Данный документ описывает наиболее важные вопросы, связанные с применением, настройкой и ограничениями использования коммутатора DGS-3312SR. Пользователи могут получить представление об использовании оборудования DGS-3312SR в существующей сетевой структуре или о построении собственной сети.

Краткое описание DGS-3312SR

DGS-3312SR – это мощный, многофункциональный коммутатор третьего уровня (Layer 3). Администратор сети может использовать его в качестве мастера-коммутатора стека или в качестве гигабитного коммутатора, поддерживающего соединения по медным и оптическим кабелям. Благодаря 12 выделенным каналам со скоростью соединения 1 Гбит/с, позволяющим объединить в отказоустойчивый стек по архитектуре «звезда» до 12 стекируемых или автономных коммутаторов, а также возможности подключения дополнительного резервного питания, модульной конфигурации, пакетной маршрутизации третьего уровня и широким возможностям управления, этот универсальный коммутатор является многофункциональным и гибким устройством, необходимым при построении и эксплуатации сети предприятия/отдела.

Наиболее экономически эффективное решение для SMB – использование коммутатора уровня L3

DGS-3312SR является модульным магистральным коммутатором Gigabit Ethernet, разработанным с целью адаптации и масштабируемости сетевых решений для малого бизнеса. В качестве автономного гигабитного коммутатора, DES-3312SR может предоставлять до 12 портов Gigabit Ethernet, выполняя функцию центрального коммутатора для других коммутаторов или коммутационных групп, а также маршрутизаторов. Четыре встроенных комбинированных порта Gigabit Ethernet позволяют использовать или 1000BASE-T или SFP-соединения. DGS-3312SR является лучшим решением для использования в качестве центрального коммутатора, который обеспечивает до 12 гигабитных uplink-портов, возможность коммутации уровней L2/L3, полную поддержку оптических/медных каналов и функции маршрутизации/безопасности/управления при работе в сети, состоящей из 50-200 компьютеров.

Мастер-коммутатор стека для DES-3226S и DES-3250TG

Коммутатор DGS-3312SR может быть объединен в стек с коммутаторами DES-3226S или DES-3250TG, выполняя функцию главного коммутатора группы. Возможны три варианта подключения, с использованием дополнительных модулей:
1. С использованием встроенных комбо-портов 1000Base-T Gigabit Ethernet или модуля DEM-340T 1000BASE-T.
2. С использованием оптических трансиверов, устанавливаемых во встроенные комбо-порты mini-GBIC или используя модуль DEM-340MG SFP (Mini GBIC).
3. Используя последовательную шину стандарта IEEE 1394 fire wire и модуль DEM-540, поддерживающий стандарт IEEE 1394.
Каждый дополнительный модуль для стекирования позволяет подключить до 4 коммутаторов DES-3226S или DES-3250TG к главному коммутатору DGS-3312SR, обеспечивая до 12 гигабитных портов, которые можно использовать для подключения до 12 подчиненных (slave) устройств, поддерживающих до 576-ти портов 10/100 Мбит/с и 12 гигабитных портов при использовании архитектуры типа «звезда». При таком подключении, DGS-3312SR будет являться главным коммутационным устройством для коммутаторов DES-3226S, DES-3250TG или их комбинации. Управление и мониторинг, построенного таким образом стека осуществляется через сеть или через консольный порт коммутатора DGS-3312SR. Благодаря архитектуре «звезда», пользователи могут использовать возможность зеркалирования портов или объединять порты различных устройств стека с целью создания агрегированного канала, а также управлять всем стеком как единым устройством с использованием одного IP-адресом.

Топология, ограничения и возможные опасности при организации стека

DGS-3312SR может служить мастером-коммутатором стека для 12-ти дополнительных коммутаторов. При этом подключаемые коммутаторы должны удовлетворять следующим критериям:
- В качестве подчиненных (slave) коммутаторов, можно использовать только DES-3226S или DES-3250TG. При этом в одной коммутационной группе могут присутствовать коммутаторов обеих моделей.
- Коммутаторы DES-3226S или DES-3250TG должны иметь ПО версии IV или более поздней версии, для правильного взаимодействия с главным коммутатором DGS-3312SR.
- Коммутатор DGS-3312SR автоматически становится главным в коммутационной группе.
- Необходимо активировать функцию стекирования для каждого подключаемого коммутатора перед соединением коммутационной группы с сетью. Функция может быть активирована посредством подключения к каждому коммутатору через консольный порт и используя конфигурационные команды CLI. Перед активацией данной функции коммутатора, порт стандарта IEEE 1394 должен быть логически представлен как отдельный порт 1000BASE в полнодуплексном режиме.

Задачи, стоящие перед коммутатором L3

В настоящее время, благодаря быстрому темпу развития и изменений информационных технологий, бизнес-процессы неразрывно связаны с использованием сетевой инфраструктуры и технологий. В условиях жесткой конкурентной борьбы, производители сетевого оборудования должны ориентироваться не только на выполнение задач самого бизнеса, но и предотвращать угрозы со стороны сети, такие как атаки хакеров и проникновение различных вирусов.

Задача 1: Проникновение вирусов

Необходимо начать с краткого описания того, как происходит заражение различными вирусами. Обычно для распространения вирусов, генерируется и отправляется в сеть объемный и непредсказуемый трафик данных, который и оказывает существенное влияние на сетевые устройства, такие как коммутаторы, межсетевые экраны и серверы. Можно заглянуть вглубь происходящего при этом процесса и понять, как именно происходит влияние вирусов. Для простоты разделим процесс заражения вирусами на три этапа. Рассмотрим для примера хорошо известную программу-вирус WORM_SASSER, заражающую компьютер. На первом этапе зараженный компьютер будет сканировать все другие хосты в той же подсети, используя протокол ARP (Address Resolution Protocol). На этапе 2 зараженный компьютер будет отправлять пакеты большого объема в пределах того же сетевого сегмента, чтобы распространить вирус, используя уязвимость службы Windows LSASS.

Наконец, на этапе 3, все другие хосты различных подсетей также становятся целью для распространения вируса зараженным компьютером. На данном этапе зараженный вирусом компьютер будет отправлять большое число пакетов TCP SYN (DST порт: 445), сканировать все другие компьютеры в различных подсетях и пытаться заразить другие хосты используя уязвимость службы Windows LSASS.

На этапе 3, когда вирус пытается высмотреть жертвы в сети, большое количество пакетов TCP SYN может быть остановлено и разрушено сетевыми устройствами уровня L3, включая коммутаторы L3, маршрутизаторы или межсетевые экраны.

-- Решение:

На рисунке 1 представлена схема сети, используемая для того, чтобы показать какое решение может быть предложено для противостояния распространению вирусов. На этапе 1 заражения вирусом, зараженные хосты, подключенные к коммутатору DES-3526, генерируют ARP-пакеты и рассылают в режиме широковещания, которые обычно подавляются центральным коммутатором DGS-3312SR. Это происходит потому, что коммутатор прослушивает каждый ARP-пакет в сети, пока число хостов не превысит допустимую норму (рис 1). Вирус распространяется от множества зараженных хостов в течение короткого времени, пока не достигнет предела возможностей CPU коммутатора (около 1000 пакетов/сек). Решением этой проблемы, может быть активизация функции контроля широковещательной передачи пакетов и понижение степени данного контроля. Предложенная функция может быть активизирована на любом из коммутаторов уровня L3 (DGS-3312SR) или пограничном коммутаторе (DES-3526), что может помочь ограничить число ARP-пакетов еще на этапе 1 заражения вирусами. Для коммутатора DES-3526 R4, степень контроля широковещательной передачи пакетов может быть установлена от 1Kpps до 1pps, и это предоставляет DES-3526 большие возможности по ограничению потока пакетов, передаваемых коммутаторам уровня L3.
Необходимо отметить, что возможности CPU коммутатора DGS-3312SR могут быть превышены вследствие широковещательной передачи пакетов, если соответствующее пороговое значение не было установлено заранее, коммутация пакетов на уровне L2/ L3 не будет затронута, т.к. проблемы разрешаются на уровне коммутации ASIC. Признаки возникших проблем пользователи могут обнаружить в случае, если DGS-3312SR не отвечает на SNMP-запросы или ICMP-опрос от сетевой системы управления.

Задача 2: P2P-приложения

При использовании P2P-приложений, таких как eMule или BT, которые обычно генерируют сотни одновременных сессий в связи с характером Р2Р-трафика, коммутаторы уровня L3 не обладают средством слежения за временем жизни каждой сессии с целью удаления устаревших записей из таблицы коммутации IP-адресов. В таком случае, нагрузка на CPU может возрасти вследствие чрезмерного увеличения количества записей в аппаратной таблице коммутации IP-адресов и CPU может быть задействовано при принятии решения о маршрутизации. Такая же ситуация может произойти в случае, если присоединенные компьютеры пользователей заражены как описано на этапе 3: множество SYN-пакетов быстро заполняют аппаратную таблицу IP-маршрутизации коммутатора DGS-3312SR [2048 значений]. Когда CPU задействуется при принятии решения о маршрутизации, пользователи могут обнаружить признаки снижения скорости коммутации уровня L3.

-- Решение:

Одним из решений может быть уменьшение значения параметра Аge time записей таблицы коммутации IP-адресов коммутатора L3. Это единственно возможное решение для устройств предыдущего поколения.

Заключение

Однако коммутатору DGS-3312SR не хватает новых конструктивных разработок, присущих коммутаторам компании D-Link следующего поколения, таких как xStack DGS/DXS-33хх, DGS-3600, которые обладают более устойчивой системой обеспечения безопасности. Коммутатор DGS-3312SR является идеальным решением коммутации уровня L3 для сетей SMB, насчитывающих 100-200 пользователей. Модульная архитектура DGS-3312SR обеспечивает высокую гибкость при использовании интерфейса Gigabit Ethernet как с оптическим, так и медным кабелем.