Технологии, применяемые при построении сетей на основе коммутаторов D-Link Расширенный функционал Бигаров Руслан, консультант по проектам

Double VLAN (Q-in-Q)

Назначение технологии: Transparent LAN services (TLS), прозрачные сервисы для сетей LAN LAN A LAN B PE A PE B S ervice P rovider Сеть ISP PE: Provider Edge – оконечное оборудование провайдера SP: Service Provider – сервис-провайдер Введение в технологию Double VLAN

Что такое Double VLAN? Данная функция поддерживает инкапсуляцию тегов IEEE 802.1Q VLAN в теги второго уровня 802.1Q tag на провайдерских граничных коммутаторах Provider Edge (PE) При помощи Double VLAN сервис провайдер может использовать уникальные VLAN (называемые Service-provider VLAN ID, или SP- VLAN ID) для предоставления услуг клиентам, которые имеют несколько VLAN в своих сетях. VLAN клиента, или Customer VLAN IDs (CVLAN IDs) в этом случае сохраняются и трафик от различных клиентов сегментируется даже если он передается в одном и том же VLAN. Введение в технологию Double VLAN

Формат пакета Double Tagging VLAN Количество 802.1q VLAN равно 4094 При использовании Double VLAN мы получаем 4094 * 4094 = 16,760,836 VLAN Введение в технологию Double VLAN

Базовая архитектура сети

Примечание: В DES-3800 порты Ethernet 10/100 могут быть только Access Port; гигабитные порты должны быть портами Uplink Понятия Access Port и Uplink Port Граничные коммутаторы провайдера Provider Edge (PE1 & PE2) настроены для обработки Double VLAN для 2-х клиентских VLAN. Каждому пользователю назначен уникальный VLAN провайдера: SP- VLAN 100 для клиента A и SP-VLAN 200 для клиента B. Когда пакет поступает на Access Port, подключенный к сети клиента, коммутатор PE добавляет еще один тег 802.1Q, называемый SP-VLAN. Если исходящий для пакета порт является портом Access Port, тогда коммутатор PE удаляет тег SP-VLAN из пакета. Если исходящий порт это Uplink Port, то пакет будет передан дальше вместе с тегом SP-VLAN и тегом CVLAN (если изначально в пакете тег содержался) или только с тегом SP-VLAN (если это был пакет без тега) Access Port используется для подключения к PE клиентских VLAN Uplink Port используется для подключения PE к сети провайдера

T SPvid 100 SPvid 200 Подключение коммутаторов L2 (Передача трафика при помощи D-Link Double VLAN) V2V3 V4 V2V3 V4 V2V3 V4 V2V3 V4 Double Vlan позволяет каждому SPVid использовать собственные CVLAN id без каких-либо проблем #1 #2 #3 #4 Uplink Port Access Port TT T TT

DES-3828 #1,#2 reset config enable double_vlan All setting will return to default setting. Are you sure to change the system vlan mode?(y/n)y config double_vlan default delete 1-28 create double_vlan d100 spvid 100 create double_vlan d200 spvid 200 config double_vlan d100 add access 1-12 config double_vlan d200 add access # Uplink – порты могут быть назначены только на гигабитных портах # config double_vlan d100 add uplink config double_vlan d200 add uplink save Настройка устройств DES-3526 #1,#2,#3,#4 reset config config vlan default delete 1-26 create vlan v2 tag 2 create vlan v3 tag 3 create vlan v4 tag 4 config vlan v2 add untagged 1-8 config vlan v2 add tagged config vlan v3 add untagged 9-16 config vlan v3 add tagged config vlan v4 add untagged config vlan v4 add tagged save

Примечание В настоящее время функция Double VLAN соответствует драфту стандарта 802.1ad

П ример использования Q-in-Q Selective Задача: Граничные коммутаторы провайдера (Provider Edge) настроены для обработки Q-in-Q Selective для 2-х клиентских VLAN (VID 200, 300). Этим двум клиентским VLAN назначен уникальный VLAN провайдера: SP-VLAN Необходимо осуществить передачу клиентских VLAN через оборудование провайдера с использованием технологии Q-in-Q Selective. Пояснения: К лиентские C-VLAN (VID = 200, 300) статически прописаны на коммутаторе, пакеты приходят на порт 9 и передаются в разных Q-in-Q VLAN-ах с SP-VLAN 1000 и 1001 через 11 порт. «role uni» означает, что взаимодействие по этим портам будет осуществляться между пользователем и граничным коммутатором провайдера. «role nni» означает, что этот порт взаимодействует с сетью провайдера или другим граничным коммутатором. «missdrop enable» означает, что добавление внешнего тега будет осуществляться только согласно правилам vlan_translation. Значение outer_tpid задается равным 0x88A8, согласно стандарту IEEE 802.1ad, оно должно совпадать для всего оборудования, через которое переда ю тся пакеты с двойным tag -ом.

Настройка устройств DES-3528 create vlan v200 tag 200 create vlan v300 tag 300 create vlan v1000 tag 1000 create vlan v1001 tag 1001 config vlan v200 add tag 9 config vlan v300 add tag 9 config vlan v1000 add tag 9,11 config vlan v1001 add tag 9,11 enable qinq config qinq inner_tpid 0x8100 config qinq ports all outer_tpid 0x88A8 config qinq ports 9 role uni config qinq ports 11 add_inner_tag 0x8100 create vlan_translation ports 9 cvid 200 add svid 1000 create vlan_translation ports 9 cvid 300 add svid 1001 save # Прохождение BPDU при использовании Q-in-Q осуществляется следующей настройкой: # config mef_l2_protocols port 9 forward addr_00_0F config mef_l2_protocols port 9 forward addr_10 config mef_l2_protocols port 9 forward addr_20_2F save DGS-3612G create vlan v200 tag 200 create vlan v300 tag 300 create vlan v1000 tag 1000 create vlan v1001 tag 1001 config vlan v200 add tag 9 config vlan v300 add tag 9 config vlan v1000 add tag 9,11 config vlan v1001 add tag 9,11 enable qinq config qinq ports all outer_tpid 0x88A8 config qinq ports 9 role uni create vlan_translation ports 9 cvid 200 add svid 1000 create vlan_translation ports 9 cvid 300 add svid 1001 save # Прохождение BPDU при использовании Q-in-Q осуществляется следующей настройкой: # config bpdu_tunnel ports 9 type tunnel stp enable bpdu_tunnel save Результат теста: клиентские C-VLAN (200, 300) передаются между коммутаторами DES-3528 и DGS-3612G с использованием технологии Q-in-Q с внешним и тег а м и SP-VLAN 1000 и 1001.

