最初に、ネットワーク構築の階層モデルとは何か、各レベルでハングアップすることが推奨される機能、およびネットワークの正確な配置方法について簡単に説明します。この例では、スイッチ設定の概要を説明します。 それでは、提案された要件に基づいてスイッチを構成してください。
階層的ネットワーク構築モデル
そのため、スイッチングネットワークを構築する階層モデルには、アクセスレイヤー(アクセスレイヤー)、 集約レベル (ディストリビューションレイヤー) 、コアレベル (コアレイヤー)の3つのレベルがあります。 レベルに分割することで、ネットワークの扱いやすさが大幅に向上します。ネットワークの安定性が簡素化され、デバイスの構成が容易になり、冗長性の導入、ネットワークの設計などが容易になります。
各レベルには特定の機能セットが必要であるため、アクセスレベル(プロバイダーのネットワーク内)では、デバイスが必要です。
- 100 Mbpsでエンドユーザーを接続する
- 1 Gb / sディストリビューションレイヤースイッチへの接続(できればSFP経由)
- VLANサポート
- ポートセキュリティサポート
- ACLサポート
- 他のセキュリティ機能(ループバック検出、ストーム制御、bpduフィルタリングなど)のサポート
プロバイダーのネットワークに関して、次の画像が取得されます。
- 住宅 -アクセスレベルスイッチ
- microdistrictはディストリビューションレベルスイッチであり、別々の家を接続します
- DPC-コアレベルスイッチ、個々の微小区域を接続します
分割レベル、特にコアレベルでは、原則として、高度なシスコスイッチやジュニパースイッチが機能しますが、アクセスレベルに安価なハードウェアを配置する必要があります。 通常、これはD-Link (またはLinksysまたはPlanet )です。
ネットワークデバイスに関するいくつかの言葉
そのため、最初の近似としてアクセスレベルを使用して、スイッチの直接構成に移る前に、スイッチを動作させるためのネットワークの配置について少し説明しました。
まず、ユーザーごとにVLANを使用しません。 ネットワークは非常に古く、Q-in-Qがまだ標準ではなかったときに構築され始めたため、古い機器のほとんどは二重タグ付けをサポートしていません。
次に、PPPoEを使用します。 DHCPを使用しないでください。 つまり、クライアントはPPPプロトコルを介して1つのホワイトアドレスを受信し、ホームネットワークはクラスとして存在しません。
第三に、すべてのスイッチは専用の個別のVLANにのみ存在し、すべてのホームPPPoEクライアントも1つのVLANに存在します。
スイッチ構成
実験的なスイッチとして、 D-Link DES-3200-10を使用します。
- 私たちの街では、D-Linkを購入するのが最も簡単なので、このブランドはPlanet、Linksys、および他の競合他社よりも好まれます。
- このスイッチには、必要なすべての機能があります。
それでは、行きましょう。 上記のD-Linkモデルに対してすべてのコマンドが提供されますが、別のベンダーのデバイスで同じことを行うことは難しくありません。
アクセスレベルスイッチの上記の要件に基づいて、その上で設定する内容を正確に定式化して実行します。
そして、必要に応じて...
2つのVLANを作成します。1つはクライアント用で、もう1つはスイッチの管理とスイッチポートへの割り当て用です。 100メガビットポート-クライアント、ギガビットポート-アップリンク。
create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10
ポート上で複数のMACアドレスを禁止することによりポートセキュリティを構成します(このようにして、クライアントがルーターではなくプロバイダーのネットワークに接続し、ホームネットワークのブロードキャストドメインをプロバイダーのブロードキャストドメインにマージする、望ましくない潜在的に危険な状況に対処します)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout
ユーザーがネットワーク内のBPDUプロバイダーパケットをだめにできないように、クライアントポートでSTPを無効にする
config stp version rstp
config stp ports 1-8 fbpdu disable state disable
1)パケットを反射するバグのあるネットワークカードと2)2番目のレベルのアパートでリングを作成するユーザーがネットワークに干渉しないように、ループバック検出を設定します。
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable
USER VLANでの非PPPoEパケットの通過を禁止するACLを作成します(DHCP、IP、ARP、およびユーザーがPPPoEサーバーを無視して互いに直接通信できるようにする他のすべての不要なプロトコルをブロックします)。
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny
クライアントポートからのPPPoE PADOパケットを禁止するACLを作成します(偽のPPPoEサーバーをブロックします)。
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny
最後に、STORM Controlを有効にして、ブロードキャストおよびマルチキャストの洪水に対処します。 PPPoE以外のトラフィックを禁止することで、この問題をすでに解決しているように見えるかもしれませんが、しかしあります。 PPPoEでは、(PPPoEサーバーを検索するための)最初の要求はブロードキャストによって送信されます。グリッチ、ウイルス、またはその他の理由によりクライアント機器が集中的にそのような要求を送信すると、ネットワークが完全に無効になる場合があります。
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5
したがって、フラットネットワークに固有の多くの問題を解決します-偽のDHCPおよびPPPoEサーバー(多くの場合、意図的ではなく、知識ではなく、悪意はありませんが、他のクライアントは仕事に干渉します)、ブロードキャストストーム、バグのあるネットワークカード、他のもの。