'

Технологии, применяемые при построении сетей на основе коммутаторов D-Link Расширенный функционал

Понравилась презентация – покажи это...





Слайд 0

Технологии, применяемые при построении сетей на основе коммутаторов D-Link Расширенный функционал Бигаров Руслан, консультант по проектам rbigarov@dlink.ru


Слайд 1

Double VLAN (Q-in-Q)


Слайд 2

Назначение технологии: Transparent LAN services (TLS), прозрачные сервисы для сетей LAN LAN A LAN B PE A PE B Service Provider Сеть ISP PE: Provider Edge – оконечное оборудование провайдера SP: Service Provider – сервис-провайдер Введение в технологию Double VLAN


Слайд 3

Что такое “Double VLAN”? Данная функция поддерживает инкапсуляцию тегов IEEE 802.1Q VLAN в теги второго уровня 802.1Q tag на провайдерских граничных коммутаторах Provider Edge (PE) При помощи Double VLAN сервис провайдер может использовать уникальные VLAN (называемые Service-provider VLAN ID, или SP-VLAN ID) для предоставления услуг клиентам, которые имеют несколько VLAN в своих сетях. VLAN клиента, или Customer VLAN IDs (CVLAN IDs) в этом случае сохраняются и трафик от различных клиентов сегментируется даже если он передается в одном и том же VLAN. Введение в технологию Double VLAN


Слайд 4

Формат пакета Double Tagging VLAN Количество 802.1q VLAN равно 4094 При использовании Double VLAN мы получаем 4094 * 4094 = 16,760,836 VLAN Введение в технологию Double VLAN


Слайд 5

Базовая архитектура сети


Слайд 6

Примечание: В DES-3800 порты Ethernet 10/100 могут быть только Access Port; гигабитные порты должны быть портами Uplink Понятия Access Port и Uplink Port Граничные коммутаторы провайдера Provider Edge (PE1 & PE2) настроены для обработки Double VLAN для 2-х клиентских VLAN. Каждому пользователю назначен уникальный VLAN провайдера: SP-VLAN 100 для клиента A и SP-VLAN 200 для клиента B. Когда пакет поступает на Access Port, подключенный к сети клиента, коммутатор PE добавляет еще один тег 802.1Q, называемый SP-VLAN. Если исходящий для пакета порт является портом Access Port, тогда коммутатор PE удаляет тег SP-VLAN из пакета. Если исходящий порт это Uplink Port, то пакет будет передан дальше вместе с тегом SP-VLAN и тегом CVLAN (если изначально в пакете тег содержался) или только с тегом SP-VLAN (если это был пакет без тега) Access Port используется для подключения к PE клиентских VLAN Uplink Port используется для подключения PE к сети провайдера


Слайд 7

T SPvid 100 SPvid 200 Подключение коммутаторов L2 (Передача трафика при помощи D-Link Double VLAN) V2 V3 V4 V2 V3 V4 V2 V3 V4 V2 V3 V4 Double Vlan позволяет каждому SPVid использовать собственные CVLAN id 1-4094 без каких-либо проблем #1 #2 #3 #4 Uplink Port Uplink Port Access Port Access Port Access Port Access Port T T T TT TT


Слайд 8

DES-3828 #1,#2 reset config enable double_vlan All setting will return to default setting. Are you sure to change the system vlan mode?(y/n)y config double_vlan default delete 1-28 create double_vlan d100 spvid 100 create double_vlan d200 spvid 200 config double_vlan d100 add access 1-12 config double_vlan d200 add access 13-24 # Uplink – порты могут быть назначены только на гигабитных портах # config double_vlan d100 add uplink 25-28 config double_vlan d200 add uplink 25-28 save Настройка устройств DES-3526 #1,#2,#3,#4 reset config config vlan default delete 1-26 create vlan v2 tag 2 create vlan v3 tag 3 create vlan v4 tag 4 config vlan v2 add untagged 1-8 config vlan v2 add tagged 25-26 config vlan v3 add untagged 9-16 config vlan v3 add tagged 25-26 config vlan v4 add untagged 17-24 config vlan v4 add tagged 25-26 save


Слайд 9

Примечание В настоящее время функция Double VLAN соответствует драфту стандарта 802.1ad


Слайд 10

Пример использования Q-in-Q Selective Задача: Граничные коммутаторы провайдера (Provider Edge) настроены для обработки Q-in-Q Selective для 2-х клиентских VLAN (VID 200, 300). Этим двум клиентским VLAN назначен уникальный VLAN провайдера: SP-VLAN 1000. Необходимо осуществить передачу клиентских VLAN через оборудование провайдера с использованием технологии Q-in-Q Selective. Пояснения: Клиентские C-VLAN (VID = 200, 300) статически прописаны на коммутаторе, пакеты приходят на порт 9 и передаются в разных Q-in-Q VLAN-ах с SP-VLAN 1000 и 1001 через 11 порт. «role uni» означает, что взаимодействие по этим портам будет осуществляться между пользователем и граничным коммутатором провайдера. «role nni» означает, что этот порт взаимодействует с сетью провайдера или другим граничным коммутатором. «missdrop enable» означает, что добавление внешнего тега будет осуществляться только согласно правилам vlan_translation. Значение outer_tpid задается равным 0x88A8, согласно стандарту IEEE 802.1ad, оно должно совпадать для всего оборудования, через которое передаются пакеты с двойным tag-ом.


Слайд 11

Настройка устройств DES-3528 create vlan v200 tag 200 create vlan v300 tag 300 create vlan v1000 tag 1000 create vlan v1001 tag 1001 config vlan v200 add tag 9 config vlan v300 add tag 9 config vlan v1000 add tag 9,11 config vlan v1001 add tag 9,11 enable qinq config qinq inner_tpid 0x8100 config qinq ports all outer_tpid 0x88A8 config qinq ports 9 role uni config qinq ports 11 add_inner_tag 0x8100 create vlan_translation ports 9 cvid 200 add svid 1000 create vlan_translation ports 9 cvid 300 add svid 1001 save # Прохождение BPDU при использовании Q-in-Q осуществляется следующей настройкой: # config mef_l2_protocols port 9 forward addr_00_0F config mef_l2_protocols port 9 forward addr_10 config mef_l2_protocols port 9 forward addr_20_2F save DGS-3612G create vlan v200 tag 200 create vlan v300 tag 300 create vlan v1000 tag 1000 create vlan v1001 tag 1001 config vlan v200 add tag 9 config vlan v300 add tag 9 config vlan v1000 add tag 9,11 config vlan v1001 add tag 9,11 enable qinq config qinq ports all outer_tpid 0x88A8 config qinq ports 9 role uni create vlan_translation ports 9 cvid 200 add svid 1000 create vlan_translation ports 9 cvid 300 add svid 1001 save # Прохождение BPDU при использовании Q-in-Q осуществляется следующей настройкой: # config bpdu_tunnel ports 9 type tunnel stp enable bpdu_tunnel save Результат теста: клиентские C-VLAN (200, 300) передаются между коммутаторами DES-3528 и DGS-3612G с использованием технологии Q-in-Q с внешними тегами SP-VLAN 1000 и 1001.


