Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 12 лет назад пользователемwww.imc.org.ua
1 Коммутаторы
2 Общие функции коммутаторов 2-го уровня D-Link Общие функции коммутаторов 3-го уровня D-Link
3 Требования к современным сетям Производительность Производительность Функциональность Функциональность Надежность Надежность Масштабируемость Масштабируемость Безопасность Безопасность Управляемость Управляемость
4 Поддержка IEEE 802.1Q VLAN (на основе меток) Приоритезация пакетов IEEE 802.1p и 4 очереди Spanning Tree Protocol (IEEE 802.1D) Rapid Spanning Tree protocol (IEEE 802.1w) Контроль широковещательных штормов Поддержка объединения портов в транк - Link Aggregation (IEEE 802.3ad Static mode) Зеркалирование портов (трафик множества портов на один выбранный порт) TFTP/BOOTP/DHCP клиент Поддержка TELNET, встроенный WEB-сервер CLI – интерфейс командной строки IGMP для ограничения широковещательных доменов в VLAN SNMP v1/v3 Общие функции коммутаторов 2-го уровня
5 RMON (4 группы: Statistics, History, Alarm, и Event) Два уровня паролей – пароль пользователя и резервный пароль Профиль доступа и приоритезация трафика Сегментация трафика Контроль полосы пропускания Функция Port Security (ограничение кол-ва MAC на заданном порту) Контроль доступа IEEE 802.1x на основе портов/MAC-адресов Журналирование событий при помощи Syslog Поддержка TACACS, RADIUS, SSH Обновление ПО и сохранение файла конфигурации на внешнем носителе Общие функции коммутаторов 2-го уровня
6 Хост1 Хост 2 Хост 3
7 Хост 2 Хост 3 Хост1
8 Хост2 Хост 3 Хост 1 Передача данных
9 Хост 1 Хост 2 Хост 3 Адрес: H1H2H3
10 Хост 1 Хост 2 Хост 3 Фрейм
11 OSI 7-Уровневая модель OSI 7-Уровневая модель Data Link Физический Сетевой Транспортный Сессионный Представления Приложений Data Link Канальный Хост 1 Хост 2 Хост 3
12 Фрейм Хост 1 Хост 2 Хост 3 OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный
13 Хост 1 Хост 2 Хост 3 DASA OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный
14 DASA SA=H1 Хост 1 Хост 2 Хост 3 OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный
15 DASA SA=H1 DA=H3 OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный Хост 1 Хост 2 Хост 3
16 OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный DASA SA=H1 DA=H3 Уникальный MAC адрес: 0x Хост 1 Хост 2 Хост 3
17 DASA SA=H1 DA=H3 OSI 7-Уровневая модель OSI 7-Уровневая модель Физический Сетевой Транспортный Сессионный Представления Приложений Data Link MAC LLC Канальный Хост 1 Хост 2 Хост 3
18 Концентратор Работают на физическом уровне. Выполняют передачу пакетов на все порты. Производится усиление электрического сигнала.
21 Коммутатор Работают на канальном уровне. Строят таблицу коммутации. Выполняют передачу пакетов на требуемый порт. Производится регенерация пакета перед передачей.
22 Пример логической петли в сети Spanning Tree Protocol
23 Для чего нужен протокол Spanning Tree Избежание логических петель в сети Резервные соединения Стандарты: IEEE 802.1d Spanning Tree Protocol, STP (традиционный) IEEE 802.1w Rapid Spanning Tree Protocol, RSTP (новый) Spanning Tree Protocol
24 Основные определения в STP Root Bridge - Корневой (мост) коммутатор, от него строится дерево Root Port - Корневой порт - порт, который имеет по сети кратчайшее расстояние до корневого коммутатора Designated Port - Назначенный порт - порт, который имеет кратчайшее расстояние от данного сегмента сети до корневого коммутатора Designated Bridge - Назначенный мост - мост, который имеет кратчайшее расстояние от данного сегмента сети до корневого коммутатора Path Cost – Метрика, суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора
25 Перед применением протокола STP
26 После применения протокола STP
27 Основные параметры STP Priority – Приоритет коммутатора. От 0 до Hello Time- интервал между передачей BPDU корневым коммутатором. От 1 до 10 с. Max. Age - Если по истечении интервала времени, установленного в Max.Age от корневого коммутатора все еще не пришел пакет BPDU, то ваш коммутатор начнет сам посылать пакеты BPDU. От 6 до 40 с. Forward Delay Timer – Время перед переходом порта в состояние передачи пакетов. От 4 до 30 с. Port Priority – Приоритет порта. Чем меньше значение данного параметра, тем выше вероятность, что порт станет корневым. От 0 до 255. Port Cost – «Стоимость» порта. От 1 до 65535
28 Изменение состояния портов в процессе работы STP Blocking (Discarding (Backup, Alternate)) – при включении все порты находятся в состоянии «Заблокирован» Listening (Discarding) - порт генерирует, принимает и передает BPDU Learning – «Обучение», начинает принимать пакеты и на основе адресов источника строить таблицу коммутации Forwarding – Начинает продвижение пакетов Disable (Discarding) – Вручную отключен администратором
29 802.1d v.s w Время схождения: 802.1d: 30 сек w: меньше 1 сек. Диаметр сети: 802.1d и 802.1w: 7 переходов, 14 для типа «кольцо» 802.1w обратно совместим с 802.1d.
30 802.1w backward compatible 802.1d802.1w 802.1d RSTP BPDUSTP BPDU
31 Уменьшение размера широковещательного домена. Приводит к росту производительности сети. Сегментирование сети с целью разделения доступа к ресурсам. Виртуальные Локальные Сети - VLAN
32 Пример VLAN на базе портов VLAN3 VLAN2 VLAN1 VLAN 2VLAN 3 VLAN 1VLAN 2VLAN 3
33 Пример VLAN на базе MAC-адресов VLAN2 VLAN1 VLAN BABDD583 VLAN 1 VLAN BABDC425 VLAN BABDD2E8 VLAN BABDE2CB VLAN BABD2FC3 0050BABD2FC4
34 Недостатки VLAN на базе MAC-адресов 1.Большие накладные расходы на администрирование. Администратору необходимо вручную внести все MAC адреса всех устройств сети и распределить их по VLAN. 2.При добавлении рабочей станции или замене сетевой карты её MAC адрес необходимо заново добавлять в таблицу. 3.Проблемы с мобильными гостевыми подключениями.
35 IEEE 802.1Q VLAN Порты, входящие в один VLAN могут находиться на разных коммутаторахПорты, входящие в один VLAN могут находиться на разных коммутаторах Гибкость и удобство настройки и изменения Возможность работы протокола Spanning Tree Возможность работы с сетевыми устройствами, которые не распознают метки Устройства разных производителей, могут работать вместе
36 Маркированные кадры-Tagged Frames 12-бит VLAN маркер Идентифицирует кадр, как принадлежащий VLAN Max. Размер маркированного кадра Ethernet 1522 байт Немаркированный кадр это кадр без VLAN маркера DASATagDataCRC Priority VID CFI
37 Пример для 802.1Q VLAN V3 U VLAN3 VLAN2 VLAN1 DES-3624i V1,V2 V1,V2, V3 DES-6000 V1V2V3 V1 V2 V3 V1V2 V1 V2 V3 TTT T T T UU UU U U V1 V2 V1,V2, V3
38 VID и PVID VID (VLAN Identifier) 12-bit часть VLAN маркера Указывает какая VLAN 12 бит определяет 4096 VLAN VID 0 и VID 4095 зарезервированы PVID (Port VID) Ассоциирует порт с VLAN
39 Маркированный входящий пакет (Часть 1) Входящий пакет назначен для VLAN 2 потому, что в пакете есть маркер принадлежности Порт 5 маркирован как Выходящий для VLAN 2 Порт 7 не маркирован как Выходящий для VLAN 2 Пакеты перенаправляются на порт 5 с маркером Пакеты перенаправляются на порт 7 без маркера
40 Маркированный входящий пакет (Часть 2) Маркированный пакет останется без изменений Маркированный пакет потеряет маркер, т.к. он уйдет с коммутатора через немаркированный порт
41 Немаркированный входящий пакет (Часть 1) PVID порта 4 -> 2 Входящий немаркированный пакет назначен на VLAN 2 Порт 5 маркированный Выходящий VLAN 2 Порт 7 немаркированный Выходящий VLAN 2 Пакеты с порта 4 перенаправляются на порт5 с маркером Пакеты с порта 4 перенаправляются на порт7 без маркера
42 Немаркированный входящий пакет (Часть 2) Немаркированный пакет не изменен, т.к. выходит через немаркированный порт. Немаркированный пакет маркируется, т.к.он выходит через маркированный порт VID связан с PVID входящего порта
43 VLAN схема 1 Деление сети на две VLAN A1A2B1B2 VLAN A Computer : A1 & A2 VID : 2 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 VLAN B Computer : B1 & B2 VID : 3 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = 3
44 VLAN Схема 2 Деление сети, построенной на 2-х коммутаторах на две VLAN. VLAN A : Computer A1, A2, A3 & A4 Switch X VID : 2 Tag Egress : Port 5 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 Switch Y VID : 2 Tag Egress : Port 1 Untag Egress : Port 2 & 3 Port 2 & 3 assign PVID = 2 VLAN B : Computer B1, B2, B3 & B4 Switch X VID : 3 Tag Egress : Port 5 Untag Egress : Port 3 & 4 Port 3 & 4 assign PVID = 3 Switch Y VID : 3 Tag Egress : Port 1 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = Switch Y Switch X A1A2A2 B1B2A3A3 A4A4 B3B4
45 VLAN схема 1 Деление сети на две VLAN с предоставлением общего файл-сервера: B1B2C1C2 File Server VLAN B Computer : B1, B2 & File Server VID : 1 Untag Egress : Port 1, 2 & 3 Port 1 & 2 assign PVID = 1 VLAN C Computer : C1, C2 & File Server VID : 2 Untag Egress : Port 3, 4 & 5 Port 4 & 5 assign PVID = 2 VID : 3 Untag Egress : Port 1, 2, 3, 4 & 5 Port 3 assign PVID = 3 VLAN A Computer : B1, B2, C1, C2 & File Server
46 Деление сети на две VLAN с предоставлением общего ресурса:
47 Стандарт IEEE 802.1p определяет приоритет пакета при помощи тэга в его заголовке. Можно задать до 8 уровней приоритета от 0 до 7. Уровень 7 определяет самый высокий приоритет. Коммутаторы поддерживают 4 очереди Class of Service на каждом порту. Для маркированных пакетов приоритет может быть изменен на одну из четырех очередей CoS. Для немаркированных пакетов приоритет выставляется исходя из приоритета, выставленного на данном порту. Поддержка IEEE 802.1P
48 Как работает Как работает 802.1p Приоритет : Очередь : Порт : Class-0Class-1Class-2Class ……………………………. 4 очереди приоритета
49 Данный пример показывает настройку приоритета по умолчанию для пакетов, которым не было еще присвоено никакое значение приоритета P приоритет по умолчанию
50 Данный экран показывает возможность настройки класса приоритета для трафика, указывая значения класса от 0 до 3 в соответствии с 8-ю уровнями приоритета коммутатора P приоритет, определяемый настройкой
51 Class of service STRICT (строгий) режим Round Robin (круговой) режим Когда поступают данные с высоким уровнем приоритета, устройство передает их первыми. Только после того, как завершена передача данных с высоким уровнем приоритета, начинается передача данных с более низким уровнем приоритета. QOS включает два режима работы: Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS.
