Изучаем особенности Zyxel XMG1930-30HP, коммутатора c 2.5G/10G PoE портами и лицензируемыми функциями L3

Серия коммутаторов XMG1930 появилась благодаря повсеместному внедрению Wi-Fi 6/6E и переходу на мультигигабитные проводные интерфейсы уже на уровне доступа. И если 2-3 года назад порты 2.5GBase-T встречались в основном в недорогих NAS-ах и точках доступа среднего класса, то сегодня эта скорость уже - мэйнстрим, и бизнесу нужны коммутаторы, которые поддерживают её на всех access-портах, плюс дополнительные 10-гигабитные порты для аплинков или подключения серверов.

Как раз Zyxel XMG1930-30HP и представляет собой такой коммутатор, имеющий 24 порта стандарта 2.5GBase-T, из которых 20 поддерживают PoE+ (802.3at), а 4 - PoE++ (802.3bt), ещё 4 медных порта с поддержкой промежуточных скоростей до 10 Гбит/с и PoE++ могут использоваться для Hi-End точек доступа или конвергентных сетей, и 2 SFP+ слота 1/10G - для аплинков. Итого здесь 30 портов, из которых 28 - PoE, а общий бюджет питания сетевых устройств составляет внушительные 700 Вт.

Лицензия L3 Access

С технической точки зрения надо понимать, что процессоры в современных мультигигабитных свитчах гораздо мощнее, чем в 1-гигабитном поколении, и практически реализация каких-то функций уровня L3/L4 уже упирается не столько в возможности «железа», сколько в затраты на реализацию и маркетинг. Никто не ответит однозначно на вопрос, нужно ли на уровне доступа иметь динамическую маршрутизацию на основе IP адресов, туннелирование Q-in-Q и какие-то возможности защиты сети от спуфинга: одним клиентам это нужно, другим - нет, а держать номенклатуру L3 и L2 свитчей с одной и той же конфигурацией портов для производителя уже невыгодно - слишком дорогие мультигигабитные модели.

Функции L3, доступные без лицензии

ARP Learning и Static ARP

DHCP Relay с поддержкой Option82

Static Routing IPv4 / IPv6

Поэтому Zyxel рассудил так: если L3 функционал уже определяется только прошивкой, 99% выбирают коммутатор доступа ради плотности портов, PoE, VLAN, Multicast и реже - для статической маршрутизации, то вот вам базовая модель XMG1930, которая в общем-то L2, но чуть-чуть L3. А если уж вашей сети требуются расширенные L3 функции, то всё это тоже есть, просто заблокировано программно: купите соответствующую лицензию, и получите L3 функционал уровня ядра. Вы это можете сделать в любой момент, хоть при покупке устройства, хоть через год, если потребуется. И хотя IT-сообщество в массе своей не любит, когда в устройстве что-то есть, но заблокировано программно, согласитесь - иметь одну и ту же номенклатуру для access и core - это очень удобно, учитывая, что уровень распределения сегодня вообще себя изжил: его функции размазалиcь вверх и вниз по топологии, и всё благодаря вот таким коммутаторам, которые «умеют чуть больше».

О каких именно функциях идёт речь? Прежде всего, о вертикальном масштабировании: в том, что касается объёма таблиц и записей, пределы конфигурации расширяются в расчёте на использование в сетях крупных предприятий.

Расширение существующих лимитов при помощи лицензии L3 Access

Базовое значение

Новое значение

Таблица L3, кол-во записей

512

1024

MAC-таблица

16K

32K

Статические VLAN

1K

4K

Статические маршруты IPv4

32

64

Статические маршруты IPv6

32

64

Классификаторы ACL

128

256

Политики ACL

256

384

А вот в том, что касается новых возможностей, не всё так радужно: Zyxel записал в разряд лицензируемых такую полезную вещь, как Network AV Mode в веб-интерфейсе (как это выглядит, можно посмотреть в нашем обзоре GS2220-30HP), без чего современный PoE коммутатор уже представить нельзя, как и автоматическую перезагрузку по PoE зависших устройств, что для PoE-модели просто must-have! Функция VLAN на основе IP-подсетей тоже не выглядит чем-то из мира Hi-End и наряду с VLAN на основе MAC используется в средних проектах. Или вот MVR есть даже в дешёвых L3 коммутаторах, а тут взяли и решили, что это лицензируемая функция. Но, правда, это всё скорее исключения, потому что основная масса возможностей L3 Access предназначется для крупных мультитенантных сетей (провайдеры, бизнес-центры), и обычно нужна далеко не каждому под проект.

Дополнительные функции, добавляемые лицензией L3 Access:

  • Многоуровневый CLI
  • CLI (Cisco-подобный)
  • Сетевой режим AV
  • VLAN на основе протокола
  • VLAN на основе IP-подсетей
  • VLAN на основе MAC
  • Изоляция VLAN
  • IEEE 802.1AD VLAN стекирование (QinQ)
  • Сопоставление сетей VLAN
  • MRSTP (собственная разработка Zyxel)
  • Прозрачность BPDU
  • Гибкий канал
  • IEEE 802.3ah OAM (Link Discovery,Loopback)
  • BPDU Guard
  • Root Guard
  • Защита источника IP (IPv4/IPv6)
  • DHCPv6 Snooping
  • Доверие IPv6 DHCP
  • ARP Inspection
  • ARP Freeze
  • Анти-ARP сканирование
  • MAC Freeze
  • Защита сервера DHCP
  • Поддержка MVR
  • IGMP Snooping Immediate Leave
  • MLD Snooping (MLD v1)
  • sFlow
  • Управление потоком IEEE 802.3x
  • Diffserv (DSCP)
  • Автоматическое восстановление PD
  • ZUID
  • Аутентификация на основе MAC-адресов для каждой виртуальной локальной сети
  • Комплексная аутентификация
  • DHCP Client Option60
  • Несколько серверов TACACs+
  • Аутентификация входа в систему с помощью TACACS+
  • Учет TACACS+
  • Авторизация по TACACS+

Про какие-то из вышеназванных функций мы уже рассказывали в других наших обзорах коммутаторов Zyxel (см. наши обзоры сетевого оборудования), и рекомендую начать со свежего теста XGS2220-30HP, потому что программная база там скорее всего та же самая.

Хочу отметить, что лицензирование L3 Access - это не «модель по подписке», когда вам что-то нужно продлевать каждый год. Лицензия разово применяется на устройство и работает на нём весь срок службы коммутатора. Между разными свитчами она тоже не переносится за исключением случаев возврата по гарантии. К слову, наш Zyxel XS1930-12HP, (см. наш обзор), который мы с 2021 года используем для тестирования сетевых устройств, два года назад тоже не имел никаких расширенных L3 функций, кроме статической маршрутизации, но вот с выходом прошивки версии 4.80 у меня появилась возможность купить на него лицензию и получить какие-то новые фишки в дополнении к старым. Согласитесь, для устройства с пожизненной гарантией, которое за 2 года не то что морально не устарело, а наоборот приобрело новый Web-интерфейс и перешло в более высокий уровень классификации - это очень необычно и чертовски приятно.

Конструктивные особенности XMG1930

Конструктивно XMG1930 очень похож на недавно рассмотренного нами старшего собрата XGS2220-30HP, здесь применена та же компоновка с двумя платами и бескорпусным блоком питания. На входе по питанию установлена защита от повышенного напряжения и фильтр ВЧ-помех. На плате отсутствуют электролитические конденсаторы, что для меня является несомненным плюсом, а несколько банок - это твердотельные, судя по всему, производства Sanyo. Заявленная наработка на отказ (см. нашу статью что такое MTBF) составляет 537 тысяч часов или 61.3 года, это в 2 раза больше, чем у XGS2220-30HP, но всё ещё меньше чем у моделей 2021 года, где были рекордные 100 лет!

Для охлаждения используются три вентилятора диаметром 40мм c автоматической регулировкой, минимальная скорость которых составляет примерно 3700 RPM. Рабочий диапазон температуры воздуха расширенный: от -20 до +50 градусов Цельсия, то есть свитч можно устанавливать в неотапливаемых и некондиционируемых помещениях. Типичные температуры компонентов в режиме простоя при 25 градусах Цельсия, а также максимально допустимые их значения указаны ниже:

Компонент

Температура Idle

Макс. температура

MAC

52

85

Board

44

110

PHY

62

95

Мультигигабитные коммутаторы потребляют больше энергии, чем 1-гигабитные, и XMG1930-30HP не исключение: в режиме простоя без подключенных кабелей он берёт в среднем 51 Вт из розетки. Максимальное же энергопотребление с учётом PoE нагрузки может составлять 864 Вт, из которых 164 Вт уйдёт в сам коммутатор, и по этой причине, учитывая, что максимальный уровень его шума может достигать 52 дБА (вариант без PoE чуть тише - до 47 дБА), его не следует устанавливать в общем помещении с людьми, а в телекоммуникационном шкафу следует предусмотреть принудительную вентиляцию.

