Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Internet
+ operator VoIP
Stacja czołowa IPTV
STB
Telefon
PC
DES-3028
(Access_2)
DGS-3100-24TG
(Aggregate_1)
DES-3550
(Access_3)
DES-3200-18
(Access_1)
DGS-3627G
(Core_1)
DGS-3627
(Core_3)
DGS-3627
(Core_2)
Szkielet L3
Mieszkanie klienta
172.16.0.1/24
v121
– Internet + VoIP
24
21
22
23
192.168.1.1/24
v122 - IPTV
192.168.1.2/24
RP (Randevous Point)
główny
CBSR, CRP,
prior 10
192.168.2.1/24
v123
192.168.3.1/24
v124
DGS-3627(G) - fw: 2.55B06
DES-3200-18
– fw: 1.10B21
DGS-3100-24TG
– fw: 3.00.43
DES-3550
– fw: 5.01
DES-3028
– fw: 2.50B08
Loopback:
172.20.0.1/32
Loopback:
172.20.0.2/32
Loopback:
172.20.0.3/32
192.168.2.2/24
v123
OSPF passive
OSPF passive
13
13
21
21
192.168.6.1/24
v125
192.168.6.2/24
v125
192.168.3.2/24
v124
1
1
Porty 1-12
192.168.4.1/24, v200
– Internet + VoIP
192.168.7.1/24, v201
– IPTV
192.168.10.1/24, v999
– CPE Mgmt
17
2
49
VLAN zarządzania:
172.21.0.2/28, v997
Gateway: 172.21.0.1
VLAN zarządzania:
172.21.0.18/28, v997
Gateway: 172.21.0.17
VLAN zarządzania:
172.21.0.20/28, v997
Gateway: 172.21.0.17
v200
– Internet + VoIP
v201
– IPTV
V999
– CPE Mgmt
192.168.5.1/24, v200
– Internet
192.168.8.1/24, v201
– IPTV
192.168.9.1/24, v202
– VoIP
192.168.11.1/24, v999
– CPE Mgmt
VLAN zarządzania:
172.21.0.19/28, v997
Gateway: 172.21.0.17
Porty 1-12
TV
DIR-100 B1,
DVG-G5402SP,
DES-3200-10,
DES-3010F/G
Bramka VoIP
Opcjonalna gdy nie
ma routera VoIP
Mieszkanie klienta
Rou
ting
Dostęp i agregacja L2
v200 - Internet
v201
– IPTV
v202
– VoIP
v999
– CPE Mgmt
OSPF passive
2
v200 - Internet
v201
– IPTV
v202
– VoIP
v999
– CPE Mgmt
v200 - Internet
v201
– IPTV
v202
– VoIP
v999 -CPE Mgmt
Router OSPF
Serwer SIP:
np. sip.freeconet.pl
Multicast - 239.239.2.
X
:1234, gdzie
X
przyjmuje wartości od 1 do 9
1
G
b
F
O
(
S
M
,
M
M
)
25
Sygnały (nietagowane, z priorytetami):
Internet, IPTV, VoIP
dostarczane są do klienta jednym VLAN
AP
Bramka VoIP Telefon
STB
TV
DIR-300,
DIR-600,
DIR-655,
DIR-825
DAP-1160,
DAP-1360,
DAP-1353
ISM VLAN (= MVR)
Sygnały (tagowane)
w osobnych VLAN
172.16.0.254/24
Serwer DHCP
dla v200
Serwer DHCP dla
v200, v201, v202, v999
Zarządzanie
VLAN zarządzania:
172.21.0.1/28, v997
VLAN zarządzania:
172.21.0.17/28, v997
Urządzenie z obsługą
VLAN na WAN oraz
IGMP snooping
172.16.0.200/24
20
chroni przed rozgłaszaniem
routingu na krawędź
Dowolny router
z IGMP snooping
bez obsługi VLAN
1
CBSR, CRP,
prior 20
RP (Randevous Point)
zapasowy
15 i 17
Router OSPF
konfiguracja typ II
192.168.3.254/24
OS
PF
: P
IM
-SM
Int: LAN
Int: DMZ
Porty 1-12
PC
13
STB-Motorola
14
Stacja czołowa IPTV
192.168.3.2/24
T
e
rm
in
a
c
ja
O
p
e
n
V
P
N
z
S
G
T
–
ty
lk
o
t
e
s
to
w
o
Serwer DHCP dla
v200, v201, v202, v999
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Opis topologii
Przedstawiona sieć została stworzona w celu prezentacji możliwości urządzeń
D-Linka w środowisku operatorskim w przypadku świadczenia usług TriplePlay
(IPTV, VoIP, Internet Access).
Topologia została stworzona i przetestowana w laboratorium D-Linka w Warszawie.
