Internet + operator VoIP Serwer SIP: np. sip.freeconet.pl OSPF passive Serwer DHCP dla v200 192.168.2.2/24 v123 Loopback: 172.20.0.2/32 DGS-3627 (Core_2) 172.16.0.1/24 v121 Internet + VoIP 192.168.2.1/24 v123 22 24 21 192.168.1.2/24 DGS-3627G (Core_1) Stacja czołowa IPTV 192.168.1.1/24 v122 - IPTV Loopback: 172.20.0.1/32 CBSR, CRP, prior 10 23 OSPF passive 192.168.3.1/24 v124 RP (Randevous Point) główny CBSR, CRP, VLAN zarządzania: 13 13 prior 20 15 i 17 172.21.0.1/28, v997 192.168.6.1/24 192.168.6.2/24 VLAN zarządzania: 21 v125 v125 172.21.0.17/28, v997 21 1 Porty 1-12 Dostęp i agregacja L2 ISM VLAN (= MVR) Zarządzanie 17 Router OSPF 172.16.0.254/24 172.16.0.200/24 Routing 192.168.4.1/24, v200 Internet + VoIP 192.168.7.1/24, v201 IPTV 192.168.10.1/24, v999 CPE Mgmt v200 Internet + VoIP v201 IPTV V999 CPE Mgmt 20 Int: LAN 2 RP (Randevous Point) zapasowy OSPF: PIM-SM Serwer DHCP dla v200, v201, v202, v999 1 192.168.3.2/24 v124 Porty 1-12 Loopback: 172.20.0.3/32 DGS-3627 (Core_3) 192.168.5.1/24, v200 Internet 192.168.8.1/24, v201 IPTV 192.168.9.1/24, v202 VoIP 192.168.11.1/24, v999 CPE Mgmt VLAN zarządzania: 172.21.0.20/28, v997 Gateway: 172.21.0.17 DGS-3627(G) - fw: 2.55B06 DES-3200-18 fw: 1.10B21 DGS-3100-24TG fw: 3.00.43 DES-3550 fw: 5.01 DES-3028 fw: 2.50B08 Multicast - 239.239.2.X:1234, gdzie X przyjmuje wartości od 1 do 9 2 Szkielet L3 Int: DMZ 49 Router OSPF konfiguracja typ II 192.168.3.254/24 OSPF passive Serwer DHCP dla v200, v201, v202, v999 Stacja czołowa IPTV 192.168.3.2/24 chroni przed rozgłaszaniem routingu na krawędź Dowolny router z IGMP snooping bez obsługi VLAN VLAN zarządzania: 172.21.0.2/28, v997 Gateway: 172.21.0.1 DES-3200-18 (Access_1) Sygnały (nietagowane, z priorytetami): Internet, IPTV, VoIP dostarczane są do klienta jednym VLAN Mieszkanie klienta DAP-1160, DAP-1360, DAP-1353 v200 - Internet v201 IPTV v202 VoIP v999 CPE Mgmt 1Gb FO (SM, MM) Terminacja OpenVPN z SGT tylko testowo 1 VLAN zarządzania: 172.21.0.18/28, v997 Gateway: 172.21.0.17 DGS-3100-24TG (Aggregate_1) 25 13 14 VLAN zarządzania: 172.21.0.19/28, v997 Gateway: 172.21.0.17 DES-3028 (Access_2) v200 - Internet v201 IPTV v202 VoIP v999 CPE Mgmt Porty 1-12 v200 - Internet v201 IPTV v202 VoIP v999 -CPE Mgmt Sygnały (tagowane) w osobnych VLAN STB DES-3550 (Access_3) Mieszkanie klienta TV DIR-300, DIR-600, DIR-655, DIR-825 AP STB TV PC STB-Motorola Urządzenie z obsługą VLAN na WAN oraz IGMP snooping DIR-100 B1, DVG-G5402SP, DES-3200-10, DES-3010F/G PC Bramka VoIP Telefon Bramka VoIP Opcjonalna gdy nie ma routera VoIP Telefon
Opis topologii Przedstawiona sieć została stworzona w celu prezentacji możliwości urządzeń D-Linka w środowisku operatorskim w przypadku świadczenia usług TriplePlay (IPTV, VoIP, Internet Access). Topologia została stworzona i przetestowana w laboratorium D-Linka w Warszawie. Dzięki uprzejmości firmy SGT i dużej pomocy p. Krzysztofa Posmyka udało się włączyć do projektu odbiorniki STB (Zyxel STB-1001H oraz Motorola VIP1910-9) a następnie dostarczyć do nich strumień usługi Jambox. Przełączniki użyte w opisywanej sieci to przedstawiciele serii najbardziej popularnych wśród operatorów ISP serii EntryLevel oraz xstack. W topologii istnieją trzy warstwy: szkielet 1Gb/SFP (opcja 10G), dystrybucja 1Gb/SFP, dostęp FastEthernet oraz dodatkowo - urządzenia końcowe CPE. Szkielet: DGS-3627(G) - firmware 2.55B06 Dystrybucja: DGS-3100-24TG firmware: 3.00.43 Dostęp: DES-3200-18 firmware: 1.10B21 Dostęp: DES-3550 firmware: 5.01 Dostęp: DES-3028 firmware: 2.50B08 Szkielet sieci (DGS-3600_Core) stanowią połączone w trójkąt przełączniki gigabitowe warstwy 3. Uruchomiono na nich protokoły routingu OSPF oraz PIM-SM. Pakiety kontrolne OSPF nie są przekazywane do części dystrybucyjnej i dostępowej. W szkielecie (Core_2 i Core_3) skonfigurowane są też serwery DHCP dla przyłączonych urządzeń klienckich. Tutaj także przyłączony jest dodatkowy lokalny serwer strumieni multicast (oprogramowanie VLC) serwujący strumień w grupie 239.239.2.1:1234. Zewnętrzny strumień multicast dla telewizji Jambox oraz usługą VoIP jest dostępna poprzez Internet. Notatka: Na rysunku linią przerywaną zaznaczony jest router oraz loklany serwer multicastu podłączone do Core_3 jest to alternatywna, uproszczona topologia, zakładająca istnienie jednego szkieletowego przełącznika DGS-3627 (Core_3) i jednej gałęzi np. z DGS-3100-24TG (Aggregate_1) i DES-3028 (access_2). Można na nią przejść przepinając router DFL-800 i lokalny serwer multicastu do portów kolejno 15 i 17 przełącznika DGS-3627_Core_3) i zwalniając uplinki z portów 2, 13 i 2. W routerze po stronie lokalnej użyty został port DMZ (zamiast LAN, jako połączenie do innej częsci sieci). Na maszynie pełniącej rolę serwera multicast należy zmienić adres IP (192.168.3.254/24, gw 192.168.3.1) dostosowując go tym samym do adresacji w tej części sieci.
Sieć zabezpieczona jest routerem/zaporą sieciową serii NetDefend DFL-800. Dostępne są także wydajniejsze urządzenia z modułami UTM (IDS/IPS, AV, WCF, Antispam): DFL-1660, DFL-2560 oraz DFL-2560G posiadający interfejsy SFP. Ruch z warstwy szkieletowej segregowany jest w VLANy i przesyłany aż do warstwy dostępowej. Wydzielono osobne sieci VLAN dla ruchu IPTV, VoIP, oraz Internet i zarządzania przełącznikami, a także zarządzania urządzeniami CPE. Do VLANów zarządzających nie można uzyskać dostępu od strony klienckiej. Na przełącznikach dostępowych skonfigurowano przykładowe, najbardziej interesujące mechanizmy zabezpieczeń i kontroli dostępu dla krawędzi sieci LAN. Można wybrać dowolne mechanizmy z kilku gałęzi i zaimplementować je we własnych sieciach. Blokada (za pomocą reguł ACL) dostępu do zarządzania przełącznikami IMPB (IP-MAC-Port Binding) + DHCP snooping => klient uzyska dostęp do sieci jedynie, gdy pobierze adres IP z serwera DHCP operatora. Statyczna adresacja maszyn klienckich nie jest możliwa i będzie filtrowana. Para dynamicznie przyznanych IP oraz MAC klienta jest zapamiętywana na fizycznym porcie przełącznika DHCP Server Screening => ochrona przed działaniem obcych serwerów DHCP na portach klienckich mogących powodować zakłócenia w przyznawaniu adresów IP w sieci ISM VLAN (IGMP Snooping Multicast VLAN) => znana także jako Cisco MVR umożliwiająca zaoszczędzenie pasma na połączeniach uplink z przełączników dostępowych poprzez przesyłanie tylko jednej kopii strumienia multicast w przypadku, gdy klienci znajdują się w niezależnych sieciach VLAN Safeguard Engine => ochrona procesora przełącznika przed ruchem typu multicast i broadcast intensywnie obciążającym CPU Traffic Control => ograniczenie przed zalewaniem sieci operatorskiej klienckimi pakietami broadcast, unicast i multicast ARP Spoofing => ochrona uniemożliwiająca podszycie się klienta pod adres IP oraz MAC bramy w sieci, co zapobiega atakom typu Man-In-The-Middle Priorytet na ruch VoIP => na podstawie adresu IP serwera SIP Port Security => ograniczenie jednoczesnego wystąpienia dużej liczby adresów MAC na porcie przełącznika, co zapobiega atakom typu MAC Flood Loopback Detection => funkcjonalność pozwalająca na wykrycie w sieci klienta zapętlenia (co powoduje generowanie dużej liczby pakietów broadcast/multicast do sieci operatora) i wyłączenie portu klienckiego
Po stronie klienta, jako jako urządzenie CPE można użyć kilkuportowy przełącznik z potrzebnymi funkcjonalnościami takimi jak: uplinki SFP, obsługa VLAN i IGMP Snooping. Np. przełącznik serii DES-3200 lub też router DIR-100/PL z alternatywnym firmware pozwalającym uzyskać funkcjonalność VLAN Switch (5-portowy zarządzalny przełącznik z obsługą VLAN i MVR). Dobrym rozwiązaniem może być również DVG-G5402SP (bezprzewodowy router VoIP z obsługą 4 VLAN) ze specjalnym, dostosowanym pod ISP firmware (dostępny na ftp://ftp.dlink.pl/dvg/dvg-g5402sp/driver_software/dvg- G5402SP_fw_B1_4VLAN_ACL_all_en_20100127.rar) W topologii bazowej znajdują się trzy gałęzie dostępowe, warstwy 2: (1) Zbudowana na DES-3200-18 (2) Zbudowana na DGS-3100-24TG oraz na DES-3028 (3) Zbudowana na DES-3526/50 Pierwsza gałąź (1) zawiera konfigurację bazującą na dwóch sieciach VLAN dostarczanych do warstwy dostępowej. W jednej sieci VLAN dostarczany jest Internet i VoIP (v200), a w drugiej strumień multicast IPTV (v201). Porty klienckie są nietagowane i należą do VLAN v200. Na przełączniku DES-3200-18 skonfigurowany jest ISM VLAN mający zastosowanie w przypadku, gdy każdy klient znajduje się w osobnym VLAN. ISM VLAN kopiuje strumień multicastowy docierający do przełącznika wydzielonym do tego VLANem (v201), na porty klienckie, któ e w danej chwili zgłosiły chęć jego odbierania. Dla uproszczenia bazowej konfiguracji założono, że wszyscy klienci znajdują się w tej samej sieci VLAN oraz, że wszystkie usługi serwowane są klientowi za pomocą nietagowanego portu. Klient może dzięki temu użyć dowolnego urządzenia CPE np. routera Wi-Fi do terminacji Internetu, bramki/telefonu SIP oraz STB podłączonych pod interfejsy routera - do terminacji kolejno VoIP i IPTV. Dla ruchu VoIP, bazując na adresie IP serwera SIP został nadany priorytet 5 (802.1p). Druga gałąź (2) zakłada istnienie osobnych VLAN dla każdego typu dostarczanego ruchu. Przełącznik DGS-3100-24TG posiadający 16 portów SFP pełni tu rolę przełącznika agregującego połączenia światłowodowe i został użyty jako przełącznik tranzytowy. Jako przełącznik dostępowy został użyty DES-3028. Jest to jeden z najpopularniejszych przełączników brzegowych D-Linka serii Entry-Level. Porty klienckie przełącznika są skonfigurowane jako tagowane i przenoszą 4 VLANy: v200-internet, v201-iptv, v202-voip, v999-cpe Management. Port pełniący funkcję Uplink dodatkowo zawiera VLAN v997-management służący do zarządzania samym przełącznikiem.
