|
Bog BOS: hardware: Ethernet |
Последнее изменение файла: 2011.08.17
Скопировано с www.bog.pp.ru: 2012.02.04
Ethernet - локальная сеть, построенная на случайном методе доступа к разделяемой среде передачи данных с обнаружением коллизий - CSMA/CD (Ethernet Network - Xerox, 1975; Ethernet II или Ethernet DIX - Digital, Intel, Xerox - 1980). Ethernet DIX отличается от IEEE 802.3 (совмещены уровни MAC и LLC, отличается формат кадра). Эталонная модель IEEE 802 включает уровни LLC (Logical Link Control, управление логическим каналом, 802.2), MAC (Media Access Control, управление доступом к среде, 802.1D, 802.1G, 802.1H, 802.1Q) и PHY (физический уровень, 802.3, 802.3ae). Уровень PHY соответствует физическому уровню эталонной модели OSI. Уровни LLC и MAC соответствуют уровню передачи данных эталонной модели OSI. Компоненты локальной сети: сетевой адаптер, кабельная структура, повторитель (концентратор, хаб, hub), коммутатор (switch, мост, bridge), маршрутизатор (router), шлюз (gateway). Хаб делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Коммутатор делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. Коммутатор с возможностями VLAN позволяет разделять широковещательные сегменты. Маршрутизаторы сегментируют сеть на уровне IP адресов и позволяют организовывать логическую топологию с петлями. Шлюз позволяет строить сеть из сегментов различной физической природы. Разделяемый сегмент Ethernet не рекомендуется загружать свыше 30% в среднем, иначе большую часть времени сеть будет заниматься обработкой коллизий, в результате время ожидания возрастет, а пропускная способность упадет (хотя пересылать файлы с одного узла на другой можно с полной скоростью, если другие узлы в это время молчат). Устройства не отслеживают потерю и дублирование кадров и не сообщают об этом протоколу верхнего уровня, испорченные кадры молча выбрасываются (ни извещений, ни перепосылки). Реактивное управление потоком (опция). Порядок, время задержки и полоса пропускания не гарантируются. Фрагментация пакетов не предусмотрена, поэтому все устройства в сегменте должны иметь одинаковое MTU.
Стандарты Ethernet образуют семейство стандартов IEEE 802.x (IEEE Standard for Local and Metropolitan Area Networks, ISO 8802, ECMA-80, ECMA-81, ECMA-82).
Уровень LLC (Logical Link Control, управление логическим каналом) организует сопряжение с вышестоящими уровнями стека сетевых протоколов, управление потоком и обработку ошибок передачи (выявлением ошибок занимается уровень MAC).
Заголовок PDU (Protocol Data Unit) состоит из 3 полей: номер протокола получателя (DSAP, один байт, 0x6 - IP, 0xF0 - NetBIOS), номер протокола отправителя (SSAP), управляющее поле - 1 или 2 байта (для ненумерованного кадра - 1 байт, не содержащий дополнительной информации). Старший бит DSAP задает тип адреса: индивидуальный или групповой, старший бит SSAP задает флаг: команда или ответ.
В любом режиме работы можно использовать управляющие кадры XID (обмен информацией о поддерживаемых режимах и размере окна) и TEST.
LLC предоставляет 3 вида услуг (протокола, режима работы):
В стеках протоколов TCP/IP и IPX/SPX всегда используется режим LLC1. Процедуры LLC лишь извлекают из PDU пакеты IP, ARP и RARP. NetBIOS/NetBEUI может использовать режим LLC2. В этом случае используются также информационные и управляющие кадры (заголовок длиной 3 или 4 байта).
Уровень MAC регулирует доступ к среде передачи данных, дополняет модуль данных LLC (PDU LLC) информацией об адресах и контрольной суммой, формирует кадр (frame) MAC. Выявляет ошибки и отклоняет ошибочные кадры. Обработкой ошибок (повторной передачей) может заниматься уровень LLC или вышестоящий уровень.
Для надежного распознавания коллизий время передачи кадра минимальной длины должно быть больше времени распространения коллизии до самого дальнего узла локальной сети (сегмента коллизий) и обратно. Минимальная длина поля данных - 46 байт (64 байта с заголовком кадра, 72 байта с заголовком и преамбулой). Битовая скорость - 10 Мбит/сек (14880 кадров минимальной длины в секунду). Межкадровый интервал (IPG) - 9.6 мкс (Fast Ethernet - 0.96 мкс). Максимальная длина кадра без преамбулы - 1518 байт. Максимальное расстояние между станциями - 2500 м (Fast Ethernet - 250 м). Максимальное количество станций - 1024.
Форматы кадра (MAC+LLC, попытки унификации привели только к увеличению вариантов):
Возможно автоматическое распознавание типов кадров, т.к. тип протокола в формате кадра Ethernet II всегда больше максимальной длины кадра (1500), а в начале пакета IPX идут байты 0xFF, что отличается от возможных значений DSAP и SSAP. Стек IP обычно использует формат кадров Ethernet II или Ethernet SNAP. Коммутаторы обычно поддерживают только один формат кадров на каждом порту, а групповой и широковещательный трафик рассылается только по портам с тем же форматом кадра (это может привести к изоляции устройства из=за неработоспособности протоколов типа ARP).
Типы адресов MAC (в IEEE младший бит изображается слева):
IEEE пропагандирует новый 64-битный формат адреса EUI-64, в котором в качестве номера устройства используется 5 байт вместо 3.
Для Gigabit Ethernet минимальный размер кадра без преамбулы - 512 байт. В Gigabit Ethernet введен монопольный пакетный режим (Burst Mode), позволяющий передавать несколько коротких пакетов подряд (до 8192 байт, дополнения до 512 байт не производится).
Ошибки:
Физический уровень занимается кодированием и декодированием сигналов, генерацией синхронизирующей последовательности битов, приемом и передачей битов. Также включает спецификацию среды передачи и её топологию.
Стандарт определяет следующие виды среды передачи:
Обычно при инициализации устройства производится автоматическое согласование параметров передачи (NWay, auto-negotiation, Config_Reg для 1000Base-X и FLP (fast link pulse) для *-TX (LCW - link code word - Register 4 передатчика)) между двумя устройствами (неприменимо к разделяемой среде; не реализовано для 10GE; для оптических сред невозможно согласовать скорость): полный дуплекс, полудуплекс, управление потоком (симметричное, асимметричное, никакого), обработка ошибок автосогласования (выключение, ошибка соединения, ошибка автосогласования), скорость, технология (802.3, 802.5, 802.9). Начальная передача длится 10 мс. Устройство может скрыть (маскировать) некоторые свои возможности.
Объединение портов (trunking, link aggregation group, link bundling) позволяют объединить несколько портов (соединений, каналов) в единое целое (группу портов), увеличивая как производительность, так и надежность. Протоколы верхних уровней рассматривают транк как один канал. Для управления транками (можно использовать группы без использования управляющего протокола) может использоваться фирменный протокол (например, Cisco: Port Aggregation Protocol - PAgP) или LACP (Link Aggregation Control Protocol), описанный в IEEE 802.3ad и вошедший в состав 802.3-2005 (clause 43, реализация) и IEEE 802.1AX-2008 (определение) или EtherChannels.
LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы (LACPDU) на объединение. Порты с обоих сторон могут быть в активном режиме.
Ограничения LACP:
Inter-Switch Trunk (IST) - возможность объединять порты на разных коммутаторах.