Слайд 12

Безопасность на уровне портов и защита от вторжений


Слайд 13

IP-MAC-Port Binding (Привязка IP-MAC-порт)


Слайд 14

IP-MAC-Port Binding Проверка подлинности компьютеров в сети Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор блокирует данный MAC-адрес с занесением его в блок-лист. Привязка IP-MAC-порт (IP-MAC-Port Binding) Эта функция специально разработана для управления сетями ETTH/ ETTB и офисными сетями Связка IP-MAC-порт не соответствует разрешённой – MAC-адрес компьютера заблокирован !!


Слайд 15

Для чего нужна функция IP-MAC-Port binding? D-Link расширил популярную функцию IP-MAC binding до более удобной в использовании IP-MAC-Port binding с целью повышения гибкости аутентификации пользователей в сети. IP-MAC-Port binding включает три режима работы: ARP (по умолчанию), ACL и DHCP Snooping. Сравнение двух режимов показано в таблице ниже: IP-MAC-Port Binding поддерживается коммутаторами L2 серии xStack – DES-3000 (только ARP Mode), DES-3028/3052 (ARP Mode и DHCP Snooping) DES-3500 (R4 – ARP, ACL Mode и DHCP Snooping), L3 - DES-3800 (R3 – ARP, ACL Mode и DHCP Snooping), DGS-3600 и DGS-3400. Данный документ описывает примеры настройки IP-MAC-Port binding, например, против атак ARP Poison Routing.


Слайд 16

Поддельные ARP Сервер C Шаг 1: Клиенты A и B подключены к одному порту коммутатора, клиент A (sniffer) шлет поддельные ARP Пример 1. Использование режима ARP или ACL для блокирования снифера Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)


Слайд 17

Сервер C ARP-ответ Шаг 2: Сервер C отвечает на запрос и изучает поддельную связку IP/MAC. Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)


Слайд 18

SYN Сервер C Шаг 3: Клиент A хочет установить TCP соединение с сервером C Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)


Слайд 19

Сервер C Шаг 4: Т.к. клиент A не в белом листе, DES-3526 блокирует пакет, поэтому, соединение не сможет быть установлено SYN Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)


Слайд 20

Поддельный ARP-ответ Клиент B Шаг 1: Sniffer C (Man in the middle) отсылает поддельный пакет ARP-Reply клиентам A и B Снифер C (нет в белом листе IP-MAC-Port binding) Пример 2. Использование режима ACL для предотвращения ARP атаки Man-in-the-Middle Клиент A


Слайд 21

Клиент B Шаг 2: Клиент A хочет установить TCP соединение с клиентом B Клиент A SYN SYN Снифер C (нет в белом листе IP-MAC-Port binding)


Слайд 22

Клиент B Шаг 3: Т.к. С не в белом листе, DES-3526 блокирует пакет, поэтому, соединение не сможет быть установлено Снифер C (нет в белом листе IP-MAC-Port binding) Клиент A SYN


Слайд 23

Особенности функционирования IMP и новый режим DHCP Snooping В любом режиме IMP (ARP и ACL) была возможность атаки типа ARP Spoofing из-за того что блокировка и анализ трафика производится на основе в том числе и ARP пакетов (поэтому возможна функция Auto Recovery и т.д.). В новых версиях прошивки появилась опция strict при конфигурировании функции на порту. Она позволяет отбрасывать невалидные ARP пакеты после анализа и не пропускать их в сеть. Это позволяет избежать ARP Spoofing-а в том числе вышестоящего устройства. В новых версиях прошивки появилась режим DHCP Snooping, представляющий собой аналог комбинации функций DHCP Snooping + IP Source Guard + dynamic ARP inspection. Функция представляет собой отслеживание связок IP-MAC на портах в динамическом режиме режиме и динамической привязки к портам этих связок. В этой функции имеется возможность ограничения кол-ва MAC-адресов на порту которые могут получить IP-адрес c DHCP-сервера. Также есть возможность блокировать распространение Broadcast DHCP пакетов в клиентских VLAN-ах при использовании DHCP Relay.


Слайд 24

Советы по настройке IP-MAC-Port binding ACL Mode ACL обрабатываются в порядке сверху вниз (см. рисунок 1). Когда пакет «соответствует» правилу ACL, он сразу же отбрасывается (если это запрещающее, правило, deny) либо обрабатывается (если это разрешающее правило, permit) При использовании IP-MAC-Port binding в режиме ACL автоматически создаются 2 профиля (и правила для них) в первых двух доступных номерах профилей. Любое запрещающее правило после IP-MAC-Port binding становится ненужным, поэтому рекомендуется располагать все остальные ACL в более приоритетном порядке. Нельзя включать одновременно функции IP-MAC-Port ACL mode и ZoneDefense. Т.к. правила привязки IP-MAC-Port создаются первыми, и правила, создаваемые ZoneDefense автоматически после этого, могут быть неправильными. ...... Rule 1 (1st rule of Profile 1) Rule 2 (2nd rule of Profile 1) Rule 3 (1st rule of Profile 2) Rule 4 (2nd rule of Profile 2) Rule N (last rule of last Profile) Рисунок 1. Обработка ACL Top Down Deny Dst_TCP Port 23 Permit Src_IP 192.168.0.1/24 Ex. Packet (Src_IP 192.168.0.1/24, Dst_TCP Port 23) Match Dropped Permit Src_IP 192.168.0.1/24 Match Forwarded Deny Dst_TCP Port 23


Слайд 25

Вопрос: Что делать, если необходимо создать еще один профиль, когда режим ACL уже включен (рисунок 2)? Нужно использовать команды “disable address_binding acl_mode” (Рисунок 3) и затем “enable address_binding acl_mode” (Рисунок 4) Profile 1 Profile 2 IP-MAC-Port binding Profile 1 Рисунок 2 IP-MAC-Port binding Profile 2 Profile 1 Profile 2 Рисунок 3 Profile 1 Profile 2 IP-MAC-Port binding Profile 1 Рисунок 4 IP-MAC-Port binding Profile 2 Profile 3 Disable Enable Для того, чтобы освободить место для нового профиля, но сохранить настройки После создания нового профиля включить заново IP-MAC-Port binding в режиме ACL


Слайд 26

IP-MAC-Port Binding (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2 . . . 2) config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp . . .


Слайд 27

IP-MAC-Port Binding ACL Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2 . . . 2) config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode acl . . .


Слайд 28

IP-MAC-Port Binding DHCP Snooping Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно с возможностью раздачи IP-адресов по DHCP без использования статических лиз на DHCP-сервере. Команды для настройки коммутатора: 1) enable address_binding dhcp_snoop . . . 2) config address_binding dhcp_snoop max_entry ports 2 limit 1 . . . 3) config address_binding ip_mac ports 1 state enable strict allow_zeroip forward_dhcppkt enable enable


Слайд 29

IP-MAC-Port Binding DHCP Snooping Mode (пример) Max_entry … limit 1 – максимальное кол-во MAC-адресов, которые могут получить IP-адрес с порта. Возможные значения 1-10 или no_limit. Strict – отбрасывание невалидных ARP пакетов с порта после анализа и блокировки. Может использоваться в любом режиме IMP. Альтернативное значение loose. Allow_zero_ip – возможность пропуска пакетов при включённой функции IMP с source_IP = 0.0.0.0. Необходима для полноценный работы всех ОС по протоколу DHCP. При включении Relay и для блокировки Broadcast DHCP пакетов в клиентских VLAN-ах для топологий кольцо или цепочка на доступе следует в дополнение применять опцию forward_dhcppkt disable. Умолчальное значение forward_dhcppkt enable.


Слайд 30

ACL – Списки управления доступом, Классификация трафика, маркировка и отбрасывание


Слайд 31

ACL в коммутаторах D-Link могут фильтровать пакеты, основываясь на информации разных уровней: Порт коммутатора MAC/ IP-адрес Тип Ethernet/ Тип протокола VLAN 802.1p/ DSCP TCP/ UDP-порт [тип приложения] Содержание пакета [поле данных приложения] ACL (списки контроля доступа) Контроль сетевых приложений Коммутаторы D-Link предоставляют наиболее полный набор ACL, помогающих сетевому администратору осуществлять контроль над приложениями. При этом не будет потерь производительности, поскольку проверка осуществляется на аппаратном уровне. L2/3/4 ACL ( Access Control List ) Online-игры Неразрешённые приложения Вирусы Инфицированные клиенты Неисправные сервера/ точки доступа Компьютеры злоумышленников Несанкционированные пользователи ACL могут проверять содержимое пакетов на предмет наличия новых изменённых потоков Управляемые коммутаторы D-Link могут эффективно предотвращать проникновение вредоносного трафика в сеть


Слайд 32

Указания к конфигурированию профилей доступа (Access Profile) Проанализируйте задачи фильтрации и определитесь с типом профиля доступа - Ethernet или IP Зафиксируйте стратегию фильтрации Основываясь на этой стратегии, определите какая необходима маска профиля доступа (access profile mask) и создайте её. (команда create access_profile) Добавьте правило профиля доступа (access profile rule), связанное с этой маской (команда config access_profile) Правила профиля доступа проверяются в соответствии с номером access_id. Чем меньше ID, тем раньше проверяется правило. Если не одно правило не сработало, пакет пропускается. При необходимости, когда срабатывает правило, биты 802.1p/DSCP могут быть заменены на новые значения перед отправкой пакета, выступая в качестве “Маркера” в модели DSCP PHB (Per-Hop Behavior – пошаговое поведение).


Слайд 33

Типы профиля доступа 1. Ethernet: VLAN MAC источника MAC назначения 802.1p Тип Ethernet Порты* 2. IP: VLAN Маска IP источника Маска IP назначения DSCP Протокол (ICMP, IGMP, TCP, UDP) TCP/UDP-порт Порты* 3. Фильтрация по содержимому пакета (первые 80 байт пакета)*. Доступно в моделях DES-35XX, DES-38XX, DES-3028/3052, DGS/DXS-33XX, DGS-34XX, DGS-36XX


Слайд 34

Профиль доступа Ethernet


Слайд 35

Правило доступа Ethernet Когда нужно задать диапазон портов, галочка Auto Assign должна быть поставлена в поле Access ID.


Слайд 36

Маска IP профиля доступа Можно задать до 5 масок портов уровня 4 для порта назначения в шестнадцатиричной форме (0x0-0xffffffff)


Слайд 37

Правило профиля доступа IP


Слайд 38

Internet PC1 PC2 Разрешено Остальным запрещено Шлюз Internet: IP = 10.254.254.251/8 0050BA999999 Разрешён доступ в Internet: PC1:10.1.1.1/8, 0050ba111111 PC2:10.2.2.2/8, 0050ba222222 Шлюз = 10.254.254.251 Другие PC (доступ к Internet запрещён): IP: 10.x.x.x/8 Шлюз Internet Пример: Разрешить некоторым пользователям выход в Internet по MAC- адресам ACL в коммутаторах Ethernet L2 – Пример I


Слайд 39

# Правило 1 create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 11 ethernet source_mac 00-50-ba-11-11-11 destination_mac 00-50-ba-99-99-99 permit config access_profile profile_id 10 add access_id 12 ethernet source_mac 00-50-ba-22-22-22 destination_mac 00-50-ba-99-99-99 permit # добавить остальные разрешённые MAC в правилах с тем же ID профиля (10), но с разными ID доступа (13, 14, 15 и т.д.). # Правило 2 create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20 config access_profile profile_id 20 add access_id 21 ethernet destination_mac 00-50-ba-99-99-99 deny # Правило 3: Другие пакеты разрешены по умолчанию Правила: Правило 1: Если MAC назначения = Шлюз и MAC источника = разрешённый PC1, разрешить Если MAC назначения = Шлюз и MAC источника = разрешённый PC2, разрешить (другие разрешённые MAC - PC3, PC4, и т.д.) Правило 2: Если MAC назначения = Шлюз, запретить Правило 3: В противном случае (разрешить всё остальное по умолчанию). Проверка: PC1, PC2 могут получить доступ к Internet. (Разрешённые правилом 1 MAC могут получить доступ к Internet) Другие компьютеры не могут получить доступ к Internet. (Другие PC не могут получить доступ к Internet, в соответствии с правилом 2) PC1, PC2 и другие могут получить доступ друг к другу (Intranet OK, в соответствии с правилом 3) Ethernet ACL в коммутаторах L2 – Пример I со старым правилом ACL


