Berichten

Veel OpenFlow vernieuwingen in maintenance release OmniSwitches

Voor de Alcatel-Lucent Enterprise OmniSwitch 6250, 6350 en 6450 modellen is er onlangs maintenance release 6.7.1.107.R04 uitgebracht. Naast gebruikelijke bugfixes zijn er met het uitkomen van deze release een aantal nieuwe functies beschikbaar gekomen. Met name de OpenFlow ondersteuning is uitgebreid.

Hash Chain Length eigenschap verbetering

Ondersteunde platformen: OmniSwitch 6450, OmniSwitch 6250 en OmniSwitch 6350

De Hash Chain Length eigenschap verbetering zorgt ervoor dat de diepte van de Hash Chain Length van de Forwarding Database (bucket grootte) aangepast kan worden bij het schrijven van MAC adressen in de ASIC van het AOS platform. Botsingen bij het schrijven van MAC adressen in de ASIC ontstaan voornamelijk door het gebruik van povere hashing algoritmes. De XOR hashing modus heeft meer kans op botsingen, wat betekent dat dezelfde hash-index toegewezen wordt aan een verschillende set van bron-/bestemmingsadressen. Het veranderen naar de CRC hashing modus is een efficiëntere techniek dan XOR modus. Omdat een MAC botsing afhankelijk is van hardware en algoritme, kan de mogelijkheid van MAC botsingen verder verkleind worden door de hardware mogelijkheid te benutten om de bucket grootte van 4 naar een hogere waarde van 8 aan te passen. Deze instelling kan door de software gecontroleerd worden.

De behoefte van de eigenschap is de hash lengte van de FDB tabel aan te passen van DEFAULT (bucket grootte is 4) naar EXTEND (bucket grootte is 8) door een configuratie commando met de modus opties DEFAULT of EXTEND. Standaard wordt de waarde van de hash lengte DEFAULT, wat betekent dat de bucket grootte 4 is.

De ingestelde hash waarde wordt alleen tijdens het opstarten toegepast waardoor, als een gebruiker het commando toepast, er in de console een waarschuwing getoond wordt met de melding dat de verandering alleen wordt doorgevoerd na de eerstvolgende herstart van de switch/stack.

Source Learning Enable/disable voor Non-Metro units

Ondersteunde platformen: OmniSwitch 6450, OmniSwitch 6250 en OmniSwitch 6350.

Op dit moment is het aan- en uitzetten van source-learning beperkt tot de Metro OmniSwitch modellen. De implementatie van deze functie maakt het mogelijk dat ook non-metro units source-learning aan- en uit kunnen zetten. Dit biedt de gebruiker de optie het leren van het bron MAC-adres op een specifieke poort of link aggregatie aan- of uit te zetten. Bij iedere poort, behalve degene die al door ‘software’ leren geactiveerd zijn, kan het leren van het bronadres door gebruikers aan- of uitgezet worden. Deze functie is beperkt tot een maximum van 48 poorten (inclusief link aggregatie poorten) per systeem.

Er is geen nieuwe CLI toegevoegd. Dezelfde CLI die eerder voor metro units werd gebruikt, kan nu ook door non-metro units gebruikt worden.

OpenFlow vernieuwingen

OpenFlow is een protocol dat boven TCP geïmplementeerd wordt en het voor netwerkcontrollers mogelijk maakt het pad te bepalen dat pakketten binnen een netwerk van switches afleggen. Door controle van forwarding te scheiden is het mogelijk dataverkeer geavanceerder te regelen dan met ACL’s of routeringsprotocollen mogelijk is. Aangezien OpenFlow een open standaard is, maakt het gebruik ervan het mogelijk om producten van verschillende vendoren te managen vanuit een enkel open protocol. Met de publicatie van de nieuwe firmware release zijn de volgende functionaliteiten beschikbaar gekomen:

Ondersteuning voor pakket aanpassingsacties voor het groep type ALL in OpenFlow

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Het huidige ontwerp van QoS kan een reeks acties uitvoeren voor een pakket wanneer een bepaalde voorwaarde overeenkomt. Om een flow te ondersteunen die meer dan één reeks acties voor een bepaalde voorwaarde uitvoert, gebruiken we het concept Groups en Buckets in OpenFlow. Groups en Buckets bevatte eerder de beperking dat acties die pakketten aanpast niet mogelijk waren. De implementatie van deze functie maakt ondersteuning voor de pakket aanpassingsactie voor het groepstype ALL mogelijk.

