Skip to main content

5.3 Prepínač (switch)

Ako funguje prepínač

Už dlhú dobu sa na prepojenie zariadení v LAN káblom používajú prepínače (switche). Na rozdiel od starých rozbočovačov (hubov) neposielajú rámce vždy do všetkých portov, ale pamätajú si výskyt MAC adries zariadení na jednotlivých portoch (ukladajú si adresy odosielateľa prijatých rámcov do CAM pamäte) a rámce posielajú len do portu, kde je príjemca (egress port).

Pokiaľ je v prijatom rámci adresa príjemcu všesmerová (broadcast) alebo ju prepínač nemá v tabuľke, rámec odošle do všetkých portov - okrem toho, ktorým bol rámec prijatý (ingress port). Bežný prepínač sa rovnako sa zachová aj v prípade rámca so skupinovou (multicast) adresou príjemcu. Pokročilé prepínače vedia multicast spracovať lepšie - budeme sa tým zaoberať neskôr (kapitola 10.5 Multicast a IGMP Snooping).

Bezpečnostné riziká súvisiace s prepínačom

Ako sme už spomínali, prepínač si ukladá MAC adresy do svojej CAM pamäte. Každá pamäť však má svoju kapacitu a táto pamäť je z dnešného pohľadu priam miniatúrna - obvykle do nej vojde približne 8 alebo 16 tisíc záznamov. Toto by samozrejme malo stačiť v každej sieti a z praktického hľadiska by sme nemali naraziť na limit.

Útočník však nebude brať ohľad na to, čo je a čo nie je bežné - môže generovať rámce s náhodnými MAC adresami a nimi zahltiť túto pamäť. Takýto útok nazývame MAC Address Flooding. Prepínač po naplnení pamäte nebude schopný do nej pridávať ďalšie záznamy, takže sa začne správať ako rozbočovač (hub) - teda všetky rámce bude posielať do všetkých portov. To umožní útočníkovi odpočúvať komunikáciu a ak je komunikácia intenzívna, tak aj ochromiť prevádzku siete.

Režim práce prepínača

Prepínače môžu pracovať v dvoch režimoch:

  • store-and-forward: prepínač najskôr prijme celý rámec, spočíta jeho kontrolný súčet (CRC) a prepošle ho len v prípade, že je správny, teda že rámec nie je poškodený - takto sa správa väčšina prepínačov;
  • cut-through: prepínač nečaká na načítanie celého rámca, ale začne ho odosielať skôr, čím dosahuje nižšiu latenciu:
    • typ fast-forward začne rámec odosielať hneď, ako prečíta adresu príjemcu - tá je hneď na začiatku rámca,
    • typ fragment-free začne rámec odosielať po úspešnom prečítaní prvých 64 bajtov.

Niektoré prepínače môžu mať do režimu cut-through nakonfigurované niektoré porty individuálne, prípadne sa môžu režimy meniť podľa toho, ako často sa vyskytujú chyby. Prepínače MikroTik pracujú len v režime store-and-forward.

Mám byť smutný, ak môj prepínač pracuje len v režime store-and-forward?

Poďme sa na to pozrieť matematicky na príklade bežného prepínača s rýchlosťou 1 Gb/s: 🧐

  • store-and-forward: načítanie celého rámca veľkosti 1518 B bude trvať 1518 * 8 b / 1 Gb/s = 12 μs;
  • fast-forward: načítanie prvých 6 B bude trvať 6 * 8 b / 1 Gb/s = 48 ns;
  • fragment-free: načítanie prvých 64 B bude trvať 64 * 8 b / 1 Gb/s = 512 ns.

Ak berieme do úvahy relatívny rozdiel, tak je veľmi veľký. No ak sa pozrieme na reálnu latenciu pri komunikácii s internetom, tá je až na úrovní milisekúnd, takže zdržanie na prepínačoch je zanedbateľné. Zmysel môže mať len pri lokálnych spojeniach v superpočítačoch, ale tam bude viac záležať na prenosovej rýchlosti.

Takže nie, netreba byť smutný a ani zháňať nový prepínač.

