Jak wykorzystać nowe rozwiązania firmy D-Link do udoskonalenia własnej sieci operatorskiej? Najnowsze przełączniki i najciekawsze.

Slides:



Advertisements
Podobne prezentacje
G.Broda Helsinki 20-22, September 2010
Advertisements

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Projekt Do kariery na skrzydłach – studiuj Aviation Management Projekt współfinansowany ze ś rodków Europejskiego Funduszu Społecznego. Biuro projektu:
Usługi sieciowe Wykład 9 VPN
Statistics – what is that? Statystyka dla gimnazjalistów.
FGSW-2620VM 24 portowy zarządzlany przełącznik 10/100Mbps z 2 współdzielonymi portami Gigabit TP/ slotami SFP Copyright © PLANET Technology.
GT-802/GT-802S GT-805A GT-806A15/B15/A60/B60 Konwertery mediów 10/100/1000Base-T to 1000Base-LX/SX Gigabit Copyright © PLANET Technology.
Jarosław Kurek WZIM SGGW
Interplay between magnetism and superconductivity in EuFe 2-x Co x As 2 studied by 57 Fe and 151 Eu Mössbauer spectroscopy A. Błachowski 1, K. Ruebenbauer.
Projekt Do kariery na skrzydłach – studiuj Aviation Management Projekt współfinansowany ze ś rodków Europejskiego Funduszu Społecznego. Biuro projektu:
Jarosław Kurek WZIM SGGW
Zaawansowana Ochrona Sieci i Danych w SonicWALL
In the heart of this magic city, there is an unusual place right by the charming and vibrant Cracow Old Town, in the sheltered small street - little,
Software Engineering 0. Information on the Course Leszek J Chmielewski Faculty of Applied Informatics and Mathematics (WZIM) Warsaw University of Life.
Team Building Copyright, 2003 © Jerzy R. Nawrocki Requirements Engineering Lecture.
Dzielenie relacyjne / Relational Division
Parallel Processing, Pipelining, Flynn’s taxonomy
Router(config)# access-list 1 permit ale można również: Router(config)# access-list 1 permit any.
WGS Zarządzalny przełącznik Ethernet warstwy 3 24 porty 10/100Mbps+4 porty 1000Mbps/2 sloty mini-GBIC Copyright © PLANET Technology.
1 / 19 PLANET GSW-2416SF Przełącznik zarządzany Gigabit Ethernet z serii Web Smart 24 porty TP/ 16 slotów SFP.
1 / 19 PLANET FT-902 FT-902S15/S35/S50 FT-905A FT-906A20 / FT-906B20 Konwertery mediów Fast Ethernet 10/100Base-TX do 100Base-FX z serii Web Smart.
WGS Zarządzalny przełącznik Ethernet warstwy 3 24 porty 10/100/1000Mbps oraz 4 porty mini-GBIC.
PLANET GSW-1601v2 / GSW-2401v2 16/24-Portowy przełącznik 10/100/1000Mbps Gigabit Ethernet.
Rozwiązania Mobilne dla Przedsiębiorstw Jakub Abramczyk Dyrektor Regionalny 21 Czerwiec, 2007.
MS SQL SERVER udział w rynku. Source: Gartner Dataquest (May 2006) Company Market Share (%) Market Share (%) Growth (%) Oracle6, ,
Tomasz Pawelczak doc. dr inż. Krzysztof Nowicki Analiza i ocena możliwości wdrożenia IPv6 u dostawców treści przy wykorzystaniu rozwiązań OpenSource.
1 Building Integration System - Training Internal | ST-IST/PRM1 | 02/2008 | © Robert Bosch GmbH All rights reserved, also regarding any disposal,
More Secure and Dependable 1.User Account Protection, more secure boot, anti-spyware and anti-phishing 2.Restart Manager (fewer reboots) 3.Instant-on.
XXVII Liceum Ogólnokształcące im. Tadeusza Czackiego w Warszawie easy - creative - effective ICT in Czacki | Marcin Stanowski | XXVII LO im T. Czackiego.
Tadeusz Janasiewicz IT Group, Tadeusz Janasiewicz, WSUS, IT Group, r.
Praktyczne wskazówki projektowe i konfiguracyjne odnośnie wdrożenia sieci IPTV w oparciu o przełączniki firmy D-Link.
Marcin Wójcik PreSales Engineer D-Link (Polska)
