Nieuwe firmware voor diverse Alcatel-Lucent Enterprise OmniSwitch modellen

tech-update

Met de introductie van de OmniSwitch 6350 familie van Alcatel-Lucent Enterprise is AOS 6.7.1 R01 geïntroduceerd voor zowel alle OS6250, OS6350 en OS6450 modellen. De firmware van de OS6250 en OS6450 is identiek qua software en functionaliteit. Gezien de beperktere feature set van de OS6350 is de firmware en functionaliteit van deze software verschillend van die van de OS6250 en OS6450 modellen. Voor de exacte verschillen verwijzen wij naar de release notes op onze support site. Bij de publicatie van deze versie is de volgende functionaliteit beschikbaar geworden:

Chassis / System

Monitor Interswitch Stacking Connections

Voor deze verbetering was het alleen mogelijk om port status, statistieken en tellers van niet stacking poorten in te zien. Deze verbetering maakt het mogelijk om deze gegevens ook bij stacking poorten te bekijken.

Laag 2

Priotisering ERP pakketten

In bepaalde netwerk scenario’s is hoge CPU belasting zichtbaar als gevolg van grote aantallen muticast pakketten die door de CPU verwerkt worden. IPv4 of IPv6 multicast protocol pakketten zoals HSRP, EGRP of ieder type end to end multicast applicatie die de 224.0.0.0/24 of ff02:0::/32 adres reeks gebruiken die niet verwacht worden door een L2 switch verwerkt te worden, kunnen CPU gebruik beïnvloeden wat kwesties tot gevolg kan hebben bij het normale afhandelen van andere protocollen zoals LACP of ERP. Dit wordt typisch gezien in Carrier Ethernet netwerken waar Ethernet diensten op de OmniSwitch geprovisioneerd worden waar deze geïmplementeerd wordt om L2 toegang te bieden tot het Carrier netwerk. Maar dit scenario kan ook toepasbaar zijn op ieder groot L2 access/core type netwerk.

Het verwerken van IPv6 protocol pakketten is afhankelijk van de aanwezigheid van een IPV6 interface. Als een IPv6 interface aanwezig is dan worden de pakketten door de CPU verwerkt, anders worden de pakketten transparant doorgelaten. Om het verwerken van IPv4 protocol pakketten te controleren is het volgende commando geïntroduceerd: -> ip multicast dynamic-control drop-all status {enable | disable}

Bij veel multicast verkeer in een netwerk kan de voor de switch kwesties opleveren bij het controleren van de ERP ring wat een loop in het netwerk tot gevolg kan hebben. Deze functie maakt het mogelijk het verwerken van de L3 multicast protocol pakketten door de CPU te beperken. De functie staat twee typen configuratie toe:

  • Configuratie exclusief bekende protocollen, dit staat toe dat alleen bekende IPv4 protocollen zoals OSPF, VRRP, RIPv2, PIM en DVRMP door de CPU verwerkt worden.
  • Configuratie inclusief bekende protocollen, dit controleert de verwerking door de CPU van alle multicast control frames inclusief IPv4 protocollen.

Laag 3

IPv6 Supported RFCs / IPv6 Phase 2 Logo

De OmniSwitch heeft de conformiteit- en interoperabiliteitstesten doorstaan die nodig zijn om het IPv6 forum IPv6 Ready Logo te mogen voeren.

IPv6 Security – Source Guard

IPV6 Source Filtering is een IPv6 veiligheidfunctie. Als IPv6 source guard is geactiveerd op een interface, wordt al het onbekende IPv6 verkeer naar de CPU verstuurd. De software zoekt het IPv6 bron adres op in een binding tabel die in het apparaat geleerd wordt. Als dit verband niet wordt gevonden wordt de flow uitgesloten.

IPv6 bron filteren wordt toegepast op DHCPv6 Snooping poorten, gebundelde verbindingen en VLANs en beperkt poort verkeer tot alleen pakketten die het source MAC adres, IPv6 adres en VLAN combinatie van de klant bevatten. De DHCPv6 Snooping binding tabel wordt gebruikt om de klant informatie te verifiëren van de poort/VLAN waarop IPv6 source filteren is geactiveerd.

IPv6 Security – Router Advertisement (RA) Guard

RA filteren kan gebruikt worden om het verspreiden van rogue RAs van ongeauthoriseerde systemen te voorkomen. Als het geactiveerd is op een interface worden alle ontvangen RA gedropt zonder naar enig ander verbonden IPv6 klant doorgelaten te worden. Eén of meer vertouwde poorten of linkaggs kunnen als interface gespecificeerd worden. RAs afkomstig van deze poorten of linkaggs worden doorgelaten naar alle andere IPv6 klanten die via dit interface bereikt kunnen worden.

