Настройка маршрутизации на DGS-3612-2
config ipif System ipaddress 10.1.1.2/24
create ipif Int2 200.1.1.1/24 Vlan2
create iproute 100.1.1.0/24 10.1.1.1
Динамическая маршрутизация
Пример использования RIP Authentication
Анонсирование локальных подсетей:
create route redistribute dst rip src local
Анонсирование статических маршрутов:
create route redistribute dst rip src static
Просмотр созданных анонсов:
show route redistribute
Удаление анонсов:
delete route redistribute dst rip src local
Конфликт
IP
IMP Binding включен
Изучение адресов
Белый список
192.168.1.1
00E0-0211-1111
192.168.1.2
00E0-0211-2222
192.168.1.1
00E0-0211-3333
( IP настроен вручную пользователем )
DHCP Server
PC-A
PC-B
PC-C
IP-MAC записи будут созданы автоматически , когда на коммутатор придет пакет DHCP Offer с сервера
PC-C пытается получить доступ к ресурсам сети
Не присутствует в списке!!!
PC-C блокируется
IP-MAC-Port Binding
Решение для улучшения управления IP адресами
IP-MAC-Port Binding
Понимание IMPB режимов
IP-MAC-Port Binding
Пример настройки IMPB и статической записи
Порт1
Коммутатор динамически создает запись IMPB после того, как клиент получит IP-адрес от DHCP-сервера.
x.x.x.x
192.168.0.10
Коммутаторы D-Link предоставляют наиболее полный набор ACL, помогающих сетевому администратору осуществлять контроль над приложениями. При этом не будет потерь производительности, поскольку проверка осуществляется на аппаратном уровне.
L2/3/4 ACL ( Access Control List )
Online-игры
Неразрешённые приложения
Вирусы
Инфицированные клиенты
Неисправные сервера/ точки доступа
Компьютеры злоумышленников
Несанкционированные пользователи
ACL могут проверять содержимое пакетов на предмет наличия новых изменённых потоков
Управляемые коммутаторы D-Link могут эффективно предотвращать проникновение вредоносного трафика в сеть
Настройка ACL профилей и правил
4. Фильтрация по содержимому пакета (первые 80 или 128* байт пакета).
3. IPv6:
Traffic class (приоритет)
IP источника
IP назначения*
Flow label (метка потока)
Протокол (TCP, UDP)
* В зависимости от модели
Типы профилей
Ethernet профиль ACL
Синтаксис CLI создание и настройка Ethernet профиля
Таким образом, при помощи правил ACL можно ограничить трафик в сети для определенных сетевых протоколов, либо вообще запретить клиенту использование определенных протоколов.
Ниже приведен список значений Ethertype наиболее “распространенного” в сети трафика:
0x0800 Internet Protocol, Version 4 (IPv4)
0x86DD Internet Protocol, Version 6 (IPv6)
0x0806 Address Resolution Protocol (ARP)
0x0842 Wake-on-LAN Magic Packet
0x8809 Slow Protocols (IEEE 802.3) - используется LACP
0x8863 PPPoE Discovery Stage
0x8864 PPPoE Session Stage
0x88CC LLDP
0x9000 Configuration Test Protocol (Loop)
Ethernet type - Ethertype
IP профиль ACL
Синтаксис CLI создание и настройка IP профиля
Пример: Разрешить некоторым пользователям выход в Internet по MAC- адресам
Остальным запрещено
PC1 PC2
Разрешено
Шлюз Internet
Порт 1
Порт 2
Порты 3-24
Порт 25
Ethernet ACL в коммутаторах. Пример 1.
# Правило 1
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 10
config access_profile profile_id 10 add access_id 10 ethernet destination_mac 00-50-ba-99-99-99 port 3-24 deny
# Правило 2: Другие пакеты разрешены по умолчанию
Проверка:
Компьютеры кроме PC1 и PC2 не могут получить доступ в Internet (в соответствии с правилом 1 обращение к MAC адресу шлюза запрещено на портах 3-24).
PC1, PC2 могут получить доступ в Internet (так как в правиле 1 не указаны порты 1 и 2, к которым они подключены).
PC1, PC2 и другие могут получить доступ друг к другу (Intranet OK, в соответствии с тем, что в правиле 1 запрещено обращение только к MAC адресу шлюза).
Пример: Разрешить некоторым пользователям выход в Internet по IP
Шлюз Internet (IP: 192.168.1.254)
.1 ~ .63
(разрешен выход в Internet)
Сеть 192.168.1.x/24
Все остальные
(запрещен выход в Internet)
Порт 25
Порты 1-24
IP ACL в коммутаторах. Пример 2.