Слайд 40

Ethernet ACL в коммутаторах L2 – Пример I с новым правилом ACL Правила: Правило 1: Если MAC назначения = Шлюз, запретить (другие порты, которые нужно запретить и т.д.) Правило 2: В противном случае (разрешить всё остальное по умолчанию). # Правило 1 create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 10 ethernet destination_mac 00-50-ba-99-99-99 port 24 deny # добавить другие запрещающие правила с тем же ID профиля (10), но с другими ID доступа и портами (21, 22, 23 и т.д.). # Правило 2: Другие пакеты разрешены по умолчанию Проверка: PC1, PC2 могут получить доступ к Internet. (Разрешённые правилом 1 MAC могут получить доступ к Internet) Другие компьютеры не могут получить доступ к Internet. (Другие PC не могут получить доступ к Internet, в соответствии с правилом 2) PC1, PC2 и другие могут получить доступ друг к другу (Intranet OK, в соответствии с правилом 3)


Слайд 41

IP: 192.168.1.254/32 .1 ~ .63 (разрешено) Доступ в Internet разрешён: 192.168.1.1 ~ 192.168.1.63 Остальные пользуются только Intranet Устройство NAT Другие (запрещён выход в Internet) Сеть: 192.168.1.x IP ACL в коммутаторах L2 – Пример II Пример: Разрешить некоторым пользователям выход в Internet по IP


Слайд 42

Проверка: 1. 192.168.1.1 - 192.168.1.63 могут получить доступ к Internet (правило 2), и ко всем остальным PC .64 - .253 (правило 1). 2. PC .64 - .253 могут иметь доступ к PC .1 - .253 (правило 1), но не могут выйти в Internet (правило 3). IP ACL в коммутаторах L2 – Пример II со старым правилом ACL Правила: Правило 1: Если IP источника = 192.168.1.1/26, разрешить (для .1 - .63 разрешить доступ в Internet) Правило 2: Если IP источника = 192.168.1.1/24, запретить (для .1 - .254 запретить доступ в Internet) Правило 3: Если IP назначения = 192.168.1.254/24 и IP источника = 192.168.1.1/24, разрешить (Intranet OK) Правило 4: В противном случае, разрешить всё остальное по умолчанию # Правило 1: Разрешить для .1 - .63 доступ в Internet create access_profile ip source_ip_mask 255.255.255.192 destination_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 11 ip source_ip 192.168.1.1 ip_destination 192.168.1.254 permit # Правило 2: Запретить для .1 - .254 доступ в Internet create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip 192.168.1.1 ip_destination 192.168.1.254 deny # Правило 3: .1 - .254 Intranet OK create access_profile ip destination_ip_mask 255.255.255.0 source_ip_mask 255.255.255.0 profile_id 30 config access_profile profile_id 30 add access_id 31 ip destination_ip 192.168.1.1 source_ip 192.168.1.1 permit # Правило 4: Всё остальное разрешено по умолчанию


Слайд 43

Блокировка SMB трафика с помощью стандартных средств ACL:   1. Фильтрация TCP потров 135, 137, 138, 139, 445. Команды CLI: create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 30 config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny   2. Фильтрация UDP портов 135, 137, 138, 139, 445 Команды CLI: create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 40 config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 135 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 137 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 138 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 139 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 445 port 1-24 deny


Слайд 44

1. При написании ACL, DSCP является одним из полей, которое может проверяться. Если мы хотим проверять поле DSCP, надо выбрать его (v) в “Маске IP профиля доступа”. 2. Следующим шагом является написание “Правила IP профиля доступа”. В этом правиле, мы уже можем добавить значение DSCP, которое будет проверяться. При совпадении, мы можем: - проассоциировать пакет с очередью приоритетов 1p - проассоциировать пакет с очередью приоритетов 1p и заменить значение 1p перед передачей пакета - задать пакету новое значение DSCP и выслать пакеты, играющие роль МАРКЕРОВ в модели PHB. 3. Если пакет проассоциирован с очередью приоритетов 1p, он, затем, будет обработан в соответствии с “Пользовательским приоритетом 802.1p” для проведения соответствия приоритета 1p одной из 4-х очередей приоритетов. ACL для QoS


Слайд 45


Слайд 46

DSCP, 802.1p и очередь приоритетов Пример – Промаркировать пакеты с определённым DSCP определённым приоритетом 1p и поставить в соответствующую очередь Последующие правила промаркируют пакеты следующим образом: Очередь 1 - данные с dscp = 10 = приоритет 802.1p = 3 Очередь 2 – данные с dscp = 20 = приоритет 802.1p = 5 Очередь 3 – данные с dscp = 30 = приоритет 802.1p = 7 create access_profile ip dscp profile_id 10 config access_profile profile_id 10 add access_id 10 ip dscp 30 port 1 permit priority 7 replace_priority config access_profile profile_id 10 add access_id 20 ip dscp 30 port 24 permit priority 7 replace_priority config access_profile profile_id 10 add access_id 30 ip dscp 20 port 1 permit priority 5 replace_priority config access_profile profile_id 10 add access_id 40 ip dscp 20 port 24 permit priority 5 replace_priority config access_profile profile_id 10 add access_id 50 ip dscp 10 port 1 permit priority 3 replace_priority config access_profile profile_id 10 add access_id 60 ip dscp 10 port 24 permit priority 3 replace_priority Коммутатор A ? U U VIP1 U U Коммутатор B: DES-3526 ? VIP2 ? Коммутатор C: DES-3526 DXS-3326GSR 1 24 Основываясь на соответствии “802.1p User Priority” пакет будет поставлен в очередь с наивысшим приоритетом и будет обработан первым.