Dzięki uprzejmości firmy SGT i dużej pomocy p. Krzysztofa Posmyka udało się
włączyć do projektu odbiorniki STB (Zyxel STB-1001H oraz Motorola VIP1910-9)
a następnie dostarczyć do nich strumień usługi Jambox.
Przełączniki użyte w opisywanej sieci to przedstawiciele serii najbardziej popularnych
wśród operatorów ISP serii EntryLevel oraz xStack.
W topologii istnieją trzy warstwy: szkielet 1Gb/SFP (opcja 10G), dystrybucja
1Gb/SFP, dostęp FastEthernet oraz – dodatkowo - urządzenia końcowe CPE.
Szkielet: DGS-3627(G) - firmware 2.55B06
Dystrybucja: DGS-3100-24TG – firmware: 3.00.43
Dostęp: DES-3200-18 – firmware: 1.10B21
Dostęp: DES-3550 – firmware: 5.01
Dostęp: DES-3028 – firmware: 2.50B08
Szkielet sieci (DGS-3600_Core) stanowią połączone w trójkąt przełączniki gigabitowe
warstwy 3. Uruchomiono na nich protokoły routingu OSPF oraz PIM-SM. Pakiety
kontrolne OSPF nie są przekazywane do części dystrybucyjnej i dostępowej. W
szkielecie (Core_2 i Core_3) skonfigurowane są też serwery DHCP dla przyłączonych
urządzeń klienckich.
Tutaj także przyłączony jest dodatkowy lokalny serwer strumieni multicast
(oprogramowanie VLC) serwujący strumień w grupie 239.239.2.1:1234. Zewnętrzny
strumień multicast dla telewizji Jambox oraz usługą VoIP jest dostępna poprzez
Internet.
Notatka: Na rysunku linią przerywaną zaznaczony jest router oraz loklany serwer
multicastu podłączone do Core_3 – jest to alternatywna, uproszczona topologia,
zakładająca istnienie jednego szkieletowego przełącznika DGS-3627 (Core_3)
i jednej gałęzi np. z DGS-3100-24TG (Aggregate_1) i DES-3028 (access_2).
Można na nią przejść przepinając router DFL-800 i lokalny serwer multicastu
do portów kolejno 15 i 17 przełącznika DGS-3627_Core_3) i zwalniając uplinki
z portów 2, 13 i 2. W routerze po stronie lokalnej użyty został port DMZ (zamiast
LAN, jako połączenie do innej częsci sieci). Na maszynie pełniącej rolę serwera
multicast należy zmienić adres IP (192.168.3.254/24, gw 192.168.3.1) dostosowując
go tym samym do adresacji w tej części sieci.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Sieć zabezpieczona jest routerem/zaporą sieciową serii NetDefend DFL-800.
Dostępne są także wydajniejsze urządzenia z modułami UTM (IDS/IPS, AV, WCF,
Antispam): DFL-1660, DFL-2560 oraz DFL-2560G – posiadający interfejsy SFP.
Ruch z warstwy szkieletowej segregowany jest w VLANy i przesyłany aż do warstwy
dostępowej. Wydzielono osobne sieci VLAN dla ruchu IPTV, VoIP, oraz Internet
i zarządzania przełącznikami, a także zarządzania urządzeniami CPE. Do VLANów
zarządzających nie można uzyskać dostępu od strony klienckiej.
Na przełącznikach dostępowych skonfigurowano przykładowe, najbardziej
interesujące mechanizmy zabezpieczeń i kontroli dostępu dla krawędzi sieci LAN.
Można wybrać dowolne mechanizmy z kilku gałęzi i zaimplementować je
we własnych sieciach.
Blokada (za pomocą reguł ACL) dostępu do zarządzania przełącznikami
IMPB (IP-MAC-Port Binding) + DHCP snooping => klient uzyska dostęp do
sieci jedynie, gdy pobierze adres IP z serwera DHCP operatora. Statyczna
adresacja maszyn klienckich nie jest możliwa i będzie filtrowana. Para
dynamicznie przyznanych IP oraz MAC klienta jest zapamiętywana na
fizycznym porcie przełącznika
DHCP Server Screening => ochrona przed działaniem obcych serwerów DHCP
na portach klienckich mogących powodować zakłócenia w przyznawaniu
adresów IP w sieci
ISM VLAN (IGMP Snooping Multicast VLAN) => znana także jako Cisco MVR –
umożliwiająca zaoszczędzenie pasma na połączeniach uplink z przełączników
dostępowych poprzez przesyłanie tylko jednej kopii strumienia multicast
w przypadku, gdy klienci znajdują się w niezależnych sieciach VLAN
Safeguard Engine => ochrona procesora przełącznika przed ruchem typu
multicast i broadcast intensywnie obciążającym CPU
Traffic Control => ograniczenie przed zalewaniem sieci operatorskiej
klienckimi pakietami broadcast, unicast i multicast
ARP Spoofing => ochrona uniemożliwiająca podszycie się klienta pod adres IP
oraz MAC bramy w sieci, co zapobiega atakom typu Man-In-The-Middle
Priorytet na ruch VoIP => na podstawie adresu IP serwera SIP
Port Security => ograniczenie jednoczesnego wystąpienia dużej liczby
adresów MAC na porcie przełącznika, co zapobiega atakom typu MAC Flood
Loopback Detection => funkcjonalność pozwalająca na wykrycie w sieci klienta
zapętlenia
(co
powoduje
generowanie
dużej
liczby
pakietów
broadcast/multicast do sieci operatora) i wyłączenie portu klienckiego
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Po stronie klienta, jako jako urządzenie CPE można użyć kilkuportowy przełącznik
z potrzebnymi funkcjonalnościami takimi jak: uplinki SFP, obsługa VLAN i IGMP
Snooping.