Интересно, что защита портов от всплеска напряжения у модели 30HP выше, чем у аналогичной без PoE- 2КВ против 1 КВ, а вот грозозащита медных портов - одинаковая - 8/4 КВ (воздух/контакт). И опять же, поскольку у PoE-модели более мощный блок питания, то и грозозащита у него получше - до 6 КВ.

Индикация работы портов вынесена на левую часть лицевой панели в виде разноцветных светодиодов в четыре ряда: верхние два ряда показывают режим питания по PoE, нижние - скорость подключения и режим работы порта. Дополнительные индикаторы сигнализируют о подключении свитча к облачной службе Nebula Control Center и превышению мощности по PoE.

2.5-гигабитные порты расположены в 2 ряда, в колодках по 12 штук, справа от них - одна 4-портовая колодка 10-гигабитных RJ45 портов, а ещё правее - два SFP+ слота. Снизу под портами проходит жёлто-оранжевая полоса, порты над жёлтой её частью поддерживают PoE+ (до 26 Вт), а те что над оранжевой - PoE++ (до 60 Вт). Несложно посчитать, что суммарная мощность PoE нагрузки может составить 1000 Вт при допустимых 700 Вт, и чтобы избежать перегрузки (это маловероятно, но всё же) в настройках свитча можно задать приоритет по питанию, какие порты отключать в случае перегрузки, а на какие ограничить ток постоянно. Всё ради того, чтобы обеспечить работу беспроводной инфраструктуры: выпадение 1-2 точек доступа клиент может и не заметить.

Программные особенности

Интересно, что настроек-то в XMG1930-30HP не много, но размещены они так, что кажется будто их больше, чем есть на самом деле :) Все современные коммутаторы Zyxel приведены к единому стилю Web-интерфейса, и на начальной странице можно видеть статус портов, кликнуть на нужный, выключить/включить или перегрузить клиент по питанию. В Networked AV вам здесь же выводится пропускная способность и режим IGMP на каждом из портов. Ранее я не обращал внимание на то, что в веб-интерфейсе наконец-то появился поиск, так что найти нужную функцию теперь можно в 1 клик. Хотелось бы, чтобы он учитывал и пользовательские параметры, такие как названия VLAN и портов, но это пока только в перспективе.

Как и полагается бизнес-модели, XMG1930-30HP имеет 2 образа операционной системы, которые можно обновлять и загружать независимо друг от друга, так что если новая прошивка вас не устраивает - можете загрузить предыдущую, а если микропрограмма повредилась, коммутатор сам загрузит резервную.

Особенности настройки портов

В плане работы с портами, хотел бы обратить внимание на поддержку 6 критериев объединения в LAG как по MAC адресу, так и по IP. Функции "Green Ethernet" по умолчанию отключены, и лучше не менять этот параметр: от серии к серии у Zyxel прослеживаются проблемы с совместимостью EEE и 2.5GBase-T, что видно даже по разделу Known Issues в релизах микропрограммы, а поскольку коммутатор у нас имеет 24 порта на 2.5 Гбит/с, я не понимаю, ради чего оставлять эти "зелёные" технологии прошивке.

При массовой настройке однотипных параметров имеет смысл чуть облегчить себе работу и настроить всё на одном порту, а потом просто клонировать все настройки на один или несколько других портов, причём что именно переносить, а что нет - вы выбираете сами.

Для настройки QoS в базе доступны три метода - SPQ, WFQ и WRR, которые применяются непосредственно к физическим портам. Установка лимита по скорости тоже достаточно простая: администратор задаёт лимит для входящего и исходящего трафика тоже только на физический порт.

