Расширенные функции

Содержание

Слайд 2

6.1 DHCP Relay (Option 82) – информация от агента DHCP Relay

6.1 DHCP Relay (Option 82) – информация от агента DHCP Relay

Слайд 3

DHCP Relay (Option 82) – информация от агента DHCP Relay

Option 82 используется

DHCP Relay (Option 82) – информация от агента DHCP Relay Option 82
Relay Agent (агентом перенаправления запросов) для добавления дополнительной информации в DHCP – запрос клиента. Эта информация может быть использована для применения политик, направленных на увеличение уровня безопасности и эффективности сети.
Она описана в стандарте RFC 3046.

Слайд 4

DHCP Relay (Option 82) – информация от агента DHCP Relay

Когда вы включаете

DHCP Relay (Option 82) – информация от агента DHCP Relay Когда вы
опцию DHCP relay agent option 82 на коммутаторе D-link, происходит следующее:
Компьютер в сети (DHCP - клиент) генерирует DHCP - запросы и широковещательно рассылает их в сеть.
Коммутатор (DHCP Relay Agent) перехватывает DHCP - запрос packet и добавляет в него информацию relay agent information option (option 82). Эта информация содержит MAC – адрес коммутатора (поле опции remote ID) и SNMP ifindex порта, с которого получен запрос (поле опции circuit ID).
Коммутатор перенаправляет DHCP – запрос с полями опции option-82 на DHCP - сервер.
DHCP – сервер получает пакет. Если сервер поддерживает опцию option-82, он может использовать поля remote ID и/или circuit ID для назначения IP-адреса и применения политик, таких как ограничения количества IP-адресов, выдаваемых одному remote ID или circuit ID. Затем DHCP – сервер копирует поле опции option-82 в DHCP – ответе.Если сервер не поддерживает option 82, он игнорирует поля этой опции и не отсылает их в ответе.
DHCP - сервер отвечает в Unicast-е агенту перенаправления запросов. Агент проверяет предназначен ли он его клиенту, путём анализа IP – адреса назначения пакета.
Агент удаляет поля опции option-82 и направляет пакет на порт, к которому подключён DHCP - клиент, пославший пакет DHCP – запроса.

Слайд 5

Формат полей опции DHCP option 82 специализированного DHCP Relay Agent-а

Поле опции DHCP

Формат полей опции DHCP option 82 специализированного DHCP Relay Agent-а Поле опции
option 82 имеет следующий формат :

1. 2. 3. 4. 5. 6. 7.

Тип подопции
Длина: длина поля с октета 3 по октет 7
Тип Circuit ID
Длина: длина поля с октета 5 по октет 7
VLAN: номер VLAN ID в DHCP – пакете клиент.
Модуль: Для отдельно стоящего коммутатора,
поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID.
7. Порт: номер порта, с которого получен DHCP - запрос, номер порта начинается с 1.

1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт

Формат поля опции Remote ID:

1. 2. 3. 4. 5.

1 байт 1 байт 1 байт 1 байт 6 байт

Тип подопции
Длина
Тип Remote ID
Длина
MAC-адрес: MAC-адрес коммутатора.

Локальный идентификатор агента,
который получил DHCP – пакет от клиента.

Для идентификации удалённого узла.
DHCP – сервер может использовать эту
опцию для выбора специфических
параметров пользователей, узлов. Поле
remote ID должно быть уникально в сети.

С какого порта получен
DHCP - запрос

DHCP - запрос

Relay Agent

Формат поля опции Circuit ID:

Слайд 6

Формат поля опции Circuit ID

01 06 00 04 0001 00 09

0106000400010009

Тип подопции ?

Формат поля опции Circuit ID 01 06 00 04 0001 00 09
01 (подопция Agent Circuit ID)
Длина ? 06
Тип Circuit ID ? 00
Длина ? 04
VLAN: VLAN ID в DHCP – пакете клиента. ? 0001
Модуль: Для отдельно стоящего коммутатора, поле Модуль всегда равно 0; Для коммутатора в стеке, поле Модуль это Unit ID. ? 00
Порт: номер порта, с которого получен DHCP – пакет клиента, номер порта начинается с 1. ? 09

1 байт 1 байт 1 байт 1 байт 2 байта 1 байт 1 байт

Circuit ID

1. 2. 3. 4. 5. 6. 7.

