Включение трассировки маршрута на устройствах D-Link DFL


1. Зайдите System > Advanced Settings > IP Settings и в выпадающем меню TTL on Low выберите значение Log.
2. Зайдите System > Advanced Settings > IP Settings > TTL Min - выставьте 1
3. Создать парвило пропускающее пакеты icmp
    Name:     allow_trace
    Action:    allow
    Src if:      lan
    Src Net:   lannet
    Dest if:    core
    Dest Net: all-nets
    Service:   ping-outbound

Типы ошибок на коммутаторах D-Link

 

CRC Error — ошибки проверки контрольной суммы


Undersize — возникают при получение фрейма размером 61-64 байта. Фрейм передается дальше, на работу не влияет


Oversize — возникают при получении пакета размером более 1518 байт и правильной контрольной суммой


Jabber — возникает при получении пакета размером более 1518 байт и имеющего ошибки в контрольной сумме


Drop Pkts — пакеты отброшенные в одном из трех случаев:
переполнение входного буфера на порту
пакеты, отброшенные ACL
проверка по VLAN на входе


Fragment — количество принятых кадров длиной менее 64 байт (без преамбулы и начального ограничителя кадра, но включая байты FCS — контрольной суммы) и содержащих ошибки FCS или ошибки выравнивания.


Excessive Deferral — количество пакетов, первая попытка отправки которых была отложена по причине занятости среды передачи.


Collision — возникают, когда две станции одновременно пытаются передать кадр данных по общей сред


Late Collision — возникают, если коллизия была обнаружена после передачи первых 64 байт пакета


Excessive Collision — возникают, если после возникновения коллизии последующие 16 попыток передачи пакета окончились неудачей. данный пакет больше не передается


Single Collision — единичная коллизия

Инструкция по настройке фильтрации IGMP потока на коммутаторах

D-Link DGS-3120-24TC

 

1.     Подсоединяемся к коммутатору в режиме управления с консоли по любому действующему протоколу (telnet, ssh, com-порт) с правами администратора и выполняем нижеследующие команды.

2.     #config igmp_snooping  all  state  enable

3.     #enable igmp_snooping 

4.     #config multicast vlan_filtering_mode  all  filter_unregistered_groups

5.     Создаём профиль фильтрации мультикаста:

#create mcast_filter_profile ipv4 profile_id <указываем номер профиля>  profile_name <указываем имя профиля>

6.     Создаём правило фильтрации:

onfig   mcast_filter_profile  profile_id <указываем номер действующего профиля> add  <ip-address>

7.     Применяем созданное правило к VLAN:

#config limited_multicast_addr  vlanid  <номер VLAN к которому применяется правило> add profile_id  <номер профиля созданного для фильтрации данного VLAN>   access | deny ( выбираем deny, т.к. по умолчанию действует разрешительная политика).

8.     После применения настроек проверяем действуют ли правила фильтрации. В случае положительного результата сохраняем настройки командой: # save

Постановка задачи: В наличии источник multicast-трафика, имеются также  потребители multicast траффика. По разным причинам, потребителям требуется постоянное multicast-вещание  определённых каналов от источника, а не всех сразу. Дополнительным условием является независимость потребителей друг от друга, т.е. чтобы от потребителей не приходило постороннего трафика друг другу и источнику. Потребители также ставят условия: никакой PIM-маршрутизации, только уровень L2.

Настройку я буду описывать для коммутаторов D-Link: DGS-1024C и DGS-3420-24TC. В данной схеме можно использовать и другие коммутаторы. Опишу особенности использования:

-                    коммутаторы должны быть гигабитными, если скорость multicast потока больше или равно 100Мб/сек;

-                    первый коммутатор может быть и управляемым;

-                    второй коммутатор должен поддерживать функции traffic segmetion и ACL по ip-address.

1.     Соединяем элементы тракта согласно схеме:

 

2.     IPTV сервер непрерывно вещает следующие multicast группы: 234.0.0.1, 234.0.0.2, 234.0.0.3, порт вещания стандартный: 1234. Пользователь 1 будет получать группу 234.0.0.1, Пользователь 2 будет получать группы 234.0.0.1 и 234.0.0.2, Пользователь 3 будет получать все группы от сервера IPTV.