V režime store-and-forward je samozrejme potrebné rámec niekam dočasne uložiť. Tá je potrebná aj v prípade, že výstupný port je práve obsadený odosielaním iného rámca. Preto bývajú prepínače vybavené pamäťou (nazýva sa aj buffer). Pamäť môže byť samostatne vyhradená pre každý port alebo spoločne zdieľaná pre všetky porty.

Hoci sme zvyknutí na fakt, že pamäť sa ráta v GiB a čím viac pamäte v zariadení máme, tým je to lepšie, v prípade prepínačov je situácia iná: pamäť sa ráta v desiatkach alebo stovkách KiB a nemá zmysel mať ohromne veľký buffer. Dokonca je to priam nežiadúce - prečo by mal prepínač všetky údaje z počítačov pripojených rýchlosťou 2,5 Gb/s ukladať do pamäte a potom ich niekoľko minút odosielať do pomalšieho spojenia so smerovačom? Spôsobovalo by to veľké zdržanie pri prenose (latenciu) a nepredvídateľné správanie. Úplne by to narušilo fungovanie regulácie rýchlosti protokolov vo vyšších vrstvách a QoS mechanizmy. Tie rámce, ktoré sa už „nevojdú“ do výstupného portu, je lepšie proste zahodiť a nechať vyššie protokoly, aby mohli zdetegovať preťaženie a zareagovať.

Praktický výber prepínača

Je dobré rozumieť fungovaniu prepínačov, no pri reálnom nasadení musím riešiť aj praktické otázky, týkajúce sa voľby konkrétneho modelu. Všetky prepínače by mali pracovať „neblokujúcou“ rýchlosťou, čo znamená, že musí stíhať spracovávať linkovú rýchlosť aj v prípade, že bude na všetkých portoch v oboch smeroch súčasne. Prepínače sa však líšia inými podstatnými parametrami, ako napríklad:

  • počet portov: bežne bývajú k dispozícii modely s 5 / 8 / 16 / 24 / 48 portami - volíme samozrejme podľa potreby, aj s ohľadom na odhadovaný vývoj v blízkej budúcnosti;
  • počet SFP+ / QSFP portov: v dnešnej dobe je už samozrejmosť pripojiť kanceláriu optickým káblom s rýchlosťou aspoň 1 Gb/s, teda prepínač by mal mať aspoň jeden SFP+ port, zíde sa však aj druhý na prípadné zreťazenie;
  • rýchlosť ethernet portov: rýchlosť 1 Gb/s je zväčša postačujúca klasika, no v dnešnej dobe je lepšie siahnuť po modeloch s 2,5 Gb/s, prípadne aj 5 alebo 10 Gb/s;
  • možnosť napájania cez PoE: teda či prepínač môžeme napájať elektrikou cez ethernet kábel, čo je veľmi praktické v prípade, že je umiestnený niekde na streche, stožiari, v šachte, či v suteréne;
  • počet portov s PoE výstupom: teda či tento prepínač dokáže napájať pripojené zariadenia posielaním elektriky po ethernet kábloch, čo je žiadaná funkcia pri pripojení kamier alebo Wi-Fi AP;
  • prítomnosť aktívneho chladenia: na prvý pohľad nepodstatný detail, no ventilátory malých rozmerov majú vysoké otáčky a spôsobujú hluk, ktorý určite nechceme v obývačke, či spálni a po pár rokoch je zväčša potrebné ich vyčistenie (prach) alebo výmena (opotrebované ložiská);
  • rozmery a vzhľad: predovšetkým nás zaujíma, či je možná montáž do rack skrine, v prípade nasadenia na pracovný stôl zase ocením kompaktné rozmery a pekný dizajn;
  • operačný systém a spôsob konfigurácie: v prvom rade je otázka, či vôbec potrebujeme prepínač konfigurovať (v domácom prostredí len zriedka) a ak áno, volíme takzvaný „manažovateľný“ prepínač - zaujímať nás bude, či umožňuje konfiguráciu cez webové rozhranie alebo cez telnet / SSH, prípadne po sériovom kábli konzoly.

Načo je dobrý manažovateľný prepínač?

