Download presentation
Presentation is loading. Please wait.
1
NTPC D-Link產品教育訓練 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Phone: ,
2
Agenda 現有架構說明 各類功能說明 行動學習箱使用說明 網路申請服務暨異動表
3
現有網路架構 未來學校網路架構 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager
TANET WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 DGS TC DWC-2000 1G DGS XMP 10G DGS XMP DWL-6610 無線網路 電腦教室 教學教室 行政電腦 無線網路 行政電腦 DWL-6610 Intra-1: /24 Intra-2: /24 DWL-6610 LAN: /24 WLAN: /24
4
Vlan配置範例 Vlan VID 網段 用途 Mgt 1 10.226.161.254 網管用 Wan 2 163.20.206.1/29
對外連結網段 Lan 5 /24 行政用 dsa_wan 8 /24 DSA-WAN IP ( ) Intra-1 10 /24 電腦教室 Intra-2 20 /24 教學教室 Voice 25 /2424 VoIP Wlan 30 /24 無線網路 (IP移至DWC-2000使用) WPA2 35 /24 無線WAP2用 MAC 36 /24 無線Mobile用
5
SSID:NTPC-WPA2、eduroam
無線網路認證之機制 SSID:NTPC-WPA2、eduroam SSID:NTPC-Mobile SSID:NTPC、TANet Roaming NTPC 教研中心 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 3 3 3 DGS TC 2 DWC-2000 1G or 10G 2 提供5個SSID,3種認證分流方式 不限品牌亦不用另建通道而影響效能 DGS XMP 本案無線認證,依照原有網路架構,進行分流,分流目的11AC設備提升之後,分流認證不集中於同一台認證設備,不致於影響11AC設備效能,同時控制器效能亦大幅提升,本架構認證設計不受限任何品牌的AP認證,都可直接導入。 1 1 2 1
6
NTPC Web 認證 認證畫面須輸入使用者的校務行政帳密 登入之後, 使用者session 逾時, 會需要再重新認證
7
NTPC-WPA2 802.1x 認證 1.認證畫面須輸入使用者的校務行政帳密 登入之後,裝置會紀錄使用者帳密 之後無須再輸入帳號密碼做驗證
即可連線無線上網
8
NTPC-WPA x 認證 2.加密方式請選PEAP 階段2驗證請選 MSCHAPV2 3.之後再輸入校務行政系統帳號與密碼
9
NTPC-WPA x 認證 WPA(Wi-Fi Protected Access)/WPA2 Wi-Fi 聯盟與IEEE 組織為了補足現有市場上無線網路產品安全性 上的不足,合作訂定了WPA 的安全標準。它是為了可以立即取代 現有市面上 標準中的WEP 加密方式,直接透過軟體或韌體 昇級即可達到較高的安全等級。它不但提供了較為強化的資料加 密功能,也新增了原本在WEP 中沒有的使用者認證功能。 WPA 是IEEE i Draft 為藍圖,基本上仍然以 RADIUS(Remote Authentication Dial-In User Service)為基礎,透過EAP(Extended Authentication Protocol)來進行使用者的驗證
10
NTPC-Mobile MAC認證 如果要新增使用者,學校管理者須先到Winoc 系統登入
登入之後再新增裝置本身的MAC資訊,以該MAC為使用者帳號做新增 新增之後,該裝置即可透過NTPC-Mobile SSID的方式登入上網 無須再跳認證畫面
11
NTPC-Mobile MAC認證
12
DWL-6610 VS DAP-2590
13
DWL-6610 VS DAP-2590
14
核心交換器DGS TC 1G 1G/10G
15
Layer 3 SW使用功能 A.學校內部各網段之間的Routing B.提供DHCP Relay功能讓學校的電腦可以至中心端取得IP
C.提供無線NTPC-Mobile MAC認