3.     Подключаемся к DGS-3120-24TC по консольному кабелю.

4.     Считаем, что все настройки на DGS-3120-24TC сброшены в дефолт.

5.     Создаём три VLAN:

#create vlan vlanid 100

#create vlan vlanid 200

#create vlan vlanid 300

 

6.     Удаляем все порты из vlan по-умолчанию:

#config vlan default delete 1-26

 

7.     Добавляем соответствующие порты в соответствующие vlan:

#config vlan vlanid 100 add untagged 1-2

#config vlan vlanid 200 add untagged 3-4

#config vlan vlanid 300 add untagged 5-6

 

Можно обойтись и без vlan.

 

8.     Настраиваем сегментацию траффика:

#config traffic_segmentation all forward_list null – запрещаем всем портам передавать какой-либо траффик между собой

#config traffic_segmentation 1 forward_list 2 – разрешаем порту 1 передавать траффик на порт 2

#config traffic_segmentation 3 forward_list 4 – разрешаем порту 3 передавать траффик на порт 4

#config traffic_segmentation 5 forward_list 6 – разрешаем порту 5 передавать траффик на порт 6

 

9.   Создаём два профиля, одним профилем мы будем разрешать мультикаст трафик, а другим мы полностью запретил не разрешённый мультикаст трафик.

#create access_profile profile_id 1 profile_name multicast01 ip destination_ip_mask 255.255.255.255 udp dst_port_mask 0x0     – создаём профиль ACL для разрешения мультикаста

 

#create access_profile profile_id 2 profile_name multicast02 ip destination_ip_mask 240.0.0.0 udp dst_port_mask 0x0 – создаём профиль ACL для запрета неразрешённого мультикаста

 

 

Настраиваем фильтрацию multicast траффика. Правила фильтрации нужно применять к «входящим» портам DGS-3120-24TC. В нашем случае это порты 1, 3, 5.

Для пользователя 1:

#config access_profile profile_id 1 add access_id auto_assign ip destination 234.0.0.1 udp dst_port 1234 port 1 permit

#config access_profile profile_id 2 add access_id auto_assign ip destination 224.0.0.0 udp dst_port 1234 port 1 deny

 

Для пользователя 2:

#config access_profile profile_id 1 add access_id auto_assign ip destination 234.0.0.1 udp dst_port 1234 port 3 permit

#config access_profile profile_id  1 add access_id auto_assign ip destination 234.0.0.2 udp dst_port 1234 port 3 permit

#config access_profile profile_id 2 add access_id auto_assign ip destination 224.0.0.0 udp dst_port 1234 port 3 deny 

 

Для пользователя 3:

#config access_profile profile_id 1 add access_id auto_assign ip destination 234.0.0.1 udp dst_port 1234 port 5 permit

#config access_profile profile_id  1 add access_id auto_assign ip destination 234.0.0.2 udp dst_port 1234 port 5 permit

#config access_profile profile_id  1 add access_id auto_assign ip destination 234.0.0.3 udp dst_port 1234 port 5 permit

#config access_profile profile_id 2 add access_id auto_assign ip destination 224.0.0.0 udp dst_port 1234 port 5 deny 

 

 

10.  Сохраняем всё: # save all

 

Заключение: данный материал не претендует на оригинальность, кто-то может сделать и по-другому, это всего лишь то, что сделал лично я для себя J

 

 

Начальные условия: в наличии есть PIM-маршрутизатор, реализованный на оборудовании D-Link. Я опробовал данное решение на коммутаторах D-Link DGS-3120-24TC версия ПО  4.00.015 и DGS-3420-28SC версия ПО 3.00.B007.

В нашем оборудовании реализованны VLAN’s, один из которых является пользовательским, т.е. в данном VLAN находится оборудование полььзователя, который получает мультикаст траффик по средствам PIM-маршрутизации.

Вот данные VLAN:

Имя – vlan001

IP-интерфейс – VLAN001

Пользователь просит дать ему постоянный мультикастовый траффик с адреса 234.1.1.1 (причну называть небудем – она нам не важна).

Делается всё это одной командой:  

#create igmp static_group ipif VLAN001 group 234.1.1.1

 

И удаляется всё это тоже одной командой:

 

#delete igmp static_group ipif VLAN001 group 234.1.1.1

Инструкция по созданию VPN-сервера L2TP over IPSec на DFL-260E и DFL-860E.

 

1.     1. Проверяем включение функции L2TP Before Rule. Данная функция отвечает за передачу L2TP-соединений,  напрямую в L2TP-модуль без проверки правил файерволом. Это позволяет быть полноценным интерфейсом для L2TP соединения к которому можно применять правила файервола. Без включения данного правила нужно было бы создать дополнительные правила разрешающие траффик между интерфейсрм WAN и L2TP.

 

2.     2. Во вкладке Objects->General->Address Book создаём папку L2TP_folder. В данной папке мы разместим наши данные, необходимые для создания L2TP сервера.

 

 

3.     3. Для продолжения дальнейших действий обговорим все условия.

Мы будем создавать VPN-сервер L2TP over IPSec. Это означает, что сначала создаётся IPSec туннель между клиентом и сервером, а потом поверх него происходит проверка логина и пароля для PPTP соединения.

Адрес интерфейса WAN wan_ip 111.111.111.111

Адрес интерфейса LAN lannet1_ip 192.168.0.1

Адрес внутренней подсети lannet1   192.168.0.0/24

 

 

Пул адресов, выдаваемых удалённым клиентам

L2TP_pool 192.168.0.100-192.168.0.200

 

Также назначим адреса нашим клиентам, так их проще будет контролировать:

L2TP_user1   192.168.0.100

 

 

 

 

 

 

 

4.     4. Создаём общий ключ шифрования Pre-Shared Key, который нам необходим для шифрования IPSec туннеля.

 

 

В качестве секретной фразы я использовал цифры от 1 до 7. Вы можете и должны использовать свою секретную фразу.

 

5.     5. Создаём алгоритмы шифрования:

 

6. Создаём IPSec интерфейс с именем L2TP_transport

 

 

 

 

6. Создаём L2TP сервер с именем L2TP-sever

обратите внимание на пункт меню Outer Innterface Filter: там должен быть указан созданный нами выше IPSec интерфейс L2TP_transport.

 

 

 

8. Создаём локальную базу пользователей с логинами и паролями

 

и добавляем в неё пользователя

 

 

 

 

 

 

 

 

 

 

 

9. Создаём правило для аутентификации

 

 

Обратите внимание на пункт Local User DB, в нём должна быть указанна наша локальная база пользователей L2TP_databases созданная в пункте 8

 

 

 

 

10. Создаём правило разрешающее траффик от L2TP-server в локальную сеть

 

 

11. Активируем настройки

В данной статье я буду записывать полезные команды операционной системы D-Link - NetDefendOS.

Данная ОС применяется в мжежсетевых экранах серии DFL-260 и выше.

1. Как посмотреть состояние портов LAN 

Router:/> ifstat lan
Iface lan
Builtin IXP4NPE - Port 2 IRQ 0
Link Status : 1:1000F 2:1000F 3:- 4:- 5:- 6:- 7:- 8:100F

config access_profile profile_id <номер профиля> add access_id <номер праввила> ip source_ip <исходный ip-address> mask <маска сети> destination_ip <целевой ip-address > mask  <маска сети> port <номера физических  интерфейсов> <действие: permit или deny>

 

Примеры: 

 config access_profile profile_id 1 add access_id 9 ip source_ip 10.124.71.0 mask 255.255.255.0 destination_ip 10.124.65.0 mask 255.255.255.0 port 1-24 permit

 

config access_profile profile_id 1 add access_id 253 ip source_ip 10.124.71.0 mask 255.255.255.0 destination_ip 10.124.0.0 mask 255.255.0.0 port 1-24 deny