Umožňuje predovšetkým definovať VLAN siete, ktorými sa budeme zaoberať až v druhej časti tohoto kurzu. Tie sú nevyhnutné vo väčších podnikových sieťach. Okrem toho umožňujú diaľkovo kontrolovať stav a chybovosť jednotlivých portov, zapínať či vypínať porty alebo napájanie PoE (a takto na diaľku reštartovať pripojené zariadenie). Niektoré modely umožňujú aj riadiť multicast.

Pozor na PoE! Je potrebné rozlišovať „pasívne PoE“ a skutočné štandardy IEEE 802.3af (PoE) / 802.3at (PoE+) / 802.3bt (PoE++). Pokiaľ náš prepínač vie elektriku posielať len cez pasívne PoE a pripojené zariadenie vyžaduje štandard, nebude to fungovať. A nebude to fungovať ani v opačnej situácii, vtedy dokonca hrozí poškodenie pripojeného zariadenia. Niektoré prepínače (napríklad MikroTik série CRS3xx) podporujú oba režimy, no je potrebný zásah do konfigurácie.

V čom je lepšie štandardné PoE oproti pasívnemu?

Prepínače s PoE štandardom IEEE 802.3af/at/bt sú drahšie, používajú vyššie napätie (48 až 57 V), čo znižuje straty pri prenose energie dlhými káblami. Po pripojení zariadenia prebehne „vyjednávanie“ - prepínač pošle najskôr nízke napätie a zistí, či zariadenie PoE vôbec podporuje a koľko energie potrebuje. Pokiaľ pripojíme zariadenie, ktoré PoE nepodporuje, nič sa nestane.

Pasívne PoE je lacné riešenie, pre ktoré nie je potrebný ani prepínač s touto funkciou a postačí takzvaný „PoE injektor“. Ten posiela to napätie, ktoré do neho zapojíme (obvykle 24 V) a posiela ho do príslušných vodičov vždy, čo môže po pripojení zariadenia, ktoré s tým neráta, spôsobiť jeho poškodenie.

Značenie prepínačov MikroTik

Prepínače MikroTik majú vo svojom názve (kódovom označení) obsiahnuté základné parametre, ako sú počty a typy portov, vrátane PoE a tiež možnosť montáže do racku (RM).

Príklady modelov:

  • CRS326-24G-2S+RM: séria CRS3, 26 portov
    • 24G: 24 ethernet portov s rýchlosťou 1 Gb/s;
    • 2S+: 2 SFP+ porty (10 Gb/s);
    • RM: rack-mount, teda rozmer pre rack skriňu;
  • CRS310-8G+2S+IN: séria CRS3, 10 portov
    • 8G+: 8 ethernet portov s rýchlosťou 2,5 Gb/s;
    • 2S+: 2 SFP+ porty (10 Gb/s);
    • IN: indoor, teda prevedenie v menších rozmeroch na stôl.

Skratky v označení:

  • káblové rozhrania - klasický / s PoE výstupom / kombinovaný s optickým / optický:
    • G / P / C / S: 1 Gb/s - klasický / s PoE výstupom / kombinovaný s SFP / SFP,
    • G+ / P+: 2,5 Gb/s - klasický / s PoE výstupom,
    • C+ / S+: 10 Gb/s - ethernet kombinovaný s SFP+ / SFP+,
    • XG / XP: 5 alebo 10 Gb/s - klasický / s PoE výstupom,
    • XS: 25 Gb/s SFP+,
    • Q+ / XQ / DQ / DDQ: QSFP+ s rýchlosťou 40 / 100 / 200 / 400 Gb/s;
  • typ prevedenia (výber len pre prepínače):
    • IN - indoor: menšia skrinka do interiéru,
    • RM - rack-mount: s rozmermi pre rackovú skriňu,
    • OUT - outdoor: do exteriéru, odolné pred vplyvom počasia.

Čo je to kombinovaný (combo) port?

Ide o alternatívnu dvojicu portov - zapojiť je možné len jeden z nich. Obvykle sa jedná o kombináciu bežného metalického ethernetu s RJ45 konektorom a optického SFP portu. Ak by sme zapojili káble do oboch portov, funkčný bude len jeden. Z hľadiska konfigurácie vystupujú ako jedno rozhranie. Týmto spôsobom môžeme alternatívne spojenie použiť ako jednoduchú záložnú linku.

Back to top