Jak wykorzystać nowe rozwiązania firmy D-Link do udoskonalenia własnej sieci operatorskiej? Najnowsze przełączniki i najciekawsze.

Prezentacja na temat: "Jak wykorzystać nowe rozwiązania firmy D-Link do udoskonalenia własnej sieci operatorskiej? Najnowsze przełączniki i najciekawsze."— Zapis prezentacji:

1 Jak wykorzystać nowe rozwiązania firmy D-Link do udoskonalenia własnej sieci operatorskiej?
Najnowsze przełączniki i najciekawsze funkcjonalności dla każdego segmentu sieci.

2 Koncepcja uwzględnia realne topologie w sieciach polskich ISP.

3 Access Level 10/100 & 1GE DES-3528/52 DES-3528P/52P DES-3528DC L2
DES F oraz DGS L2 1GE

4 Warstwa dostępowa – switche L2
DES /18: 8/16-Port 10/100Mbps + 2 Combo 1000BASE-T/SFP DES F: 24-Port SFP + 4 Combo 1000BASE-T/SFP Extra obsługa SFP i WDM 100Base-FX (SM,MM) L2 Protocol Tunneling; D-Link Loopback Detection (LBD): per VLAN shutdown Asymmmetric VLAN; ISM VLAN (MVR); Double VLAN (Q-in-Q), VLAN Translation Gratuitous ARP, IPv6 ND, default route Time-based QoS and ACL, CPU interface filtering, D-Link Safeguard Engine IMPB v3.61, DHCP Server Screening, ARP Spoofing Prevention, BPDU Attack Protection, MAC (VLAN, 802.1p, ing/egr bandwidth control, ACL to the port), MS NAP DHCP relay opt. 12; PPPoE Circui-ID Tag Insertion; NLB OAM: 802.3ah Ethernet Link OAM; CFM DES-3528/52: 24/48-port 10/100Mbps + 2 Combo 1GE/SFP + 2 1GE Funkcjonalności jak powyżej plus: Physical stacking up to 8 devices; trunking accross stack Voice VLAN, Subnet-based VLAN, 802.1v, 16 IP ints, Policy Based Route based on ACL; WAC, sFlow; Multiple Auth., Auth. Database failover

5 Product Overview D-Link Gigabit Managed Switch
Next Generation DGS-3620 SI/EI DGS-3600 OSPF, BGP, IGMP/MLD, PIM, MPLS, H/W OAM, Stacking, Fixed 10G SFP+ L3 DGS-3420 DGS-3400 RIP, Static Route, OAM, Stacking, Fixed 10G SFP+ L2+ DGS-3120 SI/EI L2 DGS-3100 Static Route, OAM, Stacking DGS

6 Aggregation / Distribution Level
DGS TC, -52TC DGS PC, -52PC DGS SC, -28SC L2/L2+ DGS TC, -48TC DGS PC, -48PC DGS SC 802.3at 802.3af

7 Warstwa agregacji/ dystrybucji L2
DGS /52TC: 20/48-port 1GE + 4 Combo 1GE/SFP G SFP+ DGS /52PC: 20/48-port 1GE PoE + 4 Combo 1GE/SFP G SFP+ DGS SC: 20-port SFP + 4 Combo 1GE/SFP G SFP+ Funkcjonalności jak dla switchy serii DES-3200 i 3528/52 oraz: SD card slot (firmwares, configuration and boot files, logs) External Alarm Connector (digital sensors in&out) Physical stacking Selective Q-in-Q; Private VLAN; 802.1ak (MRP)*, IPM* (D-Link Inteligent Port Management); 802.1Qbb*; Static & Default Route; RIP; Multicast replication; Three Color Marker; MAC blackhole; sFTP; DHCP Server (opt. 43, 60, 82); Scheduling a Reload of the Software Image*; WOL*; OAM DGS /48TC: 20/44-port 1GE + 4 Combo 1GE/SFP DGS /48PC: 20/44-port 1GE PoE + 4 Combo 1GE/SFP DGS SC: 16 SFP + 8 Combo 1GE/SFP Firmware images: Standard (SI) / Exhanced (EI) Support for SFP 100Base-FX *- dostępne w R2