Объединение портов в Linux осуществляется с помощью модуля bonding (создаёт интерфейс bond0, при создании имеет MAC адрес 00:00:00:00:00:00, затем берёт MAC адрес от первого присоединённого интерфейса, он же раздаётся всем присоединённым интерфейсам, не изменяется при падении первого присоединённого интерфейса, можно изменить командой "ip link set bond0 address адрес") и утилиты ifenslave (входит в пакет iputils, используется в initscripts в RHEL4) или непосредственно командой /sbin/ip и манипуляциями с /sys/class/net/ (RHEL5). Для объединения eth0 и eth1 в одну группу в RHEL5 достаточно создать /etc/sysconfig/network-scripts/ifcfg-bond0 и /etc/sysconfig/network-scripts/ifcfg-eth[01] и перезагрузить сеть (/etc/rc.d/init.d/network restart):
DEVICE=bond0 #IPADDR=192.168.1.1 #NETMASK=255.255.255.0 ONBOOT=yes BOOTPROTO=dhcp TYPE=Bonding DHCPCLASS= DHCP_HOSTNAME=s87.cs.niisi.ras.ru USERCTL=no BONDING_OPTS="mode=802.3ad miimon=100" DEVICE=eth0 BOOTPROTO=none ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no HWADDR=адрес
Параметры модуля bonding:
Параметры модуля bonding (доступны через /sys/class/net/; изменять для активного интерфейса нельзя) можно занести в /etc/modprobe.conf перед загрузкой:
alias bond0 bonding options bond0 mode=802.3ad miimon=100 xmit_hash_policy=1
Будут проблемы с VLAN, с "необычной" маршрутизацией. Бойтесь перенумерации интерфейсов. Для правильной работы агента SNMP модуль bonding д.б. загружен до модулей интерфейсов. Прослушивание (promiscuous) в режимах active-backup, balance-tlb, balance-alb распространяется только на текущий (?) активный подчинённый интерфейс. Коммутатор посылает пакет на все интерфейсы, если MAC адреса нет в его таблице - это вызывает дублирование пакетов.
Сетевой адаптер (NIC, Network Interface Card) реализует (вместе с драйвером) физический и MAC-уровень. Теоретически, они различаются типом шины, но единственно разумным выбором в настоящее время является PCI адаптер (кстати, они PnP) с использованием bus master DMA.
Двух(трёх)скоростные адаптеры позволяют работать как в режиме 10 Mb/s, так и 100 Mb/s и 1000 Mb/s (адаптер Fast Ethernet не обязан уметь работать с 10Base-T, хотя у них одинаковые разъемы!). Приличный адаптер должен поддерживать стандарт NWay автоматического согласования скорости и режима дуплекса.
Важными компонентами адаптера являются светодиодные индикаторы наличия связи, передачи данных и режима работы.
Адаптер может иметь микросхему загрузки по сети Boot PROM по стандартам PXE (Pre-boot eXecution Environment), bootp.
WOL (Wake-on-LAN): возможность сетевой платы (совместо с BIOS метеринской платы) включать питание компьютера по приходу специального пакета (на материнской плате имеется специальный разъем для дополнительного соединения с сетевым адаптером).
Уменьшение загрузки CPU: Bus Master, zerocopy (карта самостоятельно копирует данные ОП), аппаратное вычисление контрольных сумм, scatter-gather (слияние/разлияние кусков ОП в один пакет), уменьшение числа прерываний чтения за счёт небольшой задержки (NAPI).
Например, PCI адаптеры:
eth0: Intel PCI EtherExpress Pro100 82557, ..., I/O at 0xc000, IRQ 10 Receiver lock-up bug exists -- enabling work-around Board assembly 751767-004, Physical connectors present: RJ45 Primary interface chip i82555 PHY #1
eth0: Intel(R) PRO/100 S Desktop Adapter Mem:0xd7020000 IRQ:12 Speed:100 Mbps Dx:Full Hardware receive checksums enabled или новый (без поддержки VLAN, контрольных сумм) e100: Intel(R) PRO/100 Network Driver, 3.0.27-k2-NAPI ACPI: PCI interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 209 e100: eth1: e100_probe: addr 0xfeafe000, irq 209, MAC addr xx:xx:xx:xx:xx:xx
Intel(R) PRO/1000 Network Driver - version 5.3.19-k2-NAPI ACPI: PCI interrupt 0000:02:01.0[A] -> GSI 18 (level, low) -> IRQ 185 e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0d:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit) e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0e:00.0: e1000_probe: (PCI Express:2.5Gb/s:32-bit) e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection
Intel(R) PRO/1000 Network Driver - version 7.3.20-k2-NAPI e1000: 0000:0b:04.0: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:04.1: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:06.0: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: 0000:0b:06.1: e1000_probe: (PCI-X:133MHz:64-bit) e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection
Linux Tulip driver version 0.9.15-pre12 (Aug 9, 2002) tulip0: EEPROM default media type Autosense. tulip0: Index #0 - Media MII (#11) described by a 21142 MII PHY (3) block. tulip0: MII transceiver #17 config 0100 status 780d advertising 0041. tulip0: Advertising 01e1 on PHY 17, previously advertising 0041. divert: allocating divert_blk for eth2 eth2: Digital DS21143 Tulip rev 65 at 0xf88fac00, xx:xx:xx:xx:xx:xx, IRQ xx. eth2: Setting half-duplex based on MII#17 link partner capability of 0021.
Интерфейс называется eth0 (alias eth0 3c59x в /etc/modules.conf (/etc/modprobe.conf) или alias eth0 eepro100 или alias eth0 e100 или alias eth0 tulip) в Linux и le0 в Solaris.
Параметры модуля tulip
Параметры модуля 3c59x (см. vortex.txt, автосогласование при переподключении может занять до минуты):
Параметры модуля e100 (информацию и статистику можно получить из файла /proc/net/PRO_LAN_Adapters/eth0.info):
Модуль e100 3.0.27-k2-NAPI из дистрибутива CentOS 4.0 (ядро 2.6.9) не имеет параметров (кроме debug), всё управление осуществляется через mii-tool/ethtool.
Параметры модуля e1000 5.3.19-k2-NAPI
Программа ifrename (пакет wireless-tools) позволяет переименовать неактивный интерфейс или все интерфейсы. Ключ -t позволяет поменять имена местами. Конфигурационный файл /etc/iftab задаёт правила переименования. Правила просматриваются по очереди с конца файла. Каждая строка содержит имя интерфейса и набор правил выбора (И):
Программа nameif (пакет net-tools) позволяет привязать имя неактивного интерфейса к его MAC адресу (каждая строка файла /etc/mactab содержит имя интерфейса и MAC адрес).
Программа mii-tool (пакет net-tools) позволяет посмотреть (вместо 1000baseTx показывает 100baseTx) или установить режим автосогласования скорости и дуплекса для указанного интерфейса (для устройств, использующих MII, про гигабитные устройства программа не знает):
Программа ethtool (пакет ethtool) показывает или устанавливает режимы карты ethernet:
Демон netplugd (скрипт /etc/netplug.d/netplug, список интерфейсов - /etc/netplug/netplugd.conf) позволяет автоматически запускать скрипты при наступлении определённого события (появление или пропадание сигнала). Ещё есть hotplug и /etc/hotplug/net.agent.
Файл /etc/ethers содержит в каждой строке соответствие MAC адреса и IP адреса (доменного имени):
08:00:20:00:61:CA server.domain.com
Посмотреть привязку сетевых интерфейсов к MAC адресам можно командой (или заглянуть в /sys/class/net/eth0/address):
ip -o link show
Специфические скрипты Red Hat и клонов:
Концентратор (повторитель, хаб, concentrator, repeater, hub) делит физическую сеть на сегменты, но не изменяет логическую топологию сети (общий домен коллизий). Он передает полученный на одном порту битовый поток на все другие порты с очень небольшой задержкой (без буферизации), восстанавливая форму сигнала. Порт не имеет MAC адреса, поэтому послать кадр на него невозможно.
Возможна изоляция порта, являющегося источником большого числа ошибок (FCE), коллизий (ECE) или затянувшейся передачи (autopartitioning).
Концентраторы (и коммутаторы) могут образовывать только иерархические связи без петель, но некоторые модели позволяют поределять резервный порт, который будет активизирован в случае изоляции основного порта.
Может иметь кнопку, позволяющую переключать один из портов из обычного для концентратора режима MDI-X с обратной распайкой приемника и передатчика в режим MDI с распайкой как у сетевого адаптера. Это позволяет соединять два концентратора обычным прямым кабелем.
