Управляемые коммутаторы - особый тип сетевых устройств, предназначенный для установки в тех местах локальной сети, которые требуют повышенного внимания или более сложной топологии. К таким особым требованиям относятся: необходимость мониторинга, настройки параметров портов, использование VLAN'ов, объединение нескольких каналов и т.п. В этом обзоре речь пойдет о представителе этого типа устройств - коммутаторе D-Link DES-2108, который содержит 8 портов, работающих на скоростях 10/100 Мбит/с.
Функционал
- Коммутация протоколов Ethernet и
Fast Ethernet с возможностью
автоопределения
"прямой/кросс" и задания
для каждого порта:
- протокола (10/100 Мбит/с);
- режима дуплекса/полудуплекса;
- контроля потока;
- приоритета порта (высокий/обычный).
- VLAN'ы, как в режиме "port-based", так и в режиме 802.1q. В режиме "port-based" VLAN'ы создаются простой группировкой портов с последующим изолированием групп друг от друга. А в режиме 802.1q поддерживается задание для каждого порта режима работы в определенном VLAN'е: "tagged", "untagged" или "not member".
- Порт для мониторинга трафика (он же "mirror port" или "sniffer port"). При включении этой опции можно указать, с каких портов, в каком направлении (прием, передача или обоих) и на какой порт дублировать кадры для мониторинга. После чего к указанному порту можно подключить компьютер с программой-анализатором или монитор трафика.
- Протокол резервирования топологии STP (Spanning Tree Protocol) с индивидуальными настройками приоритета и "стоимости" для каждого порта.
- Мониторинг и управление по SNMP
v.1 (MIB'ы доступны) с возможностью
настройки нескольких trap'ов по
следующим событиям:
- перезагрузка устройства;
- изменение состояния порта (link up/link down);
- нетипичная ошибка передачи;
- нетипичная ошибка приема.
- Задание статической таблицы коммутации размером до 60 элементов. Есть возможность отключить автообучение (определение, какое устройство находится на каждом порту) для определенных портов и указать вручную MAC-адреса с привязкой к определенным портам.
- IGMP Snooping. Эта функция позволяет оптимизировать использование полосы пропускания коммутатора за счет того, что пакеты для групповых рассылок (multicast) рассылаются не на все порты, а только на те, к которым подключены получатели по этим групповым рассылкам.
- Функция предотвращения широковещательного шторма ARP-запросов.
- Просмотр статистики по каждому
порту:
- количество переданных и принятых пакетов;
- число ошибок передачи и приема.
Исполнение
Коммутатор исполнен в металлическом корпусе размерами 280х180х44 мм с возможностью установки как на горизонтальную поверхность, так и в стандартную стойку 19". Все необходимые крепления идут в комплекте.
Питание коммутатора осуществляется от встроенного блока питания.
На переднюю панель выведены:
- Кнопка сброса настроек на заводские установки.
- Индикатор подачи питания.
- Индикатор работы CPU.
- Индикаторы скорости соединения портов (10/100 Мбит/с).
- Индикаторы состояния и активности портов (Link/Act).
- Порты Ethernet/Fast Ethernet с разъемами RJ45.
На заднюю панель выведен разъем для подключения стандартного силового кабеля.
Комплект поставки
В коробке мы нашли:
- Сам коммутатор DES-2108.
- Комплект резиновых "ножек" для установки на горизонтальную поверхность.
- Комплект креплений для установки в стойку 19".
- Диск с ПО и документацией на английском языке.
- Инструкцию по установке и настройке на английском языке.
- Силовой кабель.
На диске поставляется:
- Утилита с экзотическим именем
"web_management_utility", которая
позволяет:
- обнаруживать коммутаторы в сети;
- настраивать базовые сетевые параметры;
- принимать SNMP trap'ы;
- изменять пароль администратора;
- обновлять прошивку;
- запускать Internet Explorer для настройки коммутатора.
- Документация по настройке в формате PDF.
- Adobe Acrobat Reader 5.0.
Первоначальная настройка
По умолчанию коммутатор настроен на использование IP-адреса 192.168.0.1 с маской 255.255.255.0. Несмотря на то, что производитель утверждает, что этот адрес используется только в случае невозможности получить адрес по DHCP, нам не удалось это повторить. Даже при наличии в сети DHCP-сервера коммутатор использовал статический адрес 192.168.0.l. В связи с этим, перед подключением коммутатора к сети, следует убедиться, что не возникнет конфликта с существующими сетевыми устройствами.
Первоначальная настройка сводится к:
- установке IP-адреса (в случае необходимости);
- смене пароля администратора (по умолчанию - "admin");
- смене community name "private" в настройках SNMP на свой пароль;
- обновлению прошивки (не обязательно).