Avaya IP Office - Wersja 8
10 Powodów Dlaczego Cisco ISR G2 Będzie Idealnym Narzędziem Na Brzeg Twojej Operatorskiej Sieci Mirek Burnejko (CCNP, CCDP) –
YOUR PARTNER IN WIND ENERGY PROJECTS
Rozwiązania firmy Huawei
Budowa sieci Triple Play w oparciu o sprzęt HUAWEI
© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. More From Your Network ProCurve.
MPLS TE.
Zarządzanie systemami informatycznymi w administracji publicznej WYKŁAD 5: Międzynarodowe sieci i systemy informatyczne w administracji publicznej dr inż.
Zarządzanie magazynem danych - Storage Spaces w Windows Server 2012 oraz w Windows 8 Błażej Miśkiewicz MCTMCP MCSA MCTS MCITP.
Development of Polish Geothermics and Heat Flow data relationship. Marta Wróblewska, Jan Szewczyk ENGINE, Launching Conference, Orlean February 2006.
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Tomasz Piontek Uczelniane Centrum Informatyczne UMK Konfiguracja urządzenia dla eduroam.
WYDZIAŁ DS. OCHRONY PRAW WŁASNOŚCI INTELEKTUALNEJ SŁUŻBA CELNA RZECZPOSPOLITEJ POLSKIEJ Protection of Intellectual Property Rights in the Customs Service.
1 / 19 PLANET WGSD-1022 Zarządzalny przełącznik 8 portów 10/100Mbps + 2 współdzielone porty TP/ sloty SFP.
1 © 2006 Cisco Systems, Inc. All rights reserved.SEC Agenda Cisco Business Partner Wymogi bezpieczeństwa współczesnej architektury sieciowej CISCO Self-Defending.
Click to show the screen.
Na podstawie: The Illusion Of Life Disney Animation.
ST/PRM2-EU | April 2013 | © Robert Bosch GmbH All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution,
Powiatowy Urząd Pracy Grodzisk Mazowiecki,
Podstawy licencjonowania Exchange, SharePoint oraz Lync.
Inteligentne oświetlenie Systemy z automatyczną regulacją poziomu natężenia oświetlenia i detekcją obecności.
J AK ZACZĄĆ PRACĘ Z ?. przed rejestracją Upewnij się, że posiadasz: aktywne konto zainstalowaną przeglądarkę Internet Explorer indywidualny studencki.
PolGIS jako nowoczesny system do paszportyzacji sieci
Uwierzytelnianie (Authentication) Sergiusz Przybylski III r. Informatyka Stosowana.
IBM Tivoli Storage Manager Strojenie A Presentation by Paweł Krawczyk June 8, 2011.
Teksty prymarne (original texts) to teksty autentyczne, nie są przeznaczone dla celów dydaktycznych; teksty adaptowane (simplified/adapted texts)są przystosowane.
Podstawy budowania sieci IP
Instrukcja switch switch (wyrażenie) { case wart_1 : { instr_1; break; } case wart_2 : { instr_2; break; } … case wart_n : { instr_n; break; } default.
Instrukcja switch switch (wyrażenie) { case wart_1 : { instr_1; break; } case wart_2 : { instr_2; break; } … case wart_n : { instr_n; break; } default.
Rozdział 3: Bezpieczeństwo w sieci opartej na systemie Windows 2000.
Rozdział 6: Analiza protokołu TCP/IP
NEW MODEL OF SCHOOL HEADS PREPARATION, INDUCTION AND CONTINUING PROFESSIONAL DEVELOPMENT IN POLAND Roman Dorczak, Grzegorz Mazurkiewicz   Jagiellonian.
PQI Selected Products for Com7
European Seminar: Women facing HIV (Paris, October 7 & 8, 2005) Nazwa naszej organizacji pozarzadowej : MONAR – Centre of Therapy for Substance Abusers.
BVMS 3.0 Moduł 13: Opcje zapisu iSCSI
Security & Communications Training Academy | Date 2011 © Robert Bosch GmbH reserves all rights even in the event of industrial property rights. We reserve.
Od L2 do wielousługowej sieci IP/MPLS
Government Business challenge
By John Greifzu and Grant Abella Advised by Aleksander Malinowski
Zapis prezentacji:

Jak wykorzystać nowe rozwiązania firmy D-Link do udoskonalenia własnej sieci operatorskiej? Najnowsze przełączniki i najciekawsze funkcjonalności dla każdego segmentu sieci.

Koncepcja uwzględnia realne topologie w sieciach polskich ISP.

Access Level 10/100 & 1GE DES-3528/52 DES-3528P/52P DES-3528DC L2 DES-3200-28F oraz DGS-3200-10 L2 1GE

Warstwa dostępowa – switche L2 DES-3200-10/18: 8/16-Port 10/100Mbps + 2 Combo 1000BASE-T/SFP DES-3200-28F: 24-Port SFP + 4 Combo 1000BASE-T/SFP Extra obsługa SFP i WDM 100Base-FX (SM,MM) L2 Protocol Tunneling; D-Link Loopback Detection (LBD): per VLAN shutdown Asymmmetric VLAN; ISM VLAN (MVR); Double VLAN (Q-in-Q), VLAN Translation Gratuitous ARP, IPv6 ND, default route Time-based QoS and ACL, CPU interface filtering, D-Link Safeguard Engine IMPB v3.61, DHCP Server Screening, ARP Spoofing Prevention, BPDU Attack Protection, MAC (VLAN, 802.1p, ing/egr bandwidth control, ACL to the port), MS NAP DHCP relay opt. 12; PPPoE Circui-ID Tag Insertion; NLB OAM: 802.3ah Ethernet Link OAM; CFM DES-3528/52: 24/48-port 10/100Mbps + 2 Combo 1GE/SFP + 2 1GE Funkcjonalności jak powyżej plus: Physical stacking up to 8 devices; trunking accross stack Voice VLAN, Subnet-based VLAN, 802.1v, 16 IP ints, Policy Based Route based on ACL; WAC, sFlow; Multiple Auth., Auth. Database failover

Product Overview D-Link Gigabit Managed Switch Next Generation DGS-3620 SI/EI DGS-3600 OSPF, BGP, IGMP/MLD, PIM, MPLS, H/W OAM, Stacking, Fixed 10G SFP+ L3 DGS-3420 DGS-3400 RIP, Static Route, OAM, Stacking, Fixed 10G SFP+ L2+ DGS-3120 SI/EI L2 DGS-3100 Static Route, OAM, Stacking DGS-3200-10

Aggregation / Distribution Level DGS-3420-28TC, -52TC DGS-3420-28PC, -52PC DGS-3420-26SC, -28SC L2/L2+ DGS-3120-24TC, -48TC DGS-3120-24PC, -48PC DGS-3120-24SC 802.3at 802.3af

Warstwa agregacji/ dystrybucji L2 DGS-3420-28/52TC: 20/48-port 1GE + 4 Combo 1GE/SFP + 4 10G SFP+ DGS-3420-28/52PC: 20/48-port 1GE PoE + 4 Combo 1GE/SFP + 4 10G SFP+ DGS-3420-28SC: 20-port SFP + 4 Combo 1GE/SFP + 4 10G SFP+ Funkcjonalności jak dla switchy serii DES-3200 i 3528/52 oraz: SD card slot (firmwares, configuration and boot files, logs) External Alarm Connector (digital sensors in&out) Physical stacking Selective Q-in-Q; Private VLAN; 802.1ak (MRP)*, IPM* (D-Link Inteligent Port Management); 802.1Qbb*; Static & Default Route; RIP; Multicast replication; Three Color Marker; MAC blackhole; sFTP; DHCP Server (opt. 43, 60, 82); Scheduling a Reload of the Software Image*; WOL*; OAM DGS-3120-24/48TC: 20/44-port 1GE + 4 Combo 1GE/SFP DGS-3120-24/48PC: 20/44-port 1GE PoE + 4 Combo 1GE/SFP DGS-3120-24SC: 16 SFP + 8 Combo 1GE/SFP Firmware images: Standard (SI) / Exhanced (EI) Support for SFP 100Base-FX *- dostępne w R2