Безопасность на уровне портов и защита от вторжений

IP-MAC-Port Binding (Привязка IP-MAC-порт)

IP-MAC-Port Binding o Проверка подлинности компьютеров в сети Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор блокирует данный MAC-адрес с занесением его в блок-лист. Привязка IP-MAC-порт (IP-MAC-Port Binding) Эта функция специально разработана для управления сетями ETTH/ ETTB и офисными сетями IP-MAC-Port Binding Связка IP-MAC-порт не соответствует разрешённой – MAC-адрес компьютера заблокирован !!

Для чего нужна функция IP-MAC-Port binding? D-Link расширил популярную функцию IP-MAC binding до более удобной в использовании IP-MAC-Port binding с целью повышения гибкости аутентификации пользователей в сети. IP-MAC-Port binding включает три режима работы: ARP (по умолчанию), ACL и DHCP Snooping. Сравнение двух режимов показано в таблице ниже: IP-MAC-Port Binding поддерживается коммутаторами L2 серии xStack – DES (только ARP Mode), DES-3028/3052 (ARP Mode и DHCP Snooping) DES (R4 – ARP, ACL Mode и DHCP Snooping), L3 - DES-3800 (R3 – ARP, ACL Mode и DHCP Snooping), DGS-3600 и DGS Данный документ описывает примеры настройки IP-MAC-Port binding, например, против атак ARP Poison Routing. ARP режимACL режим Плюсы Простота в использовании и независимость от ACL Позволяет предотвратить несанкционированное подключение даже если нарушитель использует статический МАС адрес Минусы Невозможность фильтрации в случае если hacker/sniffer присвоит себе статический MAC адрес для спуфинга коммутатора Тратится профиль ACL, а также необходимо продумывать целиком всю стратегию ACL

Поддельные ARP ???IP C SA BIP B Сервер C Шаг 1: Клиенты A и B подключены к одному порту коммутатора, клиент A (sniffer) шлет поддельные ARP Пример 1. Использование режима ARP или ACL для блокирования снифера Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)

Сервер C ARP-ответ DA BIP B SA CIP C Шаг 2: Сервер C отвечает на запрос и изучает поддельную связку IP/MAC. Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)

SYN DA CIP C SA AIP A Сервер C Шаг 3: Клиент A хочет установить TCP соединение с сервером C Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)

DA CIP C SA AIP A Сервер C Шаг 4: Т.к. клиент A не в белом листе, DES-3526 блокирует пакет, поэтому, соединение не сможет быть установлено SYN Клиент B (в белом листе IP-MAC-Port binding) Клиент A (нет в белом листе IP-MAC-Port binding)

Поддельный ARP- ответ Клиент B DA AIP A SA CIP B Шаг 1: Sniffer C (Man in the middle) отсылает поддельный пакет ARP-Reply клиентам A и B Снифер C (нет в белом листе IP-MAC-Port binding) Пример 2. Использование режима ACL для предотвращения ARP атаки Man-in-the-Middle Клиент A DA BIP B SA CIP A

Клиент B Шаг 2: Клиент A хочет установить TCP соединение с клиентом B Клиент A SYN DA CIP B SA AIP A SYN Снифер C (нет в белом листе IP-MAC-Port binding)

Клиент B Шаг 3: Т.к. С не в белом листе, DES-3526 блокирует пакет, поэтому, соединение не сможет быть установлено Снифер C (нет в белом листе IP-MAC-Port binding) Клиент A DA BIP B SA C IP A SYN

Особенности функционирования IMP и новый режим DHCP Snooping В любом режиме IMP (ARP и ACL) была возможность атаки типа ARP Spoofing из-за того что блокировка и анализ трафика производится на основе в том числе и ARP пакетов (поэтому возможна функция Auto Recovery и т.д.). В новых версиях прошивки появилась опция strict при конфигурировании функции на порту. Она позволяет отбрасывать невалидные ARP пакеты после анализа и не пропускать их в сеть. Это позволяет избежать ARP Spoofing-а в том числе вышестоящего устройства. В новых версиях прошивки появилась режим DHCP Snooping, представляющий собой аналог комбинации функций DHCP Snooping + IP Source Guard + dynamic ARP inspection. Функция представляет собой отслеживание связок IP-MAC на портах в динамическом режиме режиме и динамической привязки к портам этих связок. В этой функции имеется возможность ограничения кол-ва MAC-адресов на порту которые могут получить IP-адрес c DHCP-сервера. Также есть возможность блокировать распространение Broadcast DHCP пакетов в клиентских VLAN-ах при использовании DHCP Relay.

Советы по настройке IP-MAC-Port binding ACL Mode ACL обрабатываются в порядке сверху вниз (см. рисунок 1). Когда пакет «соответствует» правилу ACL, он сразу же отбрасывается (если это запрещающее, правило, deny) либо обрабатывается (если это разрешающее правило, permit) При использовании IP-MAC-Port binding в режиме ACL автоматически создаются 2 профиля (и правила для них) в первых двух доступных номерах профилей. –Любое запрещающее правило после IP-MAC-Port binding становится ненужным, поэтому рекомендуется располагать все остальные ACL в более приоритетном порядке. –Нельзя включать одновременно функции IP-MAC-Port ACL mode и ZoneDefense. Т.к. правила привязки IP-MAC-Port создаются первыми, и правила, создаваемые ZoneDefense автоматически после этого, могут быть неправильными Rule 1 (1st rule of Profile 1) Rule 2 (2nd rule of Profile 1) Rule 3 (1st rule of Profile 2) Rule 4 (2nd rule of Profile 2) Rule N (last rule of last Profile) Рисунок 1. Обработка ACL Top Down Deny Dst_TCP Port 23 Permit Src_IP /24 Ex. Packet (Src_IP /24, Dst_TCP Port 23) Matc h Dropped Permit Src_IP /24 Matc h Forwarded Deny Dst_TCP Port 23