IPv6 DHCP Relay/snooping/circuit-id

De Alcatel-Lucent OmniSwitch implementatie van RFC 3315 biedt DHCPv6 Relay-ondersteuning en stateless adres auto configuratie aan IPv6 hosts aangesloten op de switch. DHCPv6 wordt gebruikt om een globaal IPv6-adres te verwerven in Stateful-modus en DHCPv6 berichten worden uitgewisseld tussen IPv6-hosts en IPv6-router vergelijkbaar met het client-server model. De IPv6-adressen worden toegewezen door de DHCPv6-server in Stateful-modus. De DHCPv6-server onderhoudt de klant informatie. DHCPv6 Relay op OmniSwitch verwerkt en stuurt alle DHCPv6 berichten veroorzaakt door DHCPv6 client naar de geconfigureerde DHCPv6 Relay-agent als een unicast pakket.

Op dit moment zijn de volgende modi van DHCPv6 Relay beschikbaar:

  • DHCPv6 L3 Relay – Switch functioneert als zuiver Layer 3 relay agent als het klant gerichte interface een associatie met een IPv6 interface heeft. De DHCPv6 Layer 3 Relay configuratie heeft de volgende modi gelijksoortig aan DHCP relay:

Globale modus – tot aan 256 configureerbare IPv6 relay adressen

Per-VLAM modus – tot 256 VLANs met tot aan 8 IPv6 relay adressen per VLAN

Dit kan via de IPv6 helper address commando familie geconfigureerd worden.

  • DHCPv6 LDRA – De switch acteert als een Lightweight DHCPv6 Relay Agent (LDRA) als een klant gericht interface of poort geen IPv6 interface heeft en alleen een VLAN geconfigureerd heeft.

DE LDRA gebruikt de volgende berichten voor DHCP Snooping en relay-forwarding.

Relay-Forward:

  • Het link-adres wordt aan het ongespecificeerde adres gekoppeld
  • Het peer-adres wordt van het client link local addres gekopieerd
  • De Interface-ID optie wordt ingevoegd

Relay-Reply:
Berichten ontvangen op client poorten worden alleen doorgegeven aan vertrouwde poorten en niet naar andere client poorten. Op client poorten worden de volgende berichten als server schending verworpen:

  • Advertise
  • Reply
  • Reconfigure
  • Relay-Reply

Een client poort kan ook als client-only-trusted of client-only-untrusted geconfigureerd worden. Als een poort als client-only-untrusted poort geconfigureerd is, wordt het Relay-Forward bericht verworpen. De LDRA ondervangt ieder DHCPv6 bericht dat op client poorten ontvangen wordt.

Management

RCL- DHCP Server Priority

Deze functie verandert het Automatic Remote Configuration DHCP client proces op een OmniSwitch om prioriteit toe te kennen aan een DHCP antwoord van een OV Client server. Als een DHCP respons op VLAN 1 ontvangen wordt van een DHCP server anders dan OmniVista wordt dit respons tijdelijk opgeslagen. De DHCP client zal tijdens een periode van 30 seconden afwachten of er een respons van de OmniVista DHP server met een hogere prioriteit ontvangen wordt.

  • Prioriteit 1 – OmniVista DHCP server (VSI = alcatel.nms.ov2500)
  • Prioriteit 2 – OXO DHCP Server – (VSI = alcatel.a.a4400.0)
  • Prioriteit 3 – Alle andere DHCP servers

Als er binnen de periode van 30 seconden geen DHCP respons van de OmniVista DHCP server ontvangen is, wordt het opgeslagen respons toegepast. Als een respons van de OmniVista DHCP server binnenkomt wordt deze direct toegepast.

Metro

CPE Test Head verbeteringen

De L2 SAA test maakt het mogelijk om de RTT en Jitter tijdens de test head operatie te meten. De L2 SAA test wordt tussen twee OmniSwitches uitgevoerd. Deze test kan parallel aan andere CPE tests uitgevoerd worden. De l2 SAA maakt het mogelijk de netwerk prestaties tussen de appaten continu te monitoren. De netwerk prestaties wordt gemonitort door tijdens de test contunu L2 SAA pakketten te injecteren die verkeer prestaties genereren en analyseren. Bij het ontvangen van de SAA reply van ieder frame wordt de mimimale RTT, maximale RTT, totale RTT, minimale jitter, maximale jitter, totale jitter en aantal ontvangen pakketten berekend en voor referentie opgeslagen in een globale buffer.

Security

Critical Voice VLAN wanneer RADIUS down is

DE critical Voice VLAN maakt het mogelijk IP telefoon verkeer van het dataverkeer te classificeren als de authenticatie server down is. Een user-network-profile (UNP) is geconfigureerd om pakketten die niet geauthentiseerd kunnen worden te classificeren als de authenticatie server down of onbereikbaar is. Een extra user-network-profile moet geconfigureerd worden en toegewezen aan voice verkeer om het gescheiden te houden van ander data verkeer. Het user-network-profile wordt geassocieerd aan de voice policy en het UNP wordt toegepast op het ontdekte IP telefonie verkeer. Bij aanwezigheid van een authenticatieserver wordt het MAC adres van de IP telefoon geauthentiseerd tegen de authenticatieserver en het verkeer wordt in het voice domein VLAN geclassificeerd dat door de RADIUS server teruggekoppeld wordt. Als de RADIUS server down is, wordt het MAC adres eerst geclassificeerd als IP telefoon of geen-IP telefoon verkeer. Het MAC adres wordt tegen de LLDP database geverifiëerd voor classificatie.