В доставшемся нам коммутаторе была установлена прошивка версии 1.1.2. На FTP-сервере производителя доступна более свежая версия прошивки - 2.0.8. Однако, нам не удалось обнаружить видимых отличий в их работе.
При написании обзора была использована последняя версия прошивки.
При настройке коммутатора через веб-интерфейс следует использовать Internet Explorer. Мы пытались это делать через Firefox и обнаружили некоторые проблемы с совместимостью с этим браузером в обеих версиях прошивок.
Настройка портов
Для каждого порта можно индивидуально выставить следующие параметры:
- Протокол: 10/100 Мбит/с в режиме дуплекса/полудуплекса. Эта настройка может пригодиться при работе с оборудованием, которое некорректно определяет протокол. Или, в случае некачественной линии связи, снижение скорости и включение полудуплекса может снизить количество ошибок передачи.
- Контроль потока. Если этот режим включен, то коммутатор при перегрузке этого порта будет отсылать отправителю специальный пакет с требованием снизить скорость потока.
- Качество обслуживания. Коммутатор поддерживает на каждом интерфейсе две очереди - "обычную" и "с высоким приоритетом". Включение этой настройки в "high" приведет к тому, что кадры, принятые через этот порт, будут иметь более высокий приоритет, т.е. попадать в приоритетную очередь при передаче через другие порты.
VLAN'ы
Коммутатор поддерживает VLAN'ы двух типов: "port-based" и 802.1q.
Port-based VLAN позволяют создавать несколько VLAN и присваивать их портам устройства. Между различными VLAN'ами кадры передаваться не будут. Этот режим, фактически, создает несколько виртуальных коммутаторов в одном, распределяя между ними порты. Недостаток такого режима в том, что не поддерживается транкование, т.е. передача кадра, принадлежащего к определенному VLAN'у, с сохранением метки этого VLAN'а. В каком бы VLAN'е не обращался кадр - при его передаче за пределы коммутатора - он не будет содержать метки VLAN'а, а значит, использовать такие VLAN'ы можно только в пределах одного коммутатора.
VLAN'ы в режиме 802.1q более универсальны - их кадры могут передаваться за пределы коммутатора с сохранением метки ("tag"). Разумеется, устройство, на которое передается маркированный ("tagged") кадр, тоже должно поддерживать стандарт IEEE 802.1q и "понимать" метку VLAN'а.
В режиме 802.1q каждый порт коммутатора может принадлежать к одному и более VLAN'у, причем для каждого VLAN'а он может работать в режиме "tagged", "untagged" и "not member". В режиме "not member" порт не участвует в работе VLAN'а, в режиме "tagged" порт является транковым, т.е. передает кадры этого VLAN'а, сохраняя метку, а в режиме "untagged" порт передает кадры, удаляя из них метку VLAN'а.
Если порт находится в режиме tagged и участвует в работе нескольких VLAN'ов, то появляется интересная возможность пробрасывать несколько изолированных локальных сегментов через одно физическое соединение Ethernet.
Например, такая схема применяется для маршрутизаторов с поддержкой 802.1q - в этом случае через один порт Ethernet к маршрутизатору подводятся несколько виртуальных сегментов Ethernet, которые потом распределяются по портам коммутатора, находящимся в режиме untagged, а к последним уже можно подключать устройства без поддержки 802.1q. В результате можно получить серьезную экономию на модулях Ethernet-портов для маршрутизатора.
Второе использование транковых портов заключается в том, чтобы организовать несколько VLAN'ов в пределах всей сети. В случае использования 802.1q достаточно соединить коммутаторы, на которых должны обслуживаться клиенты этих VLAN'ов, транковыми портами (в режиме tagged). Тогда коммутаторы будут обмениваться кадрами, содержащими метку VLAN'а, что позволит им корректно разделять кадры между виртуальными сегментами.
Mirror port
Для диагностики и мониторинга коммутатор поддерживает функцию "Mirror port", которая позволяет настроить дублирование кадров с определенных портов на один выбранный (он и есть "mirror port"). Затем к этому порту можно подключить сетевой монитор - это отдельное аппаратное устройство для анализа трафика в сети, или любой компьютер с установленной программой-анализатором. Эта функция позволяет проводить диагностику сети путем анализа трафика, который по ней циркулирует, либо использовать ее для ведения экаунтинга с помощью соответствующих программ.
Один из самых популярных бесплатных анализаторов трафика - Ethereal. Другой интересный и бесплатный анализатор трафика с уклоном на статистические задачи - ntop.
Spanning Tree protocol (STP)
Для возможности резервирования соединений Ethernet, который в начальном своем состоянии не допускает кольцевых подключений, коммутатор поддерживает протокол STP. Он позволяет создать виртуальное "дерево" и затем отслеживать, чтобы его "ветви" не пересекались путем отключения портов, где такие пересечения обнаружены.