Вопрос: Что делать, если необходимо создать еще один профиль, когда режим ACL уже включен (рисунок 2)? –Нужно использовать команды disable address_binding acl_mode (Рисунок 3) и затем enable address_binding acl_mode (Рисунок 4) Profile 1 Profile 2 IP-MAC-Port binding Profile 1 Рисунок 2 IP-MAC-Port binding Profile 2 Profile 1 Profile 2 Рисунок 3 Profile 1 Profile 2 IP-MAC-Port binding Profile 1 Рисунок 4 IP-MAC-Port binding Profile 2 Profile 3 Disable Enable Для того, чтобы освободить место для нового профиля, но сохранить настройки После создания нового профиля включить заново IP-MAC-Port binding в режиме ACL

IP-MAC-Port Binding (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC- адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress mac_address F-F3 ports 2. 2) config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode arp.

IP-MAC-Port Binding ACL Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC- адресам одновременно Команды для настройки коммутатора: 1) create address_binding ip_mac ipaddress mac_address F-F3 ports 2. 2) config address_binding ip_mac ports 2 state enable strict allow_zeroip enable forward_dhcppkt enable mode acl.

IP-MAC-Port Binding DHCP Snooping Mode (пример) Задача: Ограничить доступ на портах коммутатора по IP и MAC- адресам одновременно с возможностью раздачи IP-адресов по DHCP без использования статических лиз на DHCP-сервере. Команды для настройки коммутатора: 1) enable address_binding dhcp_snoop. 2) config address_binding dhcp_snoop max_entry ports 2 limit 1. 3) config address_binding ip_mac ports 1 state enable strict allow_zeroip forward_dhcppkt enable enable

IP-MAC-Port Binding DHCP Snooping Mode (пример) Max_entry … limit 1 – максимальное кол-во MAC-адресов, которые могут получить IP-адрес с порта. Возможные значения 1-10 или no_limit. Strict – отбрасывание невалидных ARP пакетов с порта после анализа и блокировки. Может использоваться в любом режиме IMP. Альтернативное значение loose. Allow_zero_ip – возможность пропуска пакетов при включённой функции IMP с source_IP = Необходима для полноценный работы всех ОС по протоколу DHCP. При включении Relay и для блокировки Broadcast DHCP пакетов в клиентских VLAN-ах для топологий кольцо или цепочка на доступе следует в дополнение применять опцию forward_dhcppkt disable. Умолчальное значение forward_dhcppkt enable.

ACL – Списки управления доступом, Классификация трафика, маркировка и отбрасывание

ACL в коммутаторах D-Link могут фильтровать пакеты, основываясь на информации разных уровней: Порт коммутатора MAC/ IP-адрес Тип Ethernet/ Тип протокола VLAN 802.1p/ DSCP TCP/ UDP-порт [тип приложения] Содержание пакета [поле данных приложения] Сетевой трафик ACL (списки контроля доступа) o Контроль сетевых приложений Коммутаторы D-Link предоставляют наиболее полный набор ACL, помогающих сетевому администратору осуществлять контроль над приложениями. При этом не будет потерь производительности, поскольку проверка осуществляется на аппаратном уровне. L2/3/4 ACL ( Access Control List ) Online-игры Неразрешённые приложения Вирусы Инфицированные клиенты Неисправные сервера/ точки доступа Компьютеры злоумышленников Несанкционированные пользователи ICMPMSBLASTSQLSQL Slammer ACL могут проверять содержимое пакетов на предмет наличия новых изменённых потоков Управляемые коммутаторы D-Link могут эффективно предотвращать проникновение вредоносного трафика в сеть

Указания к конфигурированию профилей доступа (Access Profile) Проанализируйте задачи фильтрации и определитесь с типом профиля доступа - Ethernet или IP Зафиксируйте стратегию фильтрации Основываясь на этой стратегии, определите какая необходима маска профиля доступа (access profile mask) и создайте её. (команда create access_profile) Добавьте правило профиля доступа (access profile rule), связанное с этой маской (команда config access_profile) Правила профиля доступа проверяются в соответствии с номером access_id. Чем меньше ID, тем раньше проверяется правило. Если не одно правило не сработало, пакет пропускается. При необходимости, когда срабатывает правило, биты 802.1p/DSCP могут быть заменены на новые значения перед отправкой пакета, выступая в качестве Маркера в модели DSCP PHB (Per-Hop Behavior – пошаговое поведение).

Типы профиля доступа 1. Ethernet: VLAN MAC источника MAC назначения 802.1p Тип Ethernet Порты* 2. IP: VLAN Маска IP источника Маска IP назначения DSCP Протокол (ICMP, IGMP, TCP, UDP) TCP/UDP-порт Порты* 3. Фильтрация по содержимому пакета (первые 80 байт пакета)*. Доступно в моделях DES-35XX, DES- 38 XX, DES-3028/3052, DGS/DXS-33XX, DGS-34XX, DGS-36XX

Профиль доступа Ethernet

Правило доступа Ethernet Когда нужно задать диапазон портов, галочка Auto Assign должна быть поставлена в поле Access ID.

Маска IP профиля доступа Можно задать до 5 масок портов уровня 4 для порта назначения в шестнадцатирич ной форме (0x0- 0xffffffff)

Правило профиля доступа IP

Internet PC1 PC2 Разрешено Остальным запрещено Шлюз Internet: IP = /8 0050BA Разрешён доступ в Internet: PC1: /8, 0050ba PC2: /8, 0050ba Шлюз = Другие PC (доступ к Internet запрещён): IP: 10.x.x.x/8 Шлюз Internet Пример: Разрешить некоторым пользователям выход в Internet по MAC- адресам ACL в коммутаторах Ethernet L2 – Пример I

# Правило 1 create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 11 ethernet source_mac ba destination_mac ba permit config access_profile profile_id 10 add access_id 12 ethernet source_mac ba destination_mac ba permit # добавить остальные разрешённые MAC в правилах с тем же ID профиля (10), но с разными ID доступа (13, 14, 15 и т.д.). # Правило 2 create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20 config access_profile profile_id 20 add access_id 21 ethernet destination_mac ba deny # Правило 3: Другие пакеты разрешены по умолчанию Правила: Правило 1: Если MAC назначения = Шлюз и MAC источника = разрешённый PC1, разрешить Если MAC назначения = Шлюз и MAC источника = разрешённый PC2, разрешить (другие разрешённые MAC - PC3, PC4, и т.д.) Правило 2: Если MAC назначения = Шлюз, запретить Правило 3: В противном случае (разрешить всё остальное по умолчанию). Проверка: PC1, PC2 могут получить доступ к Internet. (Разрешённые правилом 1 MAC могут получить доступ к Internet) Другие компьютеры не могут получить доступ к Internet. (Другие PC не могут получить доступ к Internet, в соответствии с правилом 2) PC1, PC2 и другие могут получить доступ друг к другу (Intranet OK, в соответствии с правилом 3) Ethernet ACL в коммутаторах L2 – Пример I со старым правилом ACL

Ethernet ACL в коммутаторах L2 – Пример I с новым правилом ACL Правила: Правило 1: Если MAC назначения = Шлюз, запретить (другие порты, которые нужно запретить и т.д.) Правило 2: В противном случае (разрешить всё остальное по умолчанию). # Правило 1 create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 10 ethernet destination_mac ba port 24 deny # добавить другие запрещающие правила с тем же ID профиля (10), но с другими ID доступа и портами (21, 22, 23 и т.д.). # Правило 2: Другие пакеты разрешены по умолчанию Проверка: PC1, PC2 могут получить доступ к Internet. (Разрешённые правилом 1 MAC могут получить доступ к Internet) Другие компьютеры не могут получить доступ к Internet. (Другие PC не могут получить доступ к Internet, в соответствии с правилом 2) PC1, PC2 и другие могут получить доступ друг к другу (Intranet OK, в соответствии с правилом 3)

Internet IP: /32.1 ~.63 (разрешено) Доступ в Internet разрешён: ~ Остальные пользуются только Intranet Устройство NAT Другие (запрещён выход в Internet) Сеть: x IP ACL в коммутаторах L2 – Пример II Пример: Разрешить некоторым пользователям выход в Internet по IP

Проверка: могут получить доступ к Internet (правило 2), и ко всем остальным PC (правило 1). 2. PC могут иметь доступ к PC (правило 1), но не могут выйти в Internet (правило 3). IP ACL в коммутаторах L2 – Пример II со старым правилом ACL Правила: Правило 1: Если IP источника = /26, разрешить (для разрешить доступ в Internet) Правило 2: Если IP источника = /24, запретить (для запретить доступ в Internet) Правило 3: Если IP назначения = /24 и IP источника = /24, разрешить (Intranet OK) Правило 4: В противном случае, разрешить всё остальное по умолчанию # Правило 1: Разрешить для доступ в Internet create access_profile ip source_ip_mask destination_ip_mask profile_id 10 config access_profile profile_id 10 add access_id 11 ip source_ip ip_destination permit # Правило 2: Запретить для доступ в Internet create access_profile ip source_ip_mask destination_ip_mask profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip ip_destination deny # Правило 3: Intranet OK create access_profile ip destination_ip_mask source_ip_mask profile_id 30 config access_profile profile_id 30 add access_id 31 ip destination_ip source_ip permit # Правило 4: Всё остальное разрешено по умолчанию

Блокировка SMB трафика с помощью стандартных средств ACL : 1. Фильтрация TCP потров 135, 137, 138, 139, 445. Команды CLI: create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 30 config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny 2. Фильтрация UDP портов 135, 137, 138, 139, 445 Команды CLI: create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 40 config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 135 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 137 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 138 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 139 port 1-24 deny config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 445 port 1-24 deny

1. При написании ACL, DSCP является одним из полей, которое может проверяться. Если мы хотим проверять поле DSCP, надо выбрать его (v) в Маске IP профиля доступа. 2. Следующим шагом является написание Правила IP профиля доступа. В этом правиле, мы уже можем добавить значение DSCP, которое будет проверяться. При совпадении, мы можем: - проассоциировать пакет с очередью приоритетов 1p - проассоциировать пакет с очередью приоритетов 1p и заменить значение 1p перед передачей пакета - задать пакету новое значение DSCP и выслать пакеты, играющие роль МАРКЕРОВ в модели PHB. 3. Если пакет проассоциирован с очередью приоритетов 1p, он, затем, будет обработан в соответствии с Пользовательским приоритетом 802.1p для проведения соответствия приоритета 1p одной из 4-х очередей приоритетов. ACL для QoS

DSCP, 802.1p и очередь приоритетов Пример – Промаркировать пакеты с определённым DSCP определённым приоритетом 1p и поставить в соответствующую очередь Последующие правила промаркируют пакеты следующим образом: Очередь 1 - данные с dscp = 10 = приоритет 802.1p = 3 Очередь 2 – данные с dscp = 20 = приоритет 802.1p = 5 Очередь 3 – данные с dscp = 30 = приоритет 802.1p = 7 create access_profile ip dscp profile_id 10 config access_profile profile_id 10 add access_id 10 ip dscp 30 port 1 permit priority 7 replace_priority config access_profile profile_id 10 add access_id 20 ip dscp 30 port 24 permit priority 7 replace_priority config access_profile profile_id 10 add access_id 30 ip dscp 20 port 1 permit priority 5 replace_priority config access_profile profile_id 10 add access_id 40 ip dscp 20 port 24 permit priority 5 replace_priority config access_profile profile_id 10 add access_id 50 ip dscp 10 port 1 permit priority 3 replace_priority config access_profile profile_id 10 add access_id 60 ip dscp 10 port 24 permit priority 3 replace_priority Коммутатор A U U VIP1 U U Коммутатор B: DES-3526 VIP2 Коммутатор C: DES DXS-3326GSR 124 Основываясь на соответствии 802.1p User Priority пакет будет поставлен в очередь с наивысшим приоритетом и будет обработан первым.

