Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Internet

+ operator VoIP

Stacja czołowa IPTV

STB

Telefon

PC

DES-3028

(Access_2)

DGS-3100-24TG

(Aggregate_1)

DES-3550

(Access_3)

DES-3200-18

(Access_1)

DGS-3627G

(Core_1)

DGS-3627

(Core_3)

DGS-3627

(Core_2)

Szkielet L3

Mieszkanie klienta

172.16.0.1/24

v121

– Internet + VoIP

24

21

22

23

192.168.1.1/24

v122 - IPTV

192.168.1.2/24

RP (Randevous Point)
główny

CBSR, CRP,

prior 10

192.168.2.1/24

v123

192.168.3.1/24

v124

DGS-3627(G) - fw: 2.55B06

DES-3200-18

– fw: 1.10B21

DGS-3100-24TG

– fw: 3.00.43

DES-3550

– fw: 5.01

DES-3028

– fw: 2.50B08

Loopback:

172.20.0.1/32

Loopback:

172.20.0.2/32

Loopback:

172.20.0.3/32

192.168.2.2/24

v123

OSPF passive

OSPF passive

13

13

21

21

192.168.6.1/24

v125

192.168.6.2/24

v125

192.168.3.2/24

v124

1

1

Porty 1-12

192.168.4.1/24, v200

– Internet + VoIP

192.168.7.1/24, v201

– IPTV

192.168.10.1/24, v999

– CPE Mgmt

17

2

49

VLAN zarządzania:
172.21.0.2/28, v997
Gateway: 172.21.0.1

VLAN zarządzania:
172.21.0.18/28, v997
Gateway: 172.21.0.17

VLAN zarządzania:
172.21.0.20/28, v997
Gateway: 172.21.0.17

v200

– Internet + VoIP

v201

– IPTV

V999

– CPE Mgmt

192.168.5.1/24, v200

– Internet

192.168.8.1/24, v201

– IPTV

192.168.9.1/24, v202

– VoIP

192.168.11.1/24, v999

– CPE Mgmt

VLAN zarządzania:
172.21.0.19/28, v997
Gateway: 172.21.0.17

Porty 1-12

TV

DIR-100 B1,

DVG-G5402SP,

DES-3200-10,
DES-3010F/G

Bramka VoIP

Opcjonalna gdy nie

ma routera VoIP

Mieszkanie klienta

Rou

ting

Dostęp i agregacja L2

v200 - Internet
v201

– IPTV

v202

– VoIP

v999

– CPE Mgmt

OSPF passive

2

v200 - Internet
v201

– IPTV

v202

– VoIP

v999

– CPE Mgmt

v200 - Internet
v201

– IPTV

v202

– VoIP

v999 -CPE Mgmt

Router OSPF

Serwer SIP:

np. sip.freeconet.pl

Multicast - 239.239.2.

X

:1234, gdzie

X

przyjmuje wartości od 1 do 9

1

G

b

F

O

(

S

M

,

M

M

)

25

Sygnały (nietagowane, z priorytetami):

Internet, IPTV, VoIP

dostarczane są do klienta jednym VLAN

AP

Bramka VoIP Telefon

STB

TV

DIR-300,
DIR-600,
DIR-655,

DIR-825

DAP-1160,
DAP-1360,

DAP-1353

ISM VLAN (= MVR)

Sygnały (tagowane)

w osobnych VLAN

172.16.0.254/24

Serwer DHCP

dla v200

Serwer DHCP dla

v200, v201, v202, v999

Zarządzanie

VLAN zarządzania:
172.21.0.1/28, v997

VLAN zarządzania:
172.21.0.17/28, v997

Urządzenie z obsługą

VLAN na WAN oraz

IGMP snooping

172.16.0.200/24

20

chroni przed rozgłaszaniem

routingu na krawędź

Dowolny router

z IGMP snooping

bez obsługi VLAN

1

CBSR, CRP,

prior 20

RP (Randevous Point)

zapasowy

15 i 17

Router OSPF

konfiguracja typ II

192.168.3.254/24

OS

PF

: P

IM

-SM

Int: LAN

Int: DMZ

Porty 1-12

PC

13

STB-Motorola

14

Stacja czołowa IPTV

192.168.3.2/24

T

e

rm

in

a

c

ja

O

p

e

n

V

P

N

z

S

G

T

–

ty

lk

o

t

e

s

to

w

o

Serwer DHCP dla

v200, v201, v202, v999

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Opis topologii

Przedstawiona sieć została stworzona w celu prezentacji możliwości urządzeń
D-Linka w środowisku operatorskim w przypadku świadczenia usług TriplePlay

(IPTV, VoIP, Internet Access).

Topologia została stworzona i przetestowana w laboratorium D-Linka w Warszawie.

Dzięki uprzejmości firmy SGT i dużej pomocy p. Krzysztofa Posmyka udało się
włączyć do projektu odbiorniki STB (Zyxel STB-1001H oraz Motorola VIP1910-9)

a następnie dostarczyć do nich strumień usługi Jambox.

Przełączniki użyte w opisywanej sieci to przedstawiciele serii najbardziej popularnych

wśród operatorów ISP serii EntryLevel oraz xStack.
W topologii istnieją trzy warstwy: szkielet 1Gb/SFP (opcja 10G), dystrybucja

1Gb/SFP, dostęp FastEthernet oraz – dodatkowo - urządzenia końcowe CPE.

Szkielet: DGS-3627(G) - firmware 2.55B06
Dystrybucja: DGS-3100-24TG – firmware: 3.00.43

Dostęp: DES-3200-18 – firmware: 1.10B21

Dostęp: DES-3550 – firmware: 5.01
Dostęp: DES-3028 – firmware: 2.50B08

Szkielet sieci (DGS-3600_Core) stanowią połączone w trójkąt przełączniki gigabitowe

warstwy 3. Uruchomiono na nich protokoły routingu OSPF oraz PIM-SM. Pakiety
kontrolne OSPF nie są przekazywane do części dystrybucyjnej i dostępowej. W

szkielecie (Core_2 i Core_3) skonfigurowane są też serwery DHCP dla przyłączonych
urządzeń klienckich.

Tutaj także przyłączony jest dodatkowy lokalny serwer strumieni multicast

(oprogramowanie VLC) serwujący strumień w grupie 239.239.2.1:1234. Zewnętrzny
strumień multicast dla telewizji Jambox oraz usługą VoIP jest dostępna poprzez

Internet.

Notatka: Na rysunku linią przerywaną zaznaczony jest router oraz loklany serwer

multicastu podłączone do Core_3 – jest to alternatywna, uproszczona topologia,
zakładająca istnienie jednego szkieletowego przełącznika DGS-3627 (Core_3)

i jednej gałęzi np. z DGS-3100-24TG (Aggregate_1) i DES-3028 (access_2).

Można na nią przejść przepinając router DFL-800 i lokalny serwer multicastu
do portów kolejno 15 i 17 przełącznika DGS-3627_Core_3) i zwalniając uplinki

z portów 2, 13 i 2. W routerze po stronie lokalnej użyty został port DMZ (zamiast
LAN, jako połączenie do innej częsci sieci). Na maszynie pełniącej rolę serwera

multicast należy zmienić adres IP (192.168.3.254/24, gw 192.168.3.1) dostosowując

go tym samym do adresacji w tej części sieci.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Sieć zabezpieczona jest routerem/zaporą sieciową serii NetDefend DFL-800.
Dostępne są także wydajniejsze urządzenia z modułami UTM (IDS/IPS, AV, WCF,

Antispam): DFL-1660, DFL-2560 oraz DFL-2560G – posiadający interfejsy SFP.

Ruch z warstwy szkieletowej segregowany jest w VLANy i przesyłany aż do warstwy
dostępowej. Wydzielono osobne sieci VLAN dla ruchu IPTV, VoIP, oraz Internet

i zarządzania przełącznikami, a także zarządzania urządzeniami CPE. Do VLANów
zarządzających nie można uzyskać dostępu od strony klienckiej.

Na przełącznikach dostępowych skonfigurowano przykładowe, najbardziej
interesujące mechanizmy zabezpieczeń i kontroli dostępu dla krawędzi sieci LAN.

Można wybrać dowolne mechanizmy z kilku gałęzi i zaimplementować je

we własnych sieciach.

Blokada (za pomocą reguł ACL) dostępu do zarządzania przełącznikami

IMPB (IP-MAC-Port Binding) + DHCP snooping => klient uzyska dostęp do

sieci jedynie, gdy pobierze adres IP z serwera DHCP operatora. Statyczna
adresacja maszyn klienckich nie jest możliwa i będzie filtrowana. Para

dynamicznie przyznanych IP oraz MAC klienta jest zapamiętywana na
fizycznym porcie przełącznika

DHCP Server Screening => ochrona przed działaniem obcych serwerów DHCP

na portach klienckich mogących powodować zakłócenia w przyznawaniu

adresów IP w sieci

ISM VLAN (IGMP Snooping Multicast VLAN) => znana także jako Cisco MVR –

umożliwiająca zaoszczędzenie pasma na połączeniach uplink z przełączników
dostępowych poprzez przesyłanie tylko jednej kopii strumienia multicast

w przypadku, gdy klienci znajdują się w niezależnych sieciach VLAN

Safeguard Engine => ochrona procesora przełącznika przed ruchem typu

multicast i broadcast intensywnie obciążającym CPU

Traffic Control => ograniczenie przed zalewaniem sieci operatorskiej

klienckimi pakietami broadcast, unicast i multicast

ARP Spoofing => ochrona uniemożliwiająca podszycie się klienta pod adres IP

oraz MAC bramy w sieci, co zapobiega atakom typu Man-In-The-Middle

Priorytet na ruch VoIP => na podstawie adresu IP serwera SIP

Port Security => ograniczenie jednoczesnego wystąpienia dużej liczby

adresów MAC na porcie przełącznika, co zapobiega atakom typu MAC Flood

Loopback Detection => funkcjonalność pozwalająca na wykrycie w sieci klienta

zapętlenia

(co

powoduje

generowanie

dużej

liczby

pakietów

broadcast/multicast do sieci operatora) i wyłączenie portu klienckiego

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Po stronie klienta, jako jako urządzenie CPE można użyć kilkuportowy przełącznik
z potrzebnymi funkcjonalnościami takimi jak: uplinki SFP, obsługa VLAN i IGMP

Snooping.

Np. przełącznik serii DES-3200 lub też router DIR-100/PL z alternatywnym firmware

pozwalającym uzyskać funkcjonalność VLAN Switch (5-portowy zarządzalny
przełącznik z obsługą VLAN i MVR).

Dobrym rozwiązaniem może być również DVG-G5402SP (bezprzewodowy router VoIP

z obsługą 4 VLAN) ze specjalnym, dostosowanym pod ISP firmware (dostępny na
ftp://ftp.dlink.pl/dvg/dvg-g5402sp/driver_software/DVG-

G5402SP_fw_B1_4VLAN_ACL_all_en_20100127.rar)

W topologii bazowej znajdują się trzy gałęzie dostępowe, warstwy 2:

(1) Zbudowana na DES-3200-18

(2) Zbudowana na DGS-3100-24TG oraz na DES-3028

(3) Zbudowana na DES-3526/50

Pierwsza gałąź (1) zawiera konfigurację bazującą na dwóch sieciach VLAN

dostarczanych do warstwy dostępowej. W jednej sieci VLAN dostarczany jest

Internet i VoIP (v200), a w drugiej – strumień multicast IPTV (v201). Porty klienckie
są nietagowane i należą do VLAN v200.

Na przełączniku DES-3200-18 skonfigurowany jest ISM VLAN mający zastosowanie w

przypadku, gdy każdy klient znajduje się w osobnym VLAN. ISM VLAN kopiuje

strumień multicastowy docierający do przełącznika wydzielonym do tego VLANem
(v201), na porty klienckie, któ®e w danej chwili zgłosiły chęć jego odbierania.

Dla uproszczenia bazowej konfiguracji założono, że wszyscy klienci znajdują się w tej
samej sieci VLAN oraz, że wszystkie usługi serwowane są klientowi za pomocą

nietagowanego portu. Klient może dzięki temu użyć dowolnego urządzenia CPE – np.

routera Wi-Fi do terminacji Internetu , bramki/telefonu SIP oraz STB podłączonych
pod interfejsy routera - do terminacji kolejno VoIP i IPTV.

Dla ruchu VoIP, bazując na adresie IP serwera SIP został nadany priorytet 5
(802.1p).

Druga gałąź (2) zakłada istnienie osobnych VLAN dla każdego typu dostarczanego

ruchu. Przełącznik DGS-3100-24TG posiadający 16 portów SFP pełni tu rolę
przełącznika agregującego połączenia światłowodowe i został użyty jako przełącznik

tranzytowy.

Jako przełącznik dostępowy został użyty DES-3028. Jest to jeden

z najpopularniejszych przełączników brzegowych D-Linka serii Entry-Level.
Porty klienckie przełącznika są skonfigurowane jako tagowane i przenoszą 4 VLANy:

v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management. Port pełniący funkcję
Uplink dodatkowo zawiera VLAN v997-Management służący do zarządzania samym

przełącznikiem.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Notatka: Na rysunku do portów 13 i 14 DES-3028 jest przerywaną linią dołączony

serwer terminujacy połączenie OpenVPN od SGT do STB Motoroli. Jest to dodatek
testowy/pokazowy dla potrzeb dostarczania rzeczywistego ruchu multicastowego

telewizji Jambox na STB Motoroli.

W lokalu u klienta musi istnieć urządzenie CPE potrafiące terminować VLANy

tagowane na jednym porcie (np. na WAN gdy jest to router).

W konfiguracji bazowej jest to router DIR-100/PL (H/W:B1) z firmware VLAN switch.
Wersja B1 umożliwia załadowanie firmware o funkcjonalności VLAN Switch lub TP

Router.

Te wersje firmware znajdują się na serwerze ftp D-Link:
ftp://ftp.dlink.pl/dir/dir-100/driver_software/

Firmware VLAN switch posiada obsługę VLAN 802.1q oraz mechanizm IGMP
Snooping v2 i MVR.

Poniżej zamieszczono ekrany konfiguracyjne routera DIR-100 (B1). Router jest
zarządzany jedynie zdalnie po VLAN v999 na adresie 192.168.11.2/24.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Trzecia gałąź (3) - dostępowa zawiera przełącznik serii xStack DES-3550. W sieciach
ISP bardzo często używa się również wersji 24 portowej -DES-3526 lub DES-3528.

Gałąź ta jest kopią gałęzi drugiej z tą różnicą, że nie zawiera przełącznika

agregującego.
Wszystkie usługi są dostarczane do lokalu klienta po dedykowanych do tego celu

sieciach VLAN (v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management) –
zatem u klienta musi zostać zainstalowany sprzęt CPE z obsługą VLAN 802.1q.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Konfiguracja przełączników D-Link użytych w koncepcji sieci ISP

Wszystkie pliki wraz z użytymi firmware i gotowymi plikami konfiguracji – wprost do
załadowania na przełączniki i router znajdują się na

ftp://ftp.dlink.pl/_konfiguracje/Koncepcja_D-Link_ISP_Triple_Play/pliki_config.rar

Konfiguracja przełącznika szkieletowego L3 DGS-3627G_Core_1

config command_prompt core_1

# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27

# wprowadzenie internetu z DFL
create vlan internet tag 121
config vlan internet add untagged 20,24
config ipif System vlan internet ipaddress 172.16.0.1/24

# wprowadzenie multicastu ze stacji czolowej
create vlan iptv tag 122
config vlan iptv add untagged 21
create ipif iptv 192.168.1.1/24 iptv

# polaczenie core1-core2
create vlan v123 tag 123
config vlan v123 add tagged 22
create ipif v123 192.168.2.1/24 v123

# polaczenie core1-core3
create vlan v124 tag 124
config vlan v124 add tagged 23
create ipif v124 192.168.3.1/24 v124

# Loopback
create loopback ipif Loopback 172.20.0.1/32 state enable


# OSPF

config ospf all area 0.0.0.0 state enable passive disable

# dla interfejsu "iptv" tryb pracy pasywnej - zabezpiecza przed rozgłaszaniem
# pakietów protokołu OSPF do podsieci klienckich
config ospf ipif iptv passive enable
config ospf router_id 172.20.0.1
enable ospf

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# PIM-SM

config pim ipif iptv state enable mode sm
config pim ipif v123 state enable mode sm
config pim ipif v124 state enable mode sm

# automatyczna elekcja Bootstrap Router
config pim cbsr ipif iptv priority 10

# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8
config pim crp priority 10
create pim crp group 239.0.0.0/8 rp iptv
enable pim


# IGMP

# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
# IGMPv3 - np. DES-3028
config igmp ipif iptv state enable version 2


# Security

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy

Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_2

config command_prompt core_2


# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27

# polaczenie core2-core1
create vlan v123 tag 123
config vlan v123 add tagged 13
config ipif System ipaddress 192.168.2.2/24 vlan v123

# polaczenie core2-core3
create vlan v125 tag 125
config vlan v125 add tagged 21
create ipif v125 192.168.6.1/24 v125

# VLAN dla internetu do klientow
create vlan internet tag 200
config vlan internet add tagged 1-12
create ipif internet 192.168.4.1/24 internet

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# VLAN dla IPTV do klientow
create vlan iptv tag 201
config vlan iptv add tagged 1-12
create ipif iptv 192.168.7.1/24 iptv
# VLAN dla zarzadzania przelacznikami L2
create vlan mgmt tag 997
config vlan mgmt add tag 1-12
create ipif mgmt 172.21.0.1/28 mgmt

# VLAN dla zarzadzania CPE
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12
create ipif CPEmgmt 192.168.10.1/24 CPEmgmt

# Loopback
create loopback ipif Loopback 172.20.0.2/32 state enable


# OSPF

config ospf all area 0.0.0.0 state enable passive disable

# dla interfejsow "iptv", "mgmt", "CPEmgmt" i "internet" tryb pracy pasywnej –
# zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do podsieci
# klienckich
config ospf ipif iptv passive enable
config ospf ipif internet passive enable
config ospf ipif mgmt passive enable
config ospf ipif CPEmgmt passive enable
config ospf router_id 172.20.0.2
enable ospf


# PIM-SM

config pim ipif System state enable mode sm
config pim ipif v125 state enable mode sm
config pim ipif iptv state enable mode sm

# automatyczne przelaczenie na ruchu multicast na SPT
config pim last_hop_spt_switchover immediately
enable pim


# IGMP

# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
IGMPv3 - np. DES-3028
config igmp ipif iptv state enable version 2


# IGMP Snooping

# pozwala na filtrowanie niechcianego multicastu na portach i nie podawanie go
# w dol sieci
config igmp_snooping vlan iptv state enable
enable igmp_snooping
config multicast filtering_mode iptv filter_unregistered_groups

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# DHCP server

# przydzielanie adresow z serwera DHCP na podsieci internetowej
create dhcp pool internet
config dhcp pool network_addr internet 192.168.4.0/24
config dhcp pool default_router internet 192.168.4.1
config dhcp pool dns_server_address internet 4.2.2.3
enable dhcp_server


# Security

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy

Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_3

config command_prompt core_3


# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27

# polaczenie core3-core1
create vlan v124 tag 124
config vlan v124 add tagged 13
config ipif System ipaddress 192.168.3.2/24 vlan v124

# port 15 i 17 (untag) do bezposredniego dolaczenia DFL via DMZ oraz serwera
# Multicast
config vlan v124 add untagged 15,17

# polaczenie core3-core2
create vlan v125 tag 125
config vlan v125 add tagged 21
create ipif v125 192.168.6.2/24 v125

# VLAN dla internetu do klientow
create vlan internet tag 200
config vlan internet add tagged 1-12
create ipif internet 192.168.5.1/24 internet

# VLAN dla IPTV do klientow
create vlan iptv tag 201
config vlan iptv add tagged 1-12
create ipif iptv 192.168.8.1/24 iptv

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# VLAN dla VoIP do klientow
create vlan voip tag 202
config vlan voip add tagged 1-12
create ipif voip 192.168.9.1/24 voip

# VLAN dla zarzadzania przelacznikami L2
create vlan mgmt tag 997
config vlan mgmt add tagged 1-12
create ipif mgmt 172.21.0.17/28 mgmt

# VLAN dla zarzadzania CPE
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12
create ipif CPEmgmt 192.168.11.1/24 CPEmgmt
# Loopback
create loopback ipif Loopback 172.20.0.3/32 state enable


# OSPF

config ospf all area 0.0.0.0 state enable passive disable

# dla interfejsow "iptv", "voip", "mgmt", "CPEmgmt" i "internet" tryb pracy
# pasywnej - zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do
# podsieci klienckich
config ospf ipif iptv passive enable
config ospf ipif internet passive enable
config ospf ipif voip passive enable
config ospf ipif mgmt passive enable
config ospf ipif CPEmgmn passive enable
config ospf router_id 172.20.0.3
enable ospf


# PIM-SM

config pim ipif System state enable mode sm
config pim ipif v125 state enable mode sm
config pim ipif iptv state enable mode sm

# automatyczne przelaczenie na ruchu multicast na SPT
config pim last_hop_spt_switchover immediately

# automatyczna elekcja Bootstrap Router
config pim cbsr ipif System priority 20

# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8
config pim crp priority 20
create pim crp group 239.0.0.0/8 rp System
enable pim


# IGMP

config igmp ipif iptv state enable version 2
config igmp ipif System state enable version 2

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# IGMP Snooping

# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
# IGMPv3 - np. DES-3028
config igmp_snooping vlan iptv state enable
enable igmp_snooping
config multicast filtering_mode iptv filter_unregistered_groups


# DHCP server
# przydzielanie adresow z serwera DHCP na podsieci internetowej
create dhcp pool internet
config dhcp pool network_addr internet 192.168.5.0/24
config dhcp pool default_router internet 192.168.5.1
config dhcp pool dns_server_address internet 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci iptv
create dhcp pool iptv
config dhcp pool network_addr iptv 192.168.8.1/24
config dhcp pool default_router iptv 192.168.8.1
config dhcp pool dns_server_address iptv 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci VoIP
create dhcp pool VoIP
config dhcp pool network_addr VoIP 192.168.9.1/24
config dhcp pool default_router VoIP 192.168.9.1
config dhcp pool dns_server_address VoIP 4.2.2.3

# przydzielanie adresow z serwera DHCP na podsieci CPEmgmt
create dhcp pool CPEmgmt
config dhcp pool network_addr CPEmgmt 192.168.11.1/24
config dhcp pool default_router CPEmgmt 192.168.11.1
config dhcp pool dns_server_address CPEmgmt 4.2.2.3

# uruchomienie serwera DHCP
enable dhcp_server


# Security

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy

Konfiguracja przełącznika dystrybucyjnego L2 DGS-3100-24TG_Aggregate_1

# VLANy

create vlan internet tag 200
config vlan internet add tagged 1-24

create vlan iptv tag 201
config vlan iptv add tagged 1-24

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

create vlan voip tag 202
config vlan voip add tagged 1-24

create vlan mgmt tag 997
config vlan mgmt add tagged 1-24

create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-24


# zarzadzanie

# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.18/28 vlan mgmt
create iproute default 172.21.0.17


# IGMP Snooping
config igmp_snooping iptv state enable
enable igmp_snooping


# filtrowanie niezarejestrowanych grup multicast na portach klienckich
config multicast filtering_mode 1-12 filter_unregistered_groups

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable rising 100 falling 60

Konfiguracja przełącznika dostępowego L2 DES-3028_Access_2

config command_prompt access_2


# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-28

# stworzenie VLANow uslugowych
create vlan internet tag 200
config vlan internet add tagged 1-12,15-25
config vlan internet add untagged 13

create vlan iptv tag 201
config vlan iptv add tagged 1-12,15-25

create vlan voip tag 202
config vlan voip add tagged 1-12,15-25

create vlan mgmt tag 997
config vlan mgmt add tagged 25

create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12,15-25

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# STB Motorola - dodatkowy (testowy/pokazowy) VLAN do przylaczenia STB Motoroli
# + serwer OpenVPN
# 13 port - OpenVPN (Linux)
# 14 port - STB
create vlan v123 tag 123
config vlan v123 add untagged 14
config vlan v123 add tagged 13


# zarzadzanie

# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.19/28 vlan mgmt
create iproute default 172.21.0.17


# IGMP Snooping

# ograniczenie liczby uczonych, poprzez sledzenie typu ruchu, grup
# multicastowych
# zapobiega wypelnianiu tablicy IGMP Snooping na przelacznikach poprzez
# wysylanie IGMP Join w VLANach innych, niz iptv - tam, gdzie IGMP Snooping
# jest wylaczony
config igmp_snooping data_driven_learning all aged_out enable
config igmp_snooping data_driven_learning max_learned_entry 1

# wlaczenie funkcjonalnosc Fast Leave dla VLANu iptv - pozwala na
# natychmiastowe zaprzestanie transmisji strumienia multicast po otrzymaniu
# komunikatu IGMP Leave
config igmp_snooping vlan_name iptv state enable fast_leave enable
enable igmp_snooping

# filtrowanie niezarejestrowanych grup multicast na portach klienckich
config multicast port_filtering_mode 1-12 filter_unregistered_groups
config multicast port_filtering_mode 15-24 filter_unregistered_groups

# zapobieganie wysylaniu multicastu od klienta w gore sieci
config multicast port_filtering_mode 25 filter_unregistered_groups
config router_ports iptv add 25
config router_ports_forbidden iptv add 1-12
config router_ports_forbidden iptv add 15-24


# Security

# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-24 deny

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# Traffic Control
# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail
# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych
# przelacznikow w sieci
config traffic control 1-24 broadcast enable multicast enable unicast enable
action drop threshold 10000

Konfiguracja przełącznika dostępowego L2 DES-3200-18_Access_1

config command_prompt access_1


# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-18

# stworzenie VLAN uslugowych
create vlan internet tag 200
config vlan internet add tagged 17
config vlan internet add untagged 1-16

create vlan mgmt tag 997
config vlan mgmt add tagged 17


# zarzadzanie

# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.2/28 vlan mgmt
create iproute default 172.21.0.1


# IGMP Snooping

# ograniczeni liczby uczonych poprzed sledzenie typu ruchu grup multicastowych
config igmp_snooping data_driven_learning all aged_out enable
config igmp_snooping data_driven_learning max_learned_entry 1
enable igmp_snooping


# IGMP Snooping Multicast VLAN

# pozwala na przesylanie calego ruchu multicast specjalnym VLANem do
# przelacznika
# przelacznik replikuje ten ruch na porty klienckie wg potrzeby - odpowiednik
# Cisco Multicast VLAN Registration
create igmp_snooping multicast_vlan iptv 201
config igmp_snooping multicast_vlan iptv add source_port 17 state enable
replace_source_ip 192.168.7.2
config igmp_snooping multicast_vlan iptv add member_port 1-16
enable igmp_snooping multicast_vlan

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# filtrowanie niezarejestrowanych grup multicast na portach klienckich
# config multicast port_filtering_mode 1-16 filter_unregistered_groups
# zapobieganie wysylaniu multicastu od klienta w gore sieci
config multicast port_filtering_mode 17 filter_unregistered_groups
config router_ports iptv add 17
config router_ports_forbidden iptv add 1-16


# Priorytetyzacja ruchu

# priorytet 5 dla VoIP (dla ruchu do adresu IP 10.0.1.1 serwera SIP)
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip destination_ip
10.0.1.1 port 1-16 permit priority 5


# Security

# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-16 deny

# ochrona przed ARP Spoofing bramy dla VLAN internet
config arp_spoofing_prevention add gateway_ip 192.168.4.1 gateway_ma 00-19-5B-
EF-F7-C2 ports 1-16

# ochrona przed MAC Flood
config port_security ports 1-16 admin_state enable max_learning_addr 5
lock_address_mode DeleteOnTimeout

# ochrona przed petla w sieci klienckiej
config loopdetect ports 1-16 state enabled
enable loopdetect

# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 #
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy

# Traffic Control
# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail
# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych
# przelacznikow w sieci
config traffic control 1-16 broadcast enable multicast enable unicast enable
action drop threshold 10000

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Konfiguracja przełącznika dostępowego L2 DES-3550_Access_3

config command_prompt access_3


# VLANy

# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-50

# stworzenie VLAN uslugowych
create vlan internet tag 200
config vlan internet add tagged 1-49

create vlan iptv tag 201
config vlan iptv add tagged 1-49

create vlan mgmt tag 997
config vlan mgmt add tagged 49

create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-49


# zarzadzanie

# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.20/28 vlan mgmt
create iproute default 172.21.0.17


# IGMP Snooping
config igmp_snooping iptv state enable
enable igmp_snooping


# security

# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-48 deny

# IPMB

# filtrowanie ruchu od klientow, ktorzy nie pobrali adresacji IP z serwera DHCP
# urzadzenie przepuszcza tylko ruch z par IP/MAC zgodnych z wynegocjowanymi
# podczas komunikacji z serwerem DHCP
config address_binding dhcp_snoop max_entry ports 1-48 limit 5
config address_binding ip_mac ports 1-24 state enable allow_zeroip enable
forward_dhcppkt enable stop_learning_threshlod 50
enable address_binding acl_mode
enable address_binding dhcp_snoop

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

# DHCP Server Screening, Netbios filtering
# filtrowanie nieautoryzowanych serwerow DHCP znajdujacych sie na portach
# klienckich
config filter dhcp_server ports 1-24 state enable

# filtrowanie ruchu NETBIOS na portach klienckich
config filter extensive_netbios 1-24 state enable
config filter netbios 1-24 state enable

# Safeguard
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable cpu_utilization rising_threshold 100
falling_threshold 60 trap_log enable

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Inżynierskim okiem, czyli co, gdzie i po co

1) OSPF

protokół OSPF jest wykorzystywany do automatycznej negocjacji optymalnych
(oczywiście z uwagi na poczynione założenia) tras routingu w sieci L3.

Protokół OSPF powinien być włączony na każdym interfejsie, do którego przyłączona

podsieć ma być rozgłaszana w sieci.
Jeśli jest to podsieć nie zawierająca dalszych routerów OSPF, to interfejs IP dla tej

podsieci powinien być ustawiony w tryb Passive, co zapobiega rozgłaszaniu pakietów
kontrolnych OSPF do tej sieci.

2) PIM-SM

protokół PIM-Sparse Mode jest wykorzystywany do dostarczania strumieni multicast

poprzez sieć L3 od jego źródła („first hop” router) do routera brzegowego („last hop”

router) do którego przyłączony jest klient.
Protokół PIM powinien być włączony na każdym interfejsie, który może brać udział

w przekazywaniu pakietów pomiędzy routerami bądź routerami
i serwerami/klientami.

Protokół PIM do podejmowania decyzji wykorzystuje informacje zawarte
w unicastowej tablicy routingu na danym routerze (utworzonej albo statycznie, albo

też poprzez protokoły routingu dynamicznego, np. typu OSPF) i przesyłany multicast

jest routowany zgodnie z nią (a ściślej rzecz biorąc, każdy router multicastowy
filtruje docierający do niego strumień multicast w przypadku, gdy dociera on innym

interfejsem, niż ten prowadzący do źródła wg unicastowej tablicy routingu).
Do poprawnego działania routingu multicastu via PIM wymagane jest więc poprawne

działanie routingu unicastu.

3) Rendezvous Point (RP)

RP jest rolą, którą pełni jeden z interfejsów IP na jednym lub kilku routerach

multicastowych mających załączony protokół PIM-SM.
Rolą RP jest dystrybucja multicastu pochodzącego z routera brzegowego

przyłączonego bezpośrednio do źródła do routerów brzegowych do których
przyłączeni są klienci.

Każda grupa multicast w sieci musi mieć określony swój RP – najczęściej konfiguruje

się jeden i ten sam RP dla wszystkich przesyłanych w sieci grup multicastowych, lecz
nie jest to regułą i zależy od wielu czynników.

Z uwagi na fakt, że protokół PIM-SM posługuje się m. in. timerem Register-
Suppression, w celu zminimalizowania ewentualnych opóźnień w docieraniu

strumienia multicast ze źródła do routera pełniącego rolę RP zalecane jest

skonfigurowanie RP na routerze pełniącym jednocześnie rolę routera „first-hop” dla
danej grupy multicast.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Każdy router pełniący rolę routera multicast w sieci powinien zawierać pełny zestaw

informacji o położeniu routerów pełniących rolę RP dla wszystkich grup multicast
przesyłanych w tejże sieci. Takie informacje mogą zostać dodane na każdym

routerze ręcznie (poprzez konfigurację Static RP) lub dystrybuowane automatycznie

za pomocą desygnowanego routera pełniącego funkcję BootStrap Routera (BSR).

4) IGMP

protokół IGMP jest używany w celu umożliwienia klientom zgłoszenia ich chęci

odbierania konkretnej grupy multicast do routera multicastowego znajdującego się

na krawędzi tej części sieci, w której znajduje się ów klient („last hop” router).
Protokół IGMP powinien być włączony na każdym interfejsie IP routera (pełniącego

funkcję routera multicastowego), do którego przyłączeni są klienci strumieni
multicast.

Istnieją trzy wersje protokołu IGMP. Powszechnie używa się wersji 2 lub wersji 3.

Niektórzy klienci oraz przełączniki dostępowe (L2) nie wspierają IGMPv3 (i w związku
z tym może nie działać na nich poprawnie funkcjonalność IGMP Snooping) więc

na interfejsach klienckich routerów multicastowych używa się często protokołu IGMP
w wersji 2.

5) IGMP Snooping

funkcjonalność IGMP Snooping jest używana na poziomie portów fizycznych (bądź

całych VLANów – w zależności od jej implementacji w konkretnym typie urządzenia)

przełącznika i służy do filtrowania przepływającego ruchu multicast w warstwie L2
w taki sposób, aby transmisja multicast była wysyłana tylko przez te porty

przełącznika, do których przyłączeni są klienci chcący w danej chwili tę transmisje
odbierać.

Funkcjonalność IGMP Snooping powinna być załączona na VLANach na każdym

przełączniku począwszy od „last hop” routera multicastowego na brzegu sieci L3
(na jego VLANach do których przyłączeni są klienci), poprzez wszystkie przełączniki

agregacyjne i dostępowe L2, do których przyłączeni są klienci.

Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)

© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010

Podsumowanie

Opracowanie to zawiera jedną z koncepcji budowy sieci dla operatora ISP, który

chciałby świadczyć usługi TriplePlay, a w szczególności usługę IPTV przy
wykorzystaniu transmisji Multicast. Powyższe przykłady można modyfikować

dostosowując je do rzeczywistych potrzeb.

Proszę traktować to opracowanie jako podstawową pomoc dla tych, którzy nie mieli

jeszcze do czynienia z urządzeniami sieciowymi D-Link lub chcieliby poszerzyć swoją
wiedzę o przełącznikach i zaimplementowanych w nich mechanizmach.

Należy jednak pamiętać, że dokument ten nie zawiera wszystkich mechanizmów
dostępnych na przełącznikach a jedynie te, które wydawały nam się najciekawsze

i wyróżniają D-Linka na tle innych rozwiązań.

Mamy nadzieję, że otrzymamy od Państwa na ten temat wiele komentarzy

co zaowocuje kolejnymi rozszerzonymi wersjami tego opracowania.

Z technicznym pozdrowieniem,

Marcin Wójcik

Bartosz Kiziukiewicz