NTPC D-Link產品教育訓練 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name: Phone:02-66000123, Email:

Agenda 現有架構說明 各類功能說明 行動學習箱使用說明 網路申請服務暨異動表

現有網路架構 未來學校網路架構 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager TANET WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 DGS-3620-28TC DWC-2000 1G DGS-1510-28XMP 10G DGS-1510-28XMP DWL-6610 無線網路 電腦教室 教學教室 行政電腦 無線網路 行政電腦 DWL-6610 Intra-1:10.231.76.254/24 Intra-2:10.241.76.254/24 DWL-6610 LAN:163.20.172.254/24 WLAN:10.251.76.254/24

Vlan配置範例 Vlan VID 網段 用途 Mgt 1 10.226.161.254 網管用 Wan 2 163.20.206.1/29 對外連結網段 Lan 5 163.20.15.127/24 行政用 dsa_wan 8 10.253.161.254/24 DSA-WAN IP (10.253.161.1) Intra-1 10 10.231.161.254/24 電腦教室 Intra-2 20 10.241.161.254/24 教學教室 Voice 25 10.243.161.254/2424 VoIP Wlan 30 10.251.161.254/24 無線網路 (IP移至DWC-2000使用) WPA2 35 10.245.161.254/24 無線WAP2用 MAC 36 10.247.161.254/24 無線Mobile用

SSID：NTPC-WPA2、eduroam 無線網路認證之機制 SSID：NTPC-WPA2、eduroam SSID：NTPC-Mobile SSID：NTPC、TANet Roaming NTPC 教研中心 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 3 3 3 DGS-3620-28TC 2 DWC-2000 1G or 10G 2 提供5個SSID，3種認證分流方式 不限品牌亦不用另建通道而影響效能 DGS-1510-28XMP 本案無線認證，依照原有網路架構，進行分流，分流目的11AC設備提升之後，分流認證不集中於同一台認證設備，不致於影響11AC設備效能，同時控制器效能亦大幅提升，本架構認證設計不受限任何品牌的AP認證，都可直接導入。 1 1 2 1

NTPC Web 認證 認證畫面須輸入使用者的校務行政帳密 登入之後, 使用者session 逾時, 會需要再重新認證

NTPC-WPA2 802.1x 認證 1.認證畫面須輸入使用者的校務行政帳密 登入之後,裝置會紀錄使用者帳密 之後無須再輸入帳號密碼做驗證 即可連線無線上網

NTPC-WPA2 802.1x 認證 2.加密方式請選PEAP 階段2驗證請選 MSCHAPV2 3.之後再輸入校務行政系統帳號與密碼

NTPC-WPA2 802.1x 認證 WPA(Wi-Fi Protected Access)/WPA2 Wi-Fi 聯盟與IEEE 組織為了補足現有市場上無線網路產品安全性 上的不足，合作訂定了WPA 的安全標準。它是為了可以立即取代 現有市面上802.11 標準中的WEP 加密方式，直接透過軟體或韌體 昇級即可達到較高的安全等級。它不但提供了較為強化的資料加 密功能，也新增了原本在WEP 中沒有的使用者認證功能。 WPA 是IEEE 802.11i Draft 為藍圖，基本上仍然以 RADIUS(Remote Authentication Dial-In User Service)為基礎，透過EAP(Extended Authentication Protocol)來進行使用者的驗證

NTPC-Mobile MAC認證 如果要新增使用者,學校管理者須先到Winoc 系統登入 登入之後再新增裝置本身的MAC資訊,以該MAC為使用者帳號做新增 新增之後,該裝置即可透過NTPC-Mobile SSID的方式登入上網 無須再跳認證畫面

NTPC-Mobile MAC認證

DWL-6610 VS DAP-2590

DWL-6610 VS DAP-2590

核心交換器DGS-3620-28TC 1G 1G/10G

Layer 3 SW使用功能 A.學校內部各網段之間的Routing B.提供DHCP Relay功能讓學校的電腦可以至中心端取得IP C.提供無線NTPC-Mobile MAC認證功能 D.提供IPv6配發IP功能 E.使用vlan tag與各邊際交換器界接 F.fiber port前四port是combo port G.沒有提供POE功能

DGS-3620 IPv6 RA 在 IPv6 的環境裡，Router 的介面會定期的使用 multicast 發 出 Router Advertisement (RA)。 這個 RA 包含了這個網路(網段)的 ipv6 prefix 資訊。 如果我們把介面設定成 IP 位址自動設定(autoconfiguration)， 電腦的網路卡收到 RA 之後，會利用這個 Prefix 再加上網路卡 的 Interface ID (通常是使用 EUI-64 來取得) 組合成 128 bits 的 IPv6 位址。

L3使用功能:IPv6 RA

Link Aggregation

Link Aggregation Link Aggregation主要功能有三 (1)線路備援 (2)頻寬加倍 (3)流量分流 server Link aggregation group PC-1 PC-2 PC-3 PC-4