Правила:
Правило 1: Если IP источника = 192.168.1.0/26 и IP назначения = 192.168.1.254/32, то разрешить (для .1 - .63 разрешить доступ в Internet)
Правило 2: Если IP источника = 192.168.1.0/24 и IP назначения = 192.168.1.254/32, то запретить (для .1 - .254 запретить доступ в Internet)
Правило 3: В противном случае все запретить остальное по умолчанию
# Правило 1: Разрешить для .1 - .63 доступ в Internet
create access_profile ip source_ip_mask 255.255.255.192 destination_ip_mask 0.0.0.0 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 0.0.0.0 port 1-24 permit
# Правило 2: Разрешить для .1 - .254 доступ в Intranet(локальную сеть)
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 20
config access_profile profile_id 20 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.1.0 port 1-24 permit
# Правило 3: Все остальное запретить
create access_profile ip source_ip_mask 0.0.0.0 profile_id 30
config access_profile profile_id 30 add access_id auto_assign ip source_ip 0.0.0.0 port 1-24 deny
Блокировка SMB трафика. Пример 3.
Packet Content Filtering профиль ACL
:
Запрет ICMP трафика с помощью PCF. Пример 3.
Запрет ICMP трафика с помощью PCF. Пример 3.
Запрет SMB трафика с помощью PCF. Пример 4.
Запрет SMB трафика с помощью PCF. Пример 4.
PCF ACL в коммутаторах серии DGS-3600.
Запрет SMB трафика с помощью PCF. Пример 5.
Приоритезация трафика с помощью ACL.
Коммутатор A
U
U
VIP1
U
U
Коммутатор B: DES-3200-26
VIP2
Коммутатор C: DES-3200-26
DGS-3627G
1
24
Основываясь на соответствии “802.1p User Priority” пакет будет поставлен в очередь с наивысшим приоритетом и будет обработан первым.
Приоритезация трафика с помощью ACL.
Порт 1
Контроль полосы пропускания с помощью ACL.
CPU Interface Filtering
Настройка коммутатора:
enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip source_ip_mask 255.255.255.128 icmp
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.91 icmp port 1 deny
Интерфейс коммутатора System огражден от ICMP пакетов ПК A
Точно так же можно запретить любой вид трафика.
CPU access_profile не отображаются в общем списке ACL, посмотреть их можно командой show cpu access_profile
Пример использования CPU Interface Filtering
CPU коммутатора предназначен для обработки управляющей информации, такой как STP, SNMP, доступ по WEB-интерфейсу и т.д.
Также CPU обрабатывает некоторый специфичный трафик, такой как ARP широковещание, пакеты с неизвестным IP-адресом назначения, IP широковещание и т.д.
Но в современных сетях достаточно много вирусов и вредоносного трафика. Обычно они генерируют много «интересного» для CPU трафика (такого как ARP широковещание например).
Весь этот трафик загружает CPU и не дает ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос.
Пакеты BPDU протокола STP
IGMP snooping
Доступ к WEB интерфейсу
SNMP опрос
ARP широковещание
Пакеты с неизвестным IP-адресом назначения
IP широковещание
Почему Safeguard Engine?
Весь этот трафик загружает CPU и не даёт ему возможности обрабатывать более важные задачи, такие как административный доступ, STP, SNMP опрос.
Пакеты BPDU протокола STP
IGMP snooping
Доступ к WEB интерфейсу
SNMP опрос
D-Link Safeguard Engine позволяет идентифицировать и приоритезировать этот «интересный» для CPU трафик с целью отбрасывания ненужных пакетов для сохранения функциональности коммутатора.
ARP широковещание
Пакеты с неизвестным IP-
адресом назначения
IP широковещание
Таким образом с применением Safeguard Engine, коммутатор D-Link будет обладать отказоустойчивостью, особенно при вирусных атаках или сканирования сети.
Safeguard EngineTM разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети.
Почему Safeguard Engine?
Safeguard Engine
PC2
Задача: Снизить загрузку CPU при помощи Safeguard Engine.
IP-адрес коммутатора: 10.31.3.254/8
IP-адрес PC2: 10.31.3.2/8
config safeguard_engine state enable
config safeguard_engine utilization rising 80 falling 50
Пример использования функции Safeguard Engine
Пример использования функции Safeguard Engine
Пример использования функции Safeguard Engine
Возможные побочные эффекты
Пример работы DHCP Relay Agent и добавление Option 82
Тип подопции
Длина: длина поля с октета 3 по октет 7
Тип Circuit ID
Длина: длина поля с октета 5 по октет 7
VLAN: номер VLAN ID в DHCP – пакете клиент.
Модуль: Для отдельно стоящего коммутатора,
поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID.
7. Порт: номер порта, с которого получен DHCP - запрос, номер порта начинается с 1.
1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт
Формат поля опции Remote ID:
1. 2. 3. 4. 5.
1 байт 1 байт 1 байт 1 байт 6 байт
Тип подопции
Длина
Тип Remote ID
Длина
MAC-адрес: MAC-адрес коммутатора.
Локальный идентификатор агента,
который получил DHCP – пакет от клиента.
Для идентификации удалённого узла.
DHCP – сервер может использовать эту
опцию для выбора специфических
параметров пользователей, узлов. Поле
remote ID должно быть уникально в сети.
С какого порта получен
DHCP - запрос
DHCP - запрос
Relay Agent
Формат поля опции Circuit ID:
Формат полей DHCP Option 82
0106000400010009
Тип подопции - 01 (подопция Agent Circuit ID)
Длина - 06
Тип Circuit ID - 00
Длина - 04
VLAN: VLAN ID в DHCP – пакете клиента. - 0001
Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0;
Для коммутатора в стеке, поле Модуль это Unit ID. - 00
Порт: номер порта, с которого получен DHCP – пакет клиента, номер порта начинается с 1. - 09
1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт
Circuit ID
1. 2. 3. 4. 5. 6. 7.
9 = 1001 - 4 бита
Формат поля опции Circuit ID
Тип подопции - 02 (подопция Agent Remote ID)
Длина - 08
Тип Remote ID - 00
Длина - 06
MAC-адрес : MAC-адрес коммутатора. - 0080C835260A
(0106)000400010009
(0208)00060080c835260a
+
DHCP – сервер назначит определённый IP-адрес,
исходя из этой информации
Remote ID
1 байт 1 байт 1 байт 1 байт 6 байт
1. 2. 3. 4. 5.
Remote ID
Circuit ID
Формат поля опции Remote ID
DHCP - сервер
192.168.0.221/24
Шлюз: 192.168.0.1
IP Pool: 10.100.10.101-
10.100.10.102;
10.100.10.200-
10.100.10.250
Клиентский VLAN
порты 1-12
Управляющий VLAN
порты 1-12,24
Коммутатор L3
DGS-3627
Интерфейс 2
192.168.0.1/24
Интерфейс 1
10.100.10.1/24
Коммутатор L2
DES 3200-10
192.168.0.170/24
Порт 1
Клиент А
Порт 24
Порт 2
Клиент Б
Порт 5
Клиент B
Пример настройки и использования Option 82
Сервер с поддержкой DHCP Option 82
Информация DHCP Relay Agent (Option 82)
Протокол SNMP
SNMP менеджер
SNMP агент
2. SNMP агент отвечает SNMP менеджеру:
SNMPv2-MIB::sysDescr.0 = STRING: D-Link DES-3528 Fast Ethernet Switch
1. SNMP менеджер посылает запрос SNMP агенту:
snmpget -v2c -c public 192.168.0.128 1.3.6.1.2.1.1.1.0
Пример:
snmpwalk -v2c -c public 192.168.0.128 1.3.6.1.2.1.2.2.1.5
IF-MIB::ifSpeed.1 = Gauge32: 0
IF-MIB::ifSpeed.2 = Gauge32: 0
IF-MIB::ifSpeed.3 = Gauge32: 0
IF-MIB::ifSpeed.4 = Gauge32: 0
IF-MIB::ifSpeed.5 = Gauge32: 0
IF-MIB::ifSpeed.6 = Gauge32: 0
IF-MIB::ifSpeed.7 = Gauge32: 0
IF-MIB::ifSpeed.8 = Gauge32: 0
IF-MIB::ifSpeed.9 = Gauge32: 0
IF-MIB::ifSpeed.10 = Gauge32: 0
IF-MIB::ifSpeed.11 = Gauge32: 0
IF-MIB::ifSpeed.12 = Gauge32: 0
IF-MIB::ifSpeed.13 = Gauge32: 0
IF-MIB::ifSpeed.14 = Gauge32: 0
IF-MIB::ifSpeed.15 = Gauge32: 0
IF-MIB::ifSpeed.16 = Gauge32: 0
IF-MIB::ifSpeed.17 = Gauge32: 0
IF-MIB::ifSpeed.18 = Gauge32: 0
IF-MIB::ifSpeed.19 = Gauge32: 0
IF-MIB::ifSpeed.20 = Gauge32: 0
IF-MIB::ifSpeed.21 = Gauge32: 0
IF-MIB::ifSpeed.22 = Gauge32: 0
IF-MIB::ifSpeed.23 = Gauge32: 0
IF-MIB::ifSpeed.24 = Gauge32: 0
IF-MIB::ifSpeed.25 = Gauge32: 0
IF-MIB::ifSpeed.26 = Gauge32: 0
IF-MIB::ifSpeed.27 = Gauge32: 0
IF-MIB::ifSpeed.28 = Gauge32: 1000000000
Внимание: MIB-ы лежат в свободном доступе для коммутаторов или серий коммутаторов на ftp.dlink.ru в папочке SNMP, например:
ftp://ftp.dlink.ru/pub/Switch/DES-3528/SNMP/
Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:
Email: Нажмите что бы посмотреть