8 SI/ EI image in DGS-3120 STP/RSTP/MSTP Yes Link Aggregation VLAN QoS
Feature Standard Image (SI) Enhanced Image (EI) STP/RSTP/MSTP Yes Link Aggregation VLAN QoS L2 Multicasting Static routing ERPS Double VLAN (Q-in-Q) IPv6 support sFlow

9 Core / Disti Level DGS-6604 L3 DGS-3420-28TC, -52TC
DGS PC, -52PC DGS SC, -28SC L2+ DGS TC, -52TC DGS PC, -52PC DGS SC, -28SC L3 802.3at 802.3af

10 Warstwa szkieletu L3 DGS /52TC: 20/48-port 1GE + 4 Combo 1GE/SFP G SFP+ DGS /52PC: 20/48-port 1GE PoE + 4 Combo 1GE/SFP G SFP+ DGS SC: 20-port SFP + 4 Combo 1GE/SFP G SFP+ Two images: Standard (SI) / Enhanced (EI) OSPFv3, RIPng, BGP+, VRRP MPLS: VRF, MPLS Label Mangement, LDP MPLS L3 VPN (MPLS/BGP/VPN), MPLS L2 VPN (VPWS), VPLS Multi Path Routing; BFD (Bidirectional Forwarding Detection) IGMP, PIM-DM/SM (IPv6), PIM-DM-SM, DVMRPv3 Ingress/Egress ACL; OAM IPv6 Tunneling sFlow, LLDP

11 Enhanced Image (EI) DGS-3620
VLAN 802.1Qbb L3 Features IPv6 Tunneling - Static - ISATAP - GRE - 6to4 L3 Routing RIPng (IPv6) OSPF v3 (IPv6) BGP v4, BGP+ v4 Multicasting PIM-SM v6 DVMRP v3 OAM Cable Diagnostics 802.1ag Connectivity Fault Management (CFM) ƒ ITU-T Y.1731 MPLS VRF* Label Management* LDP* MPLS L3 VPN (MPLS/BGP VPN)* MPLS L2 VPN* VPLS* *- dostępne w kolejnych wersjach firmware wg roadmap

12 Enterprise Routers for Remote Sites
Larger routing table provides the capability for a large-scale enterprise Border Gateway Protocol (BGP) allows central routing management of all remote sites regardless of physical connections DGS-3620 RIP OSPF VPN CPE BGP Branch VPN VPN Internet CPE CPE DGS-3620 BGP RIP BGP OSPF DGS-3620 RIP OSPF Branch HQ 12

13 Core / 10G Agregation Level
1 controller slot 3 line card slots Switch fabric 576 Gbps Distributed switching design Non-blocking architecture 4x Redundant power supply Up to 144 Gigabit ports Up to 24 10GbE Layer 3 routing (RIP, OSPF, BGP) IPv6 support PoE line cards available Full-budget PoE support: Up to 144 PoE ports can be supported in one single chassis with no compromise on power budget D-Link GreenTM: Power-saving technology that reduces the electricity bills and increases the product’s lifespan Available as starter kits DGS-6604

14 Aggregation for Large Enterprise Network
DGS-3620 L2 Fast Ethernet Switch DES-3528 / DES-3200

15 Aggregation for Service Provider Network
DGS-6600 DES-7200 DGS-8000 DGS-3620 DGS-3620 DGS-3620

16 Aggregation for Campus Network
Dormitory 1 OSPF Campus Backbone VRRP DGS-3120 … … DGS-3120 VRRP DGS-3620 Series … Dormitory 2 DGS-6600 DES-3528 College 3 DGS-3420 Series College 2 College 1 DGS-8000 DGS-6600 DES-7200 … … DGS-3620 DGS-6600 DGS-3120 DES 1000 Copper 10G Fiber

