Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, … · 2011-07-26 ·...

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz D-Link Polska, Marzec 2010

Internet

+ operator VoIP

Stacja czołowa IPTV

STB

Telefon

PC

DES-3028 (Access_2)

DGS-3100-24TG (Aggregate_1)

DES-3550 (Access_3)

DES-3200-18 (Access_1)

DGS-3627G (Core_1)

DGS-3627 (Core_3)

DGS-3627 (Core_2)

Szkielet L3

Mieszkanie klienta

172.16.0.1/24

v121 – Internet + VoIP

24 21

2223

192.168.1.1/24

v122 - IPTV

192.168.1.2/24

RP (Randevous Point)

główny

CBSR, CRP,

prior 10

192.168.2.1/24

v123

192.168.3.1/24

v124

DGS-3627(G) - fw: 2.55B06

DES-3200-18 – fw: 1.10B21

DGS-3100-24TG – fw: 3.00.43

DES-3550 – fw: 5.01

DES-3028 – fw: 2.50B08

Loopback:

172.20.0.1/32

Loopback:

172.20.0.2/32Loopback:

172.20.0.3/32

192.168.2.2/24

v123

OSPF passive

OSPF passive

13 13

2121

192.168.6.1/24

v125

192.168.6.2/24

v125

192.168.3.2/24

v124

11

Porty 1-12 192.168.4.1/24, v200 – Internet + VoIP

192.168.7.1/24, v201 – IPTV

192.168.10.1/24, v999 – CPE Mgmt

17

2

49

VLAN zarządzania:

172.21.0.2/28, v997

Gateway: 172.21.0.1

VLAN zarządzania:

172.21.0.18/28, v997

Gateway: 172.21.0.17

VLAN zarządzania:

172.21.0.20/28, v997

Gateway: 172.21.0.17

v200 – Internet + VoIP

v201 – IPTV

V999 – CPE Mgmt

192.168.5.1/24, v200 – Internet

192.168.8.1/24, v201 – IPTV

192.168.9.1/24, v202 – VoIP

192.168.11.1/24, v999 – CPE Mgmt

VLAN zarządzania:

172.21.0.19/28, v997

Gateway: 172.21.0.17

Porty 1-12

TV

DIR-100 B1,

DVG-G5402SP,

DES-3200-10,

DES-3010F/G

Bramka VoIPOpcjonalna gdy nie

ma routera VoIP

Mieszkanie klienta

Routing

Dostęp i agregacja L2

v200 - Internet

v201 – IPTV

v202 – VoIP

v999 – CPE Mgmt

OSPF passive

2

v200 - Internet

v201 – IPTV

v202 – VoIP

v999 – CPE Mgmt

v200 - Internet

v201 – IPTV

v202 – VoIP

v999 -CPE Mgmt

Router OSPF

Serwer SIP:

np. sip.freeconet.pl

Multicast - 239.239.2.X:1234, gdzie X przyjmuje wartości od 1 do 9

1G

b F

O (

SM

, M

M)

25Sygnały (nietagowane, z priorytetami):

Internet, IPTV, VoIP

dostarczane są do klienta jednym VLAN

AP

Bramka VoIP Telefon

STB

TV

DIR-300,

DIR-600,

DIR-655,

DIR-825

DAP-1160,

DAP-1360,

DAP-1353

ISM VLAN (= MVR)

Sygnały (tagowane)

w osobnych VLAN

172.16.0.254/24

Serwer DHCP

dla v200

Serwer DHCP dla

v200, v201, v202, v999

Zarządzanie

VLAN zarządzania:

172.21.0.1/28, v997 VLAN zarządzania:

172.21.0.17/28, v997

Urządzenie z obsługą

VLAN na WAN oraz

IGMP snooping

172.16.0.200/2420

chroni przed rozgłaszaniem

routingu na krawędź

Dowolny router

z IGMP snooping

bez obsługi VLAN

1

CBSR, CRP,

prior 20

RP (Randevous Point)

zapasowy

15 i 17

Router OSPF

konfiguracja typ II

192.168.3.254/24OSPF: PIM-SM

Int: LAN

Int: DMZ

Porty 1-12

PC

13

STB-Motorola

14

Stacja czołowa IPTV192.168.3.2/24

Te

rmin

acja

Op

en

VP

N z

SG

T –

tylk

o te

sto

wo

Serwer DHCP dla

v200, v201, v202, v999



Opis topologii

Przedstawiona sieć została stworzona w celu prezentacji możliwości urządzeń

D-Linka w środowisku operatorskim w przypadku świadczenia usług TriplePlay (IPTV, VoIP, Internet Access).