SI/ EI image in DGS-3120 STP/RSTP/MSTP Yes Link Aggregation VLAN QoS Feature Standard Image (SI) Enhanced Image (EI) STP/RSTP/MSTP Yes Link Aggregation VLAN QoS L2 Multicasting Static routing ERPS Double VLAN (Q-in-Q) IPv6 support sFlow

Core / Disti Level DGS-6604 L3 DGS-3420-28TC, -52TC DGS-3420-28PC, -52PC DGS-3420-26SC, -28SC L2+ DGS-3620-28TC, -52TC DGS-3620-28PC, -52PC DGS-3620-26SC, -28SC L3 802.3at 802.3af

Warstwa szkieletu L3 DGS-3620-28/52TC: 20/48-port 1GE + 4 Combo 1GE/SFP + 4 10G SFP+ DGS-3620-28/52PC: 20/48-port 1GE PoE + 4 Combo 1GE/SFP + 4 10G SFP+ DGS-3620-28SC: 20-port SFP + 4 Combo 1GE/SFP + 4 10G SFP+ Two images: Standard (SI) / Enhanced (EI) OSPFv3, RIPng, BGP+, VRRP MPLS: VRF, MPLS Label Mangement, LDP MPLS L3 VPN (MPLS/BGP/VPN), MPLS L2 VPN (VPWS), VPLS Multi Path Routing; BFD (Bidirectional Forwarding Detection) IGMP, PIM-DM/SM (IPv6), PIM-DM-SM, DVMRPv3 Ingress/Egress ACL; OAM IPv6 Tunneling sFlow, LLDP

Enhanced Image (EI) DGS-3620 VLAN 802.1Qbb L3 Features IPv6 Tunneling - Static - ISATAP - GRE - 6to4 L3 Routing RIPng (IPv6) OSPF v3 (IPv6) BGP v4, BGP+ v4 Multicasting PIM-SM v6 DVMRP v3 OAM Cable Diagnostics 802.1ag Connectivity Fault Management (CFM) ƒ ITU-T Y.1731 MPLS VRF* Label Management* LDP* MPLS L3 VPN (MPLS/BGP VPN)* MPLS L2 VPN* VPLS* *- dostępne w kolejnych wersjach firmware wg roadmap

Enterprise Routers for Remote Sites Larger routing table provides the capability for a large-scale enterprise Border Gateway Protocol (BGP) allows central routing management of all remote sites regardless of physical connections DGS-3620 RIP OSPF VPN CPE BGP Branch VPN VPN Internet CPE CPE DGS-3620 BGP RIP BGP OSPF DGS-3620 RIP OSPF Branch HQ 12

Core / 10G Agregation Level 1 controller slot 3 line card slots Switch fabric 576 Gbps Distributed switching design Non-blocking architecture 4x Redundant power supply Up to 144 Gigabit ports Up to 24 10GbE Layer 3 routing (RIP, OSPF, BGP) IPv6 support PoE line cards available Full-budget PoE support: Up to 144 PoE ports can be supported in one single chassis with no compromise on power budget D-Link GreenTM: Power-saving technology that reduces the electricity bills and increases the product’s lifespan Available as starter kits DGS-6604

Aggregation for Large Enterprise Network DGS-3620 L2 Fast Ethernet Switch DES-3528 / DES-3200

Aggregation for Service Provider Network DGS-6600 DES-7200 DGS-8000 DGS-3620 DGS-3620 DGS-3620

Aggregation for Campus Network Dormitory 1 OSPF Campus Backbone VRRP DGS-3120 … … DGS-3120 VRRP DGS-3620 Series … Dormitory 2 DGS-6600 DES-3528 College 3 DGS-3420 Series College 2 College 1 DGS-8000 DGS-6600 DES-7200 … … DGS-3620 DGS-6600 DGS-3120 DES-3200-18 1000 Copper 10G Fiber