17 D-Link Assist Support – (DAS)
GOLD - wymiana wadliwego urządzenia w 4 h po zgłoszeniu, 24 h na dobę, 7 dni w tygodniu, przez wszystkie dni w roku. SILVER - wymiana wadliwego urządzenia w 4 h w dzień powszedni w godzinach 8-17, z wyłączeniem świąt. BRONZE - wymiana wadliwego urządzenia w 8 h roboczych w dni powszednie w godzinach 8-17, z wykluczeniem świąt. EXTENDED WARANTY - przedłużenie standardowej gwarancji na produkty biznesowe o 3 lata.

18 Ważne cechy DAS DAS jest dostępny dla nowych urządzeń biznesowych (kupionych do 90 dni przed zakupem DAS). Aktywację DAS należy wykonać w ciągu 30 dni od daty jego zakupu. DAS przypisywany jest do konkretnej lokalizacji, gdzie zainstalowane jest powiązane z nim urządzenie. Korzystać z usługi można po upływie 48 godzin od jej aktywacji w systemie serwisowym.

19 Tech part - Agenda 3 slajdy o Loopback Detection
1 slajd o BPDU Protection 4 slajdy o IGMP Authentication 1 slajd o IGMP Filters

20 Loopback Detection W sieci mamy przełączniki dostępowe, do których przyłączone są gniazda sieciowe, i dalej - użytkownicy. Stacja robocza może być przyłączona bezpośrednio lub przez przełącznik. Co sprytniejsi użytkownicy mogą jednak wpiąć kabel sieciowy zapętlając dodatkowy "mały" przełącznik LAN i tworząc z niego generator broadcastu, bądź też spiąć ze sobą bezpośrednio dwa gniazda sieciowe.

21 Loopback Detection Loopback Detection ver. 2.0 Zalety Wady
ramka kontrolna jest ramką BPDU funkcjonalność Spanning Tree musi być włączona globalnie oraz na porcie dostępowym Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) pętlą pomiędzy dwoma portami Wady wysyłanie ramek BPDU poza krawędź sieci działanie tylko per port DES-3526 R3.60 DGS-3100 R2.00 DGS-3400 R1.00 DGS-3600 R1.00 D-Link opracował funkcjonalność Loopback Detection, która ma za zadanie chronić przed tego typu wypadkami. Loopback Detection wewnętrznie oznaczony jest numerami wersji: 2.0, 4.0, 4.03, które stanowią kolejne generacje tego mechanizmu. Po prawej stronie slajdu znajdują się modele urządzeń z wersjami firmware wspierające dane rozwiązanie (kolor niebieski) lub informacja kiedy takowe będzie wspierane (kolor szary). Loopback Detection w wersji 2.0 działa w oparciu o ramkę BPDU protokołu Spanning Tree, która jest używana jednocześnie jako ramka kontrola dla funkcjonalności Loopback Detection. Tak więc, aby LBD działał, na portach klienckich musi być aktywny protokół Spanning Tree. Wykrycie pętli poprzez zidentyfikowanie ramki BPDU wchodzącej na port jako pochodzącej z tego właśnie portu, zostaje zinterpretowane jako pętla w obszarze nie objętym protokołem STP i port zostaje wyłączony. Ta funkcja działa tylko per port fizyczny # config stp lbd enable lbd_recover_timer 60 # config stp ports 1-24 state enable lbd enable # enable stp