Topologia została stworzona i przetestowana w laboratorium D-Linka w Warszawie. Dzięki uprzejmości firmy SGT i dużej pomocy p. Krzysztofa Posmyka udało się

włączyć do projektu odbiorniki STB (Zyxel STB-1001H oraz Motorola VIP1910-9) a następnie dostarczyć do nich strumień usługi Jambox.

Przełączniki użyte w opisywanej sieci to przedstawiciele serii najbardziej popularnych wśród operatorów ISP serii EntryLevel oraz xStack.

W topologii istnieją trzy warstwy: szkielet 1Gb/SFP (opcja 10G), dystrybucja 1Gb/SFP, dostęp FastEthernet oraz – dodatkowo - urządzenia końcowe CPE.

Szkielet: DGS-3627(G) - firmware 2.55B06

Dystrybucja: DGS-3100-24TG – firmware: 3.00.43 Dostęp: DES-3200-18 – firmware: 1.10B21 Dostęp: DES-3550 – firmware: 5.01

Dostęp: DES-3028 – firmware: 2.50B08

Szkielet sieci (DGS-3600_Core) stanowią połączone w trójkąt przełączniki gigabitowe warstwy 3. Uruchomiono na nich protokoły routingu OSPF oraz PIM-SM. Pakiety

kontrolne OSPF nie są przekazywane do części dystrybucyjnej i dostępowej. W szkielecie (Core_2 i Core_3) skonfigurowane są też serwery DHCP dla przyłączonych

urządzeń klienckich. Tutaj także przyłączony jest dodatkowy lokalny serwer strumieni multicast (oprogramowanie VLC) serwujący strumień w grupie 239.239.2.1:1234. Zewnętrzny

strumień multicast dla telewizji Jambox oraz usługą VoIP jest dostępna poprzez Internet.

Notatka: Na rysunku linią przerywaną zaznaczony jest router oraz loklany serwer multicastu podłączone do Core_3 – jest to alternatywna, uproszczona topologia,

zakładająca istnienie jednego szkieletowego przełącznika DGS-3627 (Core_3) i jednej gałęzi np. z DGS-3100-24TG (Aggregate_1) i DES-3028 (access_2). Można na nią przejść przepinając router DFL-800 i lokalny serwer multicastu

do portów kolejno 15 i 17 przełącznika DGS-3627_Core_3) i zwalniając uplinki z portów 2, 13 i 2. W routerze po stronie lokalnej użyty został port DMZ (zamiast

LAN, jako połączenie do innej częsci sieci). Na maszynie pełniącej rolę serwera multicast należy zmienić adres IP (192.168.3.254/24, gw 192.168.3.1) dostosowując go tym samym do adresacji w tej części sieci.



Sieć zabezpieczona jest routerem/zaporą sieciową serii NetDefend DFL-800.

Dostępne są także wydajniejsze urządzenia z modułami UTM (IDS/IPS, AV, WCF, Antispam): DFL-1660, DFL-2560 oraz DFL-2560G – posiadający interfejsy SFP.

Ruch z warstwy szkieletowej segregowany jest w VLANy i przesyłany aż do warstwy

dostępowej. Wydzielono osobne sieci VLAN dla ruchu IPTV, VoIP, oraz Internet i zarządzania przełącznikami, a także zarządzania urządzeniami CPE. Do VLANów

zarządzających nie można uzyskać dostępu od strony klienckiej. Na przełącznikach dostępowych skonfigurowano przykładowe, najbardziej

interesujące mechanizmy zabezpieczeń i kontroli dostępu dla krawędzi sieci LAN. Można wybrać dowolne mechanizmy z kilku gałęzi i zaimplementować je we własnych sieciach.

