- GIỚI THIỆU
v Trong các switch managed hiện đại, việc quyết định chuyển tiếp gói tin ở mức phần cứng phụ thuộc vào một loại bộ nhớ tốc độ cao chuyên dụng gọi là TCAM (Ternary Content Addressable Memory). Đây là lý do switch có thể chuyển tiếp lưu lượng với hiệu năng cao và thông lượng lớn.
TCAM lưu trữ các bảng chuyển tiếp và bảng chính sách quan trọng, bao gồm:
- Bảng địa chỉ MAC
- Bảng định tuyến IP
- Các ACE (Access Control Entry) cho ACL và QoS
- Các entry multicast
- Và nhiều tính năng khác
Tất cả những bảng này được lưu trong một nguồn tài nguyên TCAM có dung lượng cố định, dùng chung cho nhiều chức năng khác nhau.
v Vì sao cần SDM Template
Do tổng dung lượng TCAM bị giới hạn và không thể mở rộng, nên các mô hình triển khai mạng khác nhau sẽ có yêu cầu tài nguyên khác nhau.
Ví dụ:
- ACL cho IPv4 và IPv6 chiếm lượng TCAM khác nhau
- Các bảng này lại chia sẻ chung một TCAM vật lý, vốn rất hạn chế
Chính vì vậy, SDM Template được sử dụng để tối ưu việc phân bổ TCAM cho từng kịch bản mạng cụ thể.
v SDM Template là viết tắt của Switching Database Management Template. Đây là một profile cấu hình được định nghĩa sẵn, dùng để phân chia lại không gian TCAM hiện có nhằm ưu tiên cho những nhóm tính năng cụ thể.
Ví dụ, khi triển khai mạng chỉ sử dụng IPv4, các ACL IPv6 là không cần thiết. Khi đó, người dùng có thể chuyển sang SDM Template không cấp phát TCAM cho ACL IPv6, nhờ vậy phần TCAM này sẽ được tái sử dụng cho ACL IPv4, giúp tăng số lượng ACL IPv4 tối đa mà switch có thể hỗ trợ. Trường hợp ngược lại cũng tương tự, nếu hệ thống sử dụng nhiều IPv6 và cần kiểm soát truy cập chi tiết.
Kể từ Omada Network v6.1, khi sử dụng firmware mới nhất trên Omada switch (không bao gồm dòng Agile và Campus), người dùng có thể thay đổi SDM Template đang dùng trên switch, đồng thời xem được trạng thái phân bổ tài nguyên TCAM trực tiếp trên Omada Controller.
Trên Omada Network, hiện có 4 loại SDM Template được hỗ trợ gồm: omada, omada-enterpriseV4, omada-enterpriseV6 và omada-enterpriseMix.
Các template khác nhau này sẽ phân bổ tài nguyên TCAM cho 4 nhóm tính năng sau:
- ACL & QoS (IPv4)
- ACL & QoS (IPv6)
- IP Source Guard
- IPv6 Source Guard
Các entry ACL & QoS (IPv4) và ACL & QoS (IPv6) sẽ được sử dụng sau khi bạn tạo Switch ACL và cấu hình các rule trong trang Switch QoS.
Đối với IP Source Guard và IPv6 Source Guard, hiện tại chưa thể cấu hình thông qua giao diện GUI của Omada Network. Việc cấu hình Source Guard chỉ có thể thực hiện thông qua CLI Template trên Omada Network.
Theo mặc định, switch sẽ sử dụng SDM template “omada”, trong đó đã được cấp tài nguyên cho cả ACL & QoS (IPv4) và ACL & QoS (IPv6).