Особенности использования классификаторов (ACL)

Какие-то функции, что в коммутаторах других производителей реализованы в явном виде, ну например, шейпинг скорости и QoS для VLAN, у Zyxel тоже могут быть реализованы, но немного более хитрым путём через классификаторы трафика. Например, если нам нужно настроить шейпинг скорости для VLAN, то сначала нам нужно обозначить соответствующий тип трафика, создав классификатор и задав в нём номер VLAN и по желанию какие-либо ещё параметры, например IP адрес, протокол, тип Ethernet, MAC адрес и входящий порт, после чего мы задаём политику управления этим трафиком, причём индивидуально для каждого теперь уже исходящего порта. Мы можем сбрасывать пакеты, ограничивать скорость, пересылать их на другой порт или исключить из общего ограничения скорости на физическом порту.

Согласитесь, это хоть и посложнее, но даёт больше возможности администратору гранулярно настраивать шейпинг трафика и менять приоритет прохождения пакетов, потому что здесь мы можем учитывать не просто физические и виртуальные подсети, но и сами клиентские машины в этих подсетях. Даже более того - при желании можно классифицировать класс приложений, отсекая например VPN через UDP... ах да, и это всё ещё можно учитывать в определённые дни по заданному расписанию.

Классификаторы и политики обрабатываются на CPU, поэтому их количество ограничено 128/256 или 256/384 с лицензией. Иногда можно встретить мнение, что L3-коммутаторы Zyxel на самом деле - L4, и теперь вы знаете, почему это правда.

Особенности настройки PoE

В базовой версии вы можете настраивать приоритет питания, максимальную мощность и стандарт PoE для каждого из портов. Есть ещё возможность подачи питания по расписанию, например, чтобы выключать часть точек доступа в нерабочее время. Реализация этой функции имеет одну особенность: да, вы можете назначить на один и тот же порт несколько временных диапазонов, но они не должны пересекаться.

При активации лицензии L3 Access появляется функция опроса состояния подключения по LLDP или пингу по IP адресу. И если подключенное устройство вдруг перестало отвечать, например зависло, его можно автоматически перегрузить по питанию, если оно PoE или просто отправить уведомление администратору. Без удалённой перезагрузки камеры или точки доступа уже сложно представить себе современную сеть, но до сих пор не все коммутаторы могут делать это автоматически, равно как и менять любой порт на резервный (нет, это не зеркалирование порта, а именно переключение на резерв и обратно).

Возможности VLAN при активации L3 Access

С подключенной лицензией L3 Access, коммутатор получает возможность создания VLAN на базе IP, протоколов и MAC-адресов. Администратор сети может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять нижестоящие сети, которые при этом могут проводить через сеть свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов. Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.

Для той же цели поддерживается и двойное тегирование в классическом его варианте Selective Q-in-Q. Таким образом, при необходимости пропуска трафика клиентов, использующих собственный VLAN в нижестоящих сетях, Zyxel XMG1930-30HP может интегрироваться с клиентскими коммутаторами Cisco, D-Link, Mikrotik и др. что имеет смысл в сетях провайдеров или бизнес-центрах.

Параметры многоадресной рассылки (IGMP Snooping) и MVR настраиваются гранулярно для каждого порта, а ещё есть возможность включения статического перенаправления Multicast для VID и портов. В этом, кстати, отличие 2200-й серии от младших L3 коммутаторов Zyxel.

 Дополнительные функции безопасности L3 Access

Лицензия L3 Access расширяет функционал XMG1930 дополнительными встроенными средствами безопасности. Коммутатор умеет бороться с подменой IP адресов, фейковыми или ошибочными DHCP серверами, позволяет настраивать жёсткую привязку IP к MAC на порт, просматривать существующие таблицы ARP, имеет антиспуфинг ARP пакетов и функции фильтрации как по Layer 3 IP, так и по Layer 4 TCP/UDP.

Ну и даже в базовом функционале присутствует гостевой VLAN, без которого сегодня не обходится ни одно более-менее серьёзное промышленное сетевое устройство. Для мониторинга используется SNMP v2c/v3, экспорт метрик и логов на Syslog сервер и вывод информации в Web-интерфейс.

Гибридный режим Nebula

Управление через Nebula Control Center, скажем прямо, - это не тот сценарий, ради которого создавался данный коммутатор, потому что этот облачный сервис настройки создавался ради удобства, а не функционала. Возможности настройки L3 коммутаторов в Nebula сильно ограничены, и что ещё хуже - некоторые функции, как например, настройка маршрутизации, требуют платной лицензии Nebula Pro Pack.

