OSNOVO управляемые коммутаторы L2, L2+, L3: отличия и рекомендации по подбору
Оригинальная статья доступна по ссылке
Автор оригинальной статьи: производитель OSNOVO
OSNOVO коммутаторы уровня L2, L2+ и L3. Отличия и особенности применения
При выборе коммутаторов OSNOVO для реализации того или иного проекта в первую очередь обращают внимание на количество и скорость портов, наличие или отсутствие PoE, наличие и скорость слотов для подключения SFP модулей. Вопросы, связанные с выбором между коммутаторами с разными уровнями управления часто вызывают затруднения.
Попробуем разобраться.
Управляемые коммутаторы, как и неуправляемые, могут работать в автоматическом режиме, выполняя функции, заложенные производителем. Кроме этого управляемые коммутаторы дают возможность пользователю менять режимы работы коммутатора в целях управления трафиком и доступом к сетевым устройствам, мониторинга состояния сети и другое.
Как управлять коммутатором?
Управление коммутаторами может осуществляться с помощью:
- WEB-интерфейса. Возможность с помощью браузера и протокола HTTP получить доступ к управлению коммутатором;
- SNMP протокол, используемый для мониторинга и управления сетевыми устройствами удаленно;
- CLI (интерфейс командной строки). Управление может осуществляться как при локальном подключении (порт RS232), так и удаленно – TELNET, SSH.
Что такое L2 и L3?
Уровни управления L2 и L3 указывают, на каком из уровней модели OSI (The Open Systems Interconnection model) может производиться управление трафиком.
Коммутаторы L2 работают на втором, канальном уровне. Они анализируют MAC-адреса подключенных устройств, заносят их в таблицу коммутации и согласно этой таблице перераспределяют трафик.
Коммутаторы L3 работают и на втором, и на третьем уровнях. Кроме коммутации с использование MAC-адресов, они могут перенаправлять трафик, основываясь на анализе IP-адресов и выполнять функции внутрисетевого маршрутизатора.
Какие функции доступны коммутаторам уровня L2?
Пользователь получает доступ к конфигурации таблицы MAC-адресов:
- возможность очищать таблицу MAC-адресов;
- настраивать время жизни MAC-адреса;
- настраивать статическую пересылку и фильтрацию.
Можно создавать VLAN (виртуальные локальные сети), представляющие собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения.
Могут быть реализованы следующие типы VLAN:
- на основе портов;
- на основе стандарта IEEE 802.1Q;
- на основе стандарта IEEE 802.1ad (Q-in-Q VLAN);
- на основе портов и протоколов IEEE 802.1v;
- на основе MAC-адресов.
Также можно изолировать порты, создавать группы, осуществлять настройку Voice VLAN (передача голосового клиентского трафика), прочее.
Зеркалирование портов (Port Mirroring) для мониторинга трафика в целях безопасности или оценки производительности сетевого оборудования у пользователя коммутатора есть возможность дублировать трафик, проходящий через наблюдаемые порты, на контролирующий порт.
Также, в целях повышения надежности и увеличения пропускной способности, есть возможность объединить несколько каналов передачи данных в один логический (Агрегирование каналов (IEEE 802.3ad)).
В управляемых коммутаторах осуществляется поддержка протоколов резервирования и исключения петель:
- Port Loop Detection – протокол обнаружения петель.
- Spanning Tree Protocol (семейство протоколов STP/RSTP/MSTP) Протокол, назначение которого – привести сеть Ethernet к древовидной топологии, исключив избыточные соединения, приводящие к образованию петель. Время восстановления связи при разрыве одной из линий в кольце – 30-50с (STP), 4с (RSTP).
- ERPS – протокол, используемый для исключения образования колец в топологии сети. Время сходимости (восстановления связи) значительно улучшено по сравнению с протоколом STP и составляет 50-200мс.
- EAPS Протокол для поддержки топологии, исключающей зацикливание трафика, и её перестроение в случае нарушений в кольцевых сетях Ethernet. Время схождения – до 50мс.
- LLDP – протокол, позволяющий сетевому оборудованию передавать в сеть данные о себе и своих технических характеристиках.
Для обеспечения безопасности сети бывает необходимо обеспечить контроль за доступом к различным элементам сети (регистраторам, серверам, коммутаторам, пр.) со стороны пользователей. Для обеспечения аутентификации, авторизации и учета (Authentication, Authorization, Accounting – AAA) чаще всего используют протоколы RADIUS или TACACS+. Все управляемые коммутаторы L2, L2+,L3 поддерживают данные протоколы.
Какие функции доступны коммутаторам уровня L2+?
Кроме функций коммутаторов уровня L2, коммутаторы L2+ поддерживают:
- DHCP Server коммутатор может выполнять роль DHCP-сервера: управлять сетевыми адресами, автоматически предоставляя их клиентам.
- DHCP Snooping функция, обеспечивающая защиту от атак с использование DHCP протокола
- DHCP Relay функция применяется для предоставления DHCP-серверу данных о полученном запросе. В т.ч. с указанием адреса DHCP-ретранслятора, с которого пришел запрос и номера порта ретранслятора, через который запрос поступил.
Единственный вид маршрутизации, доступный коммутаторам уровня L2+ – статическая маршрутизация, когда маршруты прописываются в таблицу вручную, без участия протоколов маршрутизации.
Какие функции доступны коммутаторам уровня L3?
Коммутаторам уровня L3 доступны все функции уровней L2 и L2+. Основное отличие коммутаторов L3 – это способность осуществлять статическую и динамическую маршрутизацию.
Для этих целей у коммутаторов реализуется поддержка ниже перечисленных протоколов.
- RIP. Протокол динамической маршрутизации, позволяющий выстроить оптимальный маршрут на основе информации, получаемой от соседних коммутаторов.
- OSPF. Протокол динамической маршрутизации, позволяющий отслеживать состояние канала передачи и определить кратчайший путь для передачи данных. Распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.
- BGP. Протокол динамической маршрутизации для обмена информацией о достижимости подсетей между автономными системами.
- Policy Route. Маршрутизация на основе политик применяется в случае наличия нескольких сетевых интерфейсов и необходимости отправлять определенные пакеты через определенный интерфейс. Маршрут пакета определяется не только на основе адреса назначения — есть возможность анализа различных полей пакета.
- VRRP. Сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.
Для того, чтобы сделать правильный выбор между коммутаторами различных уровней управления нужно решить, где и как коммутатор будет использоваться.
Коммутаторов уровня L2 и L2+ будет достаточно, если нужно:
- несколько устройств (напр. сервер и ПК, регистратор и видеокамеры) объединить в небольшую сеть (уровень доступа);
- отслеживать работоспособность сети, в т.ч. и удаленно;
- управлять правами пользователей.
Коммутаторы уровня L3 пригодятся, если нужно:
- объединить коммутаторы уровня доступа друг с другом (агрегирование);
- повысить безопасность сети с помощью дополнительных настроек доступа;
- организовать маршрутизацию между подсетями VLAN;
- управлять трафиком на уровне IP-адресов.
И в других случаях, когда функциональных возможностей L2+ будет не хватать.
Расширенный список поддерживаемых протоколов коммутаторами уровней L2+ и L3
|
Features |
L2+ Switch |
L3 Switch |
||
| Port | ||||
| Port Shutdown | Support | Support | ||
| Port Speed | Support autonegotiate, full-1000, full-100, half-100, full-10, half-10 | Support autonegotiate, full-1000, full-100, half-100, full-10, half-10 | ||
| Flow Control | support full-duplex IEEE 802.3x, half-duplex back pressure | support full-duplex IEEE 802.3x, half-duplex back pressure | ||
| Storm Control | Supports rate limit for broadcast, multicast, and DLF packets | Supports rate limit for broadcast, multicast, and DLF packets | ||
| Storm Constrain | Support the detection of broadcast packets, multicast packets,
or unicast packets on the port, shutdown the port if the rate is over the threshold. |
Support the detection of broadcast packets, multicast packets,
or unicast packets on the port, shutdown the port if the rate is over the threshold. |
||
| Port Mirror | Support | Support | ||
| Port Rate Limit | Support port ingress and egress rate limit | Support port ingress and egress rate limit | ||
| Link Aggregation | Support manual link aggregation
Support LACP dynamic link aggregation Supports up to 8 aggregation groups, each group up to 8 ports Support source MAC, destination MAC, source destination MAC, source IP, destination IP, source destination IP routing strategy |
Support manual link aggregation
Support LACP dynamic link aggregation Supports up to 64 aggregation groups, each group up to 8 ports Support source MAC, destination MAC, source destination MAC, source IP, destination IP, source destination IP routing strategy |
||
| Port Isolate | Support | Support | ||
| Jumbo Frame | Support up to 16KB packet | Support up to 16KB packet | ||
| Cable Distance Diag | Support | Support | ||
| Redundant Port | Support | Support | ||
| The DDM of fiber ports | Support | Support | ||
| MAC | ||||
| MAC Table Capacity | 8K | 16K-32K | ||
| MAC Table Management | Support | Support | ||
| Forwarding mode | Support IVL forwarding mode | Support IVL forwarding mode | ||
| Static MAC Address | Support | Support | ||
| MAC Address Binding | Support | Support | ||
| MAC Address Filtering | Support | Support | ||
| MAC Learning Control | Control the MAC learning based on port | Control the MAC learning based on port | ||
| VLAN | ||||
| Number of VLANs | 4K | 4K | ||
| 802.1q-based VLAN | Support | Support | ||
| MAC-based VLAN | Support | Support | ||
| IP-based VLAN | Support | Support | ||
| Protocol-based VLAN | Support | Support | ||
| PVLAN (Protocol-based VLAN) | Support | Support | ||
| Voice VLAN | Support | Support | ||
| VLAN Mapping | Support 1:1 mapping | Support 1:1 mapping | ||
| QinQ | Support basic QinQ Support flexible QinQ | Support basic QinQ Support flexible QinQ | ||
| Reliability | ||||
| Spanning Tree Protocol | Support STP/RSTP/MSTP | Support STP/RSTP/MSTP | ||
| Port Loop Detection | Support | Support | ||
| EAPS | Support RFC3619 | Support RFC3619 | ||
| ERPS | Support G.8032/Y.1344 | Support G.8032/Y.1344 | ||
| LLDP | Support LLDP & LLDP-MED | Support LLDP & LLDP-MED | ||
| UDLD | Fully compatible with CISCO’s protocol | UDLD | Fully compatible with CISCO’s protocol | UDLD |
| VLLP (VRRP Layer-2 Loop Protection) | Support, Only used with VRRP | |||
| IP | ||
| ARP | Support static and dynamic ARP | Support static and dynamic ARP |
| IP Route | Support 0.0.0.0/0 route and other static route, but can’t support L3 forwarding | Support 0.0.0.0/0 route and other static route, but can’t support L3 forwarding Support static route based on IPv4 and IPv6 |
| VLAN Interface | Support 32 VLAN interfaces | Support 32 VLAN interfaces |
| RIP | Support RIP v1/v2 & IPv6 RIPng | |
| OSPF | Support OSPFv2 & IPv6 OSPFv3 | |
| BGP | Support BGP4 & IPv6 BGP4+ | |
| Policy Route | Support | |
| VRRP | Support | |
| Multicast | ||
| Static Multicast MAC Address | Support | Support |
| IGMP SNOOPING | Support IGMP SNOOPING v1/v2/v3
Support IGMP Querier Support IGMP SNOOPING Filter |
Support IGMP SNOOPING v1/v2/v3
Support IGMP Querier Support IGMP SNOOPING Filter |
| IGMP | Support IGMP v1/v2/v3 | Support IGMP v1/v2/v3 |
| MLD SNOOPING | Support | Support |
| MVR | Support | Support |
| GMRP | Support | Support |
| ACL | ||
| Standard IP-based ACL | Support | Support |
| Extended IP based ACL | Support | Support |
| MAC IP-based ACL | Support | Support |
| MAC ARP-based ACL | Support | Support |
| IPv6-based ACL | Support | Support |
| ACL Port Filtering | Support | Support |
| Time-based ACL | Support | Support |
| QoS | ||
| Port Queue Number | 8 | 8 |
| Port Queue Scheduling Mode | Support WRR, SP, WFQ | Support WRR,RR,WDRR,SP |
| Port-based Classification | Support | Support |
| 802.1p-based Classification | Support | Support |
| DSCP-based Classification | Support | Support |
| ACL-based Classification | Support | Support |
| QoS Policy | Support packets mapping to queue
Support COS or DSCP Remarking Support rate limits of data flow Support data flow statistics Support mirroring of data flow |
Support packets mapping to queue
Support COS or DSCP Remarking Support rate limits of data flow Support data flow statistics Support mirroring of data flow |
| DHCP | ||
| DHCPv4 Client | Support | Support DHCP Client |
| DHCPv6 Client | Support | |
| DHCP Snooping | Support | Support |
| DHCP Relay | Support | Support |
| DHCP Server | Support | Support |
| DHCP option 82 | Support | Support |
| Management | ||
| CLI Management | Support Console, TELNET and SSH
Support multiple TELNET connections based on IPv4 and IPv6 Support multiple SSH connections based on IPv4 and IPv6 Support running configuration rollback Support ZTP (Zero Touch Configuration) |
Support Console, TELNET and SSH
Support multiple TELNET connections based on IPv4 and IPv6 Support multiple SSH connections based on IPv4 and IPv6 Support running configuration rollback Support ZTP (Zero Touch Configuration) |
| WEB Management | Suppott HTTP | Support HTTP based on IPv4 and IPv6 Support HTTPS based on IPv4 and IPv6 |
| SNMP Management | Support SNMP v1, v2c, v3
Support SNMP TRAP Support lots of standard and private MIBs Support SNMP based on IPv4 and IPv6 |
Support SNMP v1, v2c, v3
Support SNMP TRAP Support lots of standard and private MIBs Support SNMP and TRAP based on IPv4 and IPv6 |
| User Management | Support multiple user management | Support multiple user management |
| TACACS+ | support switch authentication via TACACS+ server remote username and password Support password encryption in PAP and
CHAP mode Support TACACS+ server to authorize the switch’s commands Support TACACS+ based on IPv4 and IPv6 |
support switch authentication via TACACS+ server remote username and password
Support password encryption in PAP and CHAP mode Support TACACS+ server to authorize the switch’s commands Support TACACS+ based on IPv4 and IPv6 |
| Log Management | Support local log management
Support SYSLOG based on IPv4 and IPv6 |
Support local log management Support SYSLOG |
| RMON | Support RMON 1, 2, 3 and 9 groups | Support RMON 1, 2, 3 and 9 groups |
| Cluster Management | Support NDP
Support NTDP Support manual and automatic joining of cluster groups Support cluster unified management |
Support NDP
Support NTDP Support manual and automatic joining of cluster groups Support cluster unified management |
| OAM | Support 802.3ah
Support 802.1ag |
Support 802.3ah
Support 802.1ag |
| Configuration File | Support TFTP transmission based IPv4 and IPv6
Support SFTP transmission based IPv4 and IPv6 Support SFTP Client and SFTP Server |
Support TFTP transmission based IPv4 and
IPv6 Support SFTP transmission based IPv4 and IPv6 Support SFTP Client and SFTP Server |
| Upgrade software | Support TFTP transmission based IPv4 and IPv6
Support SFTP transmission based IPv4 and IPv6 Support SFTP Client and SFTP Server |
Support TFTP transmission based IPv4 and
IPv6 Support SFTP transmission based IPv4 and IPv6 Support SFTP Client and SFTP Server |
| Clock Management | Support local clock management
Support SNTP based IPv4 and IPv6 |
Support local clock management
Support SNTP based IPv4 and IPv6 |
| Security | ||
| Switch Management Security | Support enabling and disabling TELNET,
SSH, WEB and SNMP services Support TELNET, SSH, WEB and SNMP services to bind to standard IP ACLs Support for limiting the number of TELNET connections |
Support enabling and disabling TELNET,
WEB and SNMP services Support TELNET, WEB and SNMP services to bind to standard IP ACLs Support for limiting the number of TELNET connections |
| CPU Protection | The switch’s own security protection prevents large data streams from attacking the switch itself. | The switch’s own security protection prevents large data streams from attacking the switch itself. |
| AAA | Support 802.1x
Support RADIUS Supports authentication, authorization, and accounting through RADIUS server Support port-based and MAC-based 802.1x Support 802.1x guest VLAN |
Support 802.1x
Support RADIUS Supports authentication, authorization, and accounting through RADIUS server Support port-based and MAC-based 802.1x Support 802.1x guest VLAN |
| IP MAC Binding | Support static configuration of IP, MAC and port binding | Support static configuration of IP, MAC and port binding |
| DHCP SNOOPING | Support dynamic ARP binding to prevent ARP spoofing
Support dynamic IP, MAC and port binding Support fixed port to connect to DHCP server to prevent private connection to DHCP server |
Support dynamic ARP binding to prevent ARP spoofing
Support dynamic IP, MAC and port binding Support fixed port to connect to DHCP server to prevent private connection to DHCP server |
| Prevent ARP Spoofing | Support manually configuring MAC ARPbased ACL rules to prevent ARP spoofing.
Support the DHCP SNOOPING function. During the process of obtaining an IP |
Support manually configuring MAC ARPbased ACL rules to prevent ARP spoofing.
Support the DHCP SNOOPING function. During the process of obtaining an IP |
| address by DHCP, the switch dynamically binds ARP to the port to prevent ARP spoofing. | address by DHCP, the switch dynamically binds ARP to the port to prevent ARP spoofing. | |
| PoE | ||
| Switch Control | Support PoE powering of ports on and off | Support POE powering of ports on and off |
| Power Control | Support setting total power | Support setting total power |
| Other Advanced Features | Support PoE scheduling policy and PD online query, etc. | Support POE scheduling policy and PD online query, etc. |
| IPv6 | ||
| IPv4/IPv6 Dual Protocol Stack | Support | Support |
| IPv6 Address | Support manual address configuration, stateless address auto-configuration and stateful address configuration obtained through DHCPv6 client | Support manual address configuration, stateless address auto-configuration and stateful address configuration obtained through DHCPv6 client |
| IPv6 Neighbor Discovery
|
Support | Support |
| ICMPv6 | Support | Support |
| IPv6 Path MTU Discovery | Support | Support |
| Debugging | ||
| PING | Support | Support |
| PING6 | Support | Support |
| TRACEROUTE | Support | Support |
| TELNET Client | Support TELNET client based IPv4 and IPv6 | Support |
| SSH Client | Support SSH client based IPv4 and IPv6 | Support SSH client based IPv4 and IPv6 |
| TWAMP | Support TWAMP server and sessionreflector | Support TWAMP server and sessionreflector |