52 Max. Packets Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS. В данном поле может быть введено значение от 0 до 255. Если введен 0, коммутатор будет продолжать обрабатывать пакеты пока в очереди не останется больше пакетов. Max. Latency Максимальное время, в течении которого пакет будет оставаться в очереди QoS. Пакет в данной очереди не может задерживаться дольше указанного времени. Таймер отключен, если значение установлено в 0. Каждая единица данного таймера эквивалентна 16 миллисекундам. Настройка Class of Service
53 Объединение портов в транк Link Aggregation Увеличение полосы пропускания Обеспечение отказоустойчивости Балансировка нагрузки
54 Группы могут объединять только порты с одинаковой скоростью и одинаковой средой передачи Для настройки транка достаточно настроить «связывающий порт» Для STP транк – это один логический канал
55 Распределение потоков по каналам транков
56 Транк между коммутатором и сервером DFE-580TX
57 ETTH Пример: Порт 1: Upstream = 1 Мбит/с, Downstream = 1 Мбит/с Порт 2: Upstream = 1 Мбит/с, Downstream = 10 Мбит/с Порт 3: Upstream = 1 Мбит/с, Downstream = 50 Мбит/с Порт 4: Upstream = 5 Мбит/с, Downstream = 100 Мбит/с Контроль полосы пропускания На каждом порту Ethernet можно настроить ограничение скорости на входящий/исходящий трафик. U/D=1/50 U/D=1/10 U/D=5/100
58 Контроль полосы пропускания Настройка полосы пропускания для входящего и исходящего трафика на каждом порту
59 Определение протокола IEEE 802.1x Протокол определяет доступ на основе модели Клиент/Сервер и протокол аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора. Сервер аутентификации (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью. Сервер аутентификации RADIUS …….. Клиент Коммутатор Клиент
60 Роли устройств в протоколе 802.1x Клиент: Это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1x, например то, которое встроено в ОС Microsoft Windows XP Рабочая станция (Клиент) Сервер RADIUS (Сервер аутентификации ) Коммутатор (Authenticator)
61 Сервер аутентификации Сервер аутентификации: Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сетиa.. RADIUS работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером и клиентами RADIUS. * Remote Authentication Dial-In User Service (RADIUS) Роли устройств в протоколе 802.1x Рабочая станция (Клиент) Коммутатор (Authenticator) Сервер RADIUS (Сервер аутентификации)
62 Authenticator Authenticator: Authenticator работает как посредник между Клиентом и Сервером аутентификации, получая запрос на проверку подлинности от Клиента, проверяет данную информацию при помощи Сервера аутентификации, и пересылает ответ Клиенту. Сервер RADIUS (Сервер аутентификации) Коммутатор (Authenticator) Рабочая станция (Клиент) Роли устройств в протоколе 802.1x
63 Коммутатор (Аутентификатор) Порт авторизован Порт не авторизован Процесс аутентификации в 802.1X EAPOL-Start EAP-Request/Identity EAP-Response/IdentityRADIUS Access-Request RADIUS Access-ChallengeEAP-Request/OTP EAP-Response/OTPRADIUS Access-Request RADIUS Access-AcceptEAP-Success EAPOL-Logoff * OTP (One-Time-Password) RADIUS Account-Stop RADIUS Ack Рабочая станция (Клиент) Сервер RADIUS (Сервер аутентификации)
64 Рабочая станция: клиент 802.1x встроен в ОС Window XP. Иначе требуется клиентское ПО для 802.1x. Коммутатор: 1. Активировать 802.1x на устройстве enable 802.1x 2. Настроить 802.1x на портах config 802.1x capability Портs 1-24 authenticator 3. Настроить параметры для сервера Radius config radius add key default Сервер Radius: Windows NT или Windows 2000 Server Radius Server Service. Настройка 802.1x
65 802.1x на основе портов После того, как порт был авторизован, любой пользователь, подключенный к порту может получить доступ к локальной сети x на основе MAC-адресов Не только проверяет имя пользователя/пароль, но и проверяет максимальное кол-во MAC-адресов, доступных для работы. Если предел достигнут, то блокирует новый MAC-адрес. Сравнение 802.1x на основе портов и на основе MAC-адресов
66 Сегментация трафика служит для разграничения доменов на уровне 2. Данная функция позволяет настраивать порты таким образом, чтобы они были изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения сервером и магистрали сети провайдера. Данная функция может быть использована при построении сетей провайдеров. Сегментация трафика
67 ………… PC2 ………………….. PC24 Все компьютеры (PC2 - PC24) имеют доступ к порту uplink, но не имеют доступа друг к друг на уровне 2 Решение можно использовать для: 1.В проектах ETTH для изоляции портов 2.Для предоставления доступа к общему серверу Сегментация трафика ETTH или Общий сервер ETTH – Ethernet To The Home
68 Настройка сегментации трафика Des-3226: Disable/Enable Des-3226S: Настройка таблицы сегментации на каждом порту
69 ACP обеспечивает ограничение прохождения трафика через коммутатор. Для включения функции ACP пользователь должен сначала создать маску для определения того, какое поле пакета содержит признак, используемый для фильтрации и затем применить правило фильтрации, сопоставленное с маской. Поддержка до 10 профилей и до 50 правил. (Des-3226S, Des-3326S) Access Control Profile
70 Типа профилей доступа Ethernet: Profile ID VLAN MAC-адрес источника MAC-адрес назначения 802.1p Тип Ethernet разрешить или запретить IP: ID профиля VLAN Маска IP-адреса источника Маска IP-адреса получателя DSCP Протоколы (ICMP, IGMP, TCP, UDP) Порты TCP/UDP разрешить или запретить
71 Профили и правила доступа на уровне Ethernet
72 Профили доступа на уровне IP
73 Руководство по настройке профиля доступа Проанализируйте задачи фильтрации и определите какой профиль доступа использовать: Ethernet или IP Определитесь со стратегией и запишите ее Основываясь на стратегии, определите какие нужны маски профиля доступа - access profile mask и создайте их. Добавьте правила - access profile rule связанные с маской Профили доступа проверяются последовательно, в соответствии с их ID. Профили с меньшими ID, проверяются первыми. Если не подходит ни один профиль, применяется политика по умолчанию. Если необходимо, при совпадении профиля, значения тега для 802.1p может быть заменено новым, меняющим приоритет пакета.
74 Internet PC-1 Другие компьютеры Интернет-шлюз: IP= / BA PC1: Разрешен доступ в Интернет IP /8, 0050ba6b18c8 gw= Остальные компьютеры (Запрещен доступ в Интернет) IP: 10.x.x.x/8 Интенет-шлюз Коммутатор уровня 2 Ethernet ACL – Пример DES-3226S Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на MAC-адресах
75 # MAC 0050ba6b18c8 может получать доступ в Интернет и к другим компьютерам. # Компьютеры с другими MAC-адресами не могут получить доступ к Интернет, но могут получить доступ друг к другу create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF permit profile_id 10 config access_profile profile_id 10 add access_id 11 ethernet source_mac ba-6b-18-c8 destination_mac ba # add other permitted MAC rule here. create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF deny profile_id 20 config access_profile profile_id 20 add access_id 21 ethernet destination_mac ba Правила: Если MAC-адрес назначения = шлюза и MAC-адрес источника = разрешенный компьютер, то разрешить (можно ввести несколько таких правил для других компьютеров, которым разрешен доступ) Если MAC-адрес назначения = шлюза, то запретить Иначе (разрешить все остальное по умолчанию) Тест: PC1 может обмениваться пакетами icmp с Интернет. (Разрешенный MAC-адрес имеет доступ в Интернет) PC2 не может обмениваться пакетами icmp с Интернет. (Другие компьютеры не имеет доступ в Интернет) PC1 и PC2 могут обмениваться пакетами icmp друг с другом. (Intranet OK) Коммутатор уровня 2 Ethernet ACL – Пример
76 Internet PC-1 Интенет-шлюз Сценарий: Запретить некоторым пользователям доступ в Интернет, основываясь на MAC-адресах Des-3226S Коммутатор уровня 2 Ethernet ACL – Пример 2 Интернет-шлюз: IP= / BA PC1: Запрещен доступ в Интернет IP /8, 0050ba6b18c8 gw= Остальные компьютеры (Разрешен доступ в Интернет) IP: 10.x.x.x/8 Другие компьютеры
77 # MAC 0050ba6b18c8 не может получать доступ в Интернет, но имеет доступ к другим компьютерам. # Компьютеры с другими MAC-адресами могут получить доступ к Интернет и могут получить доступ друг к другу create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF deny profile_id 10 config access_profile profile_id 10 add access_id 11 ethernet source_mac ba-6b-18-c8 destination_mac ba # add more denied mac here. Правила: Если MAC-адрес назначения = шлюза и MAC-адрес источника = запрещенный компьютер, то запретить (можно ввести несколько таких правил для других компьютеров, которым запрещен доступ) Иначе (разрешить все остальное по умолчанию) Тест: PC1 не может обмениваться пакетами icmp с Интернет. (Запрещенный MAC-адрес не имеет доступ в Интернет) PC2 может обмениваться пакетами icmp с Интернет. (Другие компьютеры имеют доступ в Интернет) PC1 и PC2 могут обмениваться пакетами icmp друг с другом. (Intranet OK) Коммутатор уровня 2 Ethernet ACL – Пример 2
78 IP: /32.1 ~.63 Доступ в Интернет разрешен: ~ Остальным компьютерам разрешен доступ только в локальную сеть Интенет-шлюз Другие компьютеры Сеть: x Des-3226S Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на IP-адресах Коммутатор уровня 2 IP ACL – Пример Internet
79 Rules: 1.Если DestIP= /32 и SrcIP= /26, то доступ разрешен 2.Если DestIP= /32 и SrcIP= /24, то доступ запрещен 3.Иначе, по умолчанию разрешить доступ для всего остального Тест: ~ имеют доступ в Интернет (через.254) и имеют доступ друг к другу.64 ~.253 PC ~.253 PC имеют доступ ко всем компьютерам.1~.253 PC, но не имеют доступ к шлюзу.254 # разрешить доступ с адресов.1 ~.63 на шлюз.254 create access_profile ip destination_ip_mask source_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip source_ip # запретить доступ с адресов.1~.253 на шлюз.254 create access_profile ip destination_ip_mask source_ip_mask deny profile_id 20 config access_profile profile_id 20 add access_id 21 ip destination_ip soruce_ip # Иначе, по умолчанию разрешить доступ Коммутатор уровня 2 IP ACL – Пример
80 Net x Gw Net1 ( x) может быть доступной из Net2, Net3, Net4. Net2, Net3, Net4 не имеют доступ друг к другу Des-3326S Net x Gw Сервера Net x Gw Net x Gw Сценарий: Только одна подсеть IP может быть доступной из других подсетей Коммутатор уровня 3 IP ACL – Пример 2
81 # создадим правила доступа # разрешить доступ только к подсети x из других подсетей create access_profile ip destination_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip create access_profile ip source_ip_mask permit profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip # разрешить доуступ внутри подсетей x, x и x. create access_profile ip source_ip_mask destination_ip_mask permit profile_id 30 config access_profile profile_id 30 add access_id 31 ip source_ip destination_ip config access_profile profile_id 30 add access_id 32 ip source_ip destination_ip config access_profile profile_id 30 add access_id 33 ip source_ip destination_ip #### здесь можно добавить другие сети, при необходимости # запретить все остальное. create access_profile ip source_ip_mask deny profile_id 40 config access_profile profile_id 40 add access_id 41 ip source_ip Правила: 1.Если Dest. IP= x, то разрешить доступ 2.Если Src. IP= x, то разрешить доступ 3.Если DestIP= x и destIP= x, то разрешить доступ 4.Если DestIP= x и SrcIP= x, то разрешить доступ 5.Если DestIP= x и SrcIP= x, то разрешить доступ 6.Запретить все остальное Тест: 1.Net2 ( x), Net3, Net4 имеют доступ к Net1 ( x). 2.Net2, Net3, Net4 не имеют доступ друг к другу Коммутатор уровня 3 IP ACL – Пример 2
82 ETTHInternet Пример: Порт 1: Максимальное кол-во адресов = 1 Порт 2: Максимальное кол-во адресов = 1 Порт 3: Максимальное кол-во адресов = 1 Порт 4: Максимальное кол-во адресов = 8 И т.д. Функция Port Security (Des-3226) На каждом порту Ethernet можно контролировать максимальное кол-во MAC-адресов, которое может быть изучено. Это полезно в решениях ETTH для контроля за тем, сколько пользователей могут одновременно подключаться к Интернет. Max. User = 1 Max. user = 1 Max. user = 8
83 Port Security (DES-3226S) 1.Максимальное кол-во изученных адресов: 0 – 8 2.Если выставлен 0: отключить обучение на данном порту.
84 Mac1 Mac2 Mac3 Mac4 Включить блокировку автообучения на каждом порту (DES-3226S) Ввести список разрешенных MAC-адресов в статическую таблицу MAC-адресов. Максимальное кол-во записей для DES-3226S= 128. Данное значение может варьироваться в зависимости от модели коммутатора. Mac5 Mac6 Mac7 Сервера Mac8 Mac9 mac10 Защита от несанкционированного доступа Задача: MAC-адреса, не внесенные в список на порту не могут получить доступа к сети Магистраль сети
85 SNMPv1 и SNMP v3 Проблемы протокола SNMP версии 1 Обеспечение безопасности только на основе параметра Community String. Параметр передается в текстовом незашифрованном виде. Содержание пакетов SNMP также в виде plain-text. Если параметр Community String корректен, все дерево MIB может быть просмотрено или изменено. Решение: SNMP v3 D-View IP= /8 SNMP community String Для чтения = public Для чтения/записи = private IP= /8 Для чтения = public Для чтения/записи = private Что означает = Des3226
86 Новые возможности в SNMPv3 Обеспечение функций безопасности Шифрация/Дешифрация пакетов Возможность настройки уровня привилегий пользователя SNMP v3 включает следующие 4 модели: MPD(RFC2572) TARGET(RFC2573) USM(RFC2574): User-based Security Model VACM(RFC2575): View-based Access Control Model D-View 5.1 поддерживает SNMPv1 и SNMP V3. Управляемые устройства D-Link также поддерживают SNMP v1 & V3.
87 IGMP Snooping является функцией L2. IGMP snooping позволяет коммутатору отслеживать группы многоадресных рассылок основанных на сообщениях IGMP, проходящих через коммутатор и пересылать многоадресный трафик только на порты, которые его запрашивали. IGMP Snooping
88 Для чего нужен IGMP Snooping Передача трафика на все порты Сервер мультимедиа Многоадресная рассылка PC Групповой трафик Члены группы многоадресной рассылки Сервер мультимедиа Многоадресная рассылка PC XX XXVV
89 Общие функции коммутаторов 2-го уровня D-Link Общие функции коммутаторов 3-го уровня D-Link
90 LAN Перегруз L-2 Switching Router перегруз L-3 Switching Problem Solution Problem Solution Почему коммутатор L3?
91 Маршрутизатор Коммутатор 3 уровня Роутер позволяет ограничить распространение широковещательных пакетов внутри одной подсети. Недостатки: -- CPU-маршрутизация медленно -- Один линк 10 или 100 Мбит/с, разделенный между подсетями. Ограничение распространения широковещательных пакетов в одной подсети. Аппаратная маршрутизация маршрутизация со скоростью подключения Больше одновременных подключений практически нет ограничений на полосу пропускания.
92 Маршрутизатор Коммутатор 3 уровня Расчет маршрута и обработка пакетов полностью осуществляется на уровне 3. После принятия решения о маршрутизации пакеты передаются аппаратным интерфейсам уровня 2. Выбор пути происходит на уровне 3, а обработка пакетов осуществляется с помощью коммутатора на уровне 2.
93 Бесклассовая маршрутизация - CIDR Подсети IP RIPv1/RIPv2 OSPF v2 IGMP v2 DVMRP v3 PIM Dense Mode (PIM-DM) PIM Spare Mode (PIM-SM) Пересылка пакетов DHCP/BOOTP Общие функции коммутаторов 3-го уровня
94 3 IP сети: /24 (ports 1-8) /24 (ports 9-16) /24 (ports 17-24) Тестирование: Прохождение PING Проверка таблицы маршрутизации Switch DES Шлюз: PC Шлюз: VID= VID=3 DES-3326 DES Основные настройки PC Шлюз: VID=1 (Default_vlan)
95 Шаги по настройке DES Выбрать режим работы: Коммутация на 3 уровне 2. Сконфигурировать 802.1Q VLAN группы 3. Сконфигурировать PVID 4. Сконфигурировать IP-интерфейсы для каждой группы VLAN 5. Провести тест PING 6. Проверить таблицу маршрутизации
96 Типичные компоненты таблицы маршрутизации Типичные компоненты таблицы маршрутизации: Адрес сети назначения: Часть IP адреса, описывающая сеть назначения Маска подсети: используется для определения типа сети IP адрес следующего скачка – интерфейс, на который направляются IP пакеты или интерфейс маршрутизатора
97 Статическая и динамическая маршрутизация Статическая таблица маршрутизации вводится вручную Преимущества статической маршрутизации Простота использования Надежность Эффективность Недостатки статической маршрутизации Нет масштабируемости Нет адаптации при нарушениях связей Динамическая таблица маршрутизации автоматически создается и обновляется посредством протоколов маршрутизации. Бывает двух типов: Протоколы вектора расстояния: RIP: (Routing Information Protocol) v1 или v2 Протоколы состояния канала: OSPF (Open Shortest Path First)
98 Des-3326S_1 Des-3326S_2 Коммутатор 3-го уровня при подключении общих серверов V x/24 Gw: V x/24 Gw: V x/24 Gw: V x/24 Gw: SRV x SRV x Требования: Серверы ( x) должны быть доступна из всех подсетей. Подсети не должны иметь доступа друг к другу. T T UUU U U U
99 config vlan default delete 1-16 create vlan v2 tag 2 create vlan v3 tag 3 config vlan v2 add untagged 1-8 config vlan v3 add untagged 9-16 config vlan v2 add tagged config vlan v3 add tagged config ipif System ipaddress /24 create ipif ip /24 v2 create ipif ip /24 v3 create access_profile ip destination_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip create access_profile ip source_ip_mask permit profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip create access_profile ip source_ip_mask destination_ip_mask permit profile_id 25 config access_profile profile_id 25 add access_id 26 ip source_ip destination_ip config access_profile profile_id 25 add access_id 27 ip source_ip destination_ip create access_profile ip source_ip_mask destination_ip_mask deny profile_id 30 config access_profile profile_id 30 add access_id 31 ip source_ip destination_ip save Конфигурация Des-3326S_1
100 config vlan default delete 1-16 create vlan v2 tag 2 create vlan v3 tag 3 config vlan v2 add untagged 1-8 config vlan v3 add untagged 9-16 config vlan v2 add tagged config vlan v3 add tagged config ipif System ipaddress /24 create ipif ip /24 v2 create ipif ip /24 v3 create access_profile ip destination_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip create access_profile ip source_ip_mask permit profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip create access_profile ip source_ip_mask destination_ip_mask permit profile_id 25 config access_profile profile_id 25 add access_id 26 ip source_ip destination_ip config access_profile profile_id 25 add access_id 27 ip source_ip destination_ip create access_profile ip source_ip_mask destination_ip_mask deny profile_id 30 config access_profile profile_id 30 add access_id 31 ip source_ip destination_ip save Конфигурация Des-3326S_1
101 PIM (Protocol Independent Multicast) PIM состоит из двух протоколов: PIM – Dense Mode (PIM-DM), и PIM – Sparse Mode (PIM-SM) PIM-DM подобен DVMRP при формировании дерева доставки PIM-DM также пересылает многоадресные пакеты на все нисходящие интерфейсы пока не получит «усекающего» сообщения. PIM-DM использует восстанавливающие сообщения для «усеченных» прежде ветвей доставки, также как и DVMRP.
102 Пример PIM-DM V11V12 V13 Мультимедиа сервер Клиент DES-3326S-A DES-3326S-B IP: /24 Клиент может присоединиться к группе IGMP и получить доступ к мультимедиа серверу. Если клиент не присоединится к группе, он не сможет получать многоадресные пакеты от сервера.
103 Пример PIM-DM Des-3326S-a config vlan default delete 1-24 create vlan v11 tag 11 create vlan v12 tag 12 config vlan v11 add untagged 1-12 config vlan v12 add untagged create ipif ip /24 v11 state enabled create ipif ip /24 v12 state enabled enable rip config rip ipif ip12 tx_mode v2_only rx_mode v2_only state enabled config igmp all state enabled enable pim config pim all state enabled
104 Пример PIM-DM Des-3326S-B config vlan default delete 1-24 create vlan v13 tag 13 create vlan v12 tag 12 config vlan v13 add untagged 1-10 config vlan v12 add untagged create ipif ip /24 v13 state enabled create ipif ip /24 v12 state enable enable rip config rip ipif ip12 tx_mode v2_only rx_mode v2_only state enabled config igmp all state enabled enable pim config pim all state enabled
105 Пересылка пакетов BOOTP/DHCP Пересылка пакетов BOOTP/DHCP позволяет рабочим станциям использовать BOOTP или DHCP сервер, чтобы получать параметры TCP/IP или файл загрузки, даже если сервера не находятся в той же подсети. Если сервера и рабочие станции находятся в разных подсетях, необходим агент пересылки на коммутаторе для передачи пакетов между клиентом и сервером.
106 Пересылка BOOTP/DHCP/DNS DHCP сервер/DNS сервер DHCP клиент Сеть 1 Сеть 2Сеть 3 Посылает запрос DHCP или DNS Пересылка пакетов DHCP Relay/DNS Передает запрос на сервер DHCP
107 Спасибо за внимание! ftp://ftp.dlink.ru/pub/Training/presentations/ Иван Мартынюк D-Link Украина Консультант по проектам Тел./Факс +380 (44)
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.