Np. przełącznik serii DES-3200 lub też router DIR-100/PL z alternatywnym firmware
pozwalającym uzyskać funkcjonalność VLAN Switch (5-portowy zarządzalny
przełącznik z obsługą VLAN i MVR).
Dobrym rozwiązaniem może być również DVG-G5402SP (bezprzewodowy router VoIP
z obsługą 4 VLAN) ze specjalnym, dostosowanym pod ISP firmware (dostępny na
ftp://ftp.dlink.pl/dvg/dvg-g5402sp/driver_software/DVG-
G5402SP_fw_B1_4VLAN_ACL_all_en_20100127.rar)
W topologii bazowej znajdują się trzy gałęzie dostępowe, warstwy 2:
(1) Zbudowana na DES-3200-18
(2) Zbudowana na DGS-3100-24TG oraz na DES-3028
(3) Zbudowana na DES-3526/50
Pierwsza gałąź (1) zawiera konfigurację bazującą na dwóch sieciach VLAN
dostarczanych do warstwy dostępowej. W jednej sieci VLAN dostarczany jest
Internet i VoIP (v200), a w drugiej – strumień multicast IPTV (v201). Porty klienckie
są nietagowane i należą do VLAN v200.
Na przełączniku DES-3200-18 skonfigurowany jest ISM VLAN mający zastosowanie w
przypadku, gdy każdy klient znajduje się w osobnym VLAN. ISM VLAN kopiuje
strumień multicastowy docierający do przełącznika wydzielonym do tego VLANem
(v201), na porty klienckie, któ®e w danej chwili zgłosiły chęć jego odbierania.
Dla uproszczenia bazowej konfiguracji założono, że wszyscy klienci znajdują się w tej
samej sieci VLAN oraz, że wszystkie usługi serwowane są klientowi za pomocą
nietagowanego portu. Klient może dzięki temu użyć dowolnego urządzenia CPE – np.
routera Wi-Fi do terminacji Internetu , bramki/telefonu SIP oraz STB podłączonych
pod interfejsy routera - do terminacji kolejno VoIP i IPTV.
Dla ruchu VoIP, bazując na adresie IP serwera SIP został nadany priorytet 5
(802.1p).
Druga gałąź (2) zakłada istnienie osobnych VLAN dla każdego typu dostarczanego
ruchu. Przełącznik DGS-3100-24TG posiadający 16 portów SFP pełni tu rolę
przełącznika agregującego połączenia światłowodowe i został użyty jako przełącznik
tranzytowy.
Jako przełącznik dostępowy został użyty DES-3028. Jest to jeden
z najpopularniejszych przełączników brzegowych D-Linka serii Entry-Level.
Porty klienckie przełącznika są skonfigurowane jako tagowane i przenoszą 4 VLANy:
v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management. Port pełniący funkcję
Uplink dodatkowo zawiera VLAN v997-Management służący do zarządzania samym
przełącznikiem.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Notatka: Na rysunku do portów 13 i 14 DES-3028 jest przerywaną linią dołączony
serwer terminujacy połączenie OpenVPN od SGT do STB Motoroli. Jest to dodatek
testowy/pokazowy dla potrzeb dostarczania rzeczywistego ruchu multicastowego
telewizji Jambox na STB Motoroli.
W lokalu u klienta musi istnieć urządzenie CPE potrafiące terminować VLANy
tagowane na jednym porcie (np. na WAN gdy jest to router).
W konfiguracji bazowej jest to router DIR-100/PL (H/W:B1) z firmware VLAN switch.
Wersja B1 umożliwia załadowanie firmware o funkcjonalności VLAN Switch lub TP
Router.
Te wersje firmware znajdują się na serwerze ftp D-Link:
ftp://ftp.dlink.pl/dir/dir-100/driver_software/
Firmware VLAN switch posiada obsługę VLAN 802.1q oraz mechanizm IGMP
Snooping v2 i MVR.
