Обзор коммутатора SNR-S2990G-48T

В магазин shop.nag.ru поступили долгожданные новинки - гигабитные коммутаторы доступа новой серии SNR-S2990G. На данный момент доступны три модели:

1. SNR-S2990G-24T - имеет 24 порта 10/100/1000BaseT и 4 порта SFP 100/1000BaseX,
2. SNR-S2990G-24TX - имеет 24 порта 10/100/1000BaseT и 4 порта 1/10G SFP,
3. SNR-S2990G-48T - имеет 48 портов 10/100/1000BaseT и 4 портами SFP 100/1000BaseX.

Особенно интересна модель SNR-S2990G-48T, так как этот коммутатор призван заменить SNR-S2960-48G в модельном ряду коммутаторов доступа SNR, и предлагается по уникальной цене - менее 8$ за гигабитный порт, что практически равно цене порта 48-портовых FastEthernet-коммутаторов.

В этом обзоре мы поближе познакомимся с коммутатором SNR-S2990G-48T и протестируем основной функционал. Особенно хочется отметить, что результаты тестирования применимы и к модели SNR-S2990G-24T, так как она основана на том же чипсете и имеет ту-же прошивку.

Коммутатор сделан в стандартном форм-факторе для монтажа в 19 дюймовую стойку. Размеры коммутатора 440 x 44 x 280 мм. На передней панели расположены 48 медных гигабитных портов, 4 порта SFP, консольный порт и менеджмент-порт, который в текущей версии прошивки не используется. Сзади расположен только разъем для подключения шнура питания.

Комплектация коммутатора стандартная: шнур питания, консольный шнур, уши для крепления в стойку, резиновые ножки, руководство по установке и лист комплектации.

Посмотрим, что находится внутри коммутатора:

Плата сделана аккуратно, претензий к монтажу нет. На медных портах присутствует грозозащита до 6 кВ. Для охлаждения коммутатора установлен один вентилятор с регулируемой скоростью вращения.

Подключимся к коммутатору консольным кабелем. Логин и пароль по умолчанию - admin/admin.

User Access Verification
Username:admin
Password: SNR-S2990G-48T#

Посмотрим версию ПО:

SNR-S2990G-48T#sh ver
SNR-S2990G-48T Device, Compiled on Jul 31 22:30:02 2014
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
CPU Mac f8:f0:82:73:48:04
Vlan MAC f8:f0:82:73:48:03
SoftWare Version 7.0.3.5(R0102.0081)
BootRom Version 7.1.36
HardWare Version R01
CPLD Version N/A
Serial No.:SW041610E820000459
Copyright (C) 2014 NAG LLC
All rights reserved
Last reboot is cold reset.
Uptime is 0 weeks, 0 days, 0 hours, 5 minutes

Коммутатор имеет последнюю, на данный момент, версию прошивки и её обновление не требуется.

Начнем тесты с таблицы MAC-адресов. Будем моделировать самую плохую ситуацию: все пакеты приходят на коммутатор в одном Vlan. Результаты тестирования представлены в таблице ниже.

Номинальный размер FDB - 16000 записей. Как видно, до 10000 маков коллизий нет совсем, все мак-адреса изучены. Это является хорошим результатом и достаточно для коммутатора доступа.

Перейдем к настройкам. Коммутатор имеет стандартную для всех моделей SNR сli. Если Вы уже работали с коммутаторами SNR-серий 2940, 2950, 2960, 2980 то настройка SNR-S2990G сложностей не вызовет. Не возникнет проблем также и у тех, кто имеет опыт работы с оборудованием Cisco, так как cli SNR и Cisco очень похожи.

Проверим стандартный функционал, используемый интернет провайдерами на коммутаторах доступа.

MVR и IGMP Snooping

В vlan 20 приходит мультикаст с IPTV, vlan 10 - клиентский. Создаем Vlan’ы и настраиваем MVR.

SNR-S2990G-48T(config)#vlan 20
SNR-S2990G-48T(config-vlan20)#name IPTV
SNR-S2990G-48T(config-vlan20)#multicast-vlan
SNR-S2990G-48T(config-vlan20)#multicast-vlan association 10
SNR-S2990G-48T(config)#vlan 10
SNR-S2990G-48T(config-vlan10)#name Customer
SNR-S2990G-48T(config)#ip igmp snooping
SNR-S2990G-48T(config)#ip igmp snooping vlan 20
SNR-S2990G-48T(config)#ip igmp snooping vlan 20 mrouter-port interface eth1/0/48

Теперь на клиентских портах осталось только настроить клиентский vlan в access-режиме, и также рекомендуется включить функционал igmp snooping drop query, для защиты от igmp general query пакетов.

SNR-S2990G-48T(config)#int eth1/0/1-47
SNR-S2990G-48T(config-if-port-range)#switchport access vlan 10
SNR-S2990G-48T(config-if-port-range)#igmp snooping drop query

Проверяем настройки, подписываемся на канал, мультикаст начинает идти.

SNR-S2990G-48T#sh ip igmp snooping vlan 20 groups
IGMP Snooping Connect Group Membership
Note:*-All Source, (S)- Include Source, [S]-Exclude Source
Groups Sources Ports Exptime SrcMac System Level
239.1.1.53 * Ethernet1/0/1 00:02:45 D4:85:64:ED:02:E0 V3 

Настроим DHCP Snooping c опцией 82

Включаем DHCP Snooping и DHCP Option 82 в vlan 10.
SNR-S2990G-48T(config)#service dhcp
SNR-S2990G-48T(config)#ip dhcp snooping enable
SNR-S2990G-48T(config)#ip dhcp snooping vlan 10
SNR-S2990G-48T(config)#ip dhcp snooping binding enable
SNR-S2990G-48T(config)#ip dhcp snooping information enable

Посмотрим, какие форматы опции поддерживаются.

SNR-S2990G-48T(config)#ip dhcp snooping information option subscriber-id format ?
ascii Default, ASCII for vlan-mod-port
hex Hex for vlan-mod-port
vs-hp Vendor specific HP format
vs-huawei Vendor specific HuaWei format

Выберем стандартную опцию vlan+port в ASCII формате.

SNR-S2990G-48T(config)#ip dhcp snooping information option subscriber-id format ascii

Разрешим на аплинке прохождение DHCP пакетов от сервера.

SNR-S2990G-48T(config-if-ethernet1/0/48)#ip dhcp snooping trust

Включим на клиентском порту биндинг на основе DHCP SNOOPING.

SNR-S2990G-48T(config-if-ethernet1/0/1)#ip dhcp snooping binding user-control 

После того, как клиент получил адрес, проверяем, что привязка на порту появилась :

SNR-S2990G-48T#sh ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:1
MAC IP address Interface Vlan ID Flag
----------------------------------------------------------------------------
d4-85-64-ed-02-e0 192.168.15.36 Ethernet1/0/1 10 DOL
----------------------------------------------------------------------------

DHCP Relay

Многие операторы используют функционал DHCP relay на коммутаторах доступа. Это позволяет изолировать DHCP-сервер от клиентов и уменьшает количество броадкаст-пакетов в сети. Проверим данный функционал на SNR-S2990G-48T. В vlan 5 настроим интерфейс управления коммутатором, в который будут юникастом релеиться dhcp-пакеты из клиентского vlan 10.

SNR-S2990G-48T(config)#no ip dhcp snooping information enable
SNR-S2990G-48T(config)#ip forward-protocol udp bootps
SNR-S2990G-48T(config)#ip dhcp relay share-vlan 5 sub-vlan 10
SNR-S2990G-48T(config)#ip dhcp relay information option
SNR-S2990G-48T(config-if-vlan5)#ip address 192.168.2.2 255.255.255.0
SNR-S2990G-48T(config-if-vlan5)#ip helper-address 192.168.188.1
SNR-S2990G-48T(config)#ip route 0.0.0.0/0 192.168.2.1

Делаем запрос на получение IP-адреса клиентом, и видим на DHCP-сервере, что IP-адрес выделен успешно:

DHCPDISCOVER from d4:85:64:ed:02:e1 via 192.168.2.2
DHCPOFFER on 192.168.15.38 to d4:85:64:ed:02:e1 (m) via 192.168.2.2
DHCPREQUEST for 192.168.15.38 (192.168.2.1) from d4:85:64:ed:02:e1 (m) via 192.168.2.2
DHCPACK on 192.168.15.38 to d4:85:64:ed:02:e1 (m) via 192.168.2.2

Проверяем создание привязки IP+MAC на порту:

SNR-S2990G-48T#sh ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:1
MAC IP address Interface Vlan ID Flag
----------------------------------------------------------------------------
d4-85-64-ed-02-e1 192.168.15.38 Ethernet1/0/1 10 DL
----------------------------------------------------------------------------

На гигабитных коммутаторах, особенно остро встает вопрос защиты от флуда со стороны клиентов. Проверим, какие возможности по защите имеет SNR-S2990G.

Loopback detect

Начнем с loopback-detect. Для включения данной функции на порту, нужно указать Vlan в котором будут посылаться пакеты, и выбрать действие при обнаружении петли - shutdown или block. На транковых портах можно включить LBD сразу в нескольких Vlan.

SNR-S2990G-48T(config-if-ethernet1/0/1)#loopback-detection specified-vlan 10
SNR-S2990G-48T(config-if-ethernet1/0/1)#loopback-detection control shutdown

При появлении петли, в логах появляется запись, о том что порт переведен в состояние "administratively DOWN" процессом Loopback-detect.

SNR-S2990G-48T#sh log flash
Allowed max messages:512,Current messages:512
512 %Jan 01 00:07:51 2006 <warnings> MODULE_PORT[tLoopback]:%LINK-5-CHANGED: Interface Ethernet1/0/1, changed state to administratively DOWN
511 %Jan 01 00:07:51 2006 <warnings> MODULE_PORT[tLoopback]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/1, changed state to DOWN

Состояние портов также можно проверить командой sh loopback-detection:

SNR-S2990G-48T#sh loopback-detection
Loopback Detection Global Information
Transmit Interval : 5s(loopback mode), 3s(no loopback mode)
Control Recover Time : 0
Loopback Detection Port Information
PortName Loopback Detection Control Mode Is Controlled Happen times
Ethernet1/0/1 Enable Shutdown Yes 2
Ethernet1/0/2 Enable Block No 1

Нужно отметить, что петли обнаруживаются не только за отдельными портами, но и между двумя портами одного коммутатора.

Storm-control

Продолжим настройку коммутатора, настроим функционал strom-control на клиентских портах:

SNR-S2990G-48T(config-if-ethernet1/0/1)#storm-control broadcast ?
kbps set kbps as measure
pps set pps as measure

Как видно, можно использовать пороговое значение как в кб/с, так и в пакетах в секунду, что очень удобно. Диапазон значений может быть назначен от 4 pps и от 64 кб/с. Аналогично настраивается multicast strom control.

Ограничение скорости на порту

Так как и клиентские, и uplink-порты, гигабитные, я бы рекомендовал ограничивать исходящий от клиентов трафик, полосой, например 100 Мб/с, чтобы защититься от переутилизации uplink-порта исходящим трафиком. Это можно сделать двумя способами:

Командой bandwidth на порту:

SNR-S2990G-48T(config-if-ethernet1/0/1)#bandwidth control 100000 receive
Либо при помощь policy-map, который создается так-же как на оборудовании cisco
ip access-list standard any
permit any-source
class-map c1
match access-group any
policy-map 100M
class c1
policy 100000 25000 conform-action transmit exceed-action drop
exit

И затем применяется на порту.

SNR-S2990G-48T(config-if-ethernet1/0/1)# service-policy input 100M

QoS

Трафик, чувствительный к потерям, такой как VoIP или трафик от корпоративных клиентов, необходимо приоритезировать. Мы будем настраивать очереди на uplink-порту коммутатора, так как необходимо приоритезировать именно исходящий трафик. Для примера пометим трафик из порта 1/0/39 меткой COS 4 и поместим его в strickt priority очередь на uplink-порту 1/0/48.

Помечаем входящий трафик на порту 1/0/39 меткой COS 4.

SNR-S2990G-48T(config-if-ethernet1/0/39)#mls qos cos 4

C настройками по умолчанию значение метки QoS совпадает со значением Internal Priority, которая совпадает с номером очереди. То есть, пакеты с QOS 4 попадут в очередь №4.

SNR-S2990G-48T#sh mls qos maps cos-intp
Ingress COS-TO-Internal-Priority map:
COS: 0 1 2 3 4 5 6 7
-----------------------------------------
INTP: 0 1 2 3 4 5 6 7

Теперь необходимо очередь №4 сделать strickt priority. Для этого нужно назначить ей вес 0 (так, как номера очередей начинается с 0, очередь №4 является 5-ой по счету)

SNR-S2990G-48T(config-if-ethernet1/0/48)#mls qos queue algorithm wrr
SNR-S2990G-48T(config-if-ethernet1/0/48)#mls qos queue wrr weight 1 1 1 1 0 1 1 1

Проверяем настройки:

SNR-S2990G-48T# sh mls qos interface eth1/0/48 queuing
Ethernet1/0/48:
Egress Internal-Priority-TO-Queue map:
INTP: 0 1 2 3 4 5 6 7
-----------------------------------------
Queue: 0 1 2 3 4 5 6 7
Queue Algorithm: WRR
Queue weights:
Queue 0 1 2 3 4 5 6 7
------------------------------------------------------
WrrWeight 1 1 1 1 0 1 1 1
WdrrWeight 16 32 64 128 256 512 1024 1024

Всё верно, тесты показывают, что трафик приоритезируется.

Дополнительно для каждой очереди на порту можно задать максимальный и минимальный битрейт при помощи команды:

mls qos queue N bandwidth <MinBandwith> <MaxBandwitch>

ACL

Коммутатор поддерживает различные виды ACL, в которых можно задавать правила фильтрации на основе MAC-адрeсов, поля ethertype, IP-адресов, портов, протоколов.

Для примера, создадим acl для блокировки NETBIOS трафика на портах. Создание ACL аналогично Cisco:

ip access-list extended netbios_deny
deny udp any-source any-destination d-port 137
deny udp any-source any-destination d-port 138
deny udp any-source any-destination d-port 139
deny tcp any-source any-destination d-port 137
deny tcp any-source any-destination d-port 138
deny tcp any-source any-destination d-port 139
deny tcp any-source any-destination d-port 445
permit ip any-source any-destination
exit
!

И применяем ACL на порты:

SNR-S2990G-48T(config)#int eth1/0/1-47
SNR-S2990G-48T(config-if-port-range)#ip access-group netbios_deny in

Cable diagnostic

Как и во всех современных коммутаторах, на SNR-S2990G-48T есть функционал диагностики кабеля. Тест запускается следующей командой:

SNR-S2990G-48T#virtual-cable-test interface ethernet 1/0/13
Interface Ethernet1/0/13:
----------------------------------------------
Cable pairs Cable status Length (meters)
----------- ------------ --------------
(1, 2) open 4
(3, 6) open 4
(4, 5) open 4
(7, 8) open 4

Заключение

SNR-S2990G-48T предоставляет на данный момент уникальную возможность приобрести полностью гигабитный коммутатор по цене коммутатора FastEthernet.

При этом все модели серии SNR-S2990G поддерживают комплексный функционал средств безопасности, управления качеством обслуживания, диагностики и мониторинга, что делает коммутаторы данной серии отличным решением как для построения гигабитного доступа в мультисервисных сетях операторов связи, так и для применения в корпоративных сетях.

Если у Вас есть вопросы по коммутаторам серии SNR-S2990G, пишите нам на support@nag.ru или на форум в раздел "коммутаторы SNR", мы с удовольствием на них ответим.

Полезные ссылки

• Коммутаторы серии SNR-S2990G в магазине.
• Datasheet на серию SNR-S2990G.