Blokada (za pomocą reguł ACL) dostępu do zarządzania przełącznikami

IMPB (IP-MAC-Port Binding) + DHCP snooping => klient uzyska dostęp do

sieci jedynie, gdy pobierze adres IP z serwera DHCP operatora. Statyczna

adresacja maszyn klienckich nie jest możliwa i będzie filtrowana. Para dynamicznie przyznanych IP oraz MAC klienta jest zapamiętywana na

fizycznym porcie przełącznika

DHCP Server Screening => ochrona przed działaniem obcych serwerów DHCP

na portach klienckich mogących powodować zakłócenia w przyznawaniu adresów IP w sieci

ISM VLAN (IGMP Snooping Multicast VLAN) => znana także jako Cisco MVR –

umożliwiająca zaoszczędzenie pasma na połączeniach uplink z przełączników

dostępowych poprzez przesyłanie tylko jednej kopii strumienia multicast w przypadku, gdy klienci znajdują się w niezależnych sieciach VLAN

Safeguard Engine => ochrona procesora przełącznika przed ruchem typu

multicast i broadcast intensywnie obciążającym CPU

Traffic Control => ograniczenie przed zalewaniem sieci operatorskiej

klienckimi pakietami broadcast, unicast i multicast

ARP Spoofing => ochrona uniemożliwiająca podszycie się klienta pod adres IP

oraz MAC bramy w sieci, co zapobiega atakom typu Man-In-The-Middle

Priorytet na ruch VoIP => na podstawie adresu IP serwera SIP

Port Security => ograniczenie jednoczesnego wystąpienia dużej liczby

adresów MAC na porcie przełącznika, co zapobiega atakom typu MAC Flood

Loopback Detection => funkcjonalność pozwalająca na wykrycie w sieci klienta zapętlenia (co powoduje generowanie dużej liczby pakietów

broadcast/multicast do sieci operatora) i wyłączenie portu klienckiego



Po stronie klienta, jako jako urządzenie CPE można użyć kilkuportowy przełącznik

z potrzebnymi funkcjonalnościami takimi jak: uplinki SFP, obsługa VLAN i IGMP Snooping.

Np. przełącznik serii DES-3200 lub też router DIR-100/PL z alternatywnym firmware pozwalającym uzyskać funkcjonalność VLAN Switch (5-portowy zarządzalny

przełącznik z obsługą VLAN i MVR).

Dobrym rozwiązaniem może być również DVG-G5402SP (bezprzewodowy router VoIP z obsługą 4 VLAN) ze specjalnym, dostosowanym pod ISP firmware (dostępny na

ftp://ftp.dlink.pl/dvg/dvg-g5402sp/driver_software/DVG-G5402SP_fw_B1_4VLAN_ACL_all_en_20100127.rar)

W topologii bazowej znajdują się trzy gałęzie dostępowe, warstwy 2:

(1) Zbudowana na DES-3200-18 (2) Zbudowana na DGS-3100-24TG oraz na DES-3028 (3) Zbudowana na DES-3526/50

Pierwsza gałąź (1) zawiera konfigurację bazującą na dwóch sieciach VLAN dostarczanych do warstwy dostępowej. W jednej sieci VLAN dostarczany jest Internet i VoIP (v200), a w drugiej – strumień multicast IPTV (v201). Porty klienckie

są nietagowane i należą do VLAN v200.

Na przełączniku DES-3200-18 skonfigurowany jest ISM VLAN mający zastosowanie w przypadku, gdy każdy klient znajduje się w osobnym VLAN. ISM VLAN kopiuje strumień multicastowy docierający do przełącznika wydzielonym do tego VLANem

(v201), na porty klienckie, któ®e w danej chwili zgłosiły chęć jego odbierania. Dla uproszczenia bazowej konfiguracji założono, że wszyscy klienci znajdują się w tej

samej sieci VLAN oraz, że wszystkie usługi serwowane są klientowi za pomocą nietagowanego portu. Klient może dzięki temu użyć dowolnego urządzenia CPE – np. routera Wi-Fi do terminacji Internetu , bramki/telefonu SIP oraz STB podłączonych

pod interfejsy routera - do terminacji kolejno VoIP i IPTV. Dla ruchu VoIP, bazując na adresie IP serwera SIP został nadany priorytet 5

(802.1p).

Druga gałąź (2) zakłada istnienie osobnych VLAN dla każdego typu dostarczanego ruchu. Przełącznik DGS-3100-24TG posiadający 16 portów SFP pełni tu rolę

przełącznika agregującego połączenia światłowodowe i został użyty jako przełącznik tranzytowy.

Jako przełącznik dostępowy został użyty DES-3028. Jest to jeden z najpopularniejszych przełączników brzegowych D-Linka serii Entry-Level.

Porty klienckie przełącznika są skonfigurowane jako tagowane i przenoszą 4 VLANy: v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management. Port pełniący funkcję

Uplink dodatkowo zawiera VLAN v997-Management służący do zarządzania samym przełącznikiem.



Notatka: Na rysunku do portów 13 i 14 DES-3028 jest przerywaną linią dołączony serwer terminujacy połączenie OpenVPN od SGT do STB Motoroli. Jest to dodatek

testowy/pokazowy dla potrzeb dostarczania rzeczywistego ruchu multicastowego telewizji Jambox na STB Motoroli.

W lokalu u klienta musi istnieć urządzenie CPE potrafiące terminować VLANy tagowane na jednym porcie (np. na WAN gdy jest to router).

W konfiguracji bazowej jest to router DIR-100/PL (H/W:B1) z firmware VLAN switch.

Wersja B1 umożliwia załadowanie firmware o funkcjonalności VLAN Switch lub TP Router. Te wersje firmware znajdują się na serwerze ftp D-Link:

ftp://ftp.dlink.pl/dir/dir-100/driver_software/ Firmware VLAN switch posiada obsługę VLAN 802.1q oraz mechanizm IGMP

Snooping v2 i MVR.

Poniżej zamieszczono ekrany konfiguracyjne routera DIR-100 (B1). Router jest

zarządzany jedynie zdalnie po VLAN v999 na adresie 192.168.11.2/24.



Trzecia gałąź (3) - dostępowa zawiera przełącznik serii xStack DES-3550. W sieciach

ISP bardzo często używa się również wersji 24 portowej -DES-3526 lub DES-3528. Gałąź ta jest kopią gałęzi drugiej z tą różnicą, że nie zawiera przełącznika agregującego.

Wszystkie usługi są dostarczane do lokalu klienta po dedykowanych do tego celu sieciach VLAN (v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management) –

zatem u klienta musi zostać zainstalowany sprzęt CPE z obsługą VLAN 802.1q.



Konfiguracja przełączników D-Link użytych w koncepcji sieci ISP Wszystkie pliki wraz z użytymi firmware i gotowymi plikami konfiguracji – wprost do

załadowania na przełączniki i router znajdują się na ftp://ftp.dlink.pl/_konfiguracje/Koncepcja_D-Link_ISP_Triple_Play/pliki_config.rar

Konfiguracja przełącznika szkieletowego L3 DGS-3627G_Core_1 config command_prompt core_1

# VLANy

# usuniecie wszystkich portow z VLAN ID 1

config vlan default delete 1-27

# wprowadzenie internetu z DFL

create vlan internet tag 121

config vlan internet add untagged 20,24

config ipif System vlan internet ipaddress 172.16.0.1/24

# wprowadzenie multicastu ze stacji czolowej

create vlan iptv tag 122

config vlan iptv add untagged 21

create ipif iptv 192.168.1.1/24 iptv

# polaczenie core1-core2

create vlan v123 tag 123

config vlan v123 add tagged 22

create ipif v123 192.168.2.1/24 v123




create ipif v124 192.168.3.1/24 v124

# Loopback

create loopback ipif Loopback 172.20.0.1/32 state enable

# OSPF

config ospf all area 0.0.0.0 state enable passive disable

# dla interfejsu "iptv" tryb pracy pasywnej - zabezpiecza przed rozgłaszaniem

# pakietów protokołu OSPF do podsieci klienckich

config ospf ipif iptv passive enable

config ospf router_id 172.20.0.1

enable ospf



# PIM-SM

config pim ipif iptv state enable mode sm

config pim ipif v123 state enable mode sm


# automatyczna elekcja Bootstrap Router

config pim cbsr ipif iptv priority 10

# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8

config pim crp priority 10

create pim crp group 239.0.0.0/8 rp iptv

enable pim

# IGMP

# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi

# IGMPv3 - np. DES-3028

config igmp ipif iptv state enable version 2

# Security

# Safeguard Engine

# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100

# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU

config safeguard_engine state enable utilization rising 100 falling 60 trap_log

enable mode fuzzy

Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_2

config command_prompt core_2

# VLANy






config ipif System ipaddress 192.168.2.2/24 vlan v123




create ipif v125 192.168.6.1/24 v125

# VLAN dla internetu do klientow


config vlan internet add tagged 1-12

create ipif internet 192.168.4.1/24 internet



# VLAN dla IPTV do klientow


config vlan iptv add tagged 1-12


# VLAN dla zarzadzania przelacznikami L2

create vlan mgmt tag 997

config vlan mgmt add tag 1-12

create ipif mgmt 172.21.0.1/28 mgmt

# VLAN dla zarzadzania CPE

create vlan CPEmgmt tag 999

config vlan CPEmgmt add tagged 1-12

create ipif CPEmgmt 192.168.10.1/24 CPEmgmt

# Loopback


# OSPF


# dla interfejsow "iptv", "mgmt", "CPEmgmt" i "internet" tryb pracy pasywnej –

# zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do podsieci

# klienckich


config ospf ipif internet passive enable

config ospf ipif mgmt passive enable

config ospf ipif CPEmgmt passive enable


enable ospf

# PIM-SM

config pim ipif System state enable mode sm



# automatyczne przelaczenie na ruchu multicast na SPT

config pim last_hop_spt_switchover immediately

enable pim

# IGMP


IGMPv3 - np. DES-3028


# IGMP Snooping

# pozwala na filtrowanie niechcianego multicastu na portach i nie podawanie go

# w dol sieci

config igmp_snooping vlan iptv state enable

enable igmp_snooping

config multicast filtering_mode iptv filter_unregistered_groups



# DHCP server

# przydzielanie adresow z serwera DHCP na podsieci internetowej

create dhcp pool internet

config dhcp pool network_addr internet 192.168.4.0/24

config dhcp pool default_router internet 192.168.4.1

config dhcp pool dns_server_address internet 4.2.2.3

enable dhcp_server

# Security

# Safeguard Engine




enable mode fuzzy

Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_3

config command_prompt core_3

# VLANy






config ipif System ipaddress 192.168.3.2/24 vlan v124

# port 15 i 17 (untag) do bezposredniego dolaczenia DFL via DMZ oraz serwera

# Multicast

config vlan v124 add untagged 15,17




create ipif v125 192.168.6.2/24 v125

# VLAN dla internetu do klientow



create ipif internet 192.168.5.1/24 internet

# VLAN dla IPTV do klientow






# VLAN dla VoIP do klientow

create vlan voip tag 202

config vlan voip add tagged 1-12

create ipif voip 192.168.9.1/24 voip

# VLAN dla zarzadzania przelacznikami L2


config vlan mgmt add tagged 1-12

create ipif mgmt 172.21.0.17/28 mgmt

# VLAN dla zarzadzania CPE



create ipif CPEmgmt 192.168.11.1/24 CPEmgmt

# Loopback


# OSPF


# dla interfejsow "iptv", "voip", "mgmt", "CPEmgmt" i "internet" tryb pracy

# pasywnej - zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do

# podsieci klienckich


config ospf ipif internet passive enable

config ospf ipif voip passive enable

config ospf ipif mgmt passive enable

config ospf ipif CPEmgmn passive enable


enable ospf

# PIM-SM

config pim ipif System state enable mode sm



# automatyczne przelaczenie na ruchu multicast na SPT

config pim last_hop_spt_switchover immediately

# automatyczna elekcja Bootstrap Router

config pim cbsr ipif System priority 20

# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8

config pim crp priority 20

create pim crp group 239.0.0.0/8 rp System

enable pim

# IGMP


config igmp ipif System state enable version 2



# IGMP Snooping


# IGMPv3 - np. DES-3028

config igmp_snooping vlan iptv state enable


config multicast filtering_mode iptv filter_unregistered_groups

# DHCP server

# przydzielanie adresow z serwera DHCP na podsieci internetowej

create dhcp pool internet

config dhcp pool network_addr internet 192.168.5.0/24

config dhcp pool default_router internet 192.168.5.1

config dhcp pool dns_server_address internet 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci iptv

create dhcp pool iptv

config dhcp pool network_addr iptv 192.168.8.1/24

config dhcp pool default_router iptv 192.168.8.1

config dhcp pool dns_server_address iptv 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci VoIP

create dhcp pool VoIP

config dhcp pool network_addr VoIP 192.168.9.1/24

config dhcp pool default_router VoIP 192.168.9.1

config dhcp pool dns_server_address VoIP 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci CPEmgmt

create dhcp pool CPEmgmt

config dhcp pool network_addr CPEmgmt 192.168.11.1/24

config dhcp pool default_router CPEmgmt 192.168.11.1

config dhcp pool dns_server_address CPEmgmt 4.2.2.3

# uruchomienie serwera DHCP

enable dhcp_server

# Security

# Safeguard Engine




enable mode fuzzy

Konfiguracja przełącznika dystrybucyjnego L2 DGS-3100-24TG_Aggregate_1

# VLANy








config vlan voip add tagged 1-24


config vlan mgmt add tagged 1-24



# zarzadzanie

# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt

config ipif System ipaddress 172.21.0.18/28 vlan mgmt

create iproute default 172.21.0.17

# IGMP Snooping

config igmp_snooping iptv state enable


# filtrowanie niezarejestrowanych grup multicast na portach klienckich

config multicast filtering_mode 1-12 filter_unregistered_groups

# Safeguard Engine



config safeguard_engine state enable rising 100 falling 60

Konfiguracja przełącznika dostępowego L2 DES-3028_Access_2

config command_prompt access_2

# VLANy



# stworzenie VLANow uslugowych


config vlan internet add tagged 1-12,15-25

config vlan internet add untagged 13


config vlan iptv add tagged 1-12,15-25


config vlan voip add tagged 1-12,15-25


config vlan mgmt add tagged 25


config vlan CPEmgmt add tagged 1-12,15-25



# STB Motorola - dodatkowy (testowy/pokazowy) VLAN do przylaczenia STB Motoroli

# + serwer OpenVPN

# 13 port - OpenVPN (Linux)

# 14 port - STB


config vlan v123 add untagged 14


# zarzadzanie




# IGMP Snooping

# ograniczenie liczby uczonych, poprzez sledzenie typu ruchu, grup

# multicastowych

# zapobiega wypelnianiu tablicy IGMP Snooping na przelacznikach poprzez

# wysylanie IGMP Join w VLANach innych, niz iptv - tam, gdzie IGMP Snooping

# jest wylaczony

config igmp_snooping data_driven_learning all aged_out enable

config igmp_snooping data_driven_learning max_learned_entry 1

# wlaczenie funkcjonalnosc Fast Leave dla VLANu iptv - pozwala na

# natychmiastowe zaprzestanie transmisji strumienia multicast po otrzymaniu

# komunikatu IGMP Leave

config igmp_snooping vlan_name iptv state enable fast_leave enable



config multicast port_filtering_mode 1-12 filter_unregistered_groups

config multicast port_filtering_mode 15-24 filter_unregistered_groups

# zapobieganie wysylaniu multicastu od klienta w gore sieci

config multicast port_filtering_mode 25 filter_unregistered_groups

config router_ports iptv add 25

config router_ports_forbidden iptv add 1-12


# Security

# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1

config access_profile profile_id 1 add access_id auto_assign ip destination_ip

172.21.0.0 port 1-24 deny

# Safeguard Engine




enable mode fuzzy



# Traffic Control

# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail

# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych

# przelacznikow w sieci

config traffic control 1-24 broadcast enable multicast enable unicast enable

action drop threshold 10000

Konfiguracja przełącznika dostępowego L2 DES-3200-18_Access_1


# VLANy



# stworzenie VLAN uslugowych


config vlan internet add tagged 17

config vlan internet add untagged 1-16



# zarzadzanie




# IGMP Snooping

# ograniczeni liczby uczonych poprzed sledzenie typu ruchu grup multicastowych

config igmp_snooping data_driven_learning all aged_out enable

config igmp_snooping data_driven_learning max_learned_entry 1


# IGMP Snooping Multicast VLAN

# pozwala na przesylanie calego ruchu multicast specjalnym VLANem do

# przelacznika

# przelacznik replikuje ten ruch na porty klienckie wg potrzeby - odpowiednik

# Cisco Multicast VLAN Registration

create igmp_snooping multicast_vlan iptv 201

config igmp_snooping multicast_vlan iptv add source_port 17 state enable

replace_source_ip 192.168.7.2

config igmp_snooping multicast_vlan iptv add member_port 1-16

enable igmp_snooping multicast_vlan




# config multicast port_filtering_mode 1-16 filter_unregistered_groups

# zapobieganie wysylaniu multicastu od klienta w gore sieci

config multicast port_filtering_mode 17 filter_unregistered_groups

config router_ports iptv add 17


# Priorytetyzacja ruchu

# priorytet 5 dla VoIP (dla ruchu do adresu IP 10.0.1.1 serwera SIP)



10.0.1.1 port 1-16 permit priority 5

# Security




172.21.0.0 port 1-16 deny

# ochrona przed ARP Spoofing bramy dla VLAN internet

config arp_spoofing_prevention add gateway_ip 192.168.4.1 gateway_ma 00-19-5B-

EF-F7-C2 ports 1-16

# ochrona przed MAC Flood

config port_security ports 1-16 admin_state enable max_learning_addr 5

lock_address_mode DeleteOnTimeout

# ochrona przed petla w sieci klienckiej

config loopdetect ports 1-16 state enabled

enable loopdetect

# Safeguard Engine

# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 #



enable mode fuzzy

# Traffic Control

# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail

# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych

# przelacznikow w sieci

config traffic control 1-16 broadcast enable multicast enable unicast enable

action drop threshold 10000



Konfiguracja przełącznika dostępowego L2 DES-3550_Access_3


# VLANy



# stworzenie VLAN uslugowych









# zarzadzanie




# IGMP Snooping

config igmp_snooping iptv state enable


# security




172.21.0.0 port 1-48 deny

# IPMB

# filtrowanie ruchu od klientow, ktorzy nie pobrali adresacji IP z serwera DHCP

# urzadzenie przepuszcza tylko ruch z par IP/MAC zgodnych z wynegocjowanymi

# podczas komunikacji z serwerem DHCP

config address_binding dhcp_snoop max_entry ports 1-48 limit 5

config address_binding ip_mac ports 1-24 state enable allow_zeroip enable

forward_dhcppkt enable stop_learning_threshlod 50

enable address_binding acl_mode

enable address_binding dhcp_snoop



# DHCP Server Screening, Netbios filtering

# filtrowanie nieautoryzowanych serwerow DHCP znajdujacych sie na portach

# klienckich

config filter dhcp_server ports 1-24 state enable

# filtrowanie ruchu NETBIOS na portach klienckich

config filter extensive_netbios 1-24 state enable

config filter netbios 1-24 state enable

# Safeguard



config safeguard_engine state enable cpu_utilization rising_threshold 100

falling_threshold 60 trap_log enable



Inżynierskim okiem, czyli co, gdzie i po co

1) OSPF

protokół OSPF jest wykorzystywany do automatycznej negocjacji optymalnych

(oczywiście z uwagi na poczynione założenia) tras routingu w sieci L3. Protokół OSPF powinien być włączony na każdym interfejsie, do którego przyłączona podsieć ma być rozgłaszana w sieci.

Jeśli jest to podsieć nie zawierająca dalszych routerów OSPF, to interfejs IP dla tej podsieci powinien być ustawiony w tryb Passive, co zapobiega rozgłaszaniu pakietów

kontrolnych OSPF do tej sieci.

2) PIM-SM

protokół PIM-Sparse Mode jest wykorzystywany do dostarczania strumieni multicast poprzez sieć L3 od jego źródła („first hop” router) do routera brzegowego („last hop” router) do którego przyłączony jest klient.

Protokół PIM powinien być włączony na każdym interfejsie, który może brać udział w przekazywaniu pakietów pomiędzy routerami bądź routerami

i serwerami/klientami. Protokół PIM do podejmowania decyzji wykorzystuje informacje zawarte

w unicastowej tablicy routingu na danym routerze (utworzonej albo statycznie, albo też poprzez protokoły routingu dynamicznego, np. typu OSPF) i przesyłany multicast jest routowany zgodnie z nią (a ściślej rzecz biorąc, każdy router multicastowy

filtruje docierający do niego strumień multicast w przypadku, gdy dociera on innym interfejsem, niż ten prowadzący do źródła wg unicastowej tablicy routingu).

Do poprawnego działania routingu multicastu via PIM wymagane jest więc poprawne działanie routingu unicastu.

3) Rendezvous Point (RP)

RP jest rolą, którą pełni jeden z interfejsów IP na jednym lub kilku routerach multicastowych mających załączony protokół PIM-SM.

Rolą RP jest dystrybucja multicastu pochodzącego z routera brzegowego przyłączonego bezpośrednio do źródła do routerów brzegowych do których

przyłączeni są klienci. Każda grupa multicast w sieci musi mieć określony swój RP – najczęściej konfiguruje się jeden i ten sam RP dla wszystkich przesyłanych w sieci grup multicastowych, lecz

nie jest to regułą i zależy od wielu czynników. Z uwagi na fakt, że protokół PIM-SM posługuje się m. in. timerem Register-

Suppression, w celu zminimalizowania ewentualnych opóźnień w docieraniu strumienia multicast ze źródła do routera pełniącego rolę RP zalecane jest skonfigurowanie RP na routerze pełniącym jednocześnie rolę routera „first-hop” dla

danej grupy multicast.



Każdy router pełniący rolę routera multicast w sieci powinien zawierać pełny zestaw informacji o położeniu routerów pełniących rolę RP dla wszystkich grup multicast

przesyłanych w tejże sieci. Takie informacje mogą zostać dodane na każdym routerze ręcznie (poprzez konfigurację Static RP) lub dystrybuowane automatycznie za pomocą desygnowanego routera pełniącego funkcję BootStrap Routera (BSR).

4) IGMP

protokół IGMP jest używany w celu umożliwienia klientom zgłoszenia ich chęci odbierania konkretnej grupy multicast do routera multicastowego znajdującego się na krawędzi tej części sieci, w której znajduje się ów klient („last hop” router).

Protokół IGMP powinien być włączony na każdym interfejsie IP routera (pełniącego funkcję routera multicastowego), do którego przyłączeni są klienci strumieni

multicast. Istnieją trzy wersje protokołu IGMP. Powszechnie używa się wersji 2 lub wersji 3. Niektórzy klienci oraz przełączniki dostępowe (L2) nie wspierają IGMPv3 (i w związku

z tym może nie działać na nich poprawnie funkcjonalność IGMP Snooping) więc na interfejsach klienckich routerów multicastowych używa się często protokołu IGMP

w wersji 2.

5) IGMP Snooping

funkcjonalność IGMP Snooping jest używana na poziomie portów fizycznych (bądź całych VLANów – w zależności od jej implementacji w konkretnym typie urządzenia) przełącznika i służy do filtrowania przepływającego ruchu multicast w warstwie L2

w taki sposób, aby transmisja multicast była wysyłana tylko przez te porty przełącznika, do których przyłączeni są klienci chcący w danej chwili tę transmisje

odbierać. Funkcjonalność IGMP Snooping powinna być załączona na VLANach na każdym przełączniku począwszy od „last hop” routera multicastowego na brzegu sieci L3

(na jego VLANach do których przyłączeni są klienci), poprzez wszystkie przełączniki agregacyjne i dostępowe L2, do których przyłączeni są klienci.



Podsumowanie Opracowanie to zawiera jedną z koncepcji budowy sieci dla operatora ISP, który chciałby świadczyć usługi TriplePlay, a w szczególności usługę IPTV przy

wykorzystaniu transmisji Multicast. Powyższe przykłady można modyfikować dostosowując je do rzeczywistych potrzeb.

Proszę traktować to opracowanie jako podstawową pomoc dla tych, którzy nie mieli jeszcze do czynienia z urządzeniami sieciowymi D-Link lub chcieliby poszerzyć swoją

wiedzę o przełącznikach i zaimplementowanych w nich mechanizmach. Należy jednak pamiętać, że dokument ten nie zawiera wszystkich mechanizmów

dostępnych na przełącznikach a jedynie te, które wydawały nam się najciekawsze i wyróżniają D-Linka na tle innych rozwiązań.

Mamy nadzieję, że otrzymamy od Państwa na ten temat wiele komentarzy co zaowocuje kolejnymi rozszerzonymi wersjami tego opracowania.

Z technicznym pozdrowieniem,

Marcin Wójcik

Bartosz Kiziukiewicz

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, … · 2011-07-26 ·...

Documents

Transcript of Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, … · 2011-07-26 ·...