Simple Management Protocol (SNMP)
Для управления и мониторинга коммутатора поддерживается протокол SNMT v.1. Напомним, что SNMP v.1 не поддерживает шифрование, а т.н. "community name", фактически, является паролем доступа по SNMP и передается по сети в открытом виде. Поэтому SNMP v.1 следует использовать только через защищенные от прослушивания каналы.
Для удобства мониторинга на сайте производителя доступны базы MIB, которые можно подключить к ПО, используемому для работы с DES-2108 по SNMP.
В ходе тестирования нам не удалось добиться работы trap'а "link up/down", а после сброса коммутатора на заводские настройки у него по умолчанию включена поддержка SNMP, причем автоматически созданы две community: "public" и "private". Если с "public" не все так страшно - всего-то через нее можно читать настройки и статистику коммутатора, то с "private" все серьезней - через нее эти настройки можно изменять. Поэтому после установки коммутатора, как минимум, имя community "private" нужно сменить на какой-нибудь пароль, хоть бы тот же, что и у администратора. Напомним, что в данном случае имена community фактически являются паролями доступа по SNMP.
Static MAC
При необходимости можно задавать таблицу коммутации вручную (до 60 записей) и отключать автообучение для определенных портов. Это может потребоваться из соображений безопасности, например, для предотвращения несанкционированного подключения к Ethernet-портам. В этом случае для порта указывается MAC-адрес устройства, которое к нему подключено (санкционированно), и отключается автообучение для этого порта. После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать - коммутатор просто заблокирует его кадры.
Для удобства ввода MAC-адресов поддерживается их автоопределение. Для этого нужно подключить устройство к нужному порту и включить поиск.
IGMP Snooping
Эта функция позволяет оптимизировать использование полосы пропускания за счет отсылки групповых рассылок только на порты реальных получателей. Групповые рассылки (multicast) в Ethernet-сети без поддержки оптимизации IGMP рассылаются широковещательно (broadcast). Это, во-первых, снижает производительность сети, поскольку на время передачи такого кадра блокируется передача любых других кадров на всех портах, во-вторых, снижает безопасность - копии всех групповых кадров рассылаются всем пользователям сети, что делает возможным их перехват.
Механизм IGMP Snooping позволяет отслеживать членство в группах, по таблице коммутации определять, на каких портах находятся реальные получатели (т.е. являющиеся членами этих групп), и отсылать групповой кадр именно на те порты, где его ждут получатели.
Storm Control
Как уже было сказано, Ethernet изначально не поддерживает петлевые связи. В случае, если где-то в топологии такой сети появляется кольцо (оно же "замыкание ветвей"), то первый же широковещательный кадр будет бесконечно циркулировать по этому кольцу в виду алгоритма работы Ethernet. Чтобы снизить последствия от ошибочно созданных петель, коммутатор поддерживает функцию "Storm control", которая позволяет обнаруживать такие "зацикленные" кадры и удалять их из сети.
Статистика
Коммутатор предоставляет возможность вести статистику по каждому порту. Для удобства обнаружения проблем с качеством связи ведутся счетчики ошибок приема и передачи.
Управление
Раздел управления позволяет настраивать такие сетевые параметры коммутатора, как адрес для управления, порт веб-интерфейса, таймаут сессии администрирования, а также имя устройства и его местоположение.
Через веб-интерфейс доступны:
- смена пароля администратора;
- сохранение настроек в файл и восстановление из файла;
- сброс настроек на заводские установки;
- перезагрузка коммутатора.
Поддерживается и telnet-интерфейс.
Выводы
В целом, коммутатор показал себя только с положительной стороны - не было замечено сбоев в работе, производительность была на хорошем уровне. Словом, он делал то, что должен, - коммутировал.
Изюминка этого устройства в другом - невысокая стоимость для управляемого коммутатора и поддержка VLAN'ов стандарта IEEE 802.1q. Это, несомненно, позволит ему занять свою нишу, в которую неуправляемые коммутаторы не попадают по причине отсутствия необходимого функционала, а управляемые - ввиду высокой цены. DES-2108, на начало ноября 2005 года, стоит около $113, что, по нашему мнению, является вполне сбалансированной стоимостью.
Очевидные плюсы:
- доступная цена;
- поддержка IEEE 802.1q.
Очевидные минусы:
- обновление прошивки возможно только из Windows;
- не работает trap "link up/down";
- по умолчанию включена SNMP community "private" с возможностью изменения конфигурации.
Алексей ГРЕЧАНИНОВ,
ag@techlabs.by,
www.techlabs.by
Коммутатор D-Link DES-2108 для обзора был предоставлен официальным дистрибьютором D-Link в РБ компанией ОДО "Мультисофт"
Горячие темы