9 = 1001? 4 бита

Слайд 7

Формат поля опции Remote ID

00040001000900060080c835260a

02080006000F3D849FFF

02 08 00 06 0080c835260a

Тип подопции ? 02 (подопция

Формат поля опции Remote ID 00040001000900060080c835260a 02080006000F3D849FFF 02 08 00 06 0080c835260a
Agent Remote ID)
Длина ? 08
Тип Remote ID ? 00
Длина ? 06
MAC-адрес : MAC-адрес коммутатора. ? 0080C835260A

(0106)000400010009

(0208)00060080c835260a

+

DHCP – сервер назначит определённый IP-адрес,
исходя из этой информации

Remote ID

1 байт 1 байт 1 байт 1 байт 6 байт

1. 2. 3. 4. 5.

Remote ID

Circuit ID

Слайд 8

Пример настройки Option 82

Устройства:
DHCP - сервер 192.168.0.221 в подсети 192.168.0.0/24
Маршрутизатор

Пример настройки Option 82 Устройства: DHCP - сервер 192.168.0.221 в подсети 192.168.0.0/24
или коммутатор L3, выступающий в роли шлюза для 2-ух подсетей
192.168.0.1 в подсети 192.168.0.0/24 10.100.10.1 в подсети 10.100.10.0/24
Коммутатор L2 (DES-3200-10) выступает в роли DHCP Relay Agent 192.168.0.170 в подсети 192.168.0.0/24
MAC – адрес 00-24-01-FC-8F-D8
3 ноутбука, выступающих в роли DHCP – клиентов, подключённых к коммутатору L2 – порты 1, 2 и 5

DHCP - сервер
192.168.0.221/24
Шлюз: 192.168.0.1
IP Pool: 10.100.10.101-
10.100.10.102;
10.100.10.200-
10.100.10.250

VLAN client порты 1-12

VLAN management
порты 1-12,24

Коммутатор L3 DGS-3627

Интерфейс 2
192.168.0.1/24

Интерфейс 1
10.100.10.1/24

Коммутатор L2 DES 3200-10
192.168.0.170/24

Порт 1
Клиент А

Порт 24

Порт 2
Клиент Б

Порт 5
Клиент B

Слайд 9

Сервер с поддержкой DHCP Option 82

DHCP – сервер использует динамический пул IP-адресов

Сервер с поддержкой DHCP Option 82 DHCP – сервер использует динамический пул
10.100.10.200 – 10.100.10.250 для назначения IP-адресов любому DHCP – клиенту, запрос от которого будет перенаправлен DHCP Relay Agent-ом 192.168.0.170 (Если DHCP – клиент, подключён к любому порту коммутатора, кроме портов 1 и 2, он получит IP-адрес из пула.)
--- Для обычного DHCP – запроса клиента
Когда какой-либо DHCP – клиент подключается к порту 1 коммутатора L2, DHCP – сервер выдаст ему IP-адрес 10.100.10.101; когда DHCP – подключается к порту 2 коммутатора L2, DHCP – сервер выдаст ему IP-адрес 10.100.10.102. (например, DHCP – клиент, подключённый к порту 1 коммутатора, получит IP-адрес 10.100.10.101)
--- Для DHCP – запросов клиента с option 82

Слайд 10

Конфигурация коммутатора L3

Настройка коммутатора L3 (DGS-3627):
# Настройте влан, в котором будут находиться

Конфигурация коммутатора L3 Настройка коммутатора L3 (DGS-3627): # Настройте влан, в котором
DHCP – клиенты
create vlan client tag 555
config vlan client add tagged 1-12
# Настройте управляющий влан, в котором будет находиться DHCP сервер
create vlan management tag 1234
config vlan management add tagged 1-12
config vlan default delete 24
config vlan management add untagged 24
# Сконфигурируйте и создайте IP-интерфейсы в VLAN client и management
config ipif System ipaddress 10.90.90.90/24
create ipif client_gw 10.100.10.1/24 client state enable
create ipif manag_gw 192.168.0.1/24 management state enable
# Сохраните настройки
save

Слайд 11

Конфигурация коммутатора L2

Настройка коммутатора L2 (DES-3200-10):
# Настройте клиентский и управляющий вланы на

Конфигурация коммутатора L2 Настройка коммутатора L2 (DES-3200-10): # Настройте клиентский и управляющий
DES-3200-10
config vlan default delete 1-10
create vlan client tag 555
config vlan client add tagged 9-10
config vlan client add untagged 1-8
create vlan management tag 1234
config vlan management add tagged 9-10
# Настройте управляющий интерфейс
config ipif System ipaddress 192.168.0.170/24 vlan management
# Настройте DHCP Relay
enable dhcp_relay
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System 192.168.0.221
# Разрешите клиентам доступ в управляющем влане, только к DHCP серверу. Остальное запретите
create access_profile ip destination_ip 255.255.255.255 profile_id 5
config access_profile profile_id 5 add access_id 1 ip destination_ip 192.168.0.221 port 1-8 permit
create access_profile ip destination_ip 255.255.255.0 profile_id 6
config access_profile profile_id 6 add access_id 1 ip destination_ip 192.168.0.0 port 1-8 deny
# Сохраните настройки
save

Слайд 12

Настройка DHCP – сервера - 1

Рассмотрим пример настройки сервера isc-dhcpd.
Ниже приведено

Настройка DHCP – сервера - 1 Рассмотрим пример настройки сервера isc-dhcpd. Ниже
содержимое dhcpd.conf:
# Настройка основных параметров
lease-file-name "/var/log/dhcpd.leases";
log-facility local7;
authoritative;
default-lease-time 86400;
ddns-update-style none;
local-address 192.168.0.221;
one-lease-per-client true;
deny duplicates;
# Настройка логирования (в лог записываются MAC адрес, влан и порт клиента, запросившего IP адрес)
if exists agent.circuit-id {
log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address),
" MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)),
" port ",binary-to-ascii(10,16, "",substring(option agent.circuit-id, 4,
2)),
" VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2))
));
}
# Сравниваются Remote ID и Circuit ID с заданными. Согласно дизайну преобразования binary-to-ascii незначащие нули слева отбрасываются
class "sw170-1" {
match if binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 5))
= "24:1:fc:8f:d8" and binary-to-ascii(10, 8, "", suffix(option
agent.circuit-id, 1)) = "1";
}
class "sw170-2" {
match if binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 5))
= "24:1:fc:8f:d8" and binary-to-ascii(10, 8, "", suffix(option
agent.circuit-id, 1)) = "2";
}

Слайд 13

Настройка DHCP – сервера - 2

Продолжение содержимого файла dhcpd.conf:
shared-network test {
#

Настройка DHCP – сервера - 2 Продолжение содержимого файла dhcpd.conf: shared-network test
Включить опцию, позволяющую клиенту корректно продлевать аренду IP адреса прямым запросом на сервер , не содержащим Option 82 (минуя DHCP Relay Agent)
stash-agent-options true;
# Запретить выдавать IP-адреса из подсети 192.168.0.0/24 (в этой подсети находятся управляющие интерфейсы коммутаторов и доступ клиентов в эту подсеть должен быть ограничен)
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
}
# Описать выдаваемые клиенту по DHCP параметры
subnet 10.100.10.0 netmask 255.255.255.0 {
option broadcast-address 10.100.10.255;
option domain-name-servers 10.100.10.1;
option routers 10.100.10.1;
option subnet-mask 255.255.255.0;
# Задать адреса, получаемые клиентами :
# клиентом , подключенным к порту 1
pool { range 10.100.10.101; allow members of "sw170-1";}
# клиентом , подключенным к порту 2
pool { range 10.100.10.102; allow members of "sw170-2";}
# клиентами, находящимися на других портах
pool { range 10.100.10.200 10.100.10.250;}
}
}

Слайд 14

Информация DHCP Relay Agent (Option 82)

Результаты теста:
Клиенту A будет выдан IP-адрес 10.100.10.101
2.

Информация DHCP Relay Agent (Option 82) Результаты теста: Клиенту A будет выдан
Клиенту Б будет выдан IP-адрес 10.100.10.102
3. Клиенту B будет выдан IP-адрес 10.100.10.200

Слайд 15

6.2 RSPAN

6.2 RSPAN

Слайд 16

Функция RSPAN может использоваться для зеркалирования клиентского трафика на порт удаленного коммутатора.
Нет

Функция RSPAN может использоваться для зеркалирования клиентского трафика на порт удаленного коммутатора.
необходимости подключаться сниффером (анализатором трафика) к коммутатору клиента.
Для работы RSPAN необходима настройка на всех коммутаторах в цепочке – от клиента и до сниффера.
Зеркалироваться может весь трафик – как входящий, так и исходящий, либо по отдельности.
Термины RSPAN:
Порт источник (Source port) – порт, трафик с которого копируется на порт со сниффером
Порт назначения (Destination port) – порт, на который посылается копия трафика и к которому подключается сниффер.
RSPAN VLAN – это VLAN, по которому передается зеркалируемый трафик между коммутаторами в цепочке.

RSPAN

Слайд 17

Коммутатор А:
create vlan rspanvlan tag 4094
create rspan vlan vlan_name rspanvlan
config rspan vlan

Коммутатор А: create vlan rspanvlan tag 4094 create rspan vlan vlan_name rspanvlan
vlan_name rspanvlan source add ports 1 both
enable rspan
config mirror port 26
enable mirror

Коммутатор B:
create vlan rspanvlan tag 4094
config vlan rspanvlan add tagged 21,22
create rspan vlan vlan_name rspanvlan
config rspan vlan vlan_name rspanvlan redirect add port 22
enable rspan

Коммутатор C:
create vlan rspanvlan tag 4094
config vlan rspanvlan add tagged 26
create rspan vlan vlan_name rspanvlan
config rspan vlan vlan_name rspanvlan redirect add port 1
enable rspan

При данных настройках весь трафик Comp A будет попадать на Sniffer

Пример использования RSPAN

Слайд 18

6.4 Диагностика кабеля

6.4 Диагностика кабеля

Слайд 19

Диагностика кабеля (Cable Diagnostics)

25 метров

обрыв
на 8 метрах

15 метров

Функция диагностики кабеля позволяет
оперативно

Диагностика кабеля (Cable Diagnostics) 25 метров обрыв на 8 метрах 15 метров
узнавать информацию о состоянии кабельной системы, в том числе определять длину кабеля между коммутатором и клиентом, а также с довольно большой точностью* находить место возникновения неисправности

* Отклонение результата измерения диагностики кабеля от фактического значения
не превышает 5-ти метров

Слайд 20

Результаты работы функции диагностики кабеля

Результаты работы функции диагностики кабеля могут быть

Результаты работы функции диагностики кабеля Результаты работы функции диагностики кабеля могут быть
следующими:
OK: кабель исправен.
Open: обрыв кабеля на указанной позиции.
Short: короткое замыкание на указанной позиции.
Open-Short: не удалось установить точную причину возникновения неисправности: короткое замыкание, либо обрыв на указанной позиции. Диагностику кабеля лучше провести повторно.
Crosstalk: неисправность вызвана наличием перекрестных помех на указанном участке.
Unknown: не удалось получить информацию о состоянии кабеля. Диагностику кабеля лучше провести повторно.
No Cable: кабель не подключен.

Важно: при запуске диагностики кабеля на гигабитных портах происходит
кратковременное отключение линка, поэтому нужно с осторожностью
использовать этот функционал на портах, которыми коммутаторы соединены
между собой.

Слайд 21

В качестве примера произведем диагностику кабеля на 1 и 9 портах коммутатора:
Как

В качестве примера произведем диагностику кабеля на 1 и 9 портах коммутатора:
видно из результата работы функции кабель, подключенный в первый порт коммутатора, исправен. Длина его составляет 1 метр.
В девятый порт коммутатора кабель не подключен.

Примеры работы функции диагностики кабеля

Слайд 22

6.3 LLDP (802.1ab)

6.3 LLDP (802.1ab)

Слайд 23

LLDP определяет стандартный метод для устройств в сети Ethernet, таких как коммутаторы,

LLDP определяет стандартный метод для устройств в сети Ethernet, таких как коммутаторы,
маршрутизаторы и беспроводные точки доступа, с помощью которого устройства распространяют информацию о себе среди других узлов в сети и сохраняют полученные данные. В частности, LLDP определяет набор общих информационных сообщений, протокол для их передачи и метод хранения. Множество таких сообщений посылается устройством через локальную сеть с помощью одного пакета в форме поля «тип, длина, значение». Все LLDP-устройства должны обязательно поддерживать сообщения с идентификаторами шасси (chassis ID) и портов (port ID) а также такие параметры, как системное имя (system name), системный дескриптор (system descriptor) и системные возможности (system capabilities). Первые два из них обеспечивают полезную информацию для сбора инвентаризационных данных.

LLDP (802.1ab)

Слайд 24

Протоколом предусматривается передача данных только в одном направлении. То есть LLDP-устройства не

Протоколом предусматривается передача данных только в одном направлении. То есть LLDP-устройства не
обмениваются информацией в режиме запрос–ответ, а также не подтверждают ее получение. Каждый LLDP-пакет должен содержать четыре обязательных TLV:
chassis ID TLV: идентифицирует шасси устройств LAN 802;
port ID TLV: идентифицирует порт, через который передается LLDP-пакет;
TTL TLV: указывает отрезок времени в секундах, в течение которого полученная информация актуальна;
end of TLV: определяет конец TLV.

01:80:c2:00:00:0e
01:80:c2:00:00:03
01:80:c2:00:00:00

Количество дополнительных полей может зависеть как от типа оборудования так и от его настроек

LLDP (802.1ab)

Слайд 25

Вот так выглядит LLDP пакет в пакетном анализаторе wireshark

Chassis ID

Port ID

TTL

End of

Вот так выглядит LLDP пакет в пакетном анализаторе wireshark Chassis ID Port
TLV

LLDP (802.1ab)

Слайд 26

Устройство с поддержкой LLDP может работать в 3-х режимах:
-Только приём: Устройство может

Устройство с поддержкой LLDP может работать в 3-х режимах: -Только приём: Устройство
принимать и анализировать LLDP пакеты, поступающие на него, но не может ничего отослать
-Только передача: Устройство может рассылать LLDP пакеты, но не принимает их
-Приём и передача: Устройство рассылает LLDP пакеты, а также анализирует пакеты, принимаемые от друих устройств в сети.

LLDP (802.1ab)

Слайд 27

LLDP (802.1ab)

# Включаем поддержку LLDP
enable lldp
# Задаём интервал отсылки пакетов
config lldp

LLDP (802.1ab) # Включаем поддержку LLDP enable lldp # Задаём интервал отсылки
message_tx_interval 30
# Задаём работу в режиме приёма и отправки
config lldp ports 1-28 admin_status tx_and_rx
# Задаём какие дополнительные параметры будут добавляться в LLDP пакет
config lldp ports 1-28 basic_tlvs port_description system_name system_description system_capabilities enable

Слайд 28

LLDP (802.1ab)

DES-3028:4#show lldp remote_ports 24
Command: show lldp remote_ports 24
Port ID :

LLDP (802.1ab) DES-3028:4#show lldp remote_ports 24 Command: show lldp remote_ports 24 Port
24
---------------------------------------------------------------------------
Remote Entities Count : 1
Entity 1
Chassis Id Subtype : MAC Address
Chassis Id : 00-15-E9-AC-D7-EB
Port Id Subtype : Local
Port ID : 1/24
Port Description : DES-3526 port 24 descr
System Name : D-Link
System Description : Fast Ethernet Switch
System Capabilities : Repeater, Bridge
Management Address Count : 0
Port PVID : 0
PPVID Entries Count : 0

Пример отображения LLDP информации об удалённом устройстве

Слайд 29

6.4 Super VLAN

6.4 Super VLAN

Слайд 30

Позволяет собрать несколько клиентских vlan на одном L3 интерфейсе, который является шлюзом

Позволяет собрать несколько клиентских vlan на одном L3 интерфейсе, который является шлюзом
(gateway) для хостов.
Удобно при реализации схемы «vlan на пользователя».
Экономится адресное пространство – пользователи, находящиеся в разных L2 сегментах (каждый в отдельном vlan), находятся в одной L3 сети (у всех адрес из одной подсети, к примеру – 192.168.0.0/24) – нет необходимости на каждого выделять свою подсеть и шлюз.
Механизм Proxy ARP позволяет хостам различных клиентских vlan общаться между собой через шлюз.
Работает совместно в DHCP Relay

Super VLAN

Слайд 31

Коммутатор А:
config vlan default delete 1-24
create vlan v100 tag 100
config vlan v100

Коммутатор А: config vlan default delete 1-24 create vlan v100 tag 100
add tagged 1
create vlan v200 tag 200
config vlan v200 add tagged 2
create vlan sv1000 tag 1000
create super_vlan sv1000
config super_vlan sv1000 add sub_vlan 100
config super_vlan sv1000 add sub_vlan 200
config sub_vlan v100 add ip_range 192.168.0.2 to 192.168.0.127
config sub_vlan v200 add ip_range 192.168.0.128 to 192.168.0.254
create ipif svi1000 192.168.0.1/24 sv1000 state enable

Трафик с DES-3200 - тегирован
Пользователи v100 и v200 находяится в разных vlan, но имеют один шлюз по умолчанию – svi1000

Пример использования Super VLAN

Имя файла: Расширенные-функции.pptx
Количество просмотров: 42
Количество скачиваний: 0