Повторители Fast Ethernet могут быть класса I (поддерживают все типы логического кодирования и могут иметь порты 100Base-TX, 100Base-T4 и 100Base-FX) и класса II (поддерживают только один тип кодирования и могут иметь либо только порты 100Base-T4, либо 100Base-TX и 100Base-FX). В одном сегменте коллизий может быть не более 1 концентратора класса I или не более 2 концентраторов класса II (расстояние между ними не более 5 м, соединение через специальный uplink порт). В одном сегменте нельзя использовать концентраторы разных классов. Данные правила (а также максимальные диаметры сети, приведенные выше) рассчитаны исходя из наихудших предположений. Аккуратный расчет конкретной сети может позволить установить большее количество концентраторов или увеличить длину кабеля.
Узлы с наиболее интенсивным трафиком желательно размещать поближе к концентратору. Это уменьшает коичество коллизий и увеличивает производительность сети.
Защита от прослушивания может быть обеспечена привязкой допустимого MAC адреса к порту. Для этого концентратор должен иметь возможность настройки (порт RS-232 или SNMP). При поступлении через порт кадров с неразрешенным MAC адресом данный порт отключается (по-моему, это никак не может помешать прослушиванию, если сидеть тихо; к тому же многие сетевые адаптеры позволяют прошить в EEPROM любой MAC адрес). Дополнительной защитой может служить преднамеренное искажение кадров, передаваемых на все порты кроме того, к которому подсоединен узел назначения (для этого также необходимо приписать MAC адрес к порту). Для управления по протоколу SNMP концентратор (точнее, SNMP агент в нем) должен иметь IP и MAC адреса.
Многосегментные концентраторы имеют несколько шин, к одной из которых может быть подключен любой порт. Получается как бы несколько концентраторов в одном корпусе и с возможностью гибкого переключения портов (иногда даже через RS-232 или SNMP, этакая кроссовая панель с дистанционным управлением).
Выпускаются (выпускались?) также стековые и модульные концентраторы. При нынешних ценах на коммутаторы их использование потеряло смысл.
Дополнительные возможности: резервные порты, RMON, дистанционное отключение портов, загрузка firmware по Xmodem или TFTP, поддержка BOOTP и DHCP, telnet.
Повторители не позволяют объединять в один сегмент узлы Ethernet и Fast Ethernet, т.к. у них отсутствует буфер, но выпускаются гибридные устройства, имеющие мост вместо одно (или даже всех!) из портов. Подобные устройства позволяют также каскадировать повторители.
Коммутатор (мост, switch, bridge) делит логическую сеть на сегменты, основываясь на аппаратных (MAC) адресах, но оставляет один сегмент с точки зрения широковещательных рассылок. То есть пакет, адресованный на индивидуальный адрес, получит только этот узел, но широковещательные пакеты будут распространяться по всей сети.
Мост (IEEE 802.1d) называется прозрачным, т.к. он работает незаметно для сетевых адаптеров, строя адресную таблицу исходя из пассивного наблюдения трафика. Порт моста не имеет собственного MAC адреса и буферизует все пакеты, приходящие на его порты. Адрес источника записывается в адресную таблицу. Если адрес получателя присутствует в таблице, то пакет передается в нужный сегмент через соответствующий порт (forwarding). Если при этом адрес получателя приписан к тому же порту, что и адрес отправителя, то пакет фильтруется (filtering). Если адрес получателя отсутствует в таблице или он групповой или широковещательный, то пакет рассылается по всем сегментам, кроме исходного (flooding). По мере проявления активности узлов таблица адресов заполняется. При переполнении таблицы новый адрес замещает один из старых. Элементы адресной таблицы могут также статически задаваться администратором сети (только для управляемых коммутаторов). При этом администратор может устанавливать фильтр, указывающий что делать с пакетом, имеющим данный адрес получателя (передать на определенный порт, выбросить, распространить по всем портам). В целях усиления безопасности администратор может запретить или ограничить занесение новых элементов в таблицу, а также задать фильтрацию пакетов, поступающих с неизвестных MAC адресов. Динамические элементы имеют ограниченный срок жизни, чтобы коммутатор мог отслеживать перемещения компьютеров. Для борьбы с избыточным широковещательным трафиком для каждого узла может быть установлена максимальная интенсивность широковещательных рассылок.
Неблокирующий коммутатор (wire speed) позволяет передавать кадры через порты с максимальной скоростью, обеспечиваемой этими портами (10 Mb/s, 100 Mb/s, полудуплекс или полный дуплекс, желательна поддержка стандарта NWay автоматического согласования скорости и режима дуплекса). Например, для 24-портового коммутатора, работающего в режиме полного дуплекса необходима пропускная способность 24x200Mbps = 4.8 Gbps. Практически все продаваемые в настоящее время коммутаторы рекламируются как неблокирующие, но при сочетании различных скоростей и режимов дуплекса на разных портах могут быть проблемы вплоть до падения скорости до 50 КБ/сек. См., например, результаты испытаний дешевых коммутаторов.
Даже неблокирующий коммутатор не сможет обслуживать полноскоростные входящие потоки из 2 портов, направленные в один выходной порт. Через некоторое время (зависит от размера буфера) он начнет терять кадры. Коммутатор может воздействовать на генерирующие пакеты узлы слегка нарушая протокол доступа к среде:
При подключении к порту коммутатора одного узла (микросегментация) появляется возможность работать в дуплексном режиме: достаточно не считать одновременную работу приемника и передатчика коллизией (в любом случае, они используют отдельные витые пары). Если при полудуплексном режиме интенсивность генерации пакетов узлом "автомагически" контролировалась алгоритмом доступа к разделяемой среде, то в дуплексном режиме ничто не мешает одному узлу выдавать пакеты со скоростью, неприемлемой для принимающего узла. Стандарт IEEE 802.3x ввел команды физического уровня "приостановить передачу" (PAUSE) и "возобновить передачу".
Методы коммутации:
Конструктивное исполнение:
Транковые соединения (link aggregation group, EtherChannels) позволяют объединить несколько связей в единое целое, увеличивая как производительность, так и надежность.
Построенная на коммутаторах сеть не может содержать петли, иначе пакет начинает бесконечно циркулировать по этой петле (нет аналога TTL), а коммутаторы перестраивать свои адресные таблицы. Для повышения надежности между узлами прокладывают избыточные связи, но при этом некоторые порты блокируют вручную или с помощью алгоритма STA (Spanning Tree Algorithm, IEEE 802.1d/802.1D-2004, Spanning Tree Protocol, RSTP, IEEE 802.1W). STA (STP) позволяет коммутаторам автоматически строить покрывающее дерево на множестве всех связей сети с помощью постоянного обмена служебными пакетами (BPDU) по групповым или широковещательному адресу. Обмен начинается при включении или при обнаружении потери связности. Для работы STA необходимо назначить корневой коммутатор (может выбираться автоматически по минимальному MAC адресу блока управления) и определить время передачи для каждого соединения (расстояние). Для перестройки дерева при отказе связи или узла требуется несколько секунд (минута?). Ускоренный механизм резервных связей (RSTP, distance vector model) работает значительно быстрее (меньше секунды при правильной настройке). Для сетей с VLAN используется MSTP (Multiple Spanning Tree Protocol).
Коммутатор может иметь для каждого выходного порта несколько очередей с различным приоритетом. Приоритет может назначаться исходя из номера входного порта, MAC адреса, IP адреса (для коммутаторов 3 уровня) или согласно IEEE 802.1p/802.1Q, в котором определяется дополнительный 2-байтный заголовок (содержит также информацию о номере VLAN из IEEE 802.1Q), вставляемый перед полем даных и содержащий 3-битный уровень приоритета. Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1p. Могут использоваться частные протоколы назначения приоритета (например, PACE фирмы 3COM). Класификация трафика может использоваться не только для задания приоритетов, но и для ограничения полосы пропускания сверху и снизу.
Коммутатор с возможностями VLAN (virtual LAN) позволяет разделять не только индивидуальный, но и широковещательный трафик, полностью изолируя сегменты друг от друга. Помогает противостоять хакерским атакам, превращающим коммутатор в концентратор путем переполнения таблицы адресов (т.е. таблица переполняется, но границы между VLAN остаются неприступными). Разрабатывался для оптимизации трафика, а не для защиты, так что полагаться на него не стоит. Один узел может входить в состав нескольких VLAN. Для передачи кадров между виртуальными сегментами необходимо использовать маршрутизатор, который может быть подключен через один интерфейс сразу в несколько VLAN ("однорукий" маршрутизатор). VLAN образуются на основе номеров подсетей (для коммутаторов 3 уровня), портов, MAC адресов или стандарта IEEE 802.1q, в котором обределяется дополнительный 2-байтный заголовок (содержит также информацию о приоритете кадра согласно IEEE 802.1p), вставляемый перед полем данных и содержащий 12-битный идентификатор VLAN (VID 0, 1 и 4095 зарезервированы). Заголовок вставляется коммутатором по запросу узла и удаляется при передаче пакета узлу, не поддерживающему IEEE 802.1q. Могут использоваться частные протоколы (ISL фирмы Cisco). Для каждой VLAN строится свое покрывающее дерево STA.
Стандарты 802.1p/802.1Q/802.1Q-2003 (вошли в 802.1D в 1998 году) определяют новые форматы MAC кадра (помеченные кадры) для различных вариантов кадра (802.3/LLC, Ethernet II) и правила трансляции из обычных кадров в помеченные и обратно. Например, помеченный кадр Ethernet II состоит из полей (заметьте, что максимальный размер увеличивается на 4 байта - с 1518 до 1522 байт):
Протокол GARP между узлом и коммутатором позволяет узлам динамически присоединяться к VLAN или группе (multicast) и покидать ее.
IGMP snooping (IGMP, RFC 1112) - способность коммутатора "заглядывать" в пакеты IGMP и DVMRIP для определения на каких портах находятся члены многоадресных IP групп (224.0.0.0 - 239.255.255.255).
Полезной возможностью "продвинутых" коммутаторов является способность фильтровать трафик или назначать приоритеты исходя из содержания пакета (смещение поля, размер, значение).
Управление коммутатором (заметьте, что все in-band методы управления передают информацию - включая пароль! - открытым текстом):
HP ProCurve 1400 (J9077A) представляет собой 8-портовый неуправляемый коммутатор с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab 1000Base-T Gigabit Ethernet). Монтируется только в горизонтальном положении. Размер пакетного буфера: 144 КБ. Ёмкость ПЗУ/ОЗУ: 128 КБ. Задержки на скорости 100 Мб менее 3,9 мкс (размер пакета 64 байта), на скорости 1000 Мб - менее 2,1 мкс (размер пакета 64 байта). Размер адресной таблицы - 8 000 элементов. Производительность коммутации - 16 Гб/с. Пропускная способность до 11,9 млн. пакетов в секунду. Поддержка IEEE 802.3x Flow Control и приоритетности по протоколу IEEE 802.1p. Потребляемая мощность - 18 Вт.
HP ProCurve 2810-48: 44 порта RJ-45 (10/100/1000, Auto-MDIX), 4 порта совмещают RJ-45 (10/100/1000, Auto-MDIX) и mini-GBIC (ревизии B и новее), управляющий последовательный порт (RJ-45), MIPS 264 MHz, 64 MB SDRAM, 16 MB Flash, буфер пакетов 1.5 MB, задержка 5.4 мкс, 96 Gbps, 71.4 Mpps, таблица NAC адресов - 8000, 92 W, 4 кг, 341 BTU/h (360 kJ/h). Интерфейс управления: командная строка, меню, веб-интерфейс (требуется Java).
Умеет выводить сообщения на syslog (по умолчанию в user):
configure logging ip-адрес logging facility имя debug event write memory show debug
Обновление прошивки по TFTP (настройки не изменяются, требуется перезагрузка, secondary - запасная прошивка): "copy tftp flash IP-адрес имя-файла [primary|secondary]". В прошивке N.11.25 добавлена поддержка RADIUS.
Разрешение приёма Jumbo кадров (до 9220 байт, включая метку VLAN) осуществляется по всей VLAN (по умолчанию выключено, только статические VLAN). Действует только для портов 1Gbps без включённого контроля потока (выключен по умолчанию). Попавший в коммутатор Jumbo пакет будет выведен через гигабитный порт при любых настройках. Настройка:
show vlans # посмотреть настройки Jumbo, DEFAULT_VLAN show vlans ports номер-порта # к какому VLAN принадлежит порт show vlan номер-VLAN # посмотреть настройки Jumbo и список портов configure [no] vlan номер-VLAN jumbo # разрешить Jumbo кадры exit write memory
Настройки Jumbo кадров в Linux:
ip l set dev eth0 mtu 9000
Агрегирование портов (до 24 групп - на следующей странице указывается до 6 групп, до 4 активных портов и до 4 резервных) для увеличения скорости и/или надёжности: ручное (trunk) или с использованием 802.3ad (LACP, Link Aggregation Control Protocol). Для распределения кадров по выходным портам используется алгоритм SA/DA: все кадры с одинаковыми парами MAC адресов источника и назначения идут через один и тот же порт; кадры с одинаковыми адресами источника, но разными адресами назначения равномерно разбрасываются по портам; кадры с разными адресами источника, но одинаковыми адресами назначения также равномерно разбрасываются (возможна ситуация когда один порт переполнен, а другие простаивают). Порты устройства сегментированы и группа портов должна входить в один сегмент (ссылка на таблицу сегментов есть, самой таблицы нет). Требуется сначала настроить LACP или транки и только затем соединять устройства. При настройке возможен перерыв в обслуживании до 30 секунд. Настройки STP и VLAN едины для всей группы. LACP несовместим с аутентификацией 802.1X и port-security. Группа не может быть портом мониторинга (но можно мониторить статическую группу). Порты, входящие в группу, должны быть соединены между устройствами напрямую одним типом носителя и иметь одинаковую скорость, режим дуплекса и управление потоком. Для LACP необходим полный дуплекс (рекомендуется установить Auto). LACP позволяет статическое или динамическое объединение пропускной способности с автоматическим отключением сбойных линий и последующим восстановлением или резервирование портов. Порт в пассивном LACP режиме (выключён по умолчанию, хотя в документации утверждается обратное) отвечает на запросы по объединению портов с другой стороны, в активном режиме - выдаёт запросы на объединение. Порты с обоих сторон могут быть в активном режиме. Статический LACP необходим для использования мониторинга, использования нестандартных настроек STP или IGMP, включения во VLAN, отличный от DEFAULT_VLAN, без использования GVRP и если с другой стороны статический LACP. Статический LACP (Trk), динамический LACP (Dyn) и транк (Trk) несовместимы. Посмотреть статические группы: "show trunks". Создать статическую группу: "trunk список-портов trkНомер {trunk | lacp}". Удалить порт из статической группы: "no trunk список-портов" (необходимо предварительно разъединить устройства, иначе без STP - выключен по умолчанию - будет широковещательный шторм). Посмотреть LACP группы: "show lacp". Перевод группы портов в активный режим LACP: "interface список-портов lacp active". Отключение LACP: "no interface список-портов lacp". Отключение активного режима: "no interface список-портов lacp; interface список-портов lacp passive". Отключение активного режима, если группа уже используется:
configure
interface список-портов
disable
lacp passive
enable
Allied Telesyn AT-8124XL (V2) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.5Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость, MAC адрес порта можно проверить средствами удаленного управления. Один порт может быть переключен кнопкой из режима MDI-X в MDI. 4 MB DRAM (до 8192 MAC адресов, 2 MB под буфер).
Поддерживает алгоритм покрывающего дерева STA (802.1D), по умолчанию - выключен (включение делает устройство временно недоступным), позволяет задавать приоритет коммутатора (используется для определения корня), интервал между пакетами, время устаревания информации, время задержки перед переходом к новому дереву. Есть возможность посмотреть идентификатор корня, корневой порт и расстояние до корня. Для каждого порта можно установить приоритет и расстояние (cost), используемые в STA (но не для 802.1p!).