Verandering in de volgorde van acties in antwoord berichten

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Multipart flow statistics berichten en Multipart group descriptor berichten geven de lijst van acties weer die repectievelijk met de flow en group verbonden zijn. De huidige implementatie zet de acties in dezelfde volgorde in de antwoordberichten neer, als de volgorde waarin ze van de OpenFlow controller ontvangen zijn.

Ondersteuning voor Apply Acties

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Eerder ondersteunde AOS alleen de ‘Write actie’ type instructie volledig in OpenFlow. Instructies van het type ‘Apply acties’ werden ook beschouwd als ‘Write acties’ wanneer een flow in de database werd opgeslagen en de actiestructuur ‘Write actie’ gebruikte. Dankzij de implementatie van deze functie, ziet AOS deze OpenFlow acties als twee afzonderlijke entiteiten en ondersteunt de acties afzonderlijk voor beide types.

Ondersteuning voor PUSH_VLAN

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

De PUSH VLAN actie voegt nieuwe VLAN tags toe aan de binnenkomende pakketten. Dit is gelijksoortig aan de Q-in-Q dienst. Nieuw gepushte tags moeten altijd worden ingevoegd als de buitenste tag in de buitenste geldige locatie voor die tag. Dit wil zeggen dat wanneer er een nieuw VLAN tag gepushed wordt, dit de buitenste ingevoegde tag moet zijn; meteen na de ethernet header en voor andere tags.

Een maximum van 8 VLAN tags kunnen in een pakket gevoegd worden. In het geval dat we een binnenkomend pakket met VLAN tags hebben en we proberen tags toe te voegen wat tot gevolg heeft dat er meer dan 8 tags in het pakket komen, wordt het toevoegen van meer tags aan het pakket gestopt.

Alles over de bugfixes en nieuwe functies van deze maintenance release kunt u lezen in de release notes die te downloaden is op onze support pagina. Hier zijn ook per model de firmware bestanden te vinden →

Nieuwe firmware voor diverse Alcatel-Lucent Enterprise OmniSwitch modellen

tech-update

Met de introductie van de OmniSwitch 6350 familie van Alcatel-Lucent Enterprise is AOS 6.7.1 R01 geïntroduceerd voor zowel alle OS6250, OS6350 en OS6450 modellen. De firmware van de OS6250 en OS6450 is identiek qua software en functionaliteit. Gezien de beperktere feature set van de OS6350 is de firmware en functionaliteit van deze software verschillend van die van de OS6250 en OS6450 modellen. Voor de exacte verschillen verwijzen wij naar de release notes op onze support site. Bij de publicatie van deze versie is de volgende functionaliteit beschikbaar geworden:

Chassis / System

Monitor Interswitch Stacking Connections

Voor deze verbetering was het alleen mogelijk om port status, statistieken en tellers van niet stacking poorten in te zien. Deze verbetering maakt het mogelijk om deze gegevens ook bij stacking poorten te bekijken.

Laag 2

Priotisering ERP pakketten

In bepaalde netwerk scenario’s is hoge CPU belasting zichtbaar als gevolg van grote aantallen muticast pakketten die door de CPU verwerkt worden. IPv4 of IPv6 multicast protocol pakketten zoals HSRP, EGRP of ieder type end to end multicast applicatie die de 224.0.0.0/24 of ff02:0::/32 adres reeks gebruiken die niet verwacht worden door een L2 switch verwerkt te worden, kunnen CPU gebruik beïnvloeden wat kwesties tot gevolg kan hebben bij het normale afhandelen van andere protocollen zoals LACP of ERP. Dit wordt typisch gezien in Carrier Ethernet netwerken waar Ethernet diensten op de OmniSwitch geprovisioneerd worden waar deze geïmplementeerd wordt om L2 toegang te bieden tot het Carrier netwerk. Maar dit scenario kan ook toepasbaar zijn op ieder groot L2 access/core type netwerk.

Het verwerken van IPv6 protocol pakketten is afhankelijk van de aanwezigheid van een IPV6 interface. Als een IPv6 interface aanwezig is dan worden de pakketten door de CPU verwerkt, anders worden de pakketten transparant doorgelaten. Om het verwerken van IPv4 protocol pakketten te controleren is het volgende commando geïntroduceerd: -> ip multicast dynamic-control drop-all status {enable | disable}

Bij veel multicast verkeer in een netwerk kan de voor de switch kwesties opleveren bij het controleren van de ERP ring wat een loop in het netwerk tot gevolg kan hebben. Deze functie maakt het mogelijk het verwerken van de L3 multicast protocol pakketten door de CPU te beperken. De functie staat twee typen configuratie toe:

 • Configuratie exclusief bekende protocollen, dit staat toe dat alleen bekende IPv4 protocollen zoals OSPF, VRRP, RIPv2, PIM en DVRMP door de CPU verwerkt worden.
 • Configuratie inclusief bekende protocollen, dit controleert de verwerking door de CPU van alle multicast control frames inclusief IPv4 protocollen.

Laag 3

IPv6 Supported RFCs / IPv6 Phase 2 Logo

De OmniSwitch heeft de conformiteit- en interoperabiliteitstesten doorstaan die nodig zijn om het IPv6 forum IPv6 Ready Logo te mogen voeren.

IPv6 Security – Source Guard

IPV6 Source Filtering is een IPv6 veiligheidfunctie. Als IPv6 source guard is geactiveerd op een interface, wordt al het onbekende IPv6 verkeer naar de CPU verstuurd. De software zoekt het IPv6 bron adres op in een binding tabel die in het apparaat geleerd wordt. Als dit verband niet wordt gevonden wordt de flow uitgesloten.

IPv6 bron filteren wordt toegepast op DHCPv6 Snooping poorten, gebundelde verbindingen en VLANs en beperkt poort verkeer tot alleen pakketten die het source MAC adres, IPv6 adres en VLAN combinatie van de klant bevatten. De DHCPv6 Snooping binding tabel wordt gebruikt om de klant informatie te verifiëren van de poort/VLAN waarop IPv6 source filteren is geactiveerd.

IPv6 Security – Router Advertisement (RA) Guard

RA filteren kan gebruikt worden om het verspreiden van rogue RAs van ongeauthoriseerde systemen te voorkomen. Als het geactiveerd is op een interface worden alle ontvangen RA gedropt zonder naar enig ander verbonden IPv6 klant doorgelaten te worden. Eén of meer vertouwde poorten of linkaggs kunnen als interface gespecificeerd worden. RAs afkomstig van deze poorten of linkaggs worden doorgelaten naar alle andere IPv6 klanten die via dit interface bereikt kunnen worden.

IPv6 DHCP Relay/snooping/circuit-id

De Alcatel-Lucent OmniSwitch implementatie van RFC 3315 biedt DHCPv6 Relay-ondersteuning en stateless adres auto configuratie aan IPv6 hosts aangesloten op de switch. DHCPv6 wordt gebruikt om een globaal IPv6-adres te verwerven in Stateful-modus en DHCPv6 berichten worden uitgewisseld tussen IPv6-hosts en IPv6-router vergelijkbaar met het client-server model. De IPv6-adressen worden toegewezen door de DHCPv6-server in Stateful-modus. De DHCPv6-server onderhoudt de klant informatie. DHCPv6 Relay op OmniSwitch verwerkt en stuurt alle DHCPv6 berichten veroorzaakt door DHCPv6 client naar de geconfigureerde DHCPv6 Relay-agent als een unicast pakket.

Op dit moment zijn de volgende modi van DHCPv6 Relay beschikbaar:

 • DHCPv6 L3 Relay – Switch functioneert als zuiver Layer 3 relay agent als het klant gerichte interface een associatie met een IPv6 interface heeft. De DHCPv6 Layer 3 Relay configuratie heeft de volgende modi gelijksoortig aan DHCP relay:

Globale modus – tot aan 256 configureerbare IPv6 relay adressen

Per-VLAM modus – tot 256 VLANs met tot aan 8 IPv6 relay adressen per VLAN

Dit kan via de IPv6 helper address commando familie geconfigureerd worden.

 • DHCPv6 LDRA – De switch acteert als een Lightweight DHCPv6 Relay Agent (LDRA) als een klant gericht interface of poort geen IPv6 interface heeft en alleen een VLAN geconfigureerd heeft.

DE LDRA gebruikt de volgende berichten voor DHCP Snooping en relay-forwarding.

Relay-Forward:

 • Het link-adres wordt aan het ongespecificeerde adres gekoppeld
 • Het peer-adres wordt van het client link local addres gekopieerd
 • De Interface-ID optie wordt ingevoegd

Relay-Reply:
Berichten ontvangen op client poorten worden alleen doorgegeven aan vertrouwde poorten en niet naar andere client poorten. Op client poorten worden de volgende berichten als server schending verworpen:

 • Advertise
 • Reply
 • Reconfigure
 • Relay-Reply

Een client poort kan ook als client-only-trusted of client-only-untrusted geconfigureerd worden. Als een poort als client-only-untrusted poort geconfigureerd is, wordt het Relay-Forward bericht verworpen. De LDRA ondervangt ieder DHCPv6 bericht dat op client poorten ontvangen wordt.

Management

RCL- DHCP Server Priority

Deze functie verandert het Automatic Remote Configuration DHCP client proces op een OmniSwitch om prioriteit toe te kennen aan een DHCP antwoord van een OV Client server. Als een DHCP respons op VLAN 1 ontvangen wordt van een DHCP server anders dan OmniVista wordt dit respons tijdelijk opgeslagen. De DHCP client zal tijdens een periode van 30 seconden afwachten of er een respons van de OmniVista DHP server met een hogere prioriteit ontvangen wordt.

 • Prioriteit 1 – OmniVista DHCP server (VSI = alcatel.nms.ov2500)
 • Prioriteit 2 – OXO DHCP Server – (VSI = alcatel.a.a4400.0)
 • Prioriteit 3 – Alle andere DHCP servers

Als er binnen de periode van 30 seconden geen DHCP respons van de OmniVista DHCP server ontvangen is, wordt het opgeslagen respons toegepast. Als een respons van de OmniVista DHCP server binnenkomt wordt deze direct toegepast.

Metro

CPE Test Head verbeteringen

De L2 SAA test maakt het mogelijk om de RTT en Jitter tijdens de test head operatie te meten. De L2 SAA test wordt tussen twee OmniSwitches uitgevoerd. Deze test kan parallel aan andere CPE tests uitgevoerd worden. De l2 SAA maakt het mogelijk de netwerk prestaties tussen de appaten continu te monitoren. De netwerk prestaties wordt gemonitort door tijdens de test contunu L2 SAA pakketten te injecteren die verkeer prestaties genereren en analyseren. Bij het ontvangen van de SAA reply van ieder frame wordt de mimimale RTT, maximale RTT, totale RTT, minimale jitter, maximale jitter, totale jitter en aantal ontvangen pakketten berekend en voor referentie opgeslagen in een globale buffer.

Security

Critical Voice VLAN wanneer RADIUS down is

DE critical Voice VLAN maakt het mogelijk IP telefoon verkeer van het dataverkeer te classificeren als de authenticatie server down is. Een user-network-profile (UNP) is geconfigureerd om pakketten die niet geauthentiseerd kunnen worden te classificeren als de authenticatie server down of onbereikbaar is. Een extra user-network-profile moet geconfigureerd worden en toegewezen aan voice verkeer om het gescheiden te houden van ander data verkeer. Het user-network-profile wordt geassocieerd aan de voice policy en het UNP wordt toegepast op het ontdekte IP telefonie verkeer. Bij aanwezigheid van een authenticatieserver wordt het MAC adres van de IP telefoon geauthentiseerd tegen de authenticatieserver en het verkeer wordt in het voice domein VLAN geclassificeerd dat door de RADIUS server teruggekoppeld wordt. Als de RADIUS server down is, wordt het MAC adres eerst geclassificeerd als IP telefoon of geen-IP telefoon verkeer. Het MAC adres wordt tegen de LLDP database geverifiëerd voor classificatie.

Maintenance Release 6.6.5.77.R02 voor OmniSwitch 6250-6450 gepubliceerd

tech-update

Er is nu een nieuwe Maintenance Release gepubliceerd voor de Alcatel-Lucent OmniSwitch 6250 en 6450. Deze release bevat, naast de gebruikelijke bugfixes de volgende nieuwe functionaliteit:

1. DHCP Snooping Global Mode Enhancement

Om flexibiliteit en meer veiligheidsmechanismen te bieden voor Enterprise klanten om DHCP snooping in hun omgeving te implementeren zijn er een aantal opties toegevoegd. Met DHCP snooping wordt een vertrouwde of onvertrouwde status toegekend aan een switchpoort. Hierdoor wordt het mogelijk om alleen door voor de organisatie bekende DHCP-servers op vertrouwde switchpoorten ip-adressen uit te geven. Een illegale DHCP-server, die op een willekeurige host achter een onvertrouwde switchpoort is aangesloten, kan geen adres meer toekennen. DHCP-snooping valideert ieder DHCP-netwerkpakket dat van een DHCP-server op een onvertrouwde interface binnenkomt.

Door opties toe te voegen aan de maintenance release kan het AOS apparaat voorspelbaar werken. Dit stelt de gebruiker in staat configureerbare vlaggen te kiezen wat resulteert in het verwachte gedrag dat hieronder staat beschreven:

udpGblSbUturn Modus 6.6.5.R02
0 Standaard oude gedrag als in GA Release
1 Als deze variabele geselecteerd is zullen unicast BOOTP geen DHCP snooping functionaliteit volgen en zal er geen binding tabel hiermee opgebouwd worden
2 Hardware modus Nieuwe hardware instellingen waarbij alleen de combinatie van UDP poorten 68/67 als bron- en doel poort als DHCP pakketten behandeld zullen worden.Bv. als er een pakket met als bron UDP poort 67 en als doel UDP poort 67 wordt ontvangen, dan zal dit niet als DHCP gezien worden en niet door DHCP snooping onderschept worden.
3 Software modus Nieuwe hardware instellingen om pakketten met UDP poort paar 67/67 naar de CPU te onderscheppen, naast UDP poort paren 67/68 en 68/67.Nieuwe software forwading logica in DHCP snooping context verbeterd om L2, L3 switching (ARP) en L3 routing (IP Route) af te handelen

2. Critical Voice Vlan – fase 1

Het bestaande gedrag is dat, wanneer de RADIUS server niet meer reageert of toegankelijk is, een authentiserende IP telefoon naar het standaard VLAN verplaatst wordt, wat niet noodzakelijkerwijs het Voice VLAN is. Dit kan er toe leiden dat IP telefoons niet kunnen verbinden. Als een verbetering wordt de huidige auth-server down functie gebruikt om het critical voice VLAN te ondersteunen. Er wordt een nieuwe policy geïntroduceerd om één “Voice” User Network-Profile te ondersteunen.

Met deze uitbreiding wordt het MAC adres van het apparaat tegen de LLDP database gecontroleerd, als RADIUS authenticatie mislukt omdat de server niet reageert. Als bepaald wordt dat het een telefoon betreft, wordt het MAC adres geleerd en geclassificeerd in het “Voice-user-network-profile”. Als zo’n voice profiel niet aangemaakt is, dan wordt het apparaat als, hieronder beschreven, niet-IP apparaat geclassificeerd.

Als het MAC adres niet van een IP telefoon is wordt de normale policy toegepast. Bij de normale policy wordt, als UNP is geconfigureerd, een MAC adres geleerd en geclassificeerd in het betreffende profiel. Als er geen User-Network Profile is geconfigureerd, wordt het MAC adres geblokkeerd en als gefilterd geleerd.

Voor meer informatie kunt u de release note bekijken en de firmware downloaden op onze support pagina →