22 Loopback Detection Loopback Detection ver. 4.0 Zalety Wady
ramka kontrolna jest ramką multicast o adresie docelowym cf (Ethernet Loopback Testing Protocol) funkcjonalność jest niezależna od Spanning Tree Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) możliwość działania per port lub per VLAN nie używa Spanning Tree – funkcja ta może być wyłączona na portach dostępowych Wady nie zabezpiecza przeciwko pętli pomiędzy portami DES-3028 R2.00 (per port) DES-3200 R1.00 DES-3526 R5.00 DES-3528 R1.01 DGS-3120 R1.00 DGS-3200 R1.00 DGS-3400 R2.35 DGS-3600 R2.50 DGS-3620 R1.00 LBD 4.0 działa w oparciu o ramkę multicastową wysyłaną na adres docelowy cf Dzięki temu funkcja LBD może działać niezależnie od funkcji STP. W tej wersji, LBD zabezpiecza przed pętlą na tym samym porcie, ale nie zabezpiecza przed pętlą pomiędzy portami na tym samym przełączniku. Aby ustrzec się przed pętlą pomiędzy różnymi portami - musi być włączone STP. Włączenie STP na portach klienckich ma pewne wady, takie jak: - wysyłanie ramek STP (będących "wewnętrzną sprawą" naszej sieci) poza kontrolowaną część sieci - możliwość wstrzykiwania spreparowanych ramek BPDU przez klienta i destabilizacja pracy sieci (wymuszenie zmian topologii lub przejęcie funkcji Root Bridge) Włączenie STP na portach klienckich jest więc - ogólnie rzecz biorąc - niezalecane. # config loopdetect recover_timer 60 interval 10 mode port-based # config loopdetect ports 1-24 state enable # enable loopdetect

23 Loopback Detection Loopback Detection ver. 4.03 Zalety Wady
ramka kontrolna jest ramką multicast o adresie docelowym cf funkcjonalność jest niezależna od Spanning Tree Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) pętlą pomiędzy dwoma portami możliwość działania per port lub per VLAN nie używa Spanning Tree – funkcja ta może być wyłączona na portach dostępowych Wady nie zabezpiecza przeciwko pętli pomiędzy przełącznikami (→ separacja punktów logicznych, STP) DES-3028 R2.80 DES-3200 R1.32 DES Q4 DES-3528 R2.80 DGS-3120 R1.02 DGS-3200 R2.00 DGS-3420 R1.00 DGS Q2 DGS Q3 LBD 4.03 jest rozszerzeniem wersji 4.0 i pozwala dodatkowo chronić przed utworzeniem pętli pomiędzy dwoma portami na tym samym przełączniku. Nie jest już więc konieczne uruchamianie protokołu STP - co pozwala pozbyć sie wad tego rozwiązania. Do rozwiązania pozostaje jedynie problem, w którym pętla jest tworzona pomiędzy portami dostępowymi na różnych przełącznikach. Przed tego typu sytuacją można się bronić włączając jednak STP na portach klienckich - co jest "średnim" rozwiązaniem, jak wskazano powyżej; lub też należy zadbać o separację punktów logicznych tak, aby punkty logiczne przyłączone do jednego przełącznika nie znajdowały się w pobliżu punktów logicznych przyłączonych do innego przełącznika - i w ten sposób wykluczyć możliwość przypadkowego lub też celowego połączenia ich razem. # config loopdetect recover_timer 60 interval 10 mode port-based # config loopdetect ports 1-24 state enable # enable loopdetect

