Харьков, ул. Руставели, 15

057 704-34-84
057 717-68-61

050 402-63-99
067 573-36-78

E-mail: support@comtel.net.ua

Стоматологический кабинет "СоВа"

Ethernet в каждый дом

Информационные технологии и телекоммуникации уже прочно вошли в нашу повседневную жизнь – стали частью не только бизнеса, но и современного быта. Пожалуй, вряд ли найдётся сегодня человек, не понимающий преимуществ использования этих инструментов. Сейчас невозможно представить офис даже небольшой компании, не имеющий локальной сети и доступа к интернет.

На заре появления интернет основной технологией доступа к сети являлся коммутируемый доступ. Сегодня же подавляющее большинство компаний и частных пользователей получают доступ к всемирной паутине при помощи разнообразных широкополосных технологий, таких как: xDSL (преимущественно ADSL), DOCSIS (сети кабельного телевидения), Ethernet To The Home – ETTH. Данные технологии предоставляют пользователю целый ряд преимуществ, по сравнению с коммутируемым доступом, это, и гораздо более высокие скорости передачи, причём по симметричному каналу, т.е. передача и приём данных осуществляется одновременно, и отсутствие процедуры дозвона, т.е. пользователь всегда является подключённым к интернету, и свободная телефонная линия во время работы в интернете.

Из всех широкополосных технологий наиболее интересной и перспективной представляется ETTH, так как является наиболее скоростной, а также поддерживает симметричные скорости передачи данных к пользователю и от пользователя. Теоретически технология ADSL2+ позволяет пользователю принимать данные на скорости до 24Мбит/с и отправлять со скоростью до 3Мбит/с, но реальная скорость подключения очень сильно зависит от качества кабельной линии. Операторы, предоставляющие доступ по каналам кабельного телевидения с использованием технологии DOCSIS 3.0 обычно дают пользователям канал со скоростью до 152Мбит/с (4-х канальный DOCSIS), хотя максимальная скорость может достигать 400Мбит/с (8-ми канальный EuroDOCSIS). Скорость от пользователя в обеих вариантах составляет до 108Мбит/с. Реальная же скорость в DOCSIS 3.0 зависит, как от качества линии, так и от количества подключённых пользователей, так как предоставляемая полоса делится между всеми пользователями, подключёнными к одному порту CMTS. В отличие от описанных технологий, ETTH позволяет доставить пользователю и принять от него данные на скорости вплоть до 10Гбит/с. Конечно, провайдеры услуг не предлагают конечным пользователям такие скорости, но теоретически это возможно. Как правило, конечному пользователю предоставляется порт со скоростью в 100Мбит/с или 1Гбит/с. Причём, данная скорость может полностью утилизироваться одним абонентом (она не делится на нескольких пользователей, как в DOCSIS или PON) и не снижается при ухудшении качества линии, т.е. соединение происходит, или на скорости 100Мбит/с (1Гбит/с), или совсем не устанавливается, если качество линии очень плохое. Как видно, даже на сегодняшний день, скорости, предоставляемые данной технологией, в несколько раз превышают скорости, предоставляемые другими технологиями. Особенно хочется отметить то, что скорости предоставляемые пользователю симметричны, т.е. приём и передача данных осуществляется на одинаковых скоростях, что в некоторых ситуациях является очень большим преимуществом. Асимметричные технологии подходят для пользователей, которые пользуются ресурсами интернета, так как в этом случае объём принимаемой информации гораздо выше, чем передаваемой. Но если существует необходимость объединения локальных сетей двух офисов, или организации видеоконференции, или домашние пользователи хотят поиграть друг с другом в компьютерные игры, или один из пользователей хочет предоставить свои ресурсы другим, то в данном случае скорость обратного канала может являться узким местом.

Сети ETTH по своей сути являются теми же Ethernet сетями, что и офисные или корпоративные, и при их построении используются те же принципы, но они всё-таки обладают рядом существенных особенностей, которые требуют другого подхода к их проектированию и построению. Они обладают большой территориальной распределённостью, что сказывается на выборе оборудования, и способе администрирования, требуют применения оптического волокна и соответствующего активного оборудования, повышая начальную стоимость проекта. Устройства, применяемые в таких сетях должны иметь возможность удалённого управления, так как выполнение каждодневных административных задач, мониторинг сети и устранение проблем выполнять локально практически невозможно. Такие задачи должны выполняться централизовано при помощи специального программного обеспечения, позволяющего не только удалённо администрировать устройства, а и позволяющего локализовывать проблему, принимать определённые уведомления от оборудования, снимать с него необходимые статистические данные и др. Провайдерские сети обладают низкой концентрацией клиентов, что не позволяет использовать крупные центры коммутации, оборудованные устройствами с высокой плотностью портов. Наоборот, требуются устройства с небольшим количеством портов, устанавливаемые разрознённо и при этом обладающие высоким уровнем управляемости. Отсутствие доступа к клиентским машинам, невозможность их конфигурирования и установки на них необходимого программного обеспечения приводит к применению специфических мер по обеспечению безопасности. Оборудование для таких сетей устанавливается не в серверных помещениях, а в антивандальных шкафах в неприспособленных помещениях: в лифтовых, на чердаках, в подвалах. Поэтому оно должно быть как можно более компактным, стойким к перепадам температуры и напряжения питания, устойчивым к статическому электричеству и желательно поддерживать возможность запитки от низковольтных источников постоянного тока для обеспечения бесперебойного питания, в случае выхода со строя основного.

Топология таких сетей тоже немного отличается от офисных и корпоративных (рис. 1). Сети ETTH, как и корпоративные, строятся в соответствии с многоуровневой иерархической моделью, но задачи, выполняемые разными уровнями и протоколы, используемые устройствами на этих уровнях, могут отличаться от таковых в корпоративных сетях. Как правило, немного отличается и физическая топология уровней.

Как же строятся такие сети, и какие функции устройств, и на каком уровне являются необходимыми?

Уровень ядра в таких сетях, зачастую, строится по кольцевой или меш топологии. Устройства данного уровня должны обладать высокой производительностью и иметь оптические 10Гигабитные порты. С целью снижения нагрузки, с уровня ядра снимаются все дополнительные задачи по обработке трафика. Эти задачи переносятся на уровень распределения, который легко масштабируется при помощи увеличения количества коммутаторов. Естественно, коммутаторы уровня ядра должны поддерживать необходимые в ядре технологии: протоколы, позволяющие обеспечить резервирование устройств – ERPS и/или STP (RSTP, MSTP), IEEE 802.1Q и Q-in-Q для создания и проброса виртуальных сетей, IEEE 802.1p для обеспечения качества обслуживания, OAM/CFM для мониторинга и поиска неисправностей и др. Кроме перечисленных протоколов необходима поддержка надёжных и безопасных механизмов администрирования: SNMPv3, SSL, SSH.

При построении кольцевой топологии очень часто встаёт вопрос, на каком протоколе остановиться: ERPS или STP, ведь каждый из протоколов имеет свои преимущества и недостатки. Преимуществом STP является то, что он может быть наложен практически на любую физическую топологию сети, в отличие от ERPS, который может использоваться исключительно в кольцевой топологии. Во всём остальном STP проигрывает. ERPS имеет меньшее время сходимости – в среднем 200мс, по сравнению с 5 сек у RSTP/MSTP. Он позволяет однозначно указать, какой порт (RPL) и на каком коммутаторе (RPL Owner) будет заблокирован по умолчанию, в отличие от STP, где это делается при помощи приоритетов и не является однозначным. В ERPS по умолчанию будет заблокирован, указанный RPL порт, но если в кольце где-то произойдёт обрыв, то так же, как и в STP заблокированный порт разблокируется. Если в месте обрыва опять восстановится связь, то возврат к предыдущей конфигурации произойдёт не сразу, а через какое-то время (WTR Timer). Это сделано для того, что бы в случае нестабильного соединения не происходило постоянной перестройки топологии, как это происходит в STP.

Рисунок 1. Топология сети ETTH

Так как коммутаторы уровня ядра обычно находятся на хорошо обслуживаемых площадках и имеют достаточное количество линий связи, позволяющих построить любую физическую топологию, то на этом уровне более предпочтительным является использование протокола ERPS, в отличие от уровня распределения, где ограничением может быть физическая топология.