Слайд 47

Per-flow Bandwidth Control – контроль полосы пропускания по потокам


Слайд 48

FTP-сервер Web-сервер SIP Телефон 1 Как сконфигурировать QoS в соответствии со следующими требованиями? 1. VoIP (SIP Телефон) должен иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). 2. FTP-трафик (или любой другой трафик, сильно расходующий полосу пропускания, например, p2p) должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). Условие (1) может быть выполнено настройкой ACL путём перемаркировки 802.1p/DSCP. Но как реализовать пункт (2)?? Решение: Новая функция “per-flow” bandwidth control (поддерживается серией DGS-3400). PC22 PC21 #1 #2 SIP Телефон 2 PC11 Почему контроль полосы пропускания по потокам


Слайд 49

Контроль полосы пропускания по потокам Почему контроль полосы пропускания по потокам? Серии DES-3800 или xStack поддерживают ACL только в режимах permit или deny (0 или 1). Если пользователь хочет разрешить определённый трафик с определённой полосой пропускания (например, FTP может максимально использовать 5 Мбит/с от общей полосы пропускания), такая реализация ACL не может в этом помочь. DGS-3400 (и более поздние серии) могут, основываясь на совпадении по типу трафика, ограничивать полосу пропускания, благодаря поддержке нового механизма ACL. Как работает контроль полосы пропускания по потокам? Эта функция основана на новой политике ACL. DGS-34xx использует механизм ACL для просмотра определённого типа трафика и ограничения полосы пропускания. Весь этот процесс происходит на микросхемах портов - ASIC. Т.о., это не влияет на загрузку CPU и соответственно не снижает производительность коммутатора.


Слайд 50

Команда настройки ACL с поддержкой “per-flow bandwidth control” для того, чтобы создать правило из нашего примера. Эта опция также поддерживается для типов ACL “ethernet”,”packet_content”, “ipv6” (не только для указанного типа). config access_profile profile_id <value 1-6> ip { | source_ip <ipaddr> | destination_ip <ipaddr> | dscp <value> | [ icmp | igmp | tcp { src_port <value 0-65535> | dst_port <value 0-65535> | flag [all | { urg | ack | psh | rst | syn | fin }] } | udp { src_port <value 0-65535> | dst_port <value 0-65535> } | protocol_id <value 0 - 255> { user_define <hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff>} ] } port <portlist> [ permit { priority <value 0-7> {replace_priority_with <value 0-7>} | replace_dscp_with <value 0-63> | rx_rate [ no_limit | <value 1-156249>] } | deny ]} Команда настройки ACL без поддержки “per-flow bandwidth control” для того чтобы создать правило из нашего примера. config access_profile profile_id <value 1-6> ip { | source_ip <ipaddr> | destination_ip <ipaddr> | dscp <value> | [ icmp | igmp | tcp { src_port <value 0-65535> | dst_port <value 0-65535> | flag [all | { urg | ack | psh | rst | syn | fin }] } | udp { src_port <value 0-65535> | dst_port <value 0-65535> } | protocol_id <value 0 - 255> { user_define <hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff><hex 0x0-0xffffffff>} ] } port <portlist> [ permit { priority <value 0-7> {replace_priority_with <value 0-7>} | replace_dscp_with <value 0-63>} | deny ]} Это означает, что при выборе действия “permit” – «разрешить», может быть задана полоса пропускания для определённого типа трафика на приём. Команды настройки контроля полосы пропускания по потокам


Слайд 51

FTP-сервер Web-сервер SIP Телефон 1 10.31.3.101 / 8 Задача: VoIP (SIP Телефон) должен иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). 2. FTP-трафик (или любой другой трафик, сильно расходующий полосу пропускания, например, p2p) должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). PC22 PC21 #1 #2 SIP Телефон 2 10.31.3.102 / 8 PC11 Пример настройки контроля полосы пропускания по потокам


Слайд 52

Формат пакета VoIP (SIP) Формат управляющего пакета VoIP SIP, использующего UDP-порты источника/назначения 5060/5060 Формат пакета данных VoIP SIP, использующего UDP/RTP-порты источника/назначения 49152/49152. Примечание: Различные VoIP-приложения могут использовать собственный порт UDP. Захватите сниффером пакеты для того, чтобы определить номер порта. Пример настройки контроля полосы пропускания по потокам 1. VoIP (SIP Телефон) будет иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса).


Слайд 53

Конфигурация коммутатора #1 для передачи данных VoIP # 1. Если в пакете DSCP=56, то перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом). create access_profile profile_id 1 ip dscp config access_profile profile_id 1 add access_id auto_assign ip dscp 56 port all permit priority 7 # 2. Если пакет является пакетом VoIP, перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом), и заменить поле DSCP на 56 (111000). create access_profile profile_id 2 ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp src_port 5060 dst_port 5060 port all permit priority 7 replace_dscp 56 config access_profile profile_id 2 add access_id auto_assign ip udp src_port 49512 dst_port 49512 port all permit priority 7 replace_dscp 56 # 3. Убедитесь, что механизм обработки очередей строгий (strict). config scheduling_mechanism strict Конфигурация коммутатора #2 для передачи данных VoIP # 1. Если в пакете DSCP=56, то перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом). create access_profile profile_id 1 ip dscp config access_profile profile_id 1 add access_id auto_assign ip dscp 56 port all permit priority 7 # 2. Если пакет является пакетом VoIP, перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом), и заменить поле DSCP на 56 (111000). create access_profile profile_id 2 ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp src_port 5060 dst_port 5060 port all permit priority 7 replace_dscp 56 config access_profile profile_id 2 add access_id auto_assign ip udp src_port 49512 dst_port 49512 port all permit priority 7 replace_dscp 56 # 3. Убедитесь, что механизм обработки очередей строгий (strict). config scheduling_mechanism strict 1. VoIP (SIP Телефон) будет иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). Пример настройки контроля полосы пропускания по потокам


Слайд 54

2. FTP-трафик должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). Пример настройки контроля полосы пропускания по потокам Конфигурация коммутатора #2 для ограничения полосы пропускания для ftp-трафика значением 5 Мбит/с. create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip tcp src_port 20 port 1-24 permit rx_rate 80 Примечание: Шаг контроля полосы пропускания по потокам 64 Кбит/с. Например, rx_rate 80 = 80 * 64 Кбит/с = 5120 Кбит/с = 5 Мбит/с Пакеты данных FTP используют TCP-порт источника 20


Слайд 55

До настройки функции контроля полосы пропускания по потокам ftp-трафик иметь полосы пропускания 10909 Кбайт/с После настройки контроля полосы пропускания по потокам ftp-трафик имеет ограничение по полосе пропускания 632 Кбайт/с (около 5 Мбит/с) Пример настройки контроля полосы пропускания по потокам 2. FTP-трафик должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с).


Слайд 56

Контроль полосы пропускания по потокам Результаты тестов: 1. После настройки строгого режима QoS для пакетов VoIP, VoIP-трафик – голос, будет передаваться без задержек. 2. После настройки функции контроля полосы пропускания по потокам, применительно к FTP-трафику (или любому другому трафику, активно использующему полосу пропускания, например, p2p и т.д.), коммутатора не будет так сильно загружен передачей этого типа трафика, и другие приложения (такие как mail, web и т.д.) будут работать с меньшими задержками.


Слайд 57

CPU Interface Filtering


Слайд 58

CPU Interface Filtering Что такое CPU Interface Filtering? В текущей версии аппаратной платформы коммутаторов D-Link, некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения - это MAC-адрес коммутатора. (ping на IP-адрес коммутатора) Решение: CPU Interface Filtering. (Software ACL)


Слайд 59

PC2 имеет доступ к PC3. PC3 имеет доступ к коммутатору. PC2 не имеет доступа к коммутатору. PC2 PC3 Задача: PC2 имеет доступ к PC3, но PC2 не имеет доступа к коммутатору. PC3 имеет доступ и к PC2 и к коммутатору. IP-адрес коммутатора: 10.31.3.254/8 IP-адрес PC2: 10.31.3.2/8 IP-адрес PC3: 10.31.3.187/8 CPU Interface Filtering


Слайд 60

# Создайте профиль ACL для интерфейса CPU – процесс очень похож на создание обычного профиля ACL. # Сначала включите CPU Interface Filtering и создайте профиль, соответствующий заданию. enable cpu_interface_filtering create cpu access_profile ip source_ip_mask 255.255.255.128 icmp profile_id 1 config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.31.3.2 icmp deny Command: show cpu access_profile CPU Access Profile Table CPU Access Profile ID : 1 Type : IP Frame Filter - ICMP Masks : Source IP Addr DSCP --------------- ----- 255.255.255.255 CPU Access ID: 1 Mode : Deny --------------- ----- 10.31.3.2 xx-xx DES-3526:4#show access_profile Command: show access_profile В списке стандартных ACL профилей записей нет. CPU Interface Filtering


Слайд 61

Результаты теста: Перед активацией функции CPU interface filtering, PC2 имеет доступ к коммутатору и PC3. После включения функции CPU interface, PC2 имеет доступ только к PC3. CPU Interface Filtering


Слайд 62

Safeguard Engine


Слайд 63

Safeguard EngineTM разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети. CPU коммутатора предназначен для обработки управляющей информации, такой как STP, SNMP, доступ по WEB-интерфейсу и т.д. Также CPU обрабатывает некоторый специфичный трафик, такой как ARP широковещание, пакеты с неизвестным IP-адресом назначения, IP широковещание и т.д. Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для CPU трафика (такого как ARP широковещание например). Весь этот трафик загружает CPU и не даёт ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос. Пакеты BPDU протокола STP IGMP snooping Доступ к WEB интерфейсу SNMP опрос ARP широковещание Пакеты с неизвестным IP-адресом назначения IP широковещание Почему Safeguard Engine?


Слайд 64

Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для CPU трафика (такого как ARP широковещание например). Весь этот трафик загружает CPU и не даёт ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос. Пакеты BPDU протокола STP IGMP snooping Доступ к WEB интерфейсу SNMP опрос D-Link Safeguard Engine позволяет идентифицировать и приоритезировать этот «интересный» для CPU трафик с целью отбрасывания ненужных пакетов для сохранения функциональности коммутатора. ARP широковещание Пакеты с неизвестным IP- адресом назначения IP широковещание Таким образом с применением Safeguard Engine, коммутатор D-Link будет обладать отказоустойчивостью, особенно при вирусных атаках или сканирования сети. Safeguard Engine разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети. Почему Safeguard Engine?


Слайд 65

Обзор технологии Если загрузка CPU становится выше порога Rising Threshold, коммутатор войдёт в Exhausted Mode (режим высокой загрузки), для того, чтобы произвести следующие действия (смотрите следующий слайд). Если загрузка CPU становится ниже порога Falling Threshold, коммутатор выйдет из Exhausted Mode и механизм Safeguard Engine отключится.


Слайд 66

Функционирование Safeguard Engine Обзор технологии


Слайд 67

Обзор технологии График показывает механизм срабатывания Safeguard Engine При использовании ”Удвоенного времени переключения в Exhausted режим”, коммутатор может избежать постоянного переключения в exhausted mode без надобности. Максимальное значение этого времени - 320 секунд. В ситуации, когда коммутатор постоянно входит в exhausted mode, и когда это время достигает максимального значения, коммутатор не выйдет за это значение.


Слайд 68

Модели коммутаторов, в которых реализована функция SafeGuard Engine


Слайд 69

Модели коммутаторов, в которых реализована функция SafeGuard Engine Для обеспечения потребностей и простоты применения для заказчиков SMB, коммутаторы серии Smart II Series имеют другой механизм Safeguard Engine. Коммутаторы серии Smart II поддерживают Safeguard Engine только в режимах "enable" или "disable“, позволяя пользователю либо включить, либо выключить Safeguard Engine, и по умолчанию функция включена. Механизм Safeguard Engine, реализованный в коммутаторах серии Smart II, имеет более простой подход. Коммутаторы серии Smart II будут классифицировать трафик, предназначенный интерфейсу CPU, и распределять его по 4 очередям. Очередь 0 для ARP-широковещания, очередь 1 для управляющих пакетов от утилиты SmartConsole, очередь 2 для трафика с MAC-адресом назначения, равным MAC-адресу коммутатора, и очередь 3 для всего остального трафика. Для каждой очереди определена фиксированная полоса пропускания к интерфейсу CPU. Таким образом коммутаторы серии Smart II могут предотвратить перегрузку CPU при обработке конкретного типа трафика. Коммутаторы серии Smart II, которые поддерживают Safeguard Engine: DES-1228/A1, DES-1252/A1, DGS-1216T/D1, DGS-1224T/D1 and DGS-1248T/B1.


Слайд 70

Возможные побочные эффекты После того как коммутатор переключится в режим exhausted при настроенном строгом режиме, административный доступ к коммутатору будет недоступен, так как в этом режиме отбрасываются все ARP-запросы. В качестве решения можно предложить указать MAC-адрес коммутатора в статической ARP-таблице управляющей рабочей станции, для того чтобы она могла напрямую обратиться к интерфейсу управления коммутатором без отсылки ARP-запроса. Для коммутаторов L2/L3, переход в режим exhausted не будет влиять на коммутацию пакетов на уровне L2. Для коммутатора L3, при переходе в строгий режим exhausted, не только административный доступ будет недоступен, но и связь между подсетями может быть нарушена тоже, поскольку будут отбрасываться ARP-запросы на IP-интерфейсы коммутатора тоже. Преимуществом нестрогого режима exhausted является то, что в нём он не просто отбрасываются все ARP-пакеты или пакеты IP-широковещания, а динамически изменяется полоса пропускания для них. Таким образом даже при серьёзной вирусной эпидемии, коммутатор L2/L3 будет доступен по управлению, а коммутатор L3 сможет обеспечивать взаимодействие между подсетями.


Слайд 71

PC2 постоянно посылает ARP-пакеты, например со скоростью 1000 пакетов в секунду. Загрузка CPU при этом изменяется от нормальной до 100%. Если прекратить генерацию ARP пакетов на PC2, загрузка CPU опять станет в пределах нормы. PC2 Задача: Снизить загрузку CPU при помощи Safeguard Engine. IP-адрес коммутатора: 10.31.3.254/8 IP-адрес PC2: 10.31.3.2/8 Safeguard Engine


Слайд 72

# Включите Safeguard Engine следующей командой CLI config safeguard_engine state enable DES-3526:4#show safeguard_engine Command: show safeguard_engine Safe Guard Engine State : Enabled Safe Guard Engine Current Status : Normal mode =============================================== CPU utilization information: Interval : 5 sec Rising Threshold(20-100) : 100 % Falling Threshold(20-100) : 20 % Trap/Log : Disabled # Следующей командой можно задать пороги переключения режимов config safeguard_engine cpu_utilization rising_threshold 100 falling_threshold 20 Safeguard Engine


Слайд 73

Результаты теста: Перед активацией Safeguard Engine, при генерации PC2 большого количества ARP пакетов, загрузка CPU будет держаться в районе 100%. После включения функции Safeguard Engine, PC2 продолжает генерировать большое количество ARP пакетов. Загрузка CPU снизиться до значения нижнего предела и коммутатор будет держать интервал между переключениями 5 секунд (значение по умолчанию). Вывод: Функция SafeGuard Engine функционирует следующим образом. При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты. Safeguard Engine


Слайд 74

DHCP Relay (Option 82) – информация от агента DHCP Relay


Слайд 75

DHCP Relay (Option 82) – информация от агента DHCP Relay Option 82 используется Relay Agent (агентом перенаправления запросов) для добавления дополнительной информации в DHCP – запрос клиента. Эта информация может быть использована для применения политик, направленных на увеличение уровня безопасности и эффективности сети. Она описана в стандарте RFC 3046.


Слайд 76

Когда вы включаете опцию DHCP relay agent option 82 на коммутаторе D-link, происходит следующее: Компьютер в сети (DHCP - клиент) генерирует DHCP - запросы и широковещательно рассылает их в сеть. Коммутатор (DHCP Relay Agent) перехватывает DHCP - запрос packet и добавляет в него информацию relay agent information option (option 82). Эта информация содержит MAC – адрес коммутатора (поле опции remote ID) и SNMP ifindex порта, с которого получен запрос (поле опции circuit ID). Коммутатор перенаправляет DHCP – запрос с полями опции option-82 на DHCP - сервер. DHCP – сервер получает пакет. Если сервер поддерживает опцию option-82, он может использовать поля remote ID и/или circuit ID для назначения IP-адреса и применения политик, таких как ограничения количества IP-адресов, выдаваемых одному remote ID или circuit ID. Затем DHCP – сервер копирует поле опции option-82 в DHCP - ответе. Если сервер не поддерживает option 82, он игнорирует поля этой опции и не отсылает их в ответе. DHCP - сервер отвечает в Unicast-е агенту перенаправления запросов. Агент проверяет предназначен ли он его клиенту, путём анализа IP – адреса назначения пакета. Агент удаляет поля опции option-82 и направляет пакет на порт, к которому подключён DHCP - клиент, пославший пакет DHCP – запроса.


Слайд 77

Поле опции DHCP option 82 DES-3526/DES-3550 имеет следующий формат : Формат полей опции DHCP option 82 специализированного DHCP Relay Agent-а 1. 2. 3. 4. 5. 6. 7. Тип подопции Длина: длина поля с октета 3 по октет 7 Тип Circuit ID Длина: длина поля с октета 5 по октет 7 VLAN: номер VLAN ID в DHCP – пакете клиент. Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID. 7. Порт: номер порта, с которого получен DHCP - запрос, номер порта начинается с 1. 1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт Формат поля опции Remote ID: 1. 2. 3. 4. 5. 1 байт 1 байт 1 байт 1 байт 6 байт Тип подопции Длина Тип Remote ID Длина MAC-адрес: MAC-адрес коммутатора. Локальный идентификатор агента, который получил DHCP – пакет от клиента. Для идентификации удалённого узла. DHCP – сервер может использовать эту опцию для выбора специфических параметров пользователей, узлов. Поле remote ID должно быть уникально в сети. С какого порта получен DHCP - запрос DHCP - запрос Relay Agent Формат поля опции Circuit ID:


Слайд 78

01 06 00 04 0001 00 09 0106000400010009 Формат поля опции Circuit ID Тип подопции ? 01 (подопция Agent Circuit ID) Длина ? 06 Тип Circuit ID ? 00 Длина ? 04 VLAN: VLAN ID в DHCP – пакете клиента. ? 0001 Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID. ? 00 Порт: номер порта, с которого получен DHCP – пакет клиента, номер порта начинается с 1. ? 09 Шестнадцатиричный формат: Каждая цифра представлена четырьмя битами 1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт Circuit ID 1. 2. 3. 4. 5. 6. 7. 9 = 1001? 4 бита


Слайд 79

00040001000900060080c835260a 02080006000F3D849FFF Формат поля опции Remote ID: 02 08 00 06 0080c835260a Тип подопции ? 02 (подопция Agent Remote ID) Длина ? 08 Тип Remote ID ? 00 Длина ? 06 MAC-адрес : MAC-адрес коммутатора. ? 0080C835260A (0106)000400010009 (0208)00060080c835260a + DHCP – сервер назначит определённый IP-адрес, исходя из этой информации Remote ID 1 байт 1 байт 1 байт 1 байт 6 байт 1. ? 2. 3. 4. 5. Remote ID Circuit ID


Слайд 80

Пример настройки Option 82 Устройства: DHCP - сервер 10.10.10.101 в подсети 10.0.0.0/8 Маршрутизатор или коммутатор L3, выступающий в роли шлюза для 2-ух подсетей 10.10.10.1 в подсети 10.0.0.0/8 11.10.10.1 в подсети 11.0.0.0/8 Коммутатор L2 (DES-3526/DES-3550) выступает в роли DHCP Relay Agent 11.10.10.100 в подсети 11.0.0.0/8 MAC – адрес 00-80-C8-35-26-0A 2 ноутбука, выступающих в роли DHCP – клиентов, подключённых к коммутатору L2 - порт 9, порт 10 соответственно DHCP - сервер 10.10.10.101/8 Шлюз: 10.10.10.1/8 IP Pool: 11.10.10.101-11.10.10.200 VLAN V2 Порты 1-12 VLAN Default Порты 13-24 Коммутатор L3 DGS-3324SR Интерфейс 2 10.10.10.1/8 Интерфейс 1 11.10.10.1/8 Коммутатор L2 DES 3526 11.10.10.100/8 Клиент A Клиент B Порт 9 Порт 10 Порт 23


Слайд 81

Сервер с поддержкой DHCP Option 82 DHCP – сервер использует динамический пул IP-адресов 11.10.10.101 – 11.10.10.200 для назначения IP-адресов любому DHCP – клиенту, запрос от которого будет перенаправлен DHCP Relay Agent-ом 10.10.10.100 (Если DHCP – клиент, подключён к любому порту коммутатора, кроме портов 9 и 10, он получит IP-адрес из пула.) --- Для обычного DHCP – запроса клиента Когда какой-либо DHCP – клиент подключается к порту 9 коммутатора L2, DHCP – сервер выдаст ему IP-адрес 11.10.10.9; когда DHCP – подключается к порту 10 коммутатора L2, DHCP – сервер выдаст ему IP-адрес 11.10.10.10. (например, DHCP – клиент, подключённый к порту 9 коммутатора, получит IP-адрес 11.10.10.9) --- Для DHCP – запросов клиента с option 82


Слайд 82

Конфигурация коммутаторов Настройка коммутатора L3 (DGS-3324SR): config vlan default delete 1:1-1:12 create vlan v2 tag 2 config vlan v2 add untagged 1:1-1:12 # Сконфигурируйте и создайте IP-интерфейсы в VLAN 2 и default config ipif System ipaddress 10.10.10.1/8 create ipif p2 11.10.10.1/8 v2 save Настройка коммутатора L2 (DES-3526/DES-3550): # Задайте IP-адрес коммутатора config ipif System ipaddress 11.10.10.100/8 # Задайте маршрут по умолчанию create iproute default 11.10.10.1 # Сконфигурируйте DHCP Relay config dhcp_relay add ipif System 10.10.10.101 config dhcp_relay option_82 state enable enable dhcp_relay save


Слайд 83

Сконфигурируйте “Basic Profile” Relay IP : 11.10.10.100 Динамические IP-адреса: От 11.10.10.101 до 11.10.10.200 Маска подсети: 255.0.0.0 Адрес шлюза: 11.10.10.1 Настройка DHCP – сервера - 1 Существует большое количество разных DHCP – серверов, для примера использовался ”haneWIN” DHCP – сервер. (http://www.hanewin.de/homee.htm)


Слайд 84

Опции -> Свойства -> DHCP Опции -> Свойства -> Интерфейсы Настройка DHCP – сервера - 2


Слайд 85

Сконфигурируйте DHCP option 82 Назначьте IP-адрес 11.10.10.9 DHCP - клиенту A, подключённому к порту 9 коммутатора L2 “Add static entries” поставьте галочки “Circuit Identifier” и “Remote Identifier” Hardware Address : 0004000100090006000F3D849FFF IP Address : 11.10.10.9 Назначьте IP-адрес 11.10.10.10 DHCP – клиенту B, подключённому к порту 10 коммутатора L2 “Add static entries” поставьте галочки “Circuit Identifier” и “Remote Identifier” Hardware Address : 00040001000a0006000F3D849FFF IP Address : 11.10.10.10 Настройка DHCP – сервера - 3


Слайд 86

Опции -> Добавить статические записи Эти записи на DHCP - сервере Настройка DHCP – сервера - 4


Слайд 87

Результаты теста: Клиенту A будет выдан IP-адрес 11.10.10.9 2. Клиенту B будет выдан IP-адрес 11.10.10.10 Информация DHCP Relay Agent (Option 82)


Слайд 88

Функции управления и мониторинга


Слайд 89

Управление при помощи SNMP Проблемы протокола SNMP версии 1 Обеспечение безопасности только на основе параметра Community String. Параметр передается в текстовом незашифрованном виде. Содержание пакетов SNMP также в виде plain-text. Если параметр Community String корректен, все дерево MIB может быть просмотрено или изменено. Решение: SNMP v3 D-View 5.1 IP=10.1.1.1/8 SNMP community String Для чтения = public Для чтения/записи = private IP=10.1.1.2/8 Для чтения = public Для чтения/записи = private Что означает 1.3.6.1.2.1.1.1 1.3.6.1.2.1.1.1 = “Des3226”


Слайд 90

Новые возможности в SNMPv3 Обеспечение функций безопасности Шифрация/Дешифрация пакетов Возможность настройки уровня привилегий пользователя SNMP v3 включает следующие 4 модели: MPD(RFC2572) TARGET(RFC2573) USM(RFC2574): User-based Security Model VACM(RFC2575): View-based Access Control Model D-View 5.1 поддерживает SNMPv1 и SNMP V3. Управляемые устройства D-Link также поддерживают SNMP v1 & V3.


Слайд 91

Спасибо!


×

HTML:





Ссылка: