS получают приоритет по входящему порту. Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно (?) задать таблицу соответствия уровней DSCP и 802.1P и необходимость преобразования и/или вставки DSCP в пакеты по портам. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды).

STP (IEEE 802.1D, Spanning Tree Protocol), RSTP (802.1W, Rapid Spanning Tree Protocol, ускоренное перестроение дерева) и MSTP (802.1s, Multiple Spanning Tree Protocol, адаптация RSTP к VLAN) - обеспечение запасных путей без образования циклов.

IGMP 1/2/3 (протокол управления членством в multicast группах): фильтрация и извлечение информации из проходящего трафика (до 16 VLAN: автоматический выбор первых 16, задание списка VID, MRV (Multicast VLAN Registration)). Работа в качестве IGMP сервера - Auto, Enable (Fixed), Disable (Edge).

Агрегирование портов (до 2 групп из 100Mb портов и одна группа из гигабитных портов, до 4 портов в группе): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять.

MAC адреса можно привязывать к портам статически (до 256 адресов; указывается имя, MAC адрес, VID, порт), можно задать список фильтруемых MAC адресов (до 256 адресов; указывается имя, MAC адрес, VID). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов (от 0 до 8192), а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Время нахождения MAC адреса в таблице известных настраивается (по умолчанию - 300 секунд). Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.

Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps) отдельно для каждого порта.

Можно задать максимальный трафик широковещательных и групповых пакетов (broadcast storm control) отдельно для каждого порта (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).

Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirroring), при этом порт мониторинга продолжает получать свой трафик. Возможна фильтрация по исодящему или входящему MAC адресу.

VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). Параметры GARP настраиваются (Join Period, Leave Period, Leave All Timer). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты и сам коммутатор (порт CPU) имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN (порт может входить в несколько VLAN), нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, позволять или не позволять привязывать его статически. Порт с именем CPU является портом управления (его разумно соединить со всеми портами), можно указать дополнительные IP адреса (маску, шлюз, VID) для порта управления. Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). Изолированный порт может взаимодействовать только с портом управления и гигабитным портом (которым из них?). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID (настройка по протоколам или исходящим адресам). Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.

Защита от фальшивых ARP пакетов (IP source guard) - администратор составляет таблицу со следующими полями: MAC адрес, идентификатор VLAN, IP адрес и номер порта коммутатора. Коммутатор пропускает только те ARP пакеты, которые соответствуют этой таблице (активируется отдельно для каждого порта и VLAN). При появлении поддельного пакета некоторое время блокируется весь траффик с этим MAC. Информация об этом может направляться на syslog сервер - указывается интервал и число сообщений в пакете.

Дополнительная (к STP) защита от петель в сети (loop guard) позволяет обнаруживать кабели, соединяющие 2 порта одного и того же коммутатора. Посылается тестовый пакет, если пакет возвращается обратно, значит порт соединён с "зацикленным" коммутатором и он блокируется. Побочным эффектом может являться потеря связности сети, так что применять можно только на портах, к которым подключены граничные коммутаторы или конечные устройства. Если тестовый пакет возвращается через другой порт, значит мы имеем "обычный" цикл и порт также блокируется. Разблокировать порт необходимо вручную после устранения проблемы.

Диагностика позволяет посмотреть внутренний журнал, протестировать ethernet порт (internal loopback test) и "пингануть" хост.

Последняя версия firmware (v3.80 (TX.0) C0, Bootbase 1.08, RomFile version ?, поддержка нового процессора): автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping. Загрузка новых версий (рекомендуется иметь в этот момент соединение по RS-232, чтобы контролировать процесс и ввести "boot config") по

Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство с альтернативной конфигурацией.

Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS:

Основные команды уровня оператора:

Основные команды уровня администратора:

Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):

Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):

Основные параметры настройки VLAN ("no" перед командой означает обратное действие):

Allied Telesyn AT-8524M

Allied Telesyn AT-8524M-50 (ATS62_LOADER v1.1.0, ATS62 v1.2.1 NE) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.6 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X только в режиме автосогласования) с двумя слотами, в которые вставляются модули AT-A46 (10/100/1000Base-TX, включить 1000 не смог), с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8000 MAC адресов, 32 MB ОП.