D-Link Assist Support – (DAS) GOLD - wymiana wadliwego urządzenia w 4 h po zgłoszeniu, 24 h na dobę, 7 dni w tygodniu, przez wszystkie dni w roku. SILVER - wymiana wadliwego urządzenia w 4 h w dzień powszedni w godzinach 8-17, z wyłączeniem świąt. BRONZE - wymiana wadliwego urządzenia w 8 h roboczych w dni powszednie w godzinach 8-17, z wykluczeniem świąt. EXTENDED WARANTY - przedłużenie standardowej gwarancji na produkty biznesowe o 3 lata.

Ważne cechy DAS DAS jest dostępny dla nowych urządzeń biznesowych (kupionych do 90 dni przed zakupem DAS). Aktywację DAS należy wykonać w ciągu 30 dni od daty jego zakupu. DAS przypisywany jest do konkretnej lokalizacji, gdzie zainstalowane jest powiązane z nim urządzenie. Korzystać z usługi można po upływie 48 godzin od jej aktywacji w systemie serwisowym.

Tech part - Agenda 3 slajdy o Loopback Detection 1 slajd o BPDU Protection 4 slajdy o IGMP Authentication 1 slajd o IGMP Filters

Loopback Detection W sieci mamy przełączniki dostępowe, do których przyłączone są gniazda sieciowe, i dalej - użytkownicy. Stacja robocza może być przyłączona bezpośrednio lub przez przełącznik. Co sprytniejsi użytkownicy mogą jednak wpiąć kabel sieciowy zapętlając dodatkowy "mały" przełącznik LAN i tworząc z niego generator broadcastu, bądź też spiąć ze sobą bezpośrednio dwa gniazda sieciowe.

Loopback Detection Loopback Detection ver. 2.0 Zalety Wady ramka kontrolna jest ramką BPDU funkcjonalność Spanning Tree musi być włączona globalnie oraz na porcie dostępowym Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) pętlą pomiędzy dwoma portami Wady wysyłanie ramek BPDU poza krawędź sieci działanie tylko per port DES-3526 R3.60 DGS-3100 R2.00 DGS-3400 R1.00 DGS-3600 R1.00 D-Link opracował funkcjonalność Loopback Detection, która ma za zadanie chronić przed tego typu wypadkami. Loopback Detection wewnętrznie oznaczony jest numerami wersji: 2.0, 4.0, 4.03, które stanowią kolejne generacje tego mechanizmu. Po prawej stronie slajdu znajdują się modele urządzeń z wersjami firmware wspierające dane rozwiązanie (kolor niebieski) lub informacja kiedy takowe będzie wspierane (kolor szary). Loopback Detection w wersji 2.0 działa w oparciu o ramkę BPDU protokołu Spanning Tree, która jest używana jednocześnie jako ramka kontrola dla funkcjonalności Loopback Detection. Tak więc, aby LBD działał, na portach klienckich musi być aktywny protokół Spanning Tree. Wykrycie pętli poprzez zidentyfikowanie ramki BPDU wchodzącej na port jako pochodzącej z tego właśnie portu, zostaje zinterpretowane jako pętla w obszarze nie objętym protokołem STP i port zostaje wyłączony. Ta funkcja działa tylko per port fizyczny # config stp lbd enable lbd_recover_timer 60 # config stp ports 1-24 state enable lbd enable # enable stp

Loopback Detection Loopback Detection ver. 4.0 Zalety Wady ramka kontrolna jest ramką multicast o adresie docelowym cf-00-00-00-00-00 (Ethernet Loopback Testing Protocol) funkcjonalność jest niezależna od Spanning Tree Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) możliwość działania per port lub per VLAN nie używa Spanning Tree – funkcja ta może być wyłączona na portach dostępowych Wady nie zabezpiecza przeciwko pętli pomiędzy portami DES-3028 R2.00 (per port) DES-3200 R1.00 DES-3526 R5.00 DES-3528 R1.01 DGS-3120 R1.00 DGS-3200 R1.00 DGS-3400 R2.35 DGS-3600 R2.50 DGS-3620 R1.00 LBD 4.0 działa w oparciu o ramkę multicastową wysyłaną na adres docelowy cf-00-00-00-00-00. Dzięki temu funkcja LBD może działać niezależnie od funkcji STP. W tej wersji, LBD zabezpiecza przed pętlą na tym samym porcie, ale nie zabezpiecza przed pętlą pomiędzy portami na tym samym przełączniku. Aby ustrzec się przed pętlą pomiędzy różnymi portami - musi być włączone STP. Włączenie STP na portach klienckich ma pewne wady, takie jak: - wysyłanie ramek STP (będących "wewnętrzną sprawą" naszej sieci) poza kontrolowaną część sieci - możliwość wstrzykiwania spreparowanych ramek BPDU przez klienta i destabilizacja pracy sieci (wymuszenie zmian topologii lub przejęcie funkcji Root Bridge) Włączenie STP na portach klienckich jest więc - ogólnie rzecz biorąc - niezalecane. # config loopdetect recover_timer 60 interval 10 mode port-based # config loopdetect ports 1-24 state enable # enable loopdetect

Loopback Detection Loopback Detection ver. 4.03 Zalety Wady ramka kontrolna jest ramką multicast o adresie docelowym cf-00-00-00-00-00 funkcjonalność jest niezależna od Spanning Tree Zalety zabezpieczenie przed pętlą na pojedynczym porcie (przy pomocy dodatkowego przełącznika) pętlą pomiędzy dwoma portami możliwość działania per port lub per VLAN nie używa Spanning Tree – funkcja ta może być wyłączona na portach dostępowych Wady nie zabezpiecza przeciwko pętli pomiędzy przełącznikami (→ separacja punktów logicznych, STP) DES-3028 R2.80 DES-3200 R1.32 DES-3526 2011Q4 DES-3528 R2.80 DGS-3120 R1.02 DGS-3200 R2.00 DGS-3420 R1.00 DGS-3600 2012Q2 DGS-3620 2012Q3 LBD 4.03 jest rozszerzeniem wersji 4.0 i pozwala dodatkowo chronić przed utworzeniem pętli pomiędzy dwoma portami na tym samym przełączniku. Nie jest już więc konieczne uruchamianie protokołu STP - co pozwala pozbyć sie wad tego rozwiązania. Do rozwiązania pozostaje jedynie problem, w którym pętla jest tworzona pomiędzy portami dostępowymi na różnych przełącznikach. Przed tego typu sytuacją można się bronić włączając jednak STP na portach klienckich - co jest "średnim" rozwiązaniem, jak wskazano powyżej; lub też należy zadbać o separację punktów logicznych tak, aby punkty logiczne przyłączone do jednego przełącznika nie znajdowały się w pobliżu punktów logicznych przyłączonych do innego przełącznika - i w ten sposób wykluczyć możliwość przypadkowego lub też celowego połączenia ich razem. # config loopdetect recover_timer 60 interval 10 mode port-based # config loopdetect ports 1-24 state enable # enable loopdetect