В крупных сетях для уровня ядра компания D-Link рекомендует использовать высокопроизводительные и высокофункциональные модульные коммутаторы DES-7200 или DGS-6604. Коммутатор DES-7200 (рис. 2) выпускается в двух вариантах шасси: 6-ти и 10-ти слотовом. В каждом шасси два слота зарезервированы для установки модулей управления, остальные отведены под интерфейсные модули. Существует довольно большое число различных интерфейсных модулей, позволяющих подобрать необходимую комбинацию портов. Устройство является высокофункциональным и высокопроизводительным маршрутизирующим коммутатором и поддерживает большое число протоколов и технологий: MPLS, динамические протоколы маршрутизации: BGP, OSPF, RIP, протоколы маршрутизации многоадресного трафика (multicast): DVMRP, PIM-DM, PIM-SM, PIM-SSM и др. Коммутатор DGS-6604 (рис. 3) является довольно новой разработкой компании D-Link и представляет собой 4-х слотовое шасси, в котором один слот отведён для модуля управления, а остальные три предназначены для установки интерфейсных модулей. Устройство предлагает высокую функциональность и высокую производительность при оптимальной стоимости за порт.

В небольших сетях для уровня ядра могут подойти оптические коммутаторы: серии DXS-3600 или DGS-3620-28SC. Серия DXS-3600 включает два коммутатора: DXS-3600-32S (рис. 4), который имеет 24 10Гигабитных SFP+ порта и DXS-3600-16S (рис. 5), который имеет 8 10Гигабитных SFP+ портов. Оба коммутатора имеют слот расширения. В этот слот можно установить дополнительные модули с поддержкой различных типов оптических и медных портов: 1Гбит/с, 10Гбит/с, 40Гбит/с, 120Гбит/с. Коммутатор DGS-3620-28SC (рис. 6) имеет 24 порта SFP (4 из которых являются комбинированными UTP/SFP) и 4 порта SFP+. Обе линейки коммутаторов являются коммутаторами L3, поддерживают динамические протоколы маршрутизации: BGP, OSPF, RIP, протоколы маршрутизации многоадресного трафика: DVMRP, PIM, а также MPLS.

Рисунок 4. Коммутатор DXS-3600-32SРисунок 5. Коммутатор DXS-3600-16SРисунок 6. Коммутатор DGS-3620-28SC

При построении уровня распределения используются: кольцевые, меш или звездообразные топологии. Очень часто встаёт вопрос, какую топологию выбрать. Каждая из топологий имеет свои преимущества и недостатки. Звездообразная топология проще при построении, администрировании, внедрении различного функционала, поиске неисправностей, но при этом она не имеет резервирования и на её построение идёт больше оптического кабеля и оборудования. В кольцеобразной топологии всё наоборот – она более сложная при администрировании, но есть резервирование и она дешевле. Меш топология, при более близком рассмотрении, представляет собой множественную кольцевую топологию. Выбор топологии зависит, в первую очередь, от наличия у оператора высококвалифицированных специалистов. Если такие специалисты имеются, и их квалификация позволяет правильно построить и в дальнейшем обслуживать кольцевую или меш топологию, то лучше выбрать именно их. Если высококвалифицированных специалистов нет, то лучше остановиться на звездообразной топологии. Нередко в одной и той же сети используются различные топологии, так как особенностью построения сетей ETTH является отсутствие возможности изменить внешние условия под себя, т.е. кабель прокладывается там, где существует возможность его прокладки, а не там, где хочется его проложить, в отличие от офисных сетей, где трассу можно проложить практически по любому маршруту, пробив необходимые отверстия в стенах или перекрытиях и уложив кабеля в короба или в лотки.

Устройства уровня распределения должны поддерживать базовый набор необходимых технологий: ERPS, STP (RSTP, MSTP), IGMP/MLD Snooping, 802.1Q, Q-in-Q, GVRP, 802.1p, OAM/CFM, SNMPv3, SSL, SSH, NTP. На данном уровне, как правило, выполняется маршрутизация трафика, соответственно, коммутаторы должны поддерживать требуемые протоколы: OSPF, DVMRP, PIM-DM, PIM-SM, PIM-SSM, VRRP.

При выборе протокола маршрутизации многоадресного трафика часто возникает вопрос, на каком из протоколов остановиться: DVMRP, PIM-DM или PIM-SM. Оптимальным выбором будет PIM-SM, так как PIM-DM и DVMRP создают излишнюю нагрузку на сеть. Данные протоколы периодически транслируют все имеющиеся многоадресные группы во все свои интерфейсы до тех пор, пока на эти интерфейсы не придёт отписка от них. PIM-SM работает только по запросу и транслирует в интерфейс только те группы, в которые был join report. Правда, в больших загруженных сетях использование PIM-SM может привести к значительным задержкам между переключением каналов у конечного пользователя, так как репорту необходимо пройти по длинному маршруту через все коммутаторы к источнику мультикаста, а потом, запрошенная группа должна вернуться по этому же или другому маршруту. Для снижения этих задержек в ядре, а в некоторых случаях и на уровне агрегации транслируются все многоадресные группы, а обработка по запросу (репорту) происходит только на более низких уровнях.

В зависимости от размеров сети, в качестве коммутаторов уровня агрегации рекомендуется использовать коммутаторы серии DXS-3600 (рис. 4, 5) или DGS-3620-28SC (рис. 6). В некоторых случаях уровень агрегации может иметь несколько подуровней, обычно два или три. Тогда для подуровня, который находится ближе всего к ядру можно использовать коммутаторы с большим количеством 10-ти гигабитных портов, т.е. серию DXS-3600. Для следующего подуровня могут использоваться L3 коммутаторы с большим количеством оптических гигабитных портов и некоторым количеством 10-ти гигабитных портов (для подключения к верхнему подуровню уровня распределения), например, DGS-3620-28SC. А самый нижний подуровень уровня распределения может являться L2 подуровнем и служить в качестве оптического концентратора для объединения коммутаторов уровня доступа. На этом подуровне могут использоваться коммутаторы серии DGS-3420 или DGS-3120-24SC. Серия DGS-3420 имеет в своём составе два оптических коммутатора DGS-3420-28SC (рис. 7) и DGS-3420-26SC (рис. 8). Устройства этой серии поддерживают статическую маршрутизацию и все необходимые технологии и протоколы: ERPS, STP (RSTP, MSTP), IGMP/MLD Snooping, 802.1Q, Q-in-Q, GVRP, 802.1p, OAM/CFM, SNMPv3, SSL, SSH, NTP и т.д. Коммутатор DGS-3420-28SC имеет 24 порта SFP (4 из которых являются комбинированными UTP/SFP) и 4 порта SFP+, а DGS-3420-26SC - 24 порта SFP (4 из которых являются комбинированными UTP/SFP) и 2 порта SFP+. Коммутатор DGS-3120-24SC (рис. 9) по своим функциональным возможностям похож на серию DGS-3420, но имеет 24 порта SFP (8 из которых являются комбинированными UTP/SFP) и 2 медных порта CX4.

Рисунок 7. Коммутатор DGS-3420-28SCРисунок 8. Коммутатор DGS-3420-26SCРисунок 9. Коммутатор DGS-3120-24SC

Уровень доступа в сетях ETTH является довольно специфическим. С одной стороны, на данном уровне решается большинство задач обеспечения безопасности и задач обеспечения качества обслуживания, т.е. устройства должны быть довольно высокофункциональными, а с другой - довольно дешёвыми, так как их установка производится непосредственно в домах и, соответственно, требуется таких коммутаторов довольно много. К общему повышению стоимости уровня доступа также может приводить использование малопортовых коммутаторов, у которых стоимость порта выше, чем в многопортовых.