Notatka: Na rysunku do portów 13 i 14 DES-3028 jest przerywaną linią dołączony serwer terminujacy połączenie OpenVPN od SGT do STB Motoroli. Jest to dodatek testowy/pokazowy dla potrzeb dostarczania rzeczywistego ruchu multicastowego telewizji Jambox na STB Motoroli. W lokalu u klienta musi istnieć urządzenie CPE potrafiące terminować VLANy tagowane na jednym porcie (np. na WAN gdy jest to router). W konfiguracji bazowej jest to router DIR-100/PL (H/W:B1) z firmware VLAN switch. Wersja B1 umożliwia załadowanie firmware o funkcjonalności VLAN Switch lub TP Router. Te wersje firmware znajdują się na serwerze ftp D-Link: ftp://ftp.dlink.pl/dir/dir-100/driver_software/ Firmware VLAN switch posiada obsługę VLAN 802.1q oraz mechanizm IGMP Snooping v2 i MVR. Poniżej zamieszczono ekrany konfiguracyjne routera DIR-100 (B1). Router jest zarządzany jedynie zdalnie po VLAN v999 na adresie 192.168.11.2/24.
Trzecia gałąź (3) - dostępowa zawiera przełącznik serii xstack DES-3550. W sieciach ISP bardzo często używa się również wersji 24 portowej -DES-3526 lub DES-3528. Gałąź ta jest kopią gałęzi drugiej z tą różnicą, że nie zawiera przełącznika agregującego. Wszystkie usługi są dostarczane do lokalu klienta po dedykowanych do tego celu sieciach VLAN (v200-internet, v201-iptv, v202-voip, v999-cpe Management) zatem u klienta musi zostać zainstalowany sprzęt CPE z obsługą VLAN 802.1q.
Konfiguracja przełączników D-Link użytych w koncepcji sieci ISP Wszystkie pliki wraz z użytymi firmware i gotowymi plikami konfiguracji wprost do załadowania na przełączniki i router znajdują się na ftp://ftp.dlink.pl/_konfiguracje/koncepcja_d-link_isp_triple_play/pliki_config.rar Konfiguracja przełącznika szkieletowego L3 DGS-3627G_Core_1 config command_prompt core_1 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-27 # wprowadzenie internetu z DFL create vlan internet tag 121 config vlan internet add untagged 20,24 config ipif System vlan internet ipaddress 172.16.0.1/24 # wprowadzenie multicastu ze stacji czolowej create vlan iptv tag 122 config vlan iptv add untagged 21 create ipif iptv 192.168.1.1/24 iptv # polaczenie core1-core2 create vlan v123 tag 123 config vlan v123 add tagged 22 create ipif v123 192.168.2.1/24 v123 # polaczenie core1-core3 create vlan v124 tag 124 config vlan v124 add tagged 23 create ipif v124 192.168.3.1/24 v124 # Loopback create loopback ipif Loopback 172.20.0.1/32 state enable # OSPF config ospf all area 0.0.0.0 state enable passive disable # dla interfejsu "iptv" tryb pracy pasywnej - zabezpiecza przed rozgłaszaniem # pakietów protokołu OSPF do podsieci klienckich config ospf ipif iptv passive enable config ospf router_id 172.20.0.1 enable ospf
# PIM-SM config pim ipif iptv state enable mode sm config pim ipif v123 state enable mode sm config pim ipif v124 state enable mode sm # automatyczna elekcja Bootstrap Router config pim cbsr ipif iptv priority 10 # automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8 config pim crp priority 10 create pim crp group 239.0.0.0/8 rp iptv enable pim # IGMP # protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi # IGMPv3 - np. DES-3028 config igmp ipif iptv state enable version 2 # Security # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable utilization rising 100 falling 60 trap_log enable mode fuzzy Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_2 config command_prompt core_2 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-27 # polaczenie core2-core1 create vlan v123 tag 123 config vlan v123 add tagged 13 config ipif System ipaddress 192.168.2.2/24 vlan v123 # polaczenie core2-core3 create vlan v125 tag 125 config vlan v125 add tagged 21 create ipif v125 192.168.6.1/24 v125 # VLAN dla internetu do klientow create vlan internet tag 200 config vlan internet add tagged 1-12 create ipif internet 192.168.4.1/24 internet
# VLAN dla IPTV do klientow create vlan iptv tag 201 config vlan iptv add tagged 1-12 create ipif iptv 192.168.7.1/24 iptv # VLAN dla zarzadzania przelacznikami L2 create vlan mgmt tag 997 config vlan mgmt add tag 1-12 create ipif mgmt 172.21.0.1/28 mgmt # VLAN dla zarzadzania CPE create vlan CPEmgmt tag 999 config vlan CPEmgmt add tagged 1-12 create ipif CPEmgmt 192.168.10.1/24 CPEmgmt # Loopback create loopback ipif Loopback 172.20.0.2/32 state enable # OSPF config ospf all area 0.0.0.0 state enable passive disable # dla interfejsow "iptv", "mgmt", "CPEmgmt" i "internet" tryb pracy pasywnej # zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do podsieci # klienckich config ospf ipif iptv passive enable config ospf ipif internet passive enable config ospf ipif mgmt passive enable config ospf ipif CPEmgmt passive enable config ospf router_id 172.20.0.2 enable ospf # PIM-SM config pim ipif System state enable mode sm config pim ipif v125 state enable mode sm config pim ipif iptv state enable mode sm # automatyczne przelaczenie na ruchu multicast na SPT config pim last_hop_spt_switchover immediately enable pim # IGMP # protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi IGMPv3 - np. DES-3028 config igmp ipif iptv state enable version 2 # IGMP Snooping # pozwala na filtrowanie niechcianego multicastu na portach i nie podawanie go # w dol sieci config igmp_snooping vlan iptv state enable enable igmp_snooping config multicast filtering_mode iptv filter_unregistered_groups
# DHCP server # przydzielanie adresow z serwera DHCP na podsieci internetowej create dhcp pool internet config dhcp pool network_addr internet 192.168.4.0/24 config dhcp pool default_router internet 192.168.4.1 config dhcp pool dns_server_address internet 4.2.2.3 enable dhcp_server # Security # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable utilization rising 100 falling 60 trap_log enable mode fuzzy Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_3 config command_prompt core_3 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-27 # polaczenie core3-core1 create vlan v124 tag 124 config vlan v124 add tagged 13 config ipif System ipaddress 192.168.3.2/24 vlan v124 # port 15 i 17 (untag) do bezposredniego dolaczenia DFL via DMZ oraz serwera # Multicast config vlan v124 add untagged 15,17 # polaczenie core3-core2 create vlan v125 tag 125 config vlan v125 add tagged 21 create ipif v125 192.168.6.2/24 v125 # VLAN dla internetu do klientow create vlan internet tag 200 config vlan internet add tagged 1-12 create ipif internet 192.168.5.1/24 internet # VLAN dla IPTV do klientow create vlan iptv tag 201 config vlan iptv add tagged 1-12 create ipif iptv 192.168.8.1/24 iptv
# VLAN dla VoIP do klientow create vlan voip tag 202 config vlan voip add tagged 1-12 create ipif voip 192.168.9.1/24 voip # VLAN dla zarzadzania przelacznikami L2 create vlan mgmt tag 997 config vlan mgmt add tagged 1-12 create ipif mgmt 172.21.0.17/28 mgmt # VLAN dla zarzadzania CPE create vlan CPEmgmt tag 999 config vlan CPEmgmt add tagged 1-12 create ipif CPEmgmt 192.168.11.1/24 CPEmgmt # Loopback create loopback ipif Loopback 172.20.0.3/32 state enable # OSPF config ospf all area 0.0.0.0 state enable passive disable # dla interfejsow "iptv", "voip", "mgmt", "CPEmgmt" i "internet" tryb pracy # pasywnej - zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do # podsieci klienckich config ospf ipif iptv passive enable config ospf ipif internet passive enable config ospf ipif voip passive enable config ospf ipif mgmt passive enable config ospf ipif CPEmgmn passive enable config ospf router_id 172.20.0.3 enable ospf # PIM-SM config pim ipif System state enable mode sm config pim ipif v125 state enable mode sm config pim ipif iptv state enable mode sm # automatyczne przelaczenie na ruchu multicast na SPT config pim last_hop_spt_switchover immediately # automatyczna elekcja Bootstrap Router config pim cbsr ipif System priority 20 # automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8 config pim crp priority 20 create pim crp group 239.0.0.0/8 rp System enable pim # IGMP config igmp ipif iptv state enable version 2 config igmp ipif System state enable version 2
# IGMP Snooping # protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi # IGMPv3 - np. DES-3028 config igmp_snooping vlan iptv state enable enable igmp_snooping config multicast filtering_mode iptv filter_unregistered_groups # DHCP server # przydzielanie adresow z serwera DHCP na podsieci internetowej create dhcp pool internet config dhcp pool network_addr internet 192.168.5.0/24 config dhcp pool default_router internet 192.168.5.1 config dhcp pool dns_server_address internet 4.2.2.3 # przydzielanie adresow z serwera DHCP na podsieci iptv create dhcp pool iptv config dhcp pool network_addr iptv 192.168.8.1/24 config dhcp pool default_router iptv 192.168.8.1 config dhcp pool dns_server_address iptv 4.2.2.3 # przydzielanie adresow z serwera DHCP na podsieci VoIP create dhcp pool VoIP config dhcp pool network_addr VoIP 192.168.9.1/24 config dhcp pool default_router VoIP 192.168.9.1 config dhcp pool dns_server_address VoIP 4.2.2.3 # przydzielanie adresow z serwera DHCP na podsieci CPEmgmt create dhcp pool CPEmgmt config dhcp pool network_addr CPEmgmt 192.168.11.1/24 config dhcp pool default_router CPEmgmt 192.168.11.1 config dhcp pool dns_server_address CPEmgmt 4.2.2.3 # uruchomienie serwera DHCP enable dhcp_server # Security # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable utilization rising 100 falling 60 trap_log enable mode fuzzy Konfiguracja przełącznika dystrybucyjnego L2 DGS-3100-24TG_Aggregate_1 # VLANy create vlan internet tag 200 config vlan internet add tagged 1-24 create vlan iptv tag 201 config vlan iptv add tagged 1-24
create vlan voip tag 202 config vlan voip add tagged 1-24 create vlan mgmt tag 997 config vlan mgmt add tagged 1-24 create vlan CPEmgmt tag 999 config vlan CPEmgmt add tagged 1-24 # zarzadzanie # interfejs IP do zarzadzania przelacznikiem na VLANie mgmt config ipif System ipaddress 172.21.0.18/28 vlan mgmt create iproute default 172.21.0.17 # IGMP Snooping config igmp_snooping iptv state enable enable igmp_snooping # filtrowanie niezarejestrowanych grup multicast na portach klienckich config multicast filtering_mode 1-12 filter_unregistered_groups # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable rising 100 falling 60 Konfiguracja przełącznika dostępowego L2 DES-3028_Access_2 config command_prompt access_2 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-28 # stworzenie VLANow uslugowych create vlan internet tag 200 config vlan internet add tagged 1-12,15-25 config vlan internet add untagged 13 create vlan iptv tag 201 config vlan iptv add tagged 1-12,15-25 create vlan voip tag 202 config vlan voip add tagged 1-12,15-25 create vlan mgmt tag 997 config vlan mgmt add tagged 25 create vlan CPEmgmt tag 999 config vlan CPEmgmt add tagged 1-12,15-25
# STB Motorola - dodatkowy (testowy/pokazowy) VLAN do przylaczenia STB Motoroli # + serwer OpenVPN # 13 port - OpenVPN (Linux) # 14 port - STB create vlan v123 tag 123 config vlan v123 add untagged 14 config vlan v123 add tagged 13 # zarzadzanie # interfejs IP do zarzadzania przelacznikiem na VLANie mgmt config ipif System ipaddress 172.21.0.19/28 vlan mgmt create iproute default 172.21.0.17 # IGMP Snooping # ograniczenie liczby uczonych, poprzez sledzenie typu ruchu, grup # multicastowych # zapobiega wypelnianiu tablicy IGMP Snooping na przelacznikach poprzez # wysylanie IGMP Join w VLANach innych, niz iptv - tam, gdzie IGMP Snooping # jest wylaczony config igmp_snooping data_driven_learning all aged_out enable config igmp_snooping data_driven_learning max_learned_entry 1 # wlaczenie funkcjonalnosc Fast Leave dla VLANu iptv - pozwala na # natychmiastowe zaprzestanie transmisji strumienia multicast po otrzymaniu # komunikatu IGMP Leave config igmp_snooping vlan_name iptv state enable fast_leave enable enable igmp_snooping # filtrowanie niezarejestrowanych grup multicast na portach klienckich config multicast port_filtering_mode 1-12 filter_unregistered_groups config multicast port_filtering_mode 15-24 filter_unregistered_groups # zapobieganie wysylaniu multicastu od klienta w gore sieci config multicast port_filtering_mode 25 filter_unregistered_groups config router_ports iptv add 25 config router_ports_forbidden iptv add 1-12 config router_ports_forbidden iptv add 15-24 # Security # blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2 create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id auto_assign ip destination_ip 172.21.0.0 port 1-24 deny # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable utilization rising 100 falling 60 trap_log enable mode fuzzy
# Traffic Control # ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail # na portach klienckich - zabezpiecza przed przeciazeniem CPU innych # przelacznikow w sieci config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 10000 Konfiguracja przełącznika dostępowego L2 DES-3200-18_Access_1 config command_prompt access_1 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-18 # stworzenie VLAN uslugowych create vlan internet tag 200 config vlan internet add tagged 17 config vlan internet add untagged 1-16 create vlan mgmt tag 997 config vlan mgmt add tagged 17 # zarzadzanie # interfejs IP do zarzadzania przelacznikiem na VLANie mgmt config ipif System ipaddress 172.21.0.2/28 vlan mgmt create iproute default 172.21.0.1 # IGMP Snooping # ograniczeni liczby uczonych poprzed sledzenie typu ruchu grup multicastowych config igmp_snooping data_driven_learning all aged_out enable config igmp_snooping data_driven_learning max_learned_entry 1 enable igmp_snooping # IGMP Snooping Multicast VLAN # pozwala na przesylanie calego ruchu multicast specjalnym VLANem do # przelacznika # przelacznik replikuje ten ruch na porty klienckie wg potrzeby - odpowiednik # Cisco Multicast VLAN Registration create igmp_snooping multicast_vlan iptv 201 config igmp_snooping multicast_vlan iptv add source_port 17 state enable replace_source_ip 192.168.7.2 config igmp_snooping multicast_vlan iptv add member_port 1-16 enable igmp_snooping multicast_vlan
# filtrowanie niezarejestrowanych grup multicast na portach klienckich # config multicast port_filtering_mode 1-16 filter_unregistered_groups # zapobieganie wysylaniu multicastu od klienta w gore sieci config multicast port_filtering_mode 17 filter_unregistered_groups config router_ports iptv add 17 config router_ports_forbidden iptv add 1-16 # Priorytetyzacja ruchu # priorytet 5 dla VoIP (dla ruchu do adresu IP 10.0.1.1 serwera SIP) create access_profile ip destination_ip_mask 255.255.255.255 profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip destination_ip 10.0.1.1 port 1-16 permit priority 5 # Security # blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2 create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id auto_assign ip destination_ip 172.21.0.0 port 1-16 deny # ochrona przed ARP Spoofing bramy dla VLAN internet config arp_spoofing_prevention add gateway_ip 192.168.4.1 gateway_ma 00-19-5B- EF-F7-C2 ports 1-16 # ochrona przed MAC Flood config port_security ports 1-16 admin_state enable max_learning_addr 5 lock_address_mode DeleteOnTimeout # ochrona przed petla w sieci klienckiej config loopdetect ports 1-16 state enabled enable loopdetect # Safeguard Engine # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable utilization rising 100 falling 60 trap_log enable mode fuzzy # Traffic Control # ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail # na portach klienckich - zabezpiecza przed przeciazeniem CPU innych # przelacznikow w sieci config traffic control 1-16 broadcast enable multicast enable unicast enable action drop threshold 10000
Konfiguracja przełącznika dostępowego L2 DES-3550_Access_3 config command_prompt access_3 # VLANy # usuniecie wszystkich portow z VLAN ID 1 config vlan default delete 1-50 # stworzenie VLAN uslugowych create vlan internet tag 200 config vlan internet add tagged 1-49 create vlan iptv tag 201 config vlan iptv add tagged 1-49 create vlan mgmt tag 997 config vlan mgmt add tagged 49 create vlan CPEmgmt tag 999 config vlan CPEmgmt add tagged 1-49 # zarzadzanie # interfejs IP do zarzadzania przelacznikiem na VLANie mgmt config ipif System ipaddress 172.21.0.20/28 vlan mgmt create iproute default 172.21.0.17 # IGMP Snooping config igmp_snooping iptv state enable enable igmp_snooping # security # blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2 create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id auto_assign ip destination_ip 172.21.0.0 port 1-48 deny # IPMB # filtrowanie ruchu od klientow, ktorzy nie pobrali adresacji IP z serwera DHCP # urzadzenie przepuszcza tylko ruch z par IP/MAC zgodnych z wynegocjowanymi # podczas komunikacji z serwerem DHCP config address_binding dhcp_snoop max_entry ports 1-48 limit 5 config address_binding ip_mac ports 1-24 state enable allow_zeroip enable forward_dhcppkt enable stop_learning_threshlod 50 enable address_binding acl_mode enable address_binding dhcp_snoop
# DHCP Server Screening, Netbios filtering # filtrowanie nieautoryzowanych serwerow DHCP znajdujacych sie na portach # klienckich config filter dhcp_server ports 1-24 state enable # filtrowanie ruchu NETBIOS na portach klienckich config filter extensive_netbios 1-24 state enable config filter netbios 1-24 state enable # Safeguard # zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 # procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU config safeguard_engine state enable cpu_utilization rising_threshold 100 falling_threshold 60 trap_log enable
Inżynierskim okiem, czyli co, gdzie i po co 1) OSPF protokół OSPF jest wykorzystywany do automatycznej negocjacji optymalnych (oczywiście z uwagi na poczynione założenia) tras routingu w sieci L3. Protokół OSPF powinien być włączony na każdym interfejsie, do którego przyłączona podsieć ma być rozgłaszana w sieci. Jeśli jest to podsieć nie zawierająca dalszych routerów OSPF, to interfejs IP dla tej podsieci powinien być ustawiony w tryb Passive, co zapobiega rozgłaszaniu pakietów kontrolnych OSPF do tej sieci. 2) PIM-SM protokół PIM-Sparse Mode jest wykorzystywany do dostarczania strumieni multicast poprzez sieć L3 od jego źródła ( first hop router) do routera brzegowego ( last hop router) do którego przyłączony jest klient. Protokół PIM powinien być włączony na każdym interfejsie, który może brać udział w przekazywaniu pakietów pomiędzy routerami bądź routerami i serwerami/klientami. Protokół PIM do podejmowania decyzji wykorzystuje informacje zawarte w unicastowej tablicy routingu na danym routerze (utworzonej albo statycznie, albo też poprzez protokoły routingu dynamicznego, np. typu OSPF) i przesyłany multicast jest routowany zgodnie z nią (a ściślej rzecz biorąc, każdy router multicastowy filtruje docierający do niego strumień multicast w przypadku, gdy dociera on innym interfejsem, niż ten prowadzący do źródła wg unicastowej tablicy routingu). Do poprawnego działania routingu multicastu via PIM wymagane jest więc poprawne działanie routingu unicastu. 3) Rendezvous Point (RP) RP jest rolą, którą pełni jeden z interfejsów IP na jednym lub kilku routerach multicastowych mających załączony protokół PIM-SM. Rolą RP jest dystrybucja multicastu pochodzącego z routera brzegowego przyłączonego bezpośrednio do źródła do routerów brzegowych do których przyłączeni są klienci. Każda grupa multicast w sieci musi mieć określony swój RP najczęściej konfiguruje się jeden i ten sam RP dla wszystkich przesyłanych w sieci grup multicastowych, lecz nie jest to regułą i zależy od wielu czynników. Z uwagi na fakt, że protokół PIM-SM posługuje się m. in. timerem Register- Suppression, w celu zminimalizowania ewentualnych opóźnień w docieraniu strumienia multicast ze źródła do routera pełniącego rolę RP zalecane jest skonfigurowanie RP na routerze pełniącym jednocześnie rolę routera first-hop dla danej grupy multicast.