BPDU Protection BPDU Protection ramki BPDU docierające na porty kliencie przełącznika będą ignorowane, o ile Spanning Tree jest wyłączone na portach dostępowych docierające na port dostępowy ramki BPDU będą powodować dodatkowe, niepotrzebne obciążenie CPU przełącznika BPDU Protection może zostać włączone na porcie, o ile Spanning Tree na tym porcie jest wyłączone w przypadku odebrania ramki BPDU może powodować drop - odrzucanie wszystkich ramek BPDU na porcie (jeśli stan portu jest Under Attack) block - odrzucanie wszystkich ramek na porcie shutdown – wyłączenie portu DES-3028 R2.80 DES-3200 R1.20 DES-3528 R1.00 DGS-3120 R1.00 DGS-3200 R2.00 DGS-3400 R2.70 DGS-3420 R1.00 DGS-3600 R2.80 DGS-3620 R1.00 Przełączniki D-Linka, podobnie jak rozwiązania innych producentów, zawierają również mechanizm ochrony przed nieautoryzowanymi ramkami BPDU. W odróżnieniu od przełączników innych producentów, pracę STP można kontrolować per port fizyczny więc, nawet bez użycia funkcji BPDU Protection, można skutecznie zabezpieczyć się przed atakami BPDU na naszą sieć - wyłączając po prostu STP na portach klienckich. Funkcja BPDU Protection pozwala natomiast dodatkowo na: - odrzucanie (drop) ramek BPDU docierających do portów klienckich - przez co nie wpływają one na obciążenie CPU przełącznika - bez tej funkcji floodowanie portu ramkami BPDU, nawet pomimo wyłączonego STP na danym porcie, powoduje wstępną interpretację takiej ramki przez CPU przełącznika (potem i tak ta ramka jest dropowana, ale zasoby na jej obsługę są tracone) - możliwość zablokowania całego ruchu w przypadku odbierania ramek BPDU na porcie (block) - możliwość wyłączenia portu w przypadku odbierania ramek BPDU na porcie (shutdown) Funkcja BPDU Protection może być włączona na porcie tylko wówczas, jeśli funkcja Spanning Tree na tym porcie jest wyłączona - co jest naturalnym jako, że BPDU Protection reagowałby nawet na "legalne" ramki BPDU - w przypadku błędnej konfiguracji - pochodzące z innych urządzeń. Fakt ten implikuje, że: - funkcja BPDU Protection nie może działać wraz z funkcją STP - i tym samym z LBD 2.0 (funkcja LBD 2.0 nie może być zaimplementowana) - funkcja BPDU Protection nie może działać wraz z funkcją STP - i tym samym chronić przed pętlą pomiędzy portami gdy włączone jest LBD 4.0 - BPDU Protection może działać z LBD 4.03 chroniąc krawędź sieci we właściwy sposób. # config bpdu_protection ports 1-24 state enable mode drop # config bpdu_protection recovery_timer 120 # enable bpdu_protection

IGMP Authentication RADIUS Access-Request IGMP Join RADIUS Access-Accept IGMP Join IGMP Authentication jest autorską funkcjonalnością D-Link, która jest wykorzystywana w sieciach IPTV (głównie w Rosji), pozwalającą na uwierzytelnianie na serwerze typu RADIUS klienta, jeśli klient ten chce oglądać strumień multicast. W momencie wysłania przez klienta pakietu IGMP Join, pakiet ten jest zatrzymywany przez przełącznik brzegowy (uwierzytelniający) i do serwera RADIUS wysyłana jest ramka Access-Request zawierająca: - adres MAC klienta - adres IP przełącznika - numer portu przełącznika do któego klient jest przyłączony - adres grupy multicast, do któej klient chce się przyłączyć Serwer RADIUS dokonuje autoryzacji takiego żądania i wysyła pakiet Access-Accept do przełącznika. Wówczas przełącznik wysyła IGMP Join do routera multicastowego. # show igmp_snooping forwarding VLAN Name : default Multicast Group: 239.10.10.10 MAC Address : 01-00-5E-0A-0A-0A Member Ports : 4 Total Entries : 1

IGMP Authentication RADIUS Accounting-Request RADIUS Accounting-Response Jednocześnie przełącznik wysyła pakiet Accounting-Request-Start w celu zapisania informacji o fakcie rozpoczęcia oglądania przez klienta strumienia multicast Strumień multicast

IGMP Authentication RADIUS Accounting-Request RADIUS Accounting-Response IGMP Leave Gdy klient wyśle pakiet IGMP Leave sygnalizujący chęć przerwania oglądania strumienia, przełącznik wysyła pakiet Accounting-Request-Stop w celu zapisania informacji o fakcie zaprzestania oglądania przez klienta strumienia multicast Strumień multicast