Управляется (один оператор одновременно) по HTTP (SSL, нет в версии NE), RS-232 (8N1, 9600, VT100, здесь же доступен загрузчик, меню и CLI), telnet (SSHv2, нет в версии NE; меню и CLI; некоторые ограничения по сравнению с локальным доступом), SNMPv1/2c/3 (RFC-1153, RFC-1213, RFC-1215, RFC-1493, RFC-1643, RFC-2674, RFC-2863, atistackswitch.mib, atistackinfo.mib). Только один сеанс telnet или RS-232 одновременно. Стандартные имя/пароль: manager/friend и operator/operator (только чтение, в т.ч. можно увидеть имя комьюнити SNMP с правами на изменение). Имена пользователей изменить нельзя (а также универсальный пароль доступа). Пароли доступны для SNMP. Поставляется с выключенным DHCP-клиентом и IP-адресом 0.0.0.0.

Позволяет получать время с NTP сервера (адрес и смещение относительно UTC может получать через DHCP). Летнее время необходимо переводить вручную. Внутренний таймер отстаёт на 1% (от сети 50Hz?).

SSH может использовать только ключи, созданные устройством. Ассиметричное шифрование - RSA, до 1536 бит. Обмен ключами - DH. Частный ключ экспортировать нельзя. Симметричное шифрование - DES (CBC), 3DES, RC4 (arcfour), AES. MAC - hmac-md5 и hmac-sha1. Для SSH требуется 2 пары ключей (1536 для ключей сервера и 1280 для хоста; зачем это для SSH2?). Аутентификация только по паролю. Генерация ключа длиной 1536 занимает 10 минут на ненагруженном коммутаторе. DSA нет, так что на клиентском компьютере необходимо создать пару ключей для RSA и добавить её в связку, а также разрешить их использование (RSAAuthentication yes; HostKeyAlgorithms ssh-rsa). Соединение очень медленное. Похоже, что внутри OpenSSH_3.6.1p2 (тогда почему нет DSA и public key?).

При статической привязке MAC адресов к портам (menu => MAC Address Tables => MAC Addresses Configuration => Add Static MAC Address) адреса необходимо указывать в формате: 00-80-AD-82-5F-6C. Установка состояния безопасности порта только через telnet (ssh) интерфейс (menu => Port Configuration => Port Security). Не забудьте сохранить конфигурацию. Безопасность портов несовместима с 802.1x управлением доступа. Каждый порт может находиться в одном из состояний безопасности (ingress фильтрация):

Соединить его прямым кабелем с Acorp (8-портовый коммутатор 10/100) не удалось ни в режиме автоопределения, ни вручную задавая скорости и MDI/MDIX).

Временами перестаёт воспринимать ответы DHCP сервера и теряет адрес.

Planet FGSW-2402S

Planet FGSW-2402S представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.54 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с двумя слотами, в которые вставляются модули 1000Base-TX, с автоматическим согласованием скорости и режима дуплекса, управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8K MAC адресов, 2.5Mb (6Mb?) ОП. Имеется кнопка Reset. Потребляемая мощность - 40 Вт, т.е. сильно греется и снабжён шумными вентиляторами.

Управляется по RS-232 (8N1, 19200, VT100, пароль "admin" или имя пользователя "admin" с пустым паролем): возможность вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком, задать параметры QoS (модель RS), агрегирования портов (до 4 транков по 8 портов в каждом, выбор ограничен), VLAN (до 8 штук по портам; 802.1Q только в RS), ограничение потока на каждом порту отдельно на приём и передачу (128K, 256K, 512K, 1M, 2M, 4M, 8M), мониторинг порта (указывается исходный порт, порт мониторинга), ограничение доли широковещательных пакетов (6%, 20%), сбор статистики по портам. Имеется режим (MTU), в котором оборудование подключённое к портам 1-25 может обмениваться пакетами только с портом 26 или порты 1-12 с портом 25, а порты 13-24 с портом 26.

Ссылки

@ Карта сайта News Автора!

Bog BOS: hardware:  Ethernet



Copyright © 1996-2024 Sergey E. Bogomolov; www.bog.pp.ru