Неуправляемые коммутаторы
Неуправляемыми коммутаторами называют самые простые устройства без возможности принудительно изменять какие-либо характеристики. В основе лежит принцип: «включил и работай».
Неуправляемые коммутаторы достаточно простые устройства. Они не содержат сложных контроллеров, меньше греются, их работу сложнее нарушить, а при выходе из строя их довольно просто заменить (не надо ничего перенастраивать). Кроме того, неуправляемые коммутаторы стоят дешевле.
Такие устройства применяются в простых сетях, где не требуется применения сложных сетевых конфигураций (под понятием «простые сети» может скрываться развитая инфраструктура среднего предприятия на 100+ локальных клиентов).
Ещё одна область применения — отдельные выделенные сети, куда посторонним доступ ограничен. Например, в сети видеонаблюдения, в которой кроме службы безопасности и администратора остальным сотрудникам офиса вход воспрещен.
Весьма большим недостатком является неуправляемость. Если требуется что-то большее, чем просто соединять два порта и передавать кадры Ethernet — нужно использовать управляемые коммутаторы.
Управляемые коммутаторы
В отличие от их более простых коммутаторов, которые выше канального уровня (2-й уровень модели OSI) не поднимаются, управляемые коммутаторы выпускаются уровней L2, L2+, L3 и даже L3+. Ниже приводится описание основных возможностей управляемых коммутаторов уровня L2.
Функции управления в коммутаторах L2
Управляемые коммутаторы L2 довольно распространены. Например, их удобно использовать на уровне доступа, чтобы гибко управлять клиентским трафиком.
Коммутаторы L2 можно встретить и на уровне ядра сети. Коммутаторы на этом участке обеспечивают скоростное взаимодействие всех ветвей сети. При такой загрузке те или иные функции L3 оказываются не востребованы, а иногда просто мешают. Роль анализаторов и фильтров трафика в такой архитектуре целиком возложена на коммутаторы уровня распределения (агрегации).
Ниже приводится очень сокращенный список функций управления, характерный для коммутаторов L2. Разумеется, для коммутаторов L2+ и, тем более, L3 список возможностей будет гораздо длиннее. Но даже из сокращенного перечня хорошо понятны отличия управляемых от неуправляемых коммутаторов.
Удаленная перезагрузка или выключение
Перезагрузка может потребоваться при перепрошивке устройства или необходимости откатиться назад без сохранения конфигурации. Выключение коммутатора — тоже может быть полезно. Например, «мягкое» выключение коммутатора уровня доступа может быть эффективно в качестве крайней меры при опасности массового заражения рабочих станций.
Отключение портов (Port UP/Down)
Возможность отключить порты — весьма полезная возможность для поддержания требуемого уровня безопасности. Работающая сетевая розетка, оставленная без присмотра это потенциальная угроза. Самый простой способ избавиться от такой угрозы просто перевести порт на коммутаторе в состояние Down.
Неиспользуемые розетки в переговорной периодически нужны, когда необходимо подключить дополнительное оборудование для видеоконференций, а также ПК, МФУ и пр. Однако такие «свободные порты» могут оказаться брешью в безопасности, которую лучше закрыть. Можно постоянно отключать-подключать порты вручную и выдергивать патчкорды из коммутатора в серверной, но такой подход не является оптимальным. Поэтому возможность менять состояние Up-Down для каждого порта рано или поздно понадобится.
Защита от петель
Ошибки в виде «двойного подключения» приводят к созданию «петель» в сетях Ethernet и лишают сеть работоспособности. Для их защиты придуманы специальные средства — в первую очередь мы говорим о семействе протоколов STP (Spanning Tree Protocol), который, кроме защиты от петель, предотвращает возникновение широковещательного шторма в сетях. Протоколы семейства STP работают на 2 уровне модели OSI (L2).
Агрегирование каналов
Позволяет объединить два или несколько портов (обычно применяется число, кратное 2) в один канал передачи данных. Один из известных проколов для агрегации — LACP (Link Aggregation Control Protocol), поддерживаемый большинством Unix-like операционных систем. LACP работает в режиме Active-Active и, благодаря ему, помимо повышения отказоустойчивости увеличивается и скорость передачи данных.
Качество обслуживания (QoS)
Под QoS (Quality of Service) обычно подразумевают способность сети обеспечить необходимый уровень сервиса заданному сетевому трафику.
Например, в сети, при работе оборудования для видеоконференций, трафик между источником и приемником видеотрансляции будет более приоритетным, чем, например, копирование документов для инженеров техподдержки.
Существует множество различных инструментов, облегчающие подобные задачи, в том числе создание аппаратных очередей, flow-control и так далее.
Поддержка VLAN
VLAN (Virtual Local Area Network) — группа устройств, обменивающихся трафиком на канальном уровне (2 уровень сетевой модели OSI), хотя физически они могут быть подключены к разным коммутаторам.
Известен и обратный прием, когда один коммутатор при помощи VLAN «нарезается» на несколько независимых сегментов. Устройства из разных VLAN по умолчанию (без маршрутизации) «недоступны» на канальном уровне, не важно, подключены они к одному коммутатору или к разным. В то время как устройства из одного VLAN могут общаться между собой на канальном уровне, даже будучи подключенными к разным коммутаторам.
Это применяется как при разделении сети на подсети, например, для снижения уровня широковещательного трафика, так и для объединения устройств из различных сегментов крупной корпоративной сети в одну подсеть, организованную по единым правилам.
Например, если всей бухгалтерии, находящейся на 2-м, 3-м и 5-м этажах необходимо дать доступ к серверу 1С, но при этом запретить доступ к сети вычислительного кластера для инженерных расчетов, то разумнее всего сделать дополнительный VLAN, настроить общие ограничения, после чего приписать к нему порты всех бухгалтерских компьютеров.
Безопасность
Под безопасностью можно понимать самые разнообразные функции, например, те же VLAN.
Также среди наиболее известных: Port Security, фильтрация Layer 3 IP, фильтрация Layer 4 TCP/UDP. Неполный список протоколов приведен ниже:
Фильтрация Layer 2 MAC
Static MAC forwarding
802.1x VLAN and 802.1p assignment by RADIUS
Аутентификация RADIUS
Аутентификация TACACS+
SSH v2
SSL
MAC freeze
DHCP snooping IPv4
DHCP snooping IPv6
ARP inspection
Static IP-MAC-Port binding
Policy-based security filtering
Port isolation
MAC search
Guest VLAN
ACL packet filtering (IPv4/IPv6)
MAC-based authentication per VLAN
Управление коммутатором
Возможности управления и контроля коммутатора могут быть самые различные. Например, через веб-интерфейс, CLI (интерфейс командной строки), настройка через консольный порт RS-232, сохранение, извлечение и клонирование конфигурации, расписание включения PoE (для коммутаторов с PoE).
Для случаев расследования нарушений безопасности и анализа сетевых проблем интерес вызывают такие функции, как зеркалирование портов.
SNMP протокол тоже играет немаловажную роль, как в плане опроса и управления по протоколам SNMP v1/2c/3, так и оповещения с использованием механизма SNMP Trap.
И, наконец, централизованное управление через облачную систему, позволяющую забыть о вопросах локального доступа для управления, учета оборудования и других наболевших темах.