Two link Aggregation 類型 Static IEEE 802.3ad LACP, dynamic

L2 Switch:DGS-1510-28XMP 1G/10G

Layer 2 SW使用功能 A.提供PoE供電能力給DWL-6610AP或是話機 B.提供vlan切割功能區分學校不同的內部網路 C.設定Loop偵測功能 D.設定非法DHCP Server功能

802.1Q vlan原理說明

Port based vlan default vlan default vlan

Port based vlan 東側 v10 v20 v30 西側 v10 v20 v30 192.168.10.2/24 192.168.20.2/24 192.168.30.2/24 P1-8 P9-16 P17-24 東側 v10 v20 v30 p1 p9 p17 p1 p9 p17 西側 v10 v20 v30 P1-8 P9-16 P17-24 192.168.10.1/24 192.168.20.1/24 192.168.30.1/24

tag based vlan v10 v20 v30 v10 v20 v30 192.168.10.2/24 192.168.20.2/24 192.168.30.2/24 P1-8 P9-16 P17-24 v10 v20 v30 tag25 tag25 v10 v20 v30 P1-8 P9-16 P17-24 192.168.10.1/24 192.168.20.1/24 192.168.30.1/24

IEEE 802.1p/802.1q Frame Tagging 一般封包是untag類型,大小為1518 帶tag封包會加入4bytes,大小為 1522 DA SA Data CRC Regular frame (or untagged frame) DA SA Tagging Data CRC 802.1q/1p tagged frame 8100 Priority CFI VID 15 18 19 31 Priority (1p) has 3 bits, 0-7. VLAN (1q) has 12 bits, 0-4095

802.1p/1q Untagged Incoming Frame Port4收到的封包,從Port5出去為tag封包,若從Port7出去為untag封包

802.1p/1q Untagged Incoming Frame Port5為tag封包 Port 7為untag封包

802.1p/1q Untagged Incoming Frame Port4收到一個帶tag的封包

802.1p/1q Untagged Incoming Frame 從Port5出去變成tag 從port7出去變成untag

L3 routing 原理說明

Table比對順序(p1) PC發送封包的檢查順序 Routing table-ARP Table

Table比對順序(p2) Switch接收到封包後,要轉送的檢查順序 Routing Table--> ARP Table - FDB Table Routing table

Table比對順序(p2) Switch接收到封包要轉送的檢查順序 Routing Table--> ARP Table - FDB Table ARP table

Table比對順序(p2) Switch接收到封包要轉送的檢查順序 Routing Table--> ARP Table - FDB Table FDB table

跨設備的IP Routing—static route 192.168.5.254/24 192.168.5.253/24 SW1 192.168.1.253/24 192.168.1.254/24 SW2 SW1 .254 .254 .254 .254 Objective: PC1 to Server PC1 sends an ARP request to query its default gateway and adds it to ARP table PC1 sends the ICMP echo packet directly to its default gateway. Layer 3 switch will start to do the following things, while it receives the packets from PC1: ARP stage: Learn the PC1’s MAC address into fdb table Learn the PC1’s IP/MAC address into the ARP table Send the ARP reply to PC1 Routing Stage: (receive the ICMP echo from PC1) Layer 3 switch will first check if the destination IP address is in the ipfdb table Layer 3 switch will then check if the destination ip sunbet is in the routing table PC 1 192.168.1.1/24 Gw192.168.1.254 PC2 192.168.2.1/24 Gw192.168.2.254 PC3 192.168.3.1/24 Gw192.168.3.254 Server 192.168.4.1/24 Gw192.168.4.254

PoE

PoE: power over ethernet 802.3af:提供44~57V的電壓,約350mA的直流電源,每一port至少 要可提供15.4W的功率,而經過100米的cable線後,PD端可受到的 瓦特數至少要有12.95W 802.3at:PSE端提供50~57V的電壓,約600mA的直流電源,每一 port至少要可提供30W的功率,經過100米CAT-5的電纜線後，PD 端可收到的瓦特數至少要有25.5W PSE:(Power sourcing equipment):供電端 PD:(Powered Device)受電端

PoE說明: 具備PoE功能的交換器,預設PoE功能是開啟,因此PD設備接上去後, 就會自動溝通取得class級別後供電使用,無需特別設定每台設備 PoE供電總瓦數不同, 例如有些170W,有些為370W,因此不見得整台設備同時每個Port都 可以接上PD,因為可能已經超過總瓦數若PD設備需要使用30W的電 力, 需特別注意交換器是否有支援802.3at,以及是否每個port都可以 支援802.3at還是只有特定幾個 port

PoE供電心線 D-Link Switch follows the standard PSE (Power Sourcing Equipment) pinout Alternative A, whereby power is sent out over pins 1, 2, 3 and 6. 30W

POE DGS-3100 VS DGS-1510 具備24埠 10/100/1000Mbps  + 4埠 1G combo SFP+獨立Console埠。 DGS-3100-24P - 802.3af/24/370W

POE DGS-3100 VS DGS-1510 具備24埠 10/100/1000Mbps  + 4埠 10G SFP+ 網路連接埠與獨立Console埠。 內建2個10G SFP+網路埠具備實體堆疊功能，支援40Gbps堆疊頻寬與6台交換器實體堆疊。 POE供電最大為370W。