Poniżej zamieszczono ekrany konfiguracyjne routera DIR-100 (B1). Router jest
zarządzany jedynie zdalnie po VLAN v999 na adresie 192.168.11.2/24.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Trzecia gałąź (3) - dostępowa zawiera przełącznik serii xStack DES-3550. W sieciach
ISP bardzo często używa się również wersji 24 portowej -DES-3526 lub DES-3528.
Gałąź ta jest kopią gałęzi drugiej z tą różnicą, że nie zawiera przełącznika
agregującego.
Wszystkie usługi są dostarczane do lokalu klienta po dedykowanych do tego celu
sieciach VLAN (v200-Internet, v201-IPTV, v202-VoIP, v999-CPE Management) –
zatem u klienta musi zostać zainstalowany sprzęt CPE z obsługą VLAN 802.1q.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Konfiguracja przełączników D-Link użytych w koncepcji sieci ISP
Wszystkie pliki wraz z użytymi firmware i gotowymi plikami konfiguracji – wprost do
załadowania na przełączniki i router znajdują się na
ftp://ftp.dlink.pl/_konfiguracje/Koncepcja_D-Link_ISP_Triple_Play/pliki_config.rar
Konfiguracja przełącznika szkieletowego L3 DGS-3627G_Core_1
config command_prompt core_1
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27
# wprowadzenie internetu z DFL
create vlan internet tag 121
config vlan internet add untagged 20,24
config ipif System vlan internet ipaddress 172.16.0.1/24
# wprowadzenie multicastu ze stacji czolowej
create vlan iptv tag 122
config vlan iptv add untagged 21
create ipif iptv 192.168.1.1/24 iptv
# polaczenie core1-core2
create vlan v123 tag 123
config vlan v123 add tagged 22
create ipif v123 192.168.2.1/24 v123
# polaczenie core1-core3
create vlan v124 tag 124
config vlan v124 add tagged 23
create ipif v124 192.168.3.1/24 v124
# Loopback
create loopback ipif Loopback 172.20.0.1/32 state enable
# OSPF
config ospf all area 0.0.0.0 state enable passive disable
# dla interfejsu "iptv" tryb pracy pasywnej - zabezpiecza przed rozgłaszaniem
# pakietów protokołu OSPF do podsieci klienckich
config ospf ipif iptv passive enable
config ospf router_id 172.20.0.1
enable ospf
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# PIM-SM
config pim ipif iptv state enable mode sm
config pim ipif v123 state enable mode sm
config pim ipif v124 state enable mode sm
# automatyczna elekcja Bootstrap Router
config pim cbsr ipif iptv priority 10
# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8
config pim crp priority 10
create pim crp group 239.0.0.0/8 rp iptv
enable pim
# IGMP
# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
# IGMPv3 - np. DES-3028
config igmp ipif iptv state enable version 2
# Security
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy
Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_2
config command_prompt core_2
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27
# polaczenie core2-core1
create vlan v123 tag 123
config vlan v123 add tagged 13
config ipif System ipaddress 192.168.2.2/24 vlan v123
# polaczenie core2-core3
create vlan v125 tag 125
config vlan v125 add tagged 21
create ipif v125 192.168.6.1/24 v125
# VLAN dla internetu do klientow
create vlan internet tag 200
config vlan internet add tagged 1-12
create ipif internet 192.168.4.1/24 internet
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# VLAN dla IPTV do klientow
create vlan iptv tag 201
config vlan iptv add tagged 1-12
create ipif iptv 192.168.7.1/24 iptv
# VLAN dla zarzadzania przelacznikami L2
create vlan mgmt tag 997
config vlan mgmt add tag 1-12
create ipif mgmt 172.21.0.1/28 mgmt
# VLAN dla zarzadzania CPE
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12
create ipif CPEmgmt 192.168.10.1/24 CPEmgmt
# Loopback
create loopback ipif Loopback 172.20.0.2/32 state enable
# OSPF
config ospf all area 0.0.0.0 state enable passive disable
# dla interfejsow "iptv", "mgmt", "CPEmgmt" i "internet" tryb pracy pasywnej –
# zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do podsieci
# klienckich
config ospf ipif iptv passive enable
config ospf ipif internet passive enable
config ospf ipif mgmt passive enable
config ospf ipif CPEmgmt passive enable
config ospf router_id 172.20.0.2
enable ospf
# PIM-SM
config pim ipif System state enable mode sm
config pim ipif v125 state enable mode sm
config pim ipif iptv state enable mode sm
# automatyczne przelaczenie na ruchu multicast na SPT
config pim last_hop_spt_switchover immediately
enable pim
# IGMP
# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
IGMPv3 - np. DES-3028
config igmp ipif iptv state enable version 2
# IGMP Snooping
# pozwala na filtrowanie niechcianego multicastu na portach i nie podawanie go
# w dol sieci
config igmp_snooping vlan iptv state enable