Строится уровень доступа, как правило, по кольцевой или звездообразной топологии. Конкретный функционал коммутаторов уровня доступа очень сильно зависит от модели предоставления услуг, выбранной оператором. Например, если оператор производит аутентификацию пользователя по его IP адресу (на сегодняшний день – это один из наиболее популярных вариантов), то соответственно, коммутатор должен поддерживать механизмы, не позволяющие пользователю произвести подмену своего адреса. В коммутаторах D-Link такая функция называется IP-MAC-Port Binding. Она позволяет указать на порту коммутатора IP и MAC адрес клиента, а в случае его подмены пользователь не получит доступ в сеть. Для крупных операторов использование функции IP-MAC-Port Binding является неудобным, так как смена МАС адресов на пользовательских портах может происходить довольно часто и оператору в этом случае необходимо, или самому каждый раз производить перепривязку, или предоставить пользователю возможность делать это самостоятельно, например, через веб портал. Более удобным для провайдера является механизм DHCP Snooping. В этом случае нет необходимости оператору на каждом порту вручную производить привязку IP и MAC адресов. Раздача IP адресов в сети производится по DHCP, а коммутатор отслеживает какой IP адрес был получен клиентом и автоматически привязывает его к порту. Что бы иметь возможность отследить, какой IP адрес, на какой порт коммутатора был выдан, необходима поддержка ещё одной функции – DHCP Relay с возможностью вставки Option 82. При её использовании коммутатор будет вставлять в клиентский DHCP запрос информацию о коммутаторе, к которому подключен клиент (как правило, это МАС адрес коммутатора) и номер порта.

Ещё одним популярным механизмом аутентификации является использование протоколов тунелирования, таких как: PPPoE, PPTP и L2TP. Наиболее удобным из них является PPPoE. В этом случае от коммутаторов доступа не требуется поддержка механизмов IP-MAC-Port Binding и DHCP Snooping, но на клиентской стороне требуется поддержка, используемого у провайдера протокола тунелирования, а на стороне оператора требуется установка и поддержка BRASов. При использовании протокола PPPoE полезной может оказаться возможность вставки Circuit-ID в заголовки PPPoE пакетов. Данная функция называется PPPoE Circuit-ID Insertion и похожа на функцию DHCP Option 82. Она даёт возможность отследить с какого порта коммутатора клиент устанавливает сессию, позволяя применить к этому порту определённые политики.

Если оператор предоставляет пользователю не только доступ в интернет, а и какие-то дополнительные услуги, например, IPTV, VoIP, Video-on-Demand, то возникает вопрос, каким образом это лучше сделать, что бы обеспечить оптимальное качество каждой услуги. С технической точки зрения, наиболее удобным вариантом для оператора является предоставление каждой услуги в своём вилане (VLAN). При такой модели управлять услугами и обеспечить каждой услуге наилучшее качество обслуживания проще всего, но этот способ приводит к определённым проблемам на стороне клиента. Что бы пользователь мог принять все услуги, у него необходимо установить устройство, которое примет тегированный трафик и предоставит его пользователю в виде нескольких нетегированных портов. Если пользователь хочет принимать все услуги одновременно, то ему потребуются дополнительные устройства, такие как IP Set-Top-Box и IP телефон. Минимальная стоимость всех трех устройств будет превышать 200$, что для абонента может оказаться критичным. Если данные устройства собирается предоставлять абоненту оператор, то данная сумма для него может быть ещё более критичной, чем для абонента, так как она более, чем в 20 раз превышает стоимость порта коммутатора. Если же пользователь захочет одновременно принимать все три услуги на своём компьютере, то у него тоже ничего не получится, так как каждая услуга доступна только в своём порту абонентского коммутатора или маршрутизатора. Т.е. он сможет получить услуги только по отдельности, причём каждый раз ему потребуется переключать свой кабель в другой порт устройства. А если пользователь захочет принимать услуги по Wi-Fi? А если пользователь захочет принимать услугу на нескольких телевизорах и/или нескольких IP телефонах, как будет выглядеть кабельная разводка в его квартире?

Второй способ предоставления услуг – это использование динамических виланов. В этом случае данные передаются в обычном статическом вилане, а голос и видео, соответственно, в динамических голосовом (VoIP) и мультикастовом (ISM) вилане. При использовании такой модели есть определённые проблемы с классификацией голосового трафика. В отличие от корпоративной сети, в провайдерской довольно сложно отделить голосовой трафик от всего остального и поместить в отдельный вилан. В данном случае мы не можем использовать OUI, так как не знаем, телефоны каких производителей будут установлены у абонентов, а также не можем применять какие-либо протоколы автоматического определения типа устройств, например LLDP, так как он может не поддерживаться этими устройствами. OUI не может быть использован ещё и по той причине, что абоненты для голосовой связи могут использовать компьютеры или коммуникаторы, в результате их обычный сетевой трафик может попасть в голосовой вилан.

Довольно популярным остаётся третий способ предоставления услуг, когда голосовой и трафик передачи данных идут в одном статическом вилане, а мультикастовый в отдельном динамическом мультикастовом вилане. В этом случае оператору немного сложнее обеспечить качество услуг, но абоненту предоставляется нетегированный порт. Т.е. пользователю нет необходимости приобретать дополнительные устройства, и он может одновременно принять все услуги на своём компьютере.

Довольно остро в операторских сетях стоит вопрос обеспечения безопасности, причём решать его гораздо сложнее, чем в корпоративных. Так происходит, потому что в операторских сетях: практически невозможно использовать организационные меры обеспечения безопасности, клиентское оборудование не унифицировано и технические службы провайдера не имеют к нему доступа, т.е. не могут устанавливать на него необходимое ПО и применять необходимые политики. В результате, все задачи безопасности должны решаться на стороне оператора, и не просто на стороне оператора, а на уровне доступа. Если не решить все задачи безопасности на абонентском порту, то пользователь, подключившись к коммутатору доступа, уже сможет выполнить определённые атаки. В случае выдачи оператором адресов пользователям по DHCP, необходимо обязательно использовать функцию DHCP Screening, позволяющую запретить использование DHCP серверов на пользовательских портах. Если аутентификация абонентов производится по IP адресу, то необходимы механизмы, предотвращающие подмену абонентом адреса, такие как: IP-MAC-Port Binding или DHCP Snooping. Для предотвращения атак типа ARP Spoofing необходимо использование функций типа: ARP Spoofing Prevention или ARP Inspection. Если в провайдерской сети используется протокол STP, то необходимы механизмы, предотвращающие атаки на этот протокол. На пользовательских портах необходимо включать функцию Restricted Role, запрещающую порту коммутатора становится рутовым и Restricted Tcn, которая отбрасывает TCN (Topology Change Notification) пакеты. Если в сети несколько колец, то Restricted Tcn можно включать и на портах коммутаторов кольца, которые подключены к вышестоящим уровням, что бы изменения в одном кольце не приводили к перестройке всех колец сети. Также, необходимо помнить, что протокол STP в некоторых ситуациях не умеет бороться с кольцами. Такие условия могут возникнуть, когда для коммутатора, на котором включён STP, кольцо находится в пределах одного порта. Для избежания проблем, вызванных такими топологиями необходимо включать функцию Loopback Detection.

Хорошей практикой в провайдерской сети является ограничение на пользовательском порту паразитного трафика - таких протоколов, как: NetBIOS, SMB, UPnP. Делается это, или при помощи ACLей, или при помощи функции NetBIOS Filter.

Для уровня доступа рекомендуется использование устройств серии DES-3200 (рис. 10), которая обладает всем необходимым функционалом и включает различные модели с необходимым количеством портов для подключения пользователей: 8, 16, 24, или 48, и необходимым количеством портов для подключения к магистрали: 2 или 4. Многим, также, подойдёт коммутатор более младшей серии DES-1210-28/ME/B2. По своему функционалу он напоминает серию DES-3200, но в нём отсутствует поддержка таких технологий как: ERPS, SIM, CFM/OAM.

Рисунок 10. Коммутаторы серии DES-3200 (DES-3200-10, DES-3200-18, DES-3200-26, DES-3200-28, DES-3200-28F, DES-3200-28P, DES-3200-52,DES-3200-52P)

Построение сетей провайдеров довольно специфическая и сложная задача. Такие сети являются не вспомогательным инструментом для решения основных бизнес задач, а средством ведения бизнеса, и от того каким образом функционирует такая сеть, зависит его успешность. Поэтому подходить к построению сетей ETTH и подбору оборудования необходимо с особой тщательностью и аккуратностью. Компания D-Link прилагает все усилия, что бы помочь операторам решить их технические и бизнес задачи. D-Link имеет значительный опыт в проектировании и построении провайдерских сетей. На нашем оборудовании работают многие крупные проекты по всему миру.

Более подробно о продуктах и решениях D-Link можно узнать на еженедельных бесплатных технических тренингах в офисах компании D-Link. Расписание тренингов находится на сайте D-Link по адресу http://service.d-link.ua/node/21.

Данный материал скопирован с официального сайта D-Link.

© 2017 TELNET Service. Все права защищены.