Loopdetect

問題:網路迴圈 使用者以自備交換器連結網路，造成無法預期的迴圈。 迴圈導致封包風暴，癱瘓整個網路。 Packet Storm Loop

解決網路迴圈問題 D-Link解決方案：Loopback Detection ( LBD v4.04 ) STP (Spanning Tree Protocol) Independent 無網管型交換器不具備Spanning Tree Protocol功能。 D-Link交換器設計即使不開啟STP功能，亦可偵測出Loop。 LBD彈性設定，防止迴圈 Port-based VLAN-based V1 V2 V1 V2 PC1 Loop Loop PC2 2. VLAN-based LBD 依據發生迴圈的VLAN阻擋流量，該連接埠不關閉。 1. Port-based LBD - 連接埠關閉，無流量可通過。 46

Loopdetect-Topology1 Port based LBD PCB p7 SW1 p1 p5 SW2 PCA

非法DHCP Server阻擋

Normal DHCP assignment 問題:非法DHCP Server 問題：使用者自行架設DHCP伺服器。 衝擊：IP指派不正確，干擾網路連結。 D-Link解決方案：DHCP Server Screening 從使用者連接埠鎖定DHCP伺服器封包，防止未授權IP指派。 DHCP Server Normal DHCP assignment Sorry, you’re illegal DHCP Server Packet I’m DHCP Server Rogue DHCP Server PC1 PC2

阻擋非法DHCP Server Port24為uplink port   不指定DHCP Server IP,透過Port來限制,所以合法Server的port24不啟動 Port1-23過濾非法DHCP Server Switch(config)#interface range ethernet 1/0/1-23 Switch(config-if-range)#ip dhcp snooping server-screen Port 7上一台非法DHCP Server 192.168.1.1送出DHCP封包給client

電腦教室網路 如果電腦教室的vlan有架設DHCP Server而非使用教研中心的DHCP Server,那麼配於電腦教室的L2 Switch則於特定的Port關閉非法DHCP Server的功能! 要開啟關閉此功能,請先與教網中心確認該台交換器是否只有一port需 要 dhcp server的發放行為 目前DHCP Server Screening預設不開,原因是怕影響到校內群準系統 的運作

Broadcast/multicast packet 問題:廣播/群播攻擊 遭受病毒感染的PC,其攻擊行為是產生大量廣播或群播流量來 癱瘓網路 DSA-3600 10.226.171.4 L3 DGS-3627 10.226.171.1 Broacast/Multicast Storm L2 DGS-1224T 10.226.171.2 L2 DES-3526 10.226.171.3 Broadcast/multicast packet

Broadcast/multicast packet 解決方案:風暴抑制 藉由風暴抑制的功能可以選擇抑制流量或是關閉該Port來解決 DSA-3600 10.226.171.4 L3 DGS-3627 10.226.171.1 Broacast/Multicast Storm L2 DGS-1224T 10.226.171.2 L2 DES-3526 10.226.171.3 X Broadcast/multicast packet

DWC-2000無線控制器

SSID：NTPC-WPA2、eduroam 無線網路認證之機制 SSID：NTPC-WPA2、eduroam SSID：NTPC-Mobile SSID：NTPC、TANet Roaming NTPC 教研中心 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 3 3 3 DGS-3620-28TC 2 DWC-2000 1G or 10G 2 提供5個SSID，3種認證分流方式 不限品牌亦不用另建通道而影響效能 DGS-1510-28XMP 本案無線認證，依照原有網路架構，進行分流，分流目的11AC設備提升之後，分流認證不集中於同一台認證設備，不致於影響11AC設備效能，同時控制器效能亦大幅提升，本架構認證設計不受限任何品牌的AP認證，都可直接導入。 1 1 2 1

無線控制器功能 A.監控DWL-6610AP B.統一調整DWL-6610AP設定檔或是昇級版本 C.提供WEB認證導外部WEB Server的功能 D.提供AP 802.1x認證的代理詢問角色

行動學習活動組 輕便型行動學習活動組 簡易型行動學習活動機箱 額外提供 行動學習活動組(箱)網路平台管理功能 輕巧新美學‧無線型動箱 外觀尺寸：W(26) X D(18.5)X H(18)CM 放置DWL-6610x2+DGS-1008Px1 簡易型行動學習活動機箱 外觀尺寸：W(27)X D(17.5)X H(22.3)CM 放置DWL-6610x1+DGS-1008Px1 額外提供 行動學習活動組(箱)網路平台管理功能 輕巧新美學‧無線型動箱 Safe, Solid, and Simple

行動學習活動組 屬於固定式AP的延伸,具備相同的5個SSID,即插即用 教室電腦 教室話機 DGS-1510-28XPM tag 25,30,35,36 Untag: intral-1 or intral-2 教室電腦 教室話機

網路申請服務暨異動表

網路申請服務暨異動表

網路申請服務暨異動表 如欲開啟需送申請單,並附註哪個port不需開啟,不開啟的原因稍微敘述 申請步驟同Siraya 之snm vlan設定申請,請在更新  如下圖範例

Q&A Thank you