Khuyến nghị:
- Chuyển sang omada-enterpriseV4 nếu cần nhiều ACL liên quan đến IPv4 và không có nhu cầu sử dụng IPv6
- Chuyển sang omada-enterpriseV6 nếu hệ thống chủ yếu sử dụng IPv6
- Nếu cần dùng IP Source Guard và IPv6 Source Guard, thì omada-enterpriseMix là template duy nhất có thể sử dụng
v Sau khi thay đổi SDM Template, switch bắt buộc phải reboot để cấu hình có hiệu lực, do việc phân bổ tài nguyên TCAM chỉ được thực hiện trong quá trình khởi động, và không thể thay đổi khi switch đang hoạt động.
- Yêu cầu
- Omada Switch (không bao gồm dòng Omada Agile và Omada Campus) với firmware mới nhất
- Omada Network phiên bản 6.1 trở lên
- Cấu hình
Phần dưới đây sẽ giới thiệu ngắn gọn vị trí cấu hình và theo dõi SDM Template trong Omada Network.
Bước 1: Adopt switch vào Omada Network
Tiến hành adopt switch vào Omada Network.
Lưu ý rằng firmware của switch phải là phiên bản mới nhất, nếu không các tính năng liên quan đến SDM Template có thể không khả dụng.
Bước 2: Truy cập quản lý switch
Vào mục Devices, nhấp chọn switch, sau đó trong cửa sổ bật ra, chọn Manage Device.
Bước 3: Truy cập trang cấu hình SDM Template
Trong trang quản lý switch, vào Config → General, sau đó nhấp để mở rộng mục Others để truy cập trang cấu hình SDM liên quan.
Bước 4: Thay đổi SDM Template
Trong menu cấu hình SDM Template, nhấp để mở dropdown menu, chọn template khác theo nhu cầu, sau đó nhấn Apply để áp dụng cấu hình.
Như đã đề cập ở trên, switch cần được reboot để các thay đổi từ SDM Template có hiệu lực. Việc reboot không được thực hiện tự động, do đó bạn cần reboot thủ công switch.
Bước 5: Kiểm tra trạng thái SDM Template
Trong trang cấu hình SDM Template, bạn có thể xem:
- Template đang được sử dụng,
- Số lượng entry đã dùng và số lượng tối đa cho phép của từng tính năng trong template đó
tại mục Used Template.
Ngoài ra, các SDM Template được hỗ trợ cùng với giới hạn entry tối đa được phân bổ cho từng nhóm tính năng sẽ được hiển thị tại mục Exist Template.
Đến đây, chúng ta đã hoàn tất phần giới thiệu cách thay đổi và theo dõi cấu hình SDM Template.
- Xác minh (Verification)
Tại đây, một ACL IPv6 đã được tạo trên switch, với cấu hình chặn toàn bộ lưu lượng IPv6.
Tại trang tương ứng, có một entry đã được sử dụng trong nhóm ACL & QoS (IPv6).
- Kết luận
Trong bài viết này, chúng tôi đã giới thiệu và kiểm chứng:
- SDM Template là gì
- Cách thay đổi và giám sát SDM Template trên Omada Network
Để tìm hiểu chi tiết hơn về từng chức năng và cách cấu hình, vui lòng truy cập Download Center để tải tài liệu hướng dẫn (manual) của sản phẩm tương ứng.
- Hỏi & Đáp (Q&A)
Q1: Tôi chỉ tạo một Switch ACL, vì sao trên switch lại hiển thị nhiều hơn 1 entry ACL & QoS được sử dụng?
A1:
Các entry hiển thị trong mục Used Template thể hiện số lượng rule ACL thực tế được tạo trên một Switch ACL trong controller.
Khi cấu hình Switch ACL, bạn có thể chọn nhiều source hoặc destination, và điều này sẽ tạo ra nhiều rule ACL ở phía switch, mặc dù trên controller chỉ hiển thị một Switch ACL duy nhất.
Ví dụ:
Tạo một rule deny từ 2 network nguồn đến 2 network đích
→ Thực tế sẽ sinh ra 2 × 2 = 4 rule ACL
→ Vì vậy trong trang Used Template, bạn sẽ thấy 4 entry ACL & QoS đang được sử dụng.