24 BPDU Protection BPDU Protection
ramki BPDU docierające na porty kliencie przełącznika będą ignorowane, o ile Spanning Tree jest wyłączone na portach dostępowych docierające na port dostępowy ramki BPDU będą powodować dodatkowe, niepotrzebne obciążenie CPU przełącznika BPDU Protection może zostać włączone na porcie, o ile Spanning Tree na tym porcie jest wyłączone w przypadku odebrania ramki BPDU może powodować drop - odrzucanie wszystkich ramek BPDU na porcie (jeśli stan portu jest Under Attack) block - odrzucanie wszystkich ramek na porcie shutdown – wyłączenie portu DES-3028 R2.80 DES-3200 R1.20 DES-3528 R1.00 DGS-3120 R1.00 DGS-3200 R2.00 DGS-3400 R2.70 DGS-3420 R1.00 DGS-3600 R2.80 DGS-3620 R1.00 Przełączniki D-Linka, podobnie jak rozwiązania innych producentów, zawierają również mechanizm ochrony przed nieautoryzowanymi ramkami BPDU. W odróżnieniu od przełączników innych producentów, pracę STP można kontrolować per port fizyczny więc, nawet bez użycia funkcji BPDU Protection, można skutecznie zabezpieczyć się przed atakami BPDU na naszą sieć - wyłączając po prostu STP na portach klienckich. Funkcja BPDU Protection pozwala natomiast dodatkowo na: - odrzucanie (drop) ramek BPDU docierających do portów klienckich - przez co nie wpływają one na obciążenie CPU przełącznika - bez tej funkcji floodowanie portu ramkami BPDU, nawet pomimo wyłączonego STP na danym porcie, powoduje wstępną interpretację takiej ramki przez CPU przełącznika (potem i tak ta ramka jest dropowana, ale zasoby na jej obsługę są tracone) - możliwość zablokowania całego ruchu w przypadku odbierania ramek BPDU na porcie (block) - możliwość wyłączenia portu w przypadku odbierania ramek BPDU na porcie (shutdown) Funkcja BPDU Protection może być włączona na porcie tylko wówczas, jeśli funkcja Spanning Tree na tym porcie jest wyłączona - co jest naturalnym jako, że BPDU Protection reagowałby nawet na "legalne" ramki BPDU - w przypadku błędnej konfiguracji - pochodzące z innych urządzeń. Fakt ten implikuje, że: - funkcja BPDU Protection nie może działać wraz z funkcją STP - i tym samym z LBD 2.0 (funkcja LBD 2.0 nie może być zaimplementowana) - funkcja BPDU Protection nie może działać wraz z funkcją STP - i tym samym chronić przed pętlą pomiędzy portami gdy włączone jest LBD 4.0 - BPDU Protection może działać z LBD 4.03 chroniąc krawędź sieci we właściwy sposób. # config bpdu_protection ports 1-24 state enable mode drop # config bpdu_protection recovery_timer 120 # enable bpdu_protection

25 IGMP Authentication RADIUS Access-Request IGMP Join
RADIUS Access-Accept IGMP Join IGMP Authentication jest autorską funkcjonalnością D-Link, która jest wykorzystywana w sieciach IPTV (głównie w Rosji), pozwalającą na uwierzytelnianie na serwerze typu RADIUS klienta, jeśli klient ten chce oglądać strumień multicast. W momencie wysłania przez klienta pakietu IGMP Join, pakiet ten jest zatrzymywany przez przełącznik brzegowy (uwierzytelniający) i do serwera RADIUS wysyłana jest ramka Access-Request zawierająca: - adres MAC klienta - adres IP przełącznika - numer portu przełącznika do któego klient jest przyłączony - adres grupy multicast, do któej klient chce się przyłączyć Serwer RADIUS dokonuje autoryzacji takiego żądania i wysyła pakiet Access-Accept do przełącznika. Wówczas przełącznik wysyła IGMP Join do routera multicastowego. # show igmp_snooping forwarding VLAN Name : default Multicast Group: MAC Address : E-0A-0A-0A Member Ports : 4 Total Entries : 1

26 IGMP Authentication RADIUS Accounting-Request
RADIUS Accounting-Response Jednocześnie przełącznik wysyła pakiet Accounting-Request-Start w celu zapisania informacji o fakcie rozpoczęcia oglądania przez klienta strumienia multicast Strumień multicast

27 IGMP Authentication RADIUS Accounting-Request
RADIUS Accounting-Response IGMP Leave Gdy klient wyśle pakiet IGMP Leave sygnalizujący chęć przerwania oglądania strumienia, przełącznik wysyła pakiet Accounting-Request-Stop w celu zapisania informacji o fakcie zaprzestania oglądania przez klienta strumienia multicast Strumień multicast