Поддержка 4 очередей с приоритетами, приоритетов на основе портов нет, имеется возможность задать соответствие приоритета 802.1p входящих пакетов (0 - низший, 7 - высший) номеру очереди (3 - низший, 0 - высший). Включение QoS отключает управление потоком на всех портах.
До 64 VLAN на основе меток 802.1Q и/или портов. Конфигурировать VLAN можно только через RS-232: чтобы добавить порт в новую VLAN, его надо удалить из Default VLAN, а редактировать можно только отключенные VLAN, а отключение Default VLAN остановит всю сетку. При создании каждой VLAN назначается идентификатор (VID, 1-4094) и имя (для красоты, до 32 символов). Также для каждого порта указывается, принадлежит ли он данной VLAN и тип порта (с метками или без). Порт без меток может принадлежать только одной VLAN. Порт может быть определен как порт без меток для одной VLAN и как порт с метками для нескольких других VLAN. Каждому порту назначается PVID (Port VLAN Identifier). PVID порта без меток должет совпадать с его VLAN. При получении кадра без метки 802.1Q, коммутатор назначает ему VLAN исходя из PVID порта и посылает (может быть) только на порты, входящие в данную VLAN. При получении кадра с меткой 802.1Q коммутатор выбрасывает его, если порт не принадлежит указанной в кадре VLAN и включена Ingress фильтрация, иначе кадр посылается (может быть) только на порты, входящие в указанные VLAN. Перед отправкой кадра в порт без меток, метка удаляется. Подключенное к порту с метками устройство должно уметь принимать кадры с метками и должно отправлять кадры с метками.
Имеется возможность включить "подглядывание" за пакетами протоколов IGMP и DVMRIP, а также задать время старения полученной информации. Пакеты с групповым IP адресом получателя будут передаваться только на необходимые порты. Можно также посмотреть таблицу соответствия групповых IP адресов и портов, к которым подключены члены группы.
Агрегирование до 4 портов на транк и до 4 транков. Есть физические ограничения на принадлежность портов к одному транку (разночтения в документации). Все порты одного транка должны принадлежать одной VLAN. Все порты транка будут 100 Mb, полный дуплекс с управлением потоком. Протокол транкинга (свой или 802.3ad) неизвестен.
Последняя версия firmware AT-S30 1.0.4 (MIB заменили на собственный). Загрузка новых версий по TFTP (задается IP адрес и имя файла до 30 символов). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям и с возвратом к фабричным значениям, кроме IP.
Управляется по RS-232 (я соединяю его с AUX на Cisco 2500 и захожу обратным telnet), telnet, HTTP (местами требуется Java), SNMPv1 (MIB-II - RFC-1213, MIB моста - RFC-1493, исправленная под SNMPv2 группа interfaces MIB-II - RFC-1573 (однако, ifMIB с ее 64-битными счетчиками отсутствует), Ethernet MIB - RFC-1643, RMON - RFC-1757 (только группы 1, 2 и 3), private MIB). При управлении через RS-232 или telnet перед заполнением любого поля (например, пароль при входе ;) требуется нажать Enter. Во всех режимах, кроме RS-232, данные (в том числе пароль!) передаются по сети в открытом виде. Все режимы управления, кроме RS-232 можно запретить (по умолчанию они все разрешены). Для всех in-band режимов управления необходимо установить IP адрес, маску подсети, IP адрес шлюза по умолчанию (если станция управления находится в другой локальной сети), возможность получения этих параметров от сервера BOOTP или DHCP (выводится MAC адрес блока управления). Уровень доступа при управлении по RS-232, telnet и HTTP только один (при изготовлении устройства устанавливается имя admin и пустой пароль). При задании пароля рекомендуется ограничиться латинскими буквами и цифрами, иначе будут проблемы с доступом по HTTP. Имеются отдельные таймеры неактивности для RS-232 и telnet. При управлении по SMTP имеются отдельные пароли доступа (community) для чтения (public), для записи (private) и посылки trap (public, необходимо также указать до 4 IP адресов получателей). Единственный trap, который можно настроить - это посылка сообщений при неавторизованном SNMP доступе.
HTTP доступ не позволяет: сбросить коммутатор, конфигурировать QoS, IGMP, мониторинг порта, посмотреть таблицу MAC адресов.
Коммутатор позволяет посмотреть или установить по RS-232, telnet или HTTP объекты SNMP группы System: SysUpTime (время работы после загрузки), SysDescr (AT-8124XL), SysObjectID (уникальный серийный номер), SysName, SysLocation, SysContact. Здесь же можно посмотреть разнообразную статистику, собираемую SNMP агентом для каждого порта первой группы RMON: число байт и пакетов из сегмента, число broadcast и multicast, число различного типа ошибок и распределение пакетов по размерам.
К сожалению, нет возможности вручную задать MAC адреса подключенных к порту устройств и отключить режим самообучения (адреса хранятся в DRAM и сбрасываются при отключении питания). Можно задать только время устаревания информации, по умолчанию - 300 секунд. Есть также средства поиска номера порта по MAC адресу, что можно использовать для приблизительного внешнего контроля.
Можно мониторить только входной или только выходной трафик одного порта на 14 порту. Скорость 14 порта необходимо принудительно установить равной скорости исследуемого порта. Во время мониторинга к 14 порту нельзя подключать обычную станцию, т.к. собственный трафик порта блокируется (даже ее MAC адрес не заносится в таблицу). Собственный трафик станции надо пропускать через вторую сетевую карту и не забыть проделать дырку в сетевом экране.
Zyxel Dimension ES-2008-GTP EE представляет собой 8-портовый неблокирующий коммутатор (3.6 Gbps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 10) с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). Имеются индикаторы скорости и режима дуплекса для каждого порта, наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления (MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3, номера портов в mib-2.17.7.1.2.2.1.2 (snmpwalk -c public -v 1 10.101.0.243 SNMPv2-SMI::mib-2.17.7.1.2.2.1.2, в десятичной нотации)). До 8000 MAC адресов, 2 Mb под буфер пакетов. Встроенный блок питания, 17 W, но греется сильно. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться), адрес шлюза - 192.168.1.254, имя/пароль - admin/1234. DHCP - нет! В прошивке до 1.10 имеется имя/пароль для HTTP - guest:guest (неотключаемые ;), в новой прошивке их поменяли на что-то другое. Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232 и ввести имя/пароль: superuser/zyxel, после чего ввести команду flashdf и отключить питание. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение.
Управляется по HTTP (требуется IE 5.5, иначе работает не всё - устройство выдаёт всю информацию, но JavaScript-ы отображают её только в IE; состояние порта: http://192.168.1.1/portcot.htm?port=1; 5-секундный refresh на каждой странице доводит до бешенства), telnet, RS-232, SNMPv1 (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, ES-2008-GTP.MIB). Доступ по telnet и HTTP можно ограничить четырьмя исходящими IP адресами или запретить совсем. Только один оператор одновременно. В прошивке до 1.15 имеется возможность обойти систему безопасности при управлении по HTTP.
Имеется управление очередью пакетов (FIFO, приоритетный (в смысле QoS) пакет вперёд, соотношение между высоко- и низкоприоритетным трафиком), STP (IEEE 802.1D, обеспечение запасных путей без образования циклов), IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable), VLAN (по портам, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). Агрегирование портов: до 8 портов, ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры. LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически, можно запретить динамическое занесение новых MAC адресов для указанных портов (port security), можно задать список фильтруемых MAC адресов. Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды), возможность задать максимальную долю широковещательных пакетов (broadcast storm filter).
По умолчанию все порты имеют VLAN ID 1 (удалять её нельзя). При распределении VLAN по портам каждый порт приписывается ровно к одной VLAN (ID от 1 до 4094). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток. GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны).
Последняя версия firmware (1.17 для EPCB04602). Загрузка новых версий по TFTP (задается IP адрес и имя файла, не более 15 символов) при конфигурировании через браузер или X-Modem при конфигурировании через RS-232 (конфигурировании по telnet не позволяет заменить прошивку). Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям.
Zyxel ES-2108-G представляет собой 8-портовый неблокирующий коммутатор (5.6 Gbps (используется 3.6 Gbps), 2.7 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с портом 1000Base-TX (адресуется как порт 9, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для исходящик пакетов. mini-GBIC слот (SFP, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта. До 24 коммутаторов можно соединять в стек с одним IP адресом. Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 Mb под буфер пакетов. Встроенный блок питания, 10 W, тихий вентилятор. Стандартные установки: свой адрес - 192.168.1.1 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. DHCP - есть (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh и сконфигурировать (enable, затем configure) статический маршрут, обязательно разрешить подключение нескольких операторов (multi-login), заодно поменять пароль (password пароль, затем admin-password пароль пароль, сохраниться (write memory) и перезагрузиться. Теперь можно зайти с другого сегмента по HTTP/HTTPS и включить DHCP, маршрут убрать, (в старой версии в CLI не было возможности включить DHCP, в сегменте 192.168.1.0 у меня нет клиентских компьютеров, lynx/elinks не позволяют нажать кнопку Apply). В новой версии появилась возможность включить DHCP из CLI:
enable configure multi-login password пароль admin-password пароль пароль vlan 1 ip address default-management dhcp-bootp перейти на другую консоль ;) enable configure service-control icmp snmp no service-control ftp snmp-server contact ответственный location расположение snmp-server get-community пароль-на-чтение snmp-server set-community пароль-на-запись time timezone 0300 timesync server адрес-NTP-сервера timesync ntp exit write memory exit
Имеется возможность задавать статические маршруты для исходящих пакетов. Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. Имеет встроенный журнал и возможность удалённого тестирования портов.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, файл?), перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; можно изменять интервал неактивности - 3минуты), HTTPS (самоподписанный сертификат), telnet, SSH (SSH2, RSA, DES, 3DES, Blowfish, аутентификации по ключу нет), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (RFC-1157, RFC-1213, RFC-1493, RFC-1757, RFC-2674, zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; прошивка 3.80 содержит MIB). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов пуста, но есть таблица ARP (без указания номера порта и VLAN ID, может он ещё и маршрутизировать умеет). Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh, один FTP сеанс, 5 web сеансов под разными именами, но только один администратор с именем admin). Возможна локальная аутентификация или RADIUS (IEEE 802.1x), в т.ч. отдельно для каждого порта. Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p) на номер очереди (по умолчанию, уровни 1 и 2 отображаются на очередь 0, а уровень 0 - на очередь 1). Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно задать таблицу соответствия уровней DSCP и 802.1P. STP/RSTP (IEEE 802.1D и быстрый вариант 802.1W, обеспечение запасных путей без образования циклов). IGMP (протокол управления членством в multicast группах: извлечение информации из проходящего трафика и работа в качестве IGMP сервера - Auto, Enable, Disable). Агрегирование портов (до 2 групп на коммутатор, до 4 портов в группе, только порты 100M): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять. MAC адреса можно привязывать к портам статически (до 256 адресов), можно задать список фильтруемых MAC адресов (до 256 адресов). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов, а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirror), при этом порт мониторинга продолжает получать свой трафик. Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды). Можно задать максимальный трафик широковещательных пакетов (broadcast storm filter). Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).
VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN, нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, не позволять или привязать его статически. Есть возможность изоляции портов. При распределении VLAN по портам каждый порт приписывается к VLAN 1. Порт с именем CPU является портом управления (его разумно соединить со всеми портами). Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID. Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Последняя версия firmware (v3.80 (ABL.0) C0, Bootbase Version 1.02, RomFile Version 84; автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping). Загрузка новых версий по
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS: подсказки по нажатию клавиши Tab или "?", двухуровневый доступ (после входа можно только посмотреть состояние, команда enable с отдельным паролем для перехода на уровень администратора и префиксом строки "#" вместо ">" на начальном уровне; правда, zyxel похоже запутался с этими паролями на разных уровнях, в web интерфейсе и SNMP), команда configure для перехода на уровень настройки (префикс строки "config#" и подуровни interface, router, VLAN), история команд, редактирование (недоделанное) команд и т.д.. Ключевые слова команды необходимо вводить полностью. Команда "help" выдаёт список имеющихся команд и подкоманд. Команды "?" выдаёт список команд и их описаний. Если первым параметром команды указать "help", то выдаётся синтаксис команды. Если первым параметром команды указать "?", то выдаётся описание параметров команды.
Основные команды уровня оператора:
Основные команды уровня администратора:
Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):
Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):
Основные параметры настройки VLAN ("no" перед командой означает обратное действие):
Zyxel ES-2024A представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 1.5 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с 2 портами 1000Base-TX (адресуются как порты 25 и 26, 802.3ab, может работать как 100Base-T) с автоматическим согласованием скорости и режима дуплекса (1000Base-TX только полный дуплекс), возможностью вручную отключить доступ к порту, задать его имя, скорость и режим дуплекса (по умолчанию определяется автоматически), включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса; по умолчанию - выключен) и QoS приоритет для входящих с этого порта пакетов без тега 802.1p. 2 mini-GBIC слот (SFP MSA, при подключении отключается гигабитный порт). Максимальный размер кадра - 1522 байта (1518 и тэги VLAN). До 24 коммутаторов в одной VLAN можно соединять в стек с одним IP адресом (iStacking, Cluster Management). Загружается достаточно медленно, чтобы успело разорваться SSH-соединение (2 минуты). Индикаторы питания, загрузки (SYS, мигает во время загрузки), ошибки (ALM, горит красным цветом при сбое). Имеются индикаторы скорости (для обычных портов: зелёный - 10 Mbps, янтарный - 100 Mbps; для гигабитного порта: зелёный - 1000 Mbps, янтарный - 100 Mbps). Обещанного мониторинга температуры и скорости вращения вентилятора (?!) не заметил ни в SNMP, ни в HTTP. Наличие подключенного к порту устройства, его скорость и режим можно проверить средствами удаленного управления. До 8000 MAC адресов, 32 MB под буфер пакетов. Встроенный блок питания, 21 W, вентилятор отсутствует (хотя в описании есть), возможен монтаж в стойку, имеется модель с PoE (потребление 200W, 15W на порт). Стандартные установки: свой адрес - 192.168.1.1/255.255.255.0 (после изменения адреса необходимо перезагрузиться; можно задать несколько своих адресов для различных VLAN и статических маршрутов), адрес шлюза - 0.0.0.0, имя/пароль - admin/1234. Есть DHCP (воспринимается только IP адрес, маска сети и DNS сервер), но чтобы его включить в моём случае надо помучаться: подключить в сегмент 192.168.1.0, зайти telnet/ssh, сконфигурировать и перезагрузиться:
enable configure multi-login password пароль admin-password пароль пароль vlan 1 ip address default-management dhcp-bootp перейти на другую консоль ;) enable configure hostname имя-коммутатора no service-control ftp service-control icmp snmp snmp-server contact ответственный location расположение snmp-server get-community пароль-на-чтение snmp-server set-community пароль-на-запись time timezone 0300 time daylight-saving-time start-date last sunday march 2 time daylight-saving-time end-date last sunday october 2 time daylight-saving-time timesync server адрес-NTP-сервера timesync ntp syslog server адрес-syslog-сервера level 7 syslog type system syslog type interface syslog type switch syslog type aaa syslog type ip syslog exit write memory exit
В версии прошивки 3.80 появился DHCP Relay к общему DHCP серверу или отдельным для каждой VLAN. К запросу клиента добавляются имя коммутатора, номер слота в кластере, номер порта клиента, VLAN ID.
Текущее время можно устананавливать вручную или указать адрес сервера DAYTIME, TIME или NTP. В прошивке 3.80 появилась возможность настройки летнего времени.
Имеет встроенный журнал и возможность вывода сообщений на внешний сервер (серверы) syslog.
Чтобы сбросить забытый пароль необходимо подключиться к коммутатору по RS-232, выключить питание, включить питание, нажать "any key" в течении 3 секунд, чтобы войти в режим отладки, загрузить стандартную конфигурацию (команда atlc, протокол XMODEM, где взять файл?), перезапустить коммутатор (atgo).
Управляется по HTTP (в этой версии поддерживается и Firefox и konqueror, но требуется JavaScript и всплывающие окна - не заметил ни одного; проблему с 5 секундным интервалом обновления тоже поправили; отвратительная привычка включать текущее время в имя области осталась, что не позволяет хранить пароль в браузере; можно изменять интервал неактивности - 3 минуты), HTTPS (самоподписанный сертификат; RC4, MD5, SSLv3), telnet, SSH (SSH2, RSA/DSA, MD5/SHA1, 3DES, Blowfish, AES128-CBC, нет аутентификации по ключу, нет генерации ключей, медленно), RS-232 (9600N81, vt100, без управления потоком), SNMPv2c (совместим с SNMPv1; RFC-1155, RFC-1157, RFC-1213, RFC-1493, RFC-1643, RFC-1757, RFC-2674; zyxel-ES2108G.mib удалось извлечь с помощью cabextract и unshield из триальной версии NetAtlas; MIB идёт в комплекте с прошивкой 3.80), SNMPv3 (прошивка 3.80; MD5 или SHA; DES или AES). MAC адреса подключённых устройств можно посмотреть только в неописанной части SNMP - SNMPv2-SMI::mib-2.17.4.3.1.1, номера портов в SNMPv2-SMI::mib-2.17.4.3.1.2 (snmpwalk -c public -v 1 10.101.0.241 SNMPv2-SMI::mib-2.17.4.3.1.2), в десятичной нотации) или командой: show mac address-table all. В браузере таблица MAC адресов показывается только после выбора типа сортировки (MAC, VID, порт). Таблица ARP содержит соответствие между IP адресами и MAC адресами для хостов, обменивавшихся пакетами с коммутатором. Соответствие между IP-адресом и MAC-адресом: IP-MIB::ipNetToMediaPhysAddress.1. Имя community на запись доступно для любого, кто знает имя community для чтения. Доступ по любому протоколу можно ограничить списком исходящих IP адресов (до 4 списков). Любой метод администрирования можно отключить или изменить номер порта (кроме SNMP). Есть возможность доступа нескольких администраторов одновременно (одновременно только один консольный сеанс или telnet или ssh (до 9 в версии 3.80), один FTP сеанс, 5 web сеансов под разными именами, но только один администратор обязательно с именем admin). Возможна локальная аутентификация администратора или с использованием серверов RADIUS (до 2 серверов, разделяемый секрет) или TACACS+ (прошивка 3.80; до 2 серверов, разделяемый секрет). 2 уровня доступа при работе с telnet и ssh (можно назначить высокий уровень доступа любому пользователю). Используемые UDP-порты: 53 (работающий ISC Bind 9.2.1 DNS сервер, к которому можно обращаться!), 67 (bootps?), 68 (bootpc), 69 (tftp?), 161 (snmp), 162 (snmptrap?), 263 (?), 520 (?), 1024 (?), 1025 (?), 1026 (?).
Аутентификация подключаемых устройств по 802.1x (RADIUS, до 2 серверов, разделяемый секрет) и учёт с использованием RADIUS (до 2 серверов, разделяемый секрет) и TACACS+ (до 2 серверов, разделяемый секрет). Возможен учёт системных событий (включение, выключение); вход администратора с помощью telnet, ssh или консоли; сессии протокола IEEE 802.1x; выполняемые администратором команды (только tacacs+). При использовании сервера RADIUS возможно ограничение входящего и исходящего трафика, выбор VLAN и уровня привилегий с помощью атрибутов изготовителя (Vendor Specific Attribute).
Имеется управление очередью исходящих пакетов (FIFO, приоритетный (в смысле QoS, 802.1P) пакет вперёд). Физических очередей - 4 (самая приоритетная - 3, низкоприоритетная - 0), можно задать отображение уровней QoS (802.1p/802.1d) на номер очереди. Кадры без тега QoS получают приоритет по входящему порту. Алгоритмы управления очередями - SPQ (Strict Priority Queuing, пока высокоприоритетная очередь Q3 не опустеет - низкоприоритетные пакеты не уйдут); WRR (Weighted Round Robin, задаётся соотношение между высоко- и низкоприоритетным трафиком, каждая очередь получает свою долю общего трафика). DiffServ (маркировка пакетов, DSCP) использует в заголовках IP пакетов поле DS вместо поля ToS (Type of Service) для задания приоритета обслуживания (64 уровня вместо 8 в ToS, обратная совместимость). Можно (?) задать таблицу соответствия уровней DSCP и 802.1P и необходимость преобразования и/или вставки DSCP в пакеты по портам. Имеется возможность ограничить время нахождения пакета в очереди устройства (1, 2 или 4 секунды).
STP (IEEE 802.1D, Spanning Tree Protocol), RSTP (802.1W, Rapid Spanning Tree Protocol, ускоренное перестроение дерева) и MSTP (802.1s, Multiple Spanning Tree Protocol, адаптация RSTP к VLAN) - обеспечение запасных путей без образования циклов.
IGMP 1/2/3 (протокол управления членством в multicast группах): фильтрация и извлечение информации из проходящего трафика (до 16 VLAN: автоматический выбор первых 16, задание списка VID, MRV (Multicast VLAN Registration)). Работа в качестве IGMP сервера - Auto, Enable (Fixed), Disable (Edge).
Агрегирование портов (до 2 групп из 100Mb портов и одна группа из гигабитных портов, до 4 портов в группе): ручное (trunk) или 802.3ad (динамическое объединение или резервный порт с помощью LAPC, порт может быть в активном или пассивном режиме). Для LACP необходим полный дуплекс. Все порты в одной группе транка должны иметь одинаковые параметры (носитель, скорость, дуплекс, управление потоком). LACP и транки несовместимы. Требуется сначала настроить LACP или транки и только затем соединять.
MAC адреса можно привязывать к портам статически (до 256 адресов; указывается имя, MAC адрес, VID, порт), можно задать список фильтруемых MAC адресов (до 256 адресов; указывается имя, MAC адрес, VID). Можно запретить динамическое занесение новых MAC адресов для указанных портов (почему-то только 100M порты) или ограничить количество добавляемых MAC адресов (от 0 до 8192), а также запретить прохождение через порт пакетов, MAC адрес которых отсутствует в таблице (port security). Время нахождения MAC адреса в таблице известных настраивается (по умолчанию - 300 секунд). Входящий и/или исходящий трафик при этом можно фильтровать по MAC адресу источника и/или приёмника.
Можно ограничить входящий и/или исходящий трафик (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps) отдельно для каждого порта.
Можно задать максимальный трафик широковещательных и групповых пакетов (broadcast storm control) отдельно для каждого порта (в зависимости от диапазона округляется до 64 kbps, 1 mbps или 8 mbps).
Любую комбинацию входящего и/или исходящего трафика для произвольного списка портов (включая гигабитный) можно направить на любой порт для анализа (mirroring), при этом порт мониторинга продолжает получать свой трафик. Возможна фильтрация по исодящему или входящему MAC адресу.
VLAN (по портам, до 4094 PVID, до 256 статических VLAN, 802.1Q без GVRP в пределах коммутатора, 802.1Q с GVRP между коммутаторами). GVRP - GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol - обеспечивает обмен информацией о членстве во VLAN между коммутаторами (т.е. достаточно поменять конфигурацию только с одной стороны). Параметры GARP настраиваются (Join Period, Leave Period, Leave All Timer). VLAN trunking позволяет пропускать пакеты с незнакомыми VLAN ID насквозь для указанных портов. По умолчанию все порты и сам коммутатор (порт CPU) имеют VLAN ID 1 (удалять её не стоит). При статической конфигурации VLAN для каждого порта указывается принадлежит ли он к этой VLAN (порт может входить в несколько VLAN), нужно ли обрезать или добавлять заголовок 802.1Q, позволять ли добавлять порт к VLAN по GVRP, позволять или не позволять привязывать его статически. Порт с именем CPU является портом управления (его разумно соединить со всеми портами), можно указать дополнительные IP адреса (маску, шлюз, VID) для порта управления. Конфигурация заключается в разметке матрицы портов: с какого порта на какой можно отправлять пакеты (имеется 2 предопределённые матрицы: всеобщая связь и изоляция портов). Изолированный порт может взаимодействовать только с портом управления и гигабитным портом (которым из них?). При использовании VLAN в соответствии с 802.1Q в каждый исходящий из порта ethernet кадр добавляется поле, содержащее VLAN ID (настройка по протоколам или исходящим адресам). Кадр, приходящий в порт, может иметь метку произвольного VLAN, VLAN ID для не имеющих меток кадров указывается при настройке коммутатора. Можно фильтровать входящие кадры, имеющие неправильный VLAN ID и/или не имеющие меток.