enable igmp_snooping
config multicast filtering_mode iptv filter_unregistered_groups
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# DHCP server
# przydzielanie adresow z serwera DHCP na podsieci internetowej
create dhcp pool internet
config dhcp pool network_addr internet 192.168.4.0/24
config dhcp pool default_router internet 192.168.4.1
config dhcp pool dns_server_address internet 4.2.2.3
enable dhcp_server
# Security
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy
Konfiguracja przełącznika szkieletowego L3 DGS-3627_Core_3
config command_prompt core_3
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-27
# polaczenie core3-core1
create vlan v124 tag 124
config vlan v124 add tagged 13
config ipif System ipaddress 192.168.3.2/24 vlan v124
# port 15 i 17 (untag) do bezposredniego dolaczenia DFL via DMZ oraz serwera
# Multicast
config vlan v124 add untagged 15,17
# polaczenie core3-core2
create vlan v125 tag 125
config vlan v125 add tagged 21
create ipif v125 192.168.6.2/24 v125
# VLAN dla internetu do klientow
create vlan internet tag 200
config vlan internet add tagged 1-12
create ipif internet 192.168.5.1/24 internet
# VLAN dla IPTV do klientow
create vlan iptv tag 201
config vlan iptv add tagged 1-12
create ipif iptv 192.168.8.1/24 iptv
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# VLAN dla VoIP do klientow
create vlan voip tag 202
config vlan voip add tagged 1-12
create ipif voip 192.168.9.1/24 voip
# VLAN dla zarzadzania przelacznikami L2
create vlan mgmt tag 997
config vlan mgmt add tagged 1-12
create ipif mgmt 172.21.0.17/28 mgmt
# VLAN dla zarzadzania CPE
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12
create ipif CPEmgmt 192.168.11.1/24 CPEmgmt
# Loopback
create loopback ipif Loopback 172.20.0.3/32 state enable
# OSPF
config ospf all area 0.0.0.0 state enable passive disable
# dla interfejsow "iptv", "voip", "mgmt", "CPEmgmt" i "internet" tryb pracy
# pasywnej - zabezpiecza przed rozglaszaniem pakietow protokolu OSPF do
# podsieci klienckich
config ospf ipif iptv passive enable
config ospf ipif internet passive enable
config ospf ipif voip passive enable
config ospf ipif mgmt passive enable
config ospf ipif CPEmgmn passive enable
config ospf router_id 172.20.0.3
enable ospf
# PIM-SM
config pim ipif System state enable mode sm
config pim ipif v125 state enable mode sm
config pim ipif iptv state enable mode sm
# automatyczne przelaczenie na ruchu multicast na SPT
config pim last_hop_spt_switchover immediately
# automatyczna elekcja Bootstrap Router
config pim cbsr ipif System priority 20
# automatyczna elekcja Randevous Point dla grup multicastowych 239.0.0.0/8
config pim crp priority 20
create pim crp group 239.0.0.0/8 rp System
enable pim
# IGMP
config igmp ipif iptv state enable version 2
config igmp ipif System state enable version 2
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# IGMP Snooping
# protokol IGMP w wersji 2 - kompatybilnosc z urzadzeniami nie wspierajacymi
# IGMPv3 - np. DES-3028
config igmp_snooping vlan iptv state enable
enable igmp_snooping
config multicast filtering_mode iptv filter_unregistered_groups
# DHCP server
# przydzielanie adresow z serwera DHCP na podsieci internetowej
create dhcp pool internet
config dhcp pool network_addr internet 192.168.5.0/24
config dhcp pool default_router internet 192.168.5.1
config dhcp pool dns_server_address internet 4.2.2.3
# przydzielanie adresow z serwera DHCP na podsieci iptv
create dhcp pool iptv
config dhcp pool network_addr iptv 192.168.8.1/24
config dhcp pool default_router iptv 192.168.8.1
config dhcp pool dns_server_address iptv 4.2.2.3
# przydzielanie adresow z serwera DHCP na podsieci VoIP
create dhcp pool VoIP
config dhcp pool network_addr VoIP 192.168.9.1/24
config dhcp pool default_router VoIP 192.168.9.1
config dhcp pool dns_server_address VoIP 4.2.2.3
# przydzielanie adresow z serwera DHCP na podsieci CPEmgmt
create dhcp pool CPEmgmt
config dhcp pool network_addr CPEmgmt 192.168.11.1/24
config dhcp pool default_router CPEmgmt 192.168.11.1
config dhcp pool dns_server_address CPEmgmt 4.2.2.3
# uruchomienie serwera DHCP
enable dhcp_server
# Security
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy
Konfiguracja przełącznika dystrybucyjnego L2 DGS-3100-24TG_Aggregate_1
# VLANy
create vlan internet tag 200
config vlan internet add tagged 1-24
create vlan iptv tag 201
config vlan iptv add tagged 1-24
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
create vlan voip tag 202
config vlan voip add tagged 1-24
create vlan mgmt tag 997
config vlan mgmt add tagged 1-24
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-24
# zarzadzanie
# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.18/28 vlan mgmt
create iproute default 172.21.0.17
# IGMP Snooping
config igmp_snooping iptv state enable
enable igmp_snooping
# filtrowanie niezarejestrowanych grup multicast na portach klienckich
config multicast filtering_mode 1-12 filter_unregistered_groups
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable rising 100 falling 60
Konfiguracja przełącznika dostępowego L2 DES-3028_Access_2
config command_prompt access_2
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-28
# stworzenie VLANow uslugowych
create vlan internet tag 200
config vlan internet add tagged 1-12,15-25
config vlan internet add untagged 13
create vlan iptv tag 201
config vlan iptv add tagged 1-12,15-25
create vlan voip tag 202
config vlan voip add tagged 1-12,15-25
create vlan mgmt tag 997
config vlan mgmt add tagged 25
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-12,15-25
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# STB Motorola - dodatkowy (testowy/pokazowy) VLAN do przylaczenia STB Motoroli
# + serwer OpenVPN
# 13 port - OpenVPN (Linux)
# 14 port - STB
create vlan v123 tag 123
config vlan v123 add untagged 14
config vlan v123 add tagged 13
# zarzadzanie
# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.19/28 vlan mgmt
create iproute default 172.21.0.17
# IGMP Snooping
# ograniczenie liczby uczonych, poprzez sledzenie typu ruchu, grup
# multicastowych
# zapobiega wypelnianiu tablicy IGMP Snooping na przelacznikach poprzez
# wysylanie IGMP Join w VLANach innych, niz iptv - tam, gdzie IGMP Snooping
# jest wylaczony
config igmp_snooping data_driven_learning all aged_out enable
config igmp_snooping data_driven_learning max_learned_entry 1
# wlaczenie funkcjonalnosc Fast Leave dla VLANu iptv - pozwala na
# natychmiastowe zaprzestanie transmisji strumienia multicast po otrzymaniu
# komunikatu IGMP Leave
config igmp_snooping vlan_name iptv state enable fast_leave enable
enable igmp_snooping
# filtrowanie niezarejestrowanych grup multicast na portach klienckich
config multicast port_filtering_mode 1-12 filter_unregistered_groups
config multicast port_filtering_mode 15-24 filter_unregistered_groups
# zapobieganie wysylaniu multicastu od klienta w gore sieci
config multicast port_filtering_mode 25 filter_unregistered_groups
config router_ports iptv add 25
config router_ports_forbidden iptv add 1-12
config router_ports_forbidden iptv add 15-24
# Security
# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-24 deny
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# Traffic Control
# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail
# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych
# przelacznikow w sieci
config traffic control 1-24 broadcast enable multicast enable unicast enable
action drop threshold 10000
Konfiguracja przełącznika dostępowego L2 DES-3200-18_Access_1
config command_prompt access_1
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-18
# stworzenie VLAN uslugowych
create vlan internet tag 200
config vlan internet add tagged 17
config vlan internet add untagged 1-16
create vlan mgmt tag 997
config vlan mgmt add tagged 17
# zarzadzanie
# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.2/28 vlan mgmt
create iproute default 172.21.0.1
# IGMP Snooping
# ograniczeni liczby uczonych poprzed sledzenie typu ruchu grup multicastowych
config igmp_snooping data_driven_learning all aged_out enable
config igmp_snooping data_driven_learning max_learned_entry 1
enable igmp_snooping
# IGMP Snooping Multicast VLAN
# pozwala na przesylanie calego ruchu multicast specjalnym VLANem do
# przelacznika
# przelacznik replikuje ten ruch na porty klienckie wg potrzeby - odpowiednik
# Cisco Multicast VLAN Registration
create igmp_snooping multicast_vlan iptv 201
config igmp_snooping multicast_vlan iptv add source_port 17 state enable
replace_source_ip 192.168.7.2
config igmp_snooping multicast_vlan iptv add member_port 1-16
enable igmp_snooping multicast_vlan
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# filtrowanie niezarejestrowanych grup multicast na portach klienckich
# config multicast port_filtering_mode 1-16 filter_unregistered_groups
# zapobieganie wysylaniu multicastu od klienta w gore sieci
config multicast port_filtering_mode 17 filter_unregistered_groups
config router_ports iptv add 17
config router_ports_forbidden iptv add 1-16
# Priorytetyzacja ruchu
# priorytet 5 dla VoIP (dla ruchu do adresu IP 10.0.1.1 serwera SIP)
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip destination_ip
10.0.1.1 port 1-16 permit priority 5
# Security
# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-16 deny
# ochrona przed ARP Spoofing bramy dla VLAN internet
config arp_spoofing_prevention add gateway_ip 192.168.4.1 gateway_ma 00-19-5B-
EF-F7-C2 ports 1-16
# ochrona przed MAC Flood
config port_security ports 1-16 admin_state enable max_learning_addr 5
lock_address_mode DeleteOnTimeout
# ochrona przed petla w sieci klienckiej
config loopdetect ports 1-16 state enabled
enable loopdetect
# Safeguard Engine
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100 #
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable utilization rising 100 falling 60 trap_log
enable mode fuzzy
# Traffic Control
# ograniczenie poziomu ruchu broadcast, multicast oraz Destination Lookup Fail
# na portach klienckich - zabezpiecza przed przeciazeniem CPU innych
# przelacznikow w sieci
config traffic control 1-16 broadcast enable multicast enable unicast enable
action drop threshold 10000
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Konfiguracja przełącznika dostępowego L2 DES-3550_Access_3
config command_prompt access_3
# VLANy
# usuniecie wszystkich portow z VLAN ID 1
config vlan default delete 1-50
# stworzenie VLAN uslugowych
create vlan internet tag 200
config vlan internet add tagged 1-49
create vlan iptv tag 201
config vlan iptv add tagged 1-49
create vlan mgmt tag 997
config vlan mgmt add tagged 49
create vlan CPEmgmt tag 999
config vlan CPEmgmt add tagged 1-49
# zarzadzanie
# interfejs IP do zarzadzania przelacznikiem na VLANie mgmt
config ipif System ipaddress 172.21.0.20/28 vlan mgmt
create iproute default 172.21.0.17
# IGMP Snooping
config igmp_snooping iptv state enable
enable igmp_snooping
# security
# blokowanie dostepu klientow do adresacji zarzadzajacej na przelacznikach L2
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip
172.21.0.0 port 1-48 deny
# IPMB
# filtrowanie ruchu od klientow, ktorzy nie pobrali adresacji IP z serwera DHCP
# urzadzenie przepuszcza tylko ruch z par IP/MAC zgodnych z wynegocjowanymi
# podczas komunikacji z serwerem DHCP
config address_binding dhcp_snoop max_entry ports 1-48 limit 5
config address_binding ip_mac ports 1-24 state enable allow_zeroip enable
forward_dhcppkt enable stop_learning_threshlod 50
enable address_binding acl_mode
enable address_binding dhcp_snoop
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
# DHCP Server Screening, Netbios filtering
# filtrowanie nieautoryzowanych serwerow DHCP znajdujacych sie na portach
# klienckich
config filter dhcp_server ports 1-24 state enable
# filtrowanie ruchu NETBIOS na portach klienckich
config filter extensive_netbios 1-24 state enable
config filter netbios 1-24 state enable
# Safeguard
# zabezpieczenie przed przeciazeniem CPU przelacznika, po osiagnieciu 100
# procent obciazenia aktywacja priorytetyzacji ruchu docierajacego do CPU
config safeguard_engine state enable cpu_utilization rising_threshold 100
falling_threshold 60 trap_log enable
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Inżynierskim okiem, czyli co, gdzie i po co
1) OSPF
protokół OSPF jest wykorzystywany do automatycznej negocjacji optymalnych
(oczywiście z uwagi na poczynione założenia) tras routingu w sieci L3.
Protokół OSPF powinien być włączony na każdym interfejsie, do którego przyłączona
podsieć ma być rozgłaszana w sieci.
Jeśli jest to podsieć nie zawierająca dalszych routerów OSPF, to interfejs IP dla tej
podsieci powinien być ustawiony w tryb Passive, co zapobiega rozgłaszaniu pakietów
kontrolnych OSPF do tej sieci.
2) PIM-SM
protokół PIM-Sparse Mode jest wykorzystywany do dostarczania strumieni multicast
poprzez sieć L3 od jego źródła („first hop” router) do routera brzegowego („last hop”
router) do którego przyłączony jest klient.
Protokół PIM powinien być włączony na każdym interfejsie, który może brać udział
w przekazywaniu pakietów pomiędzy routerami bądź routerami
i serwerami/klientami.
Protokół PIM do podejmowania decyzji wykorzystuje informacje zawarte
w unicastowej tablicy routingu na danym routerze (utworzonej albo statycznie, albo
też poprzez protokoły routingu dynamicznego, np. typu OSPF) i przesyłany multicast
jest routowany zgodnie z nią (a ściślej rzecz biorąc, każdy router multicastowy
filtruje docierający do niego strumień multicast w przypadku, gdy dociera on innym
interfejsem, niż ten prowadzący do źródła wg unicastowej tablicy routingu).
Do poprawnego działania routingu multicastu via PIM wymagane jest więc poprawne
działanie routingu unicastu.
3) Rendezvous Point (RP)
RP jest rolą, którą pełni jeden z interfejsów IP na jednym lub kilku routerach
multicastowych mających załączony protokół PIM-SM.
Rolą RP jest dystrybucja multicastu pochodzącego z routera brzegowego
przyłączonego bezpośrednio do źródła do routerów brzegowych do których
przyłączeni są klienci.
Każda grupa multicast w sieci musi mieć określony swój RP – najczęściej konfiguruje
się jeden i ten sam RP dla wszystkich przesyłanych w sieci grup multicastowych, lecz
nie jest to regułą i zależy od wielu czynników.
Z uwagi na fakt, że protokół PIM-SM posługuje się m. in. timerem Register-
Suppression, w celu zminimalizowania ewentualnych opóźnień w docieraniu
strumienia multicast ze źródła do routera pełniącego rolę RP zalecane jest
skonfigurowanie RP na routerze pełniącym jednocześnie rolę routera „first-hop” dla
danej grupy multicast.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Każdy router pełniący rolę routera multicast w sieci powinien zawierać pełny zestaw
informacji o położeniu routerów pełniących rolę RP dla wszystkich grup multicast
przesyłanych w tejże sieci. Takie informacje mogą zostać dodane na każdym
routerze ręcznie (poprzez konfigurację Static RP) lub dystrybuowane automatycznie
za pomocą desygnowanego routera pełniącego funkcję BootStrap Routera (BSR).
4) IGMP
protokół IGMP jest używany w celu umożliwienia klientom zgłoszenia ich chęci
odbierania konkretnej grupy multicast do routera multicastowego znajdującego się
na krawędzi tej części sieci, w której znajduje się ów klient („last hop” router).
Protokół IGMP powinien być włączony na każdym interfejsie IP routera (pełniącego
funkcję routera multicastowego), do którego przyłączeni są klienci strumieni
multicast.
Istnieją trzy wersje protokołu IGMP. Powszechnie używa się wersji 2 lub wersji 3.
Niektórzy klienci oraz przełączniki dostępowe (L2) nie wspierają IGMPv3 (i w związku
z tym może nie działać na nich poprawnie funkcjonalność IGMP Snooping) więc
na interfejsach klienckich routerów multicastowych używa się często protokołu IGMP
w wersji 2.
5) IGMP Snooping
funkcjonalność IGMP Snooping jest używana na poziomie portów fizycznych (bądź
całych VLANów – w zależności od jej implementacji w konkretnym typie urządzenia)
przełącznika i służy do filtrowania przepływającego ruchu multicast w warstwie L2
w taki sposób, aby transmisja multicast była wysyłana tylko przez te porty
przełącznika, do których przyłączeni są klienci chcący w danej chwili tę transmisje
odbierać.
Funkcjonalność IGMP Snooping powinna być załączona na VLANach na każdym
przełączniku począwszy od „last hop” routera multicastowego na brzegu sieci L3
(na jego VLANach do których przyłączeni są klienci), poprzez wszystkie przełączniki
agregacyjne i dostępowe L2, do których przyłączeni są klienci.
Koncepcja sieci operatorskiej dla usług Triple Play (IPTV, Internet, VoIP)
© Marcin Wójcik & Bartosz Kiziukiewicz
D-Link Polska, Marzec 2010
Podsumowanie
Opracowanie to zawiera jedną z koncepcji budowy sieci dla operatora ISP, który
chciałby świadczyć usługi TriplePlay, a w szczególności usługę IPTV przy
wykorzystaniu transmisji Multicast. Powyższe przykłady można modyfikować
dostosowując je do rzeczywistych potrzeb.
Proszę traktować to opracowanie jako podstawową pomoc dla tych, którzy nie mieli
jeszcze do czynienia z urządzeniami sieciowymi D-Link lub chcieliby poszerzyć swoją
wiedzę o przełącznikach i zaimplementowanych w nich mechanizmach.
Należy jednak pamiętać, że dokument ten nie zawiera wszystkich mechanizmów
dostępnych na przełącznikach a jedynie te, które wydawały nam się najciekawsze
i wyróżniają D-Linka na tle innych rozwiązań.
Mamy nadzieję, że otrzymamy od Państwa na ten temat wiele komentarzy
co zaowocuje kolejnymi rozszerzonymi wersjami tego opracowania.
Z technicznym pozdrowieniem,
Marcin Wójcik
Bartosz Kiziukiewicz