Per-flow Bandwidth Control – контроль полосы пропускания по потокам

FTP-сервер Web-сервер SIP Телефон 1 Как сконфигурировать QoS в соответствии со следующими требованиями? 1. VoIP (SIP Телефон) должен иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). 2. FTP-трафик (или любой другой трафик, сильно расходующий полосу пропускания, например, p2p) должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). Условие (1) может быть выполнено настройкой ACL путём перемаркировки 802.1p/DSCP. Но как реализовать пункт (2)?? Решение: Новая функция per-flow bandwidth control (поддерживается серией DGS-3400). PC22PC21 #1 #2 SIP Телефон 2 PC11 Почему контроль полосы пропускания по потокам

Контроль полосы пропускания по потокам Почему контроль полосы пропускания по потокам? Серии DES-3800 или xStack поддерживают ACL только в режимах permit или deny (0 или 1). Если пользователь хочет разрешить определённый трафик с определённой полосой пропускания (например, FTP может максимально использовать 5 Мбит/с от общей полосы пропускания), такая реализация ACL не может в этом помочь. DGS-3400 (и более поздние серии) могут, основываясь на совпадении по типу трафика, ограничивать полосу пропускания, благодаря поддержке нового механизма ACL. Как работает контроль полосы пропускания по потокам? Эта функция основана на новой политике ACL. DGS-34xx использует механизм ACL для просмотра определённого типа трафика и ограничения полосы пропускания. Весь этот процесс происходит на микросхемах портов - ASIC. Т.о., это не влияет на загрузку CPU и соответственно не снижает производительность коммутатора.

Команда настройки ACL с поддержкой per-flow bandwidth control для того, чтобы создать правило из нашего примера. Эта опция также поддерживается для типов ACL ethernet,packet_content, ipv6 (не только для указанного типа). config access_profile profile_id ip { | source_ip | destination_ip | dscp | [ icmp | igmp | tcp { src_port | dst_port | flag [all | { urg | ack | psh | rst | syn | fin }] } | udp { src_port | dst_port } | protocol_id { user_define } ] } port [ permit { priority {replace_priority_with } | replace_dscp_with | rx_rate [ no_limit | ] } | deny ]} Команда настройки ACL без поддержки per-flow bandwidth control для того чтобы создать правило из нашего примера. config access_profile profile_id ip { | source_ip | destination_ip | dscp | [ icmp | igmp | tcp { src_port | dst_port | flag [all | { urg | ack | psh | rst | syn | fin }] } | udp { src_port | dst_port } | protocol_id { user_define } ] } port [ permit { priority {replace_priority_with } | replace_dscp_with } | deny ]} Это означает, что при выборе действия permit – «разрешить», может быть задана полоса пропускания для определённого типа трафика на приём. Команды настройки контроля полосы пропускания по потокам

FTP-сервер Web-сервер SIP Телефон / 8 Задача: 1.VoIP (SIP Телефон) должен иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). 2. FTP-трафик (или любой другой трафик, сильно расходующий полосу пропускания, например, p2p) должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). PC22PC21 #1 #2 SIP Телефон / 8 PC11 Пример настройки контроля полосы пропускания по потокам

Формат пакета VoIP (SIP) Формат управляющего пакета VoIP SIP, использующего UDP- порты источника/назначения 5060/5060 Формат пакета данных VoIP SIP, использующего UDP/RTP-порты источника/назначения 49152/ Примечание: Различные VoIP- приложения могут использовать собственный порт UDP. Захватите сниффером пакеты для того, чтобы определить номер порта. Пример настройки контроля полосы пропускания по потокам 1. VoIP (SIP Телефон) будет иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса).

Конфигурация коммутатора #1 для передачи данных VoIP # 1. Если в пакете DSCP=56, то перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом). create access_profile profile_id 1 ip dscp config access_profile profile_id 1 add access_id auto_assign ip dscp 56 port all permit priority 7 # 2. Если пакет является пакетом VoIP, перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом), и заменить поле DSCP на 56 (111000). create access_profile profile_id 2 ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp src_port 5060 dst_port 5060 port all permit priority 7 replace_dscp 56 config access_profile profile_id 2 add access_id auto_assign ip udp src_port dst_port port all permit priority 7 replace_dscp 56 # 3. Убедитесь, что механизм обработки очередей строгий (strict). config scheduling_mechanism strict Конфигурация коммутатора #2 для передачи данных VoIP # 1. Если в пакете DSCP=56, то перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом). create access_profile profile_id 1 ip dscp config access_profile profile_id 1 add access_id auto_assign ip dscp 56 port all permit priority 7 # 2. Если пакет является пакетом VoIP, перемаркировать пакет приоритетом 802.1p = 7 (и затем поместить в очередь с наивысшим приоритетом), и заменить поле DSCP на 56 (111000). create access_profile profile_id 2 ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip udp src_port 5060 dst_port 5060 port all permit priority 7 replace_dscp 56 config access_profile profile_id 2 add access_id auto_assign ip udp src_port dst_port port all permit priority 7 replace_dscp 56 # 3. Убедитесь, что механизм обработки очередей строгий (strict). config scheduling_mechanism strict 1. VoIP (SIP Телефон) будет иметь наивысший приоритет в строгом режиме (чтобы исключить задержки при передаче голоса). Пример настройки контроля полосы пропускания по потокам

2. FTP-трафик должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с). Пример настройки контроля полосы пропускания по потокам Конфигурация коммутатора #2 для ограничения полосы пропускания для ftp-трафика значением 5 Мбит/с. create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id auto_assign ip tcp src_port 20 port 1-24 permit rx_rate 80 Примечание: Шаг контроля полосы пропускания по потокам 64 Кбит/с. Например, rx_rate 80 = 80 * 64 Кбит/с = 5120 Кбит/с = 5 Мбит/с Пакеты данных FTP используют TCP-порт источника 20

До настройки функции контроля полосы пропускания по потокам ftp-трафик иметь полосы пропускания Кбайт/с После настройки контроля полосы пропускания по потокам ftp-трафик имеет ограничение по полосе пропускания 632 Кбайт/с (около 5 Мбит/с) Пример настройки контроля полосы пропускания по потокам 2. FTP-трафик должен использовать только часть полосы пропускания (например, максимум 5 Мбит/с).

Контроль полосы пропускания по потокам Результаты тестов: 1. После настройки строгого режима QoS для пакетов VoIP, VoIP-трафик – голос, будет передаваться без задержек. 2. После настройки функции контроля полосы пропускания по потокам, применительно к FTP-трафику (или любому другому трафику, активно использующему полосу пропускания, например, p2p и т.д.), коммутатора не будет так сильно загружен передачей этого типа трафика, и другие приложения (такие как mail, web и т.д.) будут работать с меньшими задержками.

CPU Interface Filtering

Что такое CPU Interface Filtering? В текущей версии аппаратной платформы коммутаторов D-Link, некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения - это MAC-адрес коммутатора. (ping на IP-адрес коммутатора) Решение: CPU Interface Filtering. (Software ACL)

1.PC2 имеет доступ к PC3. 2.PC3 имеет доступ к коммутатору. 3.PC2 не имеет доступа к коммутатору. PC2 PC3 Задача: PC2 имеет доступ к PC3, но PC2 не имеет доступа к коммутатору. PC3 имеет доступ и к PC2 и к коммутатору. IP-адрес коммутатора: /8 IP-адрес PC2: /8 IP-адрес PC3: /8 CPU Interface Filtering

# Создайте профиль ACL для интерфейса CPU – процесс очень похож на создание обычного профиля ACL. # Сначала включите CPU Interface Filtering и создайте профиль, соответствующий заданию. enable cpu_interface_filtering create cpu access_profile ip source_ip_mask icmp profile_id 1 config cpu access_profile profile_id 1 add access_id 1 ip source_ip icmp deny Command: show cpu access_profile CPU Access Profile Table CPU Access Profile ID : 1 Type : IP Frame Filter - ICMP Masks : Source IP Addr DSCP CPU Access ID: 1 Mode : Deny xx-xx DES-3526:4#show access_profile Command: show access_profile В списке стандартных ACL профилей записей нет. CPU Interface Filtering

Результаты теста: Перед активацией функции CPU interface filtering, PC2 имеет доступ к коммутатору и PC3. После включения функции CPU interface, PC2 имеет доступ только к PC3. CPU Interface Filtering

Safeguard Engine

Safeguard Engine TM разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети. CPU коммутатора предназначен для обработки управляющей информации, такой как STP, SNMP, доступ по WEB-интерфейсу и т.д. Также CPU обрабатывает некоторый специфичный трафик, такой как ARP широковещание, пакеты с неизвестным IP-адресом назначения, IP широковещание и т.д. Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для CPU трафика (такого как ARP широковещание например). Весь этот трафик загружает CPU и не даёт ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос. Пакеты BPDU протокола STP IGMP snooping Доступ к WEB интерфейсу SNMP опрос ARP широковещание Пакеты с неизвестным IP- адресом назначения IP широковещание Почему Safeguard Engine?

Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для CPU трафика (такого как ARP широковещание например). Весь этот трафик загружает CPU и не даёт ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос. Пакеты BPDU протокола STP IGMP snooping Доступ к WEB интерфейсу SNMP опрос D-Link Safeguard Engine позволяет идентифицировать и приоритезировать этот «интересный» для CPU трафик с целью отбрасывания ненужных пакетов для сохранения функциональности коммутатора. ARP широковещание Пакеты с неизвестным IP- адресом назначения IP широковещание Таким образом с применением Safeguard Engine, коммутатор D-Link будет обладать отказоустойчивостью, особенно при вирусных атаках или сканирования сети. Safeguard Engine разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети. Почему Safeguard Engine?

Обзор технологии Если загрузка CPU становится выше порога Rising Threshold, коммутатор войдёт в Exhausted Mode (режим высокой загрузки), для того, чтобы произвести следующие действия (смотрите следующий слайд). Если загрузка CPU становится ниже порога Falling Threshold, коммутатор выйдет из Exhausted Mode и механизм Safeguard Engine отключится. ПорогОписание Rising Threshold Пользователь может установить значение в процентах верхнего порога загрузки CPU, при котором включается механизм Safeguard Engine. Если загрузка CPU достигнет этого значения, механизм Safeguard Engine начнёт функционировать. Falling Threshold Пользователь может установить значение в процентах нижнего порога загрузки CPU, при котором выключается механизм Safeguard Engine. Если загрузка CPU снизится до этого значения, механизм Safeguard Engine перестанет функционировать.

ДействиеОписание Ограничение полосы пропускания для ARP-пакетов Пользователь может использовать эту функцию в двух режимах, в Strict-Mode (Строгий режим) или в Fuzzy-Mode (Нестрогий режим). Если выбран строгий режим, коммутатор перестаёт получать ARP- пакеты. Если выбран нестрогий, коммутатор минимизирует полосу пропускания для ARP-пакетов, путём её динамического изменения. Ограничение полосы пропускания для IP-широковещания Пользователь может использовать эту функцию в двух режимах, в Strict-Mode (Строгий режим) или в Fuzzy-Mode (Нестрогий режим). Если выбран строгий режим, коммутатор перестаёт получать все широковещательные пакеты IP. Если выбран нестрогий, коммутатор минимизирует полосу пропускания для широковещательных пакетов IP, путём её динамического изменения. Функционирование Safeguard Engine Обзор технологии

График показывает механизм срабатывания Safeguard Engine При использовании Удвоенного времени переключения в Exhausted режим, коммутатор может избежать постоянного переключения в exhausted mode без надобности. Максимальное значение этого времени секунд. В ситуации, когда коммутатор постоянно входит в exhausted mode, и когда это время достигает максимального значения, коммутатор не выйдет за это значение.

Модели коммутаторов, в которых реализована функция SafeGuard Engine Модель коммутатора Поддерживаемый режим Safeguard Engine Strict ModeFuzzy Mode DES-3500VX DES-3800VX DES-6500VV* DGS-3400VV* DGS-3600VV* Примечание * Поддержка режима Fuzzy требует аппаратной поддержки со стороны чипсета и доступна только для DES-6500 и DGS-3400/3600.

Модели коммутаторов, в которых реализована функция SafeGuard Engine Для обеспечения потребностей и простоты применения для заказчиков SMB, коммутаторы серии Smart II Series имеют другой механизм Safeguard Engine. Коммутаторы серии Smart II поддерживают Safeguard Engine только в режимах "enable" или "disable, позволяя пользователю либо включить, либо выключить Safeguard Engine, и по умолчанию функция включена. Механизм Safeguard Engine, реализованн ы й в коммутаторах серии Smart II, имеет более простой подход. Коммутаторы серии Smart II будут классифицировать трафик, предназначенный интерфейсу CPU, и распределять его по 4 очередям. Очередь 0 для ARP-широковещания, очередь 1 для управляющих пакетов от утилиты SmartConsole, очередь 2 для трафика с MAC- адресом назначения, равным MAC-адресу коммутатора, и очередь 3 для всего остального трафика. Для каждой очереди определена фиксированная полоса пропускания к интерфейсу CPU. Таким образом коммутаторы серии Smart II могут предотвратить перегрузку CPU при обработке конкретного типа трафика. Коммутаторы серии Smart II, которые поддерживают Safeguard Engine: DES- 1228/A1, DES-1252/A1, DGS-1216T/D1, DGS-1224T/D1 and DGS-1248T/B1.

Возможные побочные эффекты После того как коммутатор переключится в режим exhausted при настроенном строгом режиме, административный доступ к коммутатору будет недоступен, так как в этом режиме отбрасываются все ARP-запросы. В качестве решения можно предложить указать MAC-адрес коммутатора в статической ARP-таблице управляющей рабочей станции, для того чтобы она могла напрямую обратиться к интерфейсу управления коммутатором без отсылки ARP-запроса. Для коммутаторов L2/L3, переход в режим exhausted не будет влиять на коммутацию пакетов на уровне L2. Для коммутатора L3, при переходе в строгий режим exhausted, не только административный доступ будет недоступен, но и связь между подсетями может быть нарушена тоже, поскольку будут отбрасываться ARP-запросы на IP- интерфейсы коммутатора тоже. Преимуществом нестрогого режима exhausted является то, что в нём он не просто отбрасыва ю т ся все ARP-пакеты или пакеты IP-широковещания, а динамически изменяется полоса пропускания для них. Таким образом даже при серьёзной вирусной эпидемии, коммутатор L2/L3 будет доступен по управлению, а коммутатор L3 сможет обеспечивать взаимодействие между подсетями.

1.PC2 постоянно посылает ARP- пакеты, например со скоростью 1000 пакетов в секунду. 2.Загрузка CPU при этом изменяется от нормальной до 100%. 3.Если прекратить генерацию ARP пакетов на PC2, загрузка CPU опять станет в пределах нормы. PC2 Задача: Снизить загрузку CPU при помощи Safeguard Engine. IP-адрес коммутатора: /8 IP-адрес PC2: /8 Safeguard Engine

# Включите Safeguard Engine следующей командой CLI config safeguard_engine state enable DES-3526:4#show safeguard_engine Command: show safeguard_engine Safe Guard Engine State : Enabled Safe Guard Engine Current Status : Normal mode =============================================== CPU utilization information: Interval : 5 sec Rising Threshold(20-100) : 100 % Falling Threshold(20-100) : 20 % Trap/Log : Disabled # Следующей командой можно задать пороги переключения режимов config safeguard_engine cpu_utilization rising_threshold 100 falling_threshold 20 Safeguard Engine

Результаты теста: Перед активацией Safeguard Engine, при генерации PC2 большого количества ARP пакетов, загрузка CPU будет держаться в районе 100%. После включения функции Safeguard Engine, PC2 продолжает генерировать большое количество ARP пакетов. Загрузка CPU снизиться до значения нижнего предела и коммутатор будет держать интервал между переключениями 5 секунд (значение по умолчанию). Вывод: Функция SafeGuard Engine функционирует следующим образом. При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты. Safeguard Engine

DHCP Relay (Option 82) – информация от агента DHCP Relay

Option 82 используется Relay Agent (агентом перенаправления запросов) для добавления дополнительной информации в DHCP – запрос клиента. Эта информация может быть использована для применения политик, направленных на увеличение уровня безопасности и эффективности сети. Она описана в стандарте RFC 3046.

Когда вы включаете опцию DHCP relay agent option 82 на коммутаторе D-link, происходит следующее: Компьютер в сети (DHCP - клиент) генерирует DHCP - запросы и широковещательно рассылает их в сеть. Коммутатор (DHCP Relay Agent) перехватывает DHCP - запрос packet и добавляет в него информацию relay agent information option (option 82). Эта информация содержит MAC – адрес коммутатора (поле опции remote ID) и SNMP ifindex порта, с которого получен запрос (поле опции circuit ID). Коммутатор перенаправляет DHCP – запрос с полями опции option-82 на DHCP - сервер. DHCP – сервер получает пакет. Если сервер поддерживает опцию option-82, он может использовать поля remote ID и/или circuit ID для назначения IP- адреса и применения политик, таких как ограничения количества IP- адресов, выдаваемых одному remote ID или circuit ID. Затем DHCP – сервер копирует поле опции option-82 в DHCP - ответе. –Если сервер не поддерживает option 82, он игнорирует поля этой опции и не отсылает их в ответе. DHCP - сервер отвечает в Unicast-е агенту перенаправления запросов. Агент проверяет предназначен ли он его клиенту, путём анализа IP – адреса назначения пакета. Агент удаляет поля опции option-82 и направляет пакет на порт, к которому подключён DHCP - клиент, пославший пакет DHCP – запроса.

1604VLANModulePort Поле опции DHCP option 82 DES-3526/DES-3550 имеет следующий формат : Формат полей опции DHCP option 82 специализированного DHCP Relay Agent-а Тип подопции 2.Длина: длина поля с октета 3 по октет 7 3.Тип Circuit ID 4.Длина: длина поля с октета 5 по октет 7 5.VLAN: номер VLAN ID в DHCP – пакете клиент. 6.Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID. 7. Порт: номер порта, с которого получен DHCP - запрос, номер порта начинается с 1. 1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт Формат поля опции Remote ID: 2806MAC address байт 1 байт 1 байт 1 байт 6 байт 1.Тип подопции 2.Длина 3.Тип Remote ID 4.Длина 5.MAC-адрес: MAC-адрес коммутатора. Локальный идентификатор агента, который получил DHCP – пакет от клиента. Для идентификации удалённого узла. DHCP – сервер может использовать эту опцию для выбора специфических параметров пользователей, узлов. Поле remote ID должно быть уникально в сети. С какого порта получен DHCP - запрос Relay Agent Формат поля опции Circuit ID:

Формат поля опции Circuit ID 1.Тип подопции 01 (подопция Agent Circuit ID) 2.Длина 06 3.Тип Circuit ID 00 4.Длина 04 5.VLAN: VLAN ID в DHCP – пакете клиента Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID Порт: номер порта, с которого получен DHCP – пакет клиента, номер порта начинается с Шестнадцатиричный формат: Каждая цифра представлена четырьмя битами 1604VLANModulePort 1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт Circuit ID = бита

c835260a F3D849FFF Формат поля опции Remote ID: c835260a 1.Тип подопции 02 (подопция Agent Remote ID) 2.Длина 08 3.Тип Remote ID 00 4.Длина 06 5.MAC-адрес : MAC-адрес коммутатора. 0080C835260A (0106) (0208) c835260a + DHCP – сервер назначит определённый IP-адрес, исходя из этой информации Remote ID 2806MAC address 1 байт 1 байт 1 байт 1 байт 6 байт Remote ID Circuit ID

Пример настройки Option 82 Устройства: 1.DHCP - сервер в подсети /8 2.Маршрутизатор или коммутатор L3, выступающий в роли шлюза для 2-ух подсетей в подсети / в подсети /8 3.Коммутатор L2 (DES-3526/DES-3550) выступает в роли DHCP Relay Agent в подсети /8 MAC – адрес C A 4.2 ноутбука, выступающих в роли DHCP – клиентов, подключённых к коммутатору L2 - порт 9, порт 10 соответственно DHCP - сервер /8 Шлюз: /8 IP Pool: VLAN V2 Порты 1-12 VLAN Default Порты Коммутатор L3 DGS-3324SR Интерфейс /8 Интерфейс /8 Коммутатор L2 DES /8 Клиент A Клиент B Порт 9Порт 10 Порт 23

Сервер с поддержкой DHCP Option 82 1.DHCP – сервер использует динамический пул IP-адресов – для назначения IP-адресов любому DHCP – клиенту, запрос от которого будет перенаправлен DHCP Relay Agent-ом (Если DHCP – клиент, подключён к любому порту коммутатора, кроме портов 9 и 10, он получит IP- адрес из пула.) --- Для обычного DHCP – запроса клиента 2.Когда какой-либо DHCP – клиент подключается к порту 9 коммутатора L2, DHCP – сервер выдаст ему IP-адрес ; когда DHCP – подключается к порту 10 коммутатора L2, DHCP – сервер выдаст ему IP-адрес (например, DHCP – клиент, подключённый к порту 9 коммутатора, получит IP-адрес ) --- Для DHCP – запросов клиента с option 82

Конфигурация коммутаторов Настройка коммутатора L3 (DGS-3324SR): config vlan default delete 1:1-1:12 create vlan v2 tag 2 config vlan v2 add untagged 1:1-1:12 # Сконфигурируйте и создайте IP-интерфейсы в VLAN 2 и default config ipif System ipaddress /8 create ipif p /8 v2 save Настройка коммутатора L2 (DES-3526/DES-3550): # Задайте IP-адрес коммутатора config ipif System ipaddress /8 # Задайте маршрут по умолчанию create iproute default # Сконфигурируйте DHCP Relay config dhcp_relay add ipif System config dhcp_relay option_82 state enable enable dhcp_relay save

Сконфигурируйте Basic Profile Relay IP : Динамические IP-адреса: От до Маска подсети: Адрес шлюза: Настройка DHCP – сервера - 1 Существует большое количество разных DHCP – серверов, для примера использовался haneWIN DHCP – сервер. (

Опции -> Свойства -> DHCPОпции -> Свойства -> Интерфейсы Настройка DHCP – сервера - 2

Сконфигурируйте DHCP option 82 Назначьте IP-адрес DHCP - клиенту A, подключённому к порту 9 коммутатора L2 Add static entries поставьте галочки Circuit Identifier и Remote Identifier Hardware Address : F3D849FFF IP Address : Назначьте IP-адрес DHCP – клиенту B, подключённому к порту 10 коммутатора L2 Add static entries поставьте галочки Circuit Identifier и Remote Identifier Hardware Address : a F3D849FFF IP Address : Настройка DHCP – сервера - 3

Опции -> Добавить статические записи Эти записи на DHCP - сервере Настройка DHCP – сервера - 4

Результаты теста: 1.Клиенту A будет выдан IP-адрес Клиенту B будет выдан IP-адрес Информация DHCP Relay Agent (Option 82)

Функции управления и мониторинга

Управление при помощи SNMP Проблемы протокола SNMP версии 1 Обеспечение безопасности только на основе параметра Community String. Параметр передается в текстовом незашифрованном виде. Содержание пакетов SNMP также в виде plain-text. Если параметр Community String корректен, все дерево MIB может быть просмотрено или изменено. Решение: SNMP v3 D-View 5.1 IP= /8 SNMP community String Для чтения = public Для чтения/записи = private IP= /8 Для чтения = public Для чтения/записи = private Что означает = Des3226

Новые возможности в SNMPv3 Обеспечение функций безопасности Шифрация/Дешифрация пакетов Возможность настройки уровня привилегий пользователя SNMP v3 включает следующие 4 модели: MPD(RFC2572) TARGET(RFC2573) USM(RFC2574): User-based Security Model VACM(RFC2575): View-based Access Control Model D-View 5.1 поддерживает SNMPv1 и SNMP V3. Управляемые устройства D-Link также поддерживают SNMP v1 & V3.

Спасибо!