Защита от фальшивых ARP пакетов (IP source guard) - администратор составляет таблицу со следующими полями: MAC адрес, идентификатор VLAN, IP адрес и номер порта коммутатора. Коммутатор пропускает только те ARP пакеты, которые соответствуют этой таблице (активируется отдельно для каждого порта и VLAN). При появлении поддельного пакета некоторое время блокируется весь траффик с этим MAC. Информация об этом может направляться на syslog сервер - указывается интервал и число сообщений в пакете.
Дополнительная (к STP) защита от петель в сети (loop guard) позволяет обнаруживать кабели, соединяющие 2 порта одного и того же коммутатора. Посылается тестовый пакет, если пакет возвращается обратно, значит порт соединён с "зацикленным" коммутатором и он блокируется. Побочным эффектом может являться потеря связности сети, так что применять можно только на портах, к которым подключены граничные коммутаторы или конечные устройства. Если тестовый пакет возвращается через другой порт, значит мы имеем "обычный" цикл и порт также блокируется. Разблокировать порт необходимо вручную после устранения проблемы.
Диагностика позволяет посмотреть внутренний журнал, протестировать ethernet порт (internal loopback test) и "пингануть" хост.
Последняя версия firmware (v3.80 (TX.0) C0, Bootbase 1.08, RomFile version ?, поддержка нового процессора): автоматический переход на летнее время, блокировка циклов, TACACS+, 802.3ah, DHCP Relay, IP Source Guard (связывает MAC, IP, номер порта и VLAN), несколько уровней привилегий, SNMPv3, IGMP Snooping. Загрузка новых версий (рекомендуется иметь в этот момент соединение по RS-232, чтобы контролировать процесс и ввести "boot config") по
Возможна удаленная перезагрузка с сохранением текущих параметров, с возвратом к фабричным значениям. Через web интерфейс можно загрузить прошивку; сохранить, восстановить или сбросить конфигурацию (файл с суффиксом .log содержит команды CLI, в т.ч. установление входного пароля и комьюнити SNMP); перезагрузить устройство с альтернативной конфигурацией.
Командный язык (CLI) для настройки коммутатора по telnet, ssh или с консоли сильно напоминает команды Cisco IOS:
Основные команды уровня оператора:
Основные команды уровня администратора:
Основные команды режима настройки ("no" перед командой означает обратное действие; список портов записывается через запятую; интервал портов записывается через минус):
Основные параметры настройки интерфейса ("no" перед командой означает обратное действие):
Основные параметры настройки VLAN ("no" перед командой означает обратное действие):
Allied Telesyn AT-8524M-50 (ATS62_LOADER v1.1.0, ATS62 v1.2.1 NE) представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.6 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X только в режиме автосогласования) с двумя слотами, в которые вставляются модули AT-A46 (10/100/1000Base-TX, включить 1000 не смог), с автоматическим согласованием скорости и режима дуплекса, возможностью вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8000 MAC адресов, 32 MB ОП.
Управляется (один оператор одновременно) по HTTP (SSL, нет в версии NE), RS-232 (8N1, 9600, VT100, здесь же доступен загрузчик, меню и CLI), telnet (SSHv2, нет в версии NE; меню и CLI; некоторые ограничения по сравнению с локальным доступом), SNMPv1/2c/3 (RFC-1153, RFC-1213, RFC-1215, RFC-1493, RFC-1643, RFC-2674, RFC-2863, atistackswitch.mib, atistackinfo.mib). Только один сеанс telnet или RS-232 одновременно. Стандартные имя/пароль: manager/friend и operator/operator (только чтение, в т.ч. можно увидеть имя комьюнити SNMP с правами на изменение). Имена пользователей изменить нельзя (а также универсальный пароль доступа). Пароли доступны для SNMP. Поставляется с выключенным DHCP-клиентом и IP-адресом 0.0.0.0.
Позволяет получать время с NTP сервера (адрес и смещение относительно UTC может получать через DHCP). Летнее время необходимо переводить вручную. Внутренний таймер отстаёт на 1% (от сети 50Hz?).
SSH может использовать только ключи, созданные устройством. Ассиметричное шифрование - RSA, до 1536 бит. Обмен ключами - DH. Частный ключ экспортировать нельзя. Симметричное шифрование - DES (CBC), 3DES, RC4 (arcfour), AES. MAC - hmac-md5 и hmac-sha1. Для SSH требуется 2 пары ключей (1536 для ключей сервера и 1280 для хоста; зачем это для SSH2?). Аутентификация только по паролю. Генерация ключа длиной 1536 занимает 10 минут на ненагруженном коммутаторе. DSA нет, так что на клиентском компьютере необходимо создать пару ключей для RSA и добавить её в связку, а также разрешить их использование (RSAAuthentication yes; HostKeyAlgorithms ssh-rsa). Соединение очень медленное. Похоже, что внутри OpenSSH_3.6.1p2 (тогда почему нет DSA и public key?).
При статической привязке MAC адресов к портам (menu => MAC Address Tables => MAC Addresses Configuration => Add Static MAC Address) адреса необходимо указывать в формате: 00-80-AD-82-5F-6C. Установка состояния безопасности порта только через telnet (ssh) интерфейс (menu => Port Configuration => Port Security). Не забудьте сохранить конфигурацию. Безопасность портов несовместима с 802.1x управлением доступа. Каждый порт может находиться в одном из состояний безопасности (ingress фильтрация):
Соединить его прямым кабелем с Acorp (8-портовый коммутатор 10/100) не удалось ни в режиме автоопределения, ни вручную задавая скорости и MDI/MDIX).
Временами перестаёт воспринимать ответы DHCP сервера и теряет адрес.
Planet FGSW-2402S представляет собой 24-портовый неблокирующий коммутатор (8.8 Gbps, 6.54 Mpps, store and forward) Fast Ethernet (802.3 и 802.3u, 10Base-T, 100Base-TX, автоматическое определение MDI/MDI-X) с двумя слотами, в которые вставляются модули 1000Base-TX, с автоматическим согласованием скорости и режима дуплекса, управление потоком (методом обратного давления для полудуплекса или 802.3x для дуплекса). До 8K MAC адресов, 2.5Mb (6Mb?) ОП. Имеется кнопка Reset. Потребляемая мощность - 40 Вт, т.е. сильно греется и снабжён шумными вентиляторами.
Управляется по RS-232 (8N1, 19200, VT100, пароль "admin" или имя пользователя "admin" с пустым паролем): возможность вручную отключить доступ к порту, задать его скорость и режим дуплекса, включить управление потоком, задать параметры QoS (модель RS), агрегирования портов (до 4 транков по 8 портов в каждом, выбор ограничен), VLAN (до 8 штук по портам; 802.1Q только в RS), ограничение потока на каждом порту отдельно на приём и передачу (128K, 256K, 512K, 1M, 2M, 4M, 8M), мониторинг порта (указывается исходный порт, порт мониторинга), ограничение доли широковещательных пакетов (6%, 20%), сбор статистики по портам. Имеется режим (MTU), в котором оборудование подключённое к портам 1-25 может обмениваться пакетами только с портом 26 или порты 1-12 с портом 25, а порты 13-24 с портом 26.
|
Bog BOS: hardware: Ethernet |