28 IGMP Authentication users.conf client.conf
# config radius add key default # config igmp access_authentication ports 1-24 state enable # config igmp_snooping all state enable # enable igmp_snooping users.conf ## ## 00C09F86C25C User-Password = "00C09F86C25C“, Framed-IP-Address == client /24 { secret = shortname = D-link } client.conf Attribute name Type description User-Name string MAC-address of computer, which send IGMP-report packet NAS-Port-Id integer Switch port number NAS-IP-Address Switch IP Framed-IP-Address multicast group IP, to which goes the join attempt Pokazana na slajdach przykładowa konfiguracja serwera FreeRADIUS do obsługi takiego zapytania jest tylko wersją "demo" pozwalającą na demonstrację tego mechanizmu. Z powodu naturalnych ograniczeń serwera RADIUS - który w domyślnej wersji nie został przygotowany do autoryzacji grup multicast, autoryzacja będzie się odbywać, ale tylko dla jednej zdefiniowanej grupy multicastowej dla każdego klienta. Rosjanie używają do tego celu specjalnego, napisanego przez siebie modułu do serwera RADIUS do uwierzytelniania takich zapytań. DES-3000 R4.20 DES-3028 R2.00 DES-3200 R1.00 DES-3526 R6.10 DES-3528 R3.00 DGS-3200 R1.00

29 IGMP Filters config limited_multicast_addr [ports <portlist> | vlanid <vidlist>] access <permit | deny> permit => określone w profilu grupy multicast są przepuszczane, pozostałe są blokowane deny => (domyślne) określone w profilu grupy multicast są blokowane, pozostałe są przepuszczane config max_mcast_group ports <portlist> max_group <maxgroups> action <drop | replace> drop => nauczone grupy poniżej limitu są przepuszczane, pozostałe są blokowane replace => nowa grupa multicastowa zastępuje starą o najniższym adresie IP create mcast_filter_profile profile_id 1 profile_name tv_platne config mcast_filter_profile profile_id 1 add config mcast_filter_profile profile_id 1 add create mcast_filter_profile profile_id 2 profile_name tv_darmowe config mcast_filter_profile profile_id 1 add config limited_multicast_addr ports add profile_id 1 config limited_multicast_addr ports add profile_id 2 config limited_multicast_addr ports 1-12 add profile_id 2 config limited_multicast_addr ports 1-18 access permit config max_mcast_group ports 1-24 max_group 2 action replace DES-3028 R2.00 DES-3200 R1.00 DES-3526 R5.00 DES-3528 R1.00 DGS-3120 R1.00 DGS-3200 R1.00 DGS-3420 R1.00 DGS-3600 R2.80 DGS-3620 R1.00 Funkcja IGMP Filters pozwala natomiast na kontrolę oglądanych grup multicast na bazie profili, które mogą być przypisywane do portu lub VLANu. Profil taki zawiera listę grup multicastowych: create mcast_filter_profile profile_id 1 profile_name tv_platne config mcast_filter_profile profile_id 1 add config mcast_filter_profile profile_id 1 add Następnie listę taką można przypisać do konkretnego portu lub VLANu: config limited_multicast_addr ports add profile_id 1 i ustalić akcję domyślną: config limited_multicast_addr ports 1-18 access permit permit - dopuszczone są te grupy, które znajdują się na liście lub deny - dopuszczone są te grupy, które nie znajdują się na liście Można również dodatkowo wymusić zachowanie, w którym dany port przełącznika transmituje tylko ograniczoną liczbę grup multicast: config max_mcast_group ports 1-24 max_group 2 action replace Nowa grupa multicast (ponad limit) może być: - ignorowana - ustawienie "drop" - zastępować istniejącą grupę o najniższym adresie IP - ustawienie "replace"

30 Tech Q: bkiziukiewicz@dlink.pl Sales Q: mwojcik@dlink.pl
Dziękuję za uwagę Tech Q: Sales Q: