Поиск по этому блогу

06.07.2016

Отзыв о коммутаторах extreme networks

Краткий вывод о коммутаторах extreme networks

Сложилось у меня мнение, что extreme networks с коммутаторами нового поколения сможет составить конкуренцию другим производителям, потому что их старая линейка уже совсем старая, а x430, который мне достался в тест, вынуждал нецензурно выражаться. Да чего уж там, свич - дрова. Поэтому решил себя обнадежить перспективами новой линейки.

При производстве своих коммутаторов extreme networks используют чипы cavium на которых запускают свою линуксовую операционную систему EXOS. Сетевые чипы и стек - от broadcom. Похоже они осознали, что их cli слишком "специфичен" и в новых версиях ПО все-таки планируют его упростить в части конфигурирования stp, например. Сейчас есть две ветки ПО: 16.х и 21.х. 21-я будет только для G2-серии и новых моделей коммутаторов. Для остального оборудования будет 16-ая ветка и так далее. Кроме того, все коммутаторы G2-серии поддерживают программно-определяемые сети SDN (openflow).

Обзор моделей коммутаторов extreme networks

Некоторые коммутаторы и лицензии на технологии достались производителю от слияния с Enterasys. Например, в новых коммутаторах с новым софтом реализован полнофункциональный CDPv2 для голосовых сетей. От Enterasys'а досталась S-серия, которая может быть интересна безопасникам и параноикам. Все это из-за функций чипа Coreflow2:
  • при наличии дополнительной лицензии можно между коммутаторами использовать шифрование Macsec;
  • на аппаратном уровне поддерживается netflow, поэтому можно интегрировать полноценное решение с продуктами аналитики.
Далее про родные и новые свичи буду писать. X440-g2 – это коммутатор доступа, который ничем выдающимся от конкурентов не выделяется, есть модели с пассивной системой охлаждения и минимальной поддержкой маршрутизации при наличии лицензии. X450-g2 - это коммутатор доступа для энтерпрайза. Чем-то похож на такие коммутаторы как cisco 2960x,2960xr, juniper ex3300. X460-g2 - это аналог juniper ex4200. С core лицензией и mpls фичепаком можно делать всё, но это все-таки гигабитный коммутатор, где кол-во 10ge интерфейсов небольшое, хотя их можно увеличить за счет установки дополнительных модулей. X620 - это недорогой(!) L2 коммутатор агрегации с 1/10ge портами и урезанным функционалом. X670-g2 - это как x460-g2 по функционалу, только это полностью оптический коммутатор с 1/10ge портами. Из аналогов, наверное, juniper ex4550.

У многих коммутаторов пожизненная гарантия: eos+5 лет. Это в том числе на вентиляторы и блоки питания, но лучше этот момент уточнить. Коммутаторы поддерживают sfp/sfp+ сторонних производителей без ограничений, но владелец не должен использовать трансиверы уж совсем откровенно низкого качества, которые греются и могут привести к сбою в работе коммутатора. Коммутаторы продаются с обязательным сервисным контактом на 1 год и далее его рекомендуют продлевать, чтобы была возможность получить новые версии софта, например, так как в открытом доступе их нет. До 21ой версии ПО ssh поставлялся в качестве отдельного модуля для модульной операционной системы ExtremeXOS, поэтому и с импортом проблем никаких не было, так как оборудование не содержало криптографию ни в каком виде. Да и теперь мало что поменяется, ведь ПО всегда можно скачать без ограничений при наличии сервисного контракта. Так как завод у производителя в Китае и дистрибьюторам оборудование отгружается оттуда, то попасть под риск увеличения сроков поставок из-за санкционной дури ЕС невозможно. Поэтому можно использовать эти коммутаторы в любых проектах, а то бытует мнение, что в условиях санкций альтернатив азиатскому оборудованию и их OEM версиям "российского производства" нет.
Документация по коммутаторам (ExtremeXOS 21.1 User Guide примерно 1700 страниц) есть в открытом доступе и доступна для скачивания одним файлом в формате pdf. А из ExtremeXOS 21.x Feature License Requirements можно легко понять какая лицензия нужна для коммутатора и какие ограничения имеются. Например, для x440-g2 в advanced edge лицензии можно настроить ospf только на 4-х интерфейсах, но это более чем достаточно, так как обычно хватает 1-2, а для всех остальных connected сетей настраивается редистрибьюция.
На что я обратил внимание и о чем не могу перестать думать, так это о ERPS+CFM. Эту связку можно было бы эффективно использовать при построении колец. Про это с примерами конфигураций можно почитать в документации.

Тестирование x430

Вот эта штука, которая расшатала мне нервную систему
X430-24p.2 # show ver
Switch : 800543-00-07 1509N-40737 Rev 7.0 BootROM: 1.0.1.6 IMG: 16.1.3.6
PSU-1 : Internal Power Supply
Image : ExtremeXOS version 16.1.3.6 by release-manager
on Thu Feb 4 12:35:01 EST 2016
BootROM : 1.0.1.6
Diagnostics : 1.5
Поскольку версия 16ая, а не 21ая, то сюрпризом было отсутствие ssh. Далее решил проверить обнаружение cdp и lldp. Получилось вот что:
switch1#sh cdp neighbors detail
-------------------------
Device ID: 00:04:96:99:14:6C
Entry address(es):
IP address: 10.10.10.10
IP address: 10.99.99.99
Platform: X430-24p, Capabilities: Switch
Interface: FastEthernet0/4, Port ID (outgoing port): Slot: 1, Port: 24
Holdtime : 135 sec
Version :
ExtremeXOS version 16.1.3.6 16.1.3.6 by release-manager
on Thu Feb 4 12:45:15 EST 2016
advertisement version: 1
Management address(es):
switch1#sh lldp neighbors det
Chassis id: 0004.9699.146c
Port id: 24
Port Description - not advertised
System Name: X430-24p
System Description:
ExtremeXOS (X430-24p) version 16.1.3.6 16.1.3.6 by release-manager on Thu Feb 4 12:35:01
EST 2016
Time remaining: 117 seconds
System Capabilities - not advertised
Enabled Capabilities - not advertised
Management Addresses:
IP: 10.10.10.10
Auto Negotiation - not supported
Physical media capabilities - not advertised
Media Attachment Unit type - not advertised
Vlan ID: - not advertised
Total entries displayed: 1
У коммутатора есть т.н. виртуальный маршрутизатор, в который включен mgmt-интерфейс. Видимо из-за аппаратной реализации ничего с этим поделать нельзя, поэтому на mgmt-интерфейс следует повесить такой же адрес, как и во влане управления. И все это описано в GTAC.
Проверяю как будет попадать в голосовой влан ip-телефон cisco. Все заработало, но настройки слишком избыточны, а если указать это для каждого порта, то конфиг превращается в приличную портянку. Понятия voice vlan, как это есть в cisco, juniper, eltex в EXOS нет. На порту прописывается два влана: для телефонии (тегированный) и для ПК (нетегированный). Таким образом, можно на каждом порту создать свой голосовой влан.
configure lldp port 1 advertise vendor-specific dot1 port-protocol-vlan-id vlan v203
configure lldp port 1 advertise vendor-specific dot1 vlan-name vlan v203
configure lldp port 1 advertise vendor-specific med policy application voice vlan v203 dscp 46
configure lldp port 1 advertise vendor-specific med policy application voice-signaling vlan
v203 dscp 24
configure lldp port 1 advertise vendor-specific med policy application video-conferencing
vlan v203 dscp 34
configure lldp port 1 advertise vendor-specific med policy application streaming-video vlan
v203 dscp 34
configure lldp port 1 advertise vendor-specific med policy application video-signaling vlan
v203 dscp 24
configure lldp port 1 advertise vendor-specific med capabilities
configure lldp port 1 advertise vendor-specific med power-via-mdi

X430-24p.15 # sh lldp neighbors det
-----------------------------------------------------------------------------
LLDP Port 21 detected 1 neighbor
Neighbor: (5.1)10.99.1.66/3CCE73582D2B:P1, age 30 seconds
- Chassis ID type: Network address (5); Address type: IPv4 (1)
Chassis ID : 10.99.1.66
- Port ID type: Locally assigned (7)
Port ID : "3CCE73582D2B:P1"
- Time To Live: 180 seconds
- Port Description: "SW PORT"
- System Name: "SEP3CCE73582D2B.rosneft.ru"
- System Description: "Cisco IP Phone 7911G,V9, SIP11.8-5-3S"
- System Capabilities : "Bridge, Telephone"
Enabled Capabilities: "Bridge, Telephone"
- Management Address Subtype: IPv4 (1)
Management Address : 10.99.1.66
Interface Number Subtype : Unknown (1)
Interface Number : 0
Object ID String : "null"
- IEEE802.3 MAC/PHY Configuration/Status
Auto-negotiation : Supported, Enabled (0x03)
Operational MAU Type : 100BaseTXFD (16)
- MED Capabilities: "MED Capabilities, Network Policy, Extended Power via MDI - PD,
Inventory"
MED Device Type : Endpoint Class III (3)
- MED Network Policy
Application Type : Voice (1)
Policy Flags : Known Policy, Tagged (0x1)
VLAN ID : 203
L2 Priority : 5
DSCP Value : 46
- MED Network Policy
Application Type : Voice Signaling (2)
Policy Flags : Known Policy, Tagged (0x1)
VLAN ID : 203
L2 Priority : 4
DSCP Value : 32
- MED Extended Power-via-MDI
Power Type : PD Device (1)
Power Source : Unknown (0)
Power Priority: Unknown (0)
Power Value : 5.0 Watts
- MED Hardware Revision: "9"
- MED Firmware Revision: "tnp11.3-0-1-33.bin"
- MED Software Revision: "SIP11.8-5-3S"
- MED Serial Number: "FCH1606BDAG"
- MED Manufacturer Name: "Cisco Systems, Inc."
- MED Model Name: "CP-7911G"
- MED Asset ID: ""
Благодаря lldp коммутатор рассчитывает свой poe-бюджет более эффективно. Так, например, этот телефон "отъел" менее 3Вт. Далее меня удивила настройка dhcp-snooping'а, где понадобилось указывать адреса серверов для каждого влана.
configure trusted-ports 24 trust-for dhcp-server
configure trusted-servers vlan v203 add server 10.1.1.1 trust-for dhcp-server
configure trusted-servers vlan v555 add server 10.1.1.1 trust-for dhcp-server
Наконец, вишенка на торте. В MSTP при настройке, которая сама по себе мотает нервы, нельзя в инстансте указать диапазон вланов. Можно прописать только созданные на коммутаторе. Смотрите, необходимо удалить дефолтовый 1 влан из дефолтового домена и вообще его (s0) выключить
disable stpd "s0" auto-bind "Default"
disable stpd "s0"
Совсем не очевидна последовательность действий при конфигурации mstp. В итоге получилось следующим образом:
configure mstp region abc
configure mstp revision 1
create stpd msti0
configure stpd msti0 mode mstp cist
configure stpd msti0 default-encapsulation pvst-plus
create stpd msti1
configure stpd msti1 mode mstp msti 1
enable stpd msti1 auto-bind vlan Default
enable stpd msti1 auto-bind vlan v203
enable stpd msti1 auto-bind vlan v405
enable stpd msti0
enable stpd msti1
Ну, думаю, создам тогда все вланы на коммутаторе.
X430-24p.78 # create vlan 1-4094
802.1Q Tag 1 is assigned to VLAN Default.
VLAN VLAN_0010 already exists!
VLAN VLAN_0020 already exists!
802.1Q Tag 100 is assigned to VLAN vlan_all.
VLAN VLAN_0101 already exists!
802.1Q Tag 203 is assigned to VLAN v203.
802.1Q Tag 401 is assigned to VLAN v401.
802.1Q Tag 405 is assigned to VLAN v405.
802.1Q Tag 444 is assigned to VLAN v444.
802.1Q Tag 555 is assigned to VLAN v555.
System low on memory. VLAN creation VLAN_3725 failed. Current free memory is less than 20 MB
...
System low on memory. VLAN creation VLAN_4094 failed. Current free memory is less than 20 MB
* X430-24p.79 #
* X430-24p.79 # sh memory
System Memory Information
-------------------------
Total DRAM (KB): 262144
System (KB): 7124
User (KB): 233628
Free (KB): 21392
Терпение кончилось вместе памятью коммутатора. Сообщил, кому мог и рассчитываю на изменение этой ситуации с cli и mstp в новых версиях ПО.