IGMP Authentication users.conf client.conf # config radius add 1 10.0.0.10 key 123456 default # config igmp access_authentication ports 1-24 state enable # config igmp_snooping all state enable # enable igmp_snooping users.conf ##--------------------------------------------------------------## 00C09F86C25C User-Password = "00C09F86C25C“, Framed-IP-Address == 239.10.10.10 client 10.0.0.100/24 { secret = 123456 shortname = D-link } client.conf Attribute name Type description User-Name string MAC-address of computer, which send IGMP-report packet NAS-Port-Id integer Switch port number NAS-IP-Address Switch IP Framed-IP-Address multicast group IP, to which goes the join attempt Pokazana na slajdach przykładowa konfiguracja serwera FreeRADIUS do obsługi takiego zapytania jest tylko wersją "demo" pozwalającą na demonstrację tego mechanizmu. Z powodu naturalnych ograniczeń serwera RADIUS - który w domyślnej wersji nie został przygotowany do autoryzacji grup multicast, autoryzacja będzie się odbywać, ale tylko dla jednej zdefiniowanej grupy multicastowej dla każdego klienta. Rosjanie używają do tego celu specjalnego, napisanego przez siebie modułu do serwera RADIUS do uwierzytelniania takich zapytań. DES-3000 R4.20 DES-3028 R2.00 DES-3200 R1.00 DES-3526 R6.10 DES-3528 R3.00 DGS-3200 R1.00

IGMP Filters config limited_multicast_addr [ports <portlist> | vlanid <vidlist>] access <permit | deny> permit => określone w profilu grupy multicast są przepuszczane, pozostałe są blokowane deny => (domyślne) określone w profilu grupy multicast są blokowane, pozostałe są przepuszczane config max_mcast_group ports <portlist> max_group <maxgroups> action <drop | replace> drop => nauczone grupy poniżej limitu są przepuszczane, pozostałe są blokowane replace => nowa grupa multicastowa zastępuje starą o najniższym adresie IP create mcast_filter_profile profile_id 1 profile_name tv_platne config mcast_filter_profile profile_id 1 add 239.10.10.10-239.10.10.20 config mcast_filter_profile profile_id 1 add 239.40.0.1-239.40.0.20 create mcast_filter_profile profile_id 2 profile_name tv_darmowe config mcast_filter_profile profile_id 1 add 239.60.0.10-239.60.0.20 config limited_multicast_addr ports 13-18 add profile_id 1 config limited_multicast_addr ports 13-18 add profile_id 2 config limited_multicast_addr ports 1-12 add profile_id 2 config limited_multicast_addr ports 1-18 access permit config max_mcast_group ports 1-24 max_group 2 action replace DES-3028 R2.00 DES-3200 R1.00 DES-3526 R5.00 DES-3528 R1.00 DGS-3120 R1.00 DGS-3200 R1.00 DGS-3420 R1.00 DGS-3600 R2.80 DGS-3620 R1.00 Funkcja IGMP Filters pozwala natomiast na kontrolę oglądanych grup multicast na bazie profili, które mogą być przypisywane do portu lub VLANu. Profil taki zawiera listę grup multicastowych: create mcast_filter_profile profile_id 1 profile_name tv_platne config mcast_filter_profile profile_id 1 add 239.10.10.10-239.10.10.20 config mcast_filter_profile profile_id 1 add 239.40.0.1-239.40.0.20 Następnie listę taką można przypisać do konkretnego portu lub VLANu: config limited_multicast_addr ports 13-18 add profile_id 1 i ustalić akcję domyślną: config limited_multicast_addr ports 1-18 access permit permit - dopuszczone są te grupy, które znajdują się na liście lub deny - dopuszczone są te grupy, które nie znajdują się na liście Można również dodatkowo wymusić zachowanie, w którym dany port przełącznika transmituje tylko ograniczoną liczbę grup multicast: config max_mcast_group ports 1-24 max_group 2 action replace Nowa grupa multicast (ponad limit) może być: - ignorowana - ustawienie "drop" - zastępować istniejącą grupę o najniższym adresie IP - ustawienie "replace"

Tech Q: bkiziukiewicz@dlink.pl Sales Q: mwojcik@dlink.pl Dziękuję za uwagę Tech Q: bkiziukiewicz@dlink.pl Sales Q: mwojcik@dlink.pl