При подключении к Nebula, коммутатор переходит в так называемый "гибридный" режим, когда некоторые функции всё же настраиваются локально, а другие - через облако. Пользователю доступны настройки ACL списков, PoE расписаний, VLAN, IGMP и портов.

Выводы

Как видно из нашего обзора, в базовом варианте серия XMG1930 представляет достаточно возможностей для развёртывания современных сетей, в том числе с использованием Wi-Fi 6/6E и самых современных IP-камер. В том, что касается непосредственно рассматриваемой версии XMG1930-30HP с поддержкой PoE, я полагаю, что этот коммутатор будет покупаться в основном для подключения точек доступа, и все дополнительные функции безопасности ему не очень-то и нужны, ну не покупать же лицензию только ради Networked AV Mode и автоматической перезагрузки зависших downstream-устройств? Конечно, и та и другая функции очень востребованы в такого рода свитчах, и мне жаль, что их вынесли в разряд опциональных, но при наличии CLI-доступа к коммутатору и настроенного мониторинга, их можно реализовать программно. Главное здесь - огромный PoE бюджет и 2.5-гигабитные интерфейсы.

А вот что касается более младшей модели, XMG1930-30, то это уже тот случай, когда один и тот же коммутатор можно использовать и в ядре, и в слое распределения и на уровне доступа, если можно обойтись без стекирования, а отказоустойчивость сервисов реализовать программно.

Если говорить о недостатках, то мне не нравится, что Nebula Control Center откровенно не успевает за возможностями коммутаторов Zyxel, а собственный веб-интерфейс свитчей - только на английском языке. Компании Zyxel следовало бы подтянуть это направление, иначе создаётся ощущение, что вся коммутация в Nebula остаётся "постольку поскольку", а весь прогресс в сервисе облачного управления крутится вокруг точек доступа.

От чего лично я в восторге - это от концепции нового Web-интерфейса, которая реализована во всех свитчах. Наконец-то не нужно пытаться вспомнить где нужная настройка и сумрачно бродить по меню в левой колонке - поиск решает эту проблему. Да и функция Help давно уже существовала и в домашних роутерах, и очень уж просилась в профессиональные свитчи. Раньше всё, что касается ACL (классификаторов) и политик было неудобно, коряво и отталкивающе, а теперь всё настолько удобно, что я уже планирую задействовать этот функционал в нашей тестовой сети, и если вы не разбирались в ACL, обязательно обратите туда своё внимание, это реально стоит того.

Михаил Дегтярёв (aka LIKE OFF)
01/08.2023


Похожие статьи:

Рассматриваем особенности динамического VLAN и аутентификации на коммутаторах Zyxel

Следуя рекомендациям «best practice», различные по назначению сетевые устройства, такие как IoT, рабочие компьютеры, смартфоны, гостевые устройства, должны всегда находиться в разных подсетях, и в идеале – терминироваться через ...

Особенности защиты сети компании с помощью Zyxel USG Flex 100AX

Zyxel USG Flex 100AX – это шлюз безопасности начального уровня, который предназначен для установки в небольших офисах и филиалах, в тех случаях, когда в компании есть жёсткие требования безопасности или имеется сложная многоранг...

Изучаем особенности Zyxel XMG1915-18EP, 2.5-гигабитного PoE коммутатора с базовым L3

Перед нами довольно интересный класс L3 коммутаторов: мультигигабитные PoE модели с относительно небольшим числом портов, средним по современным меркам бюджетом PoE, но 10-гигабитными аплинками. Интересны они тем, что 2.5G PoE +...

Отличия дорогих Ethernet-коммутаторов от дешёвых на примере Zyxel

Мы возьмём два коммутатора: тайваньский брендовый Zyxel и китайский аналог от малоизвестного производителя и посмотрим на различия в конструкции, и на что они влияют, чтобы ответить на вопрос - имеет ли смысл переплачивать за ко...

Настраиваем защиту от IoT атак на предприятии с помощью оборудования Zyxel

Типичная атака через IoT выглядит следующим образом: устройство подключается к зловредному интернет-ресурсу напрямую или через собственный VPN, скачивает и устанавливает на себя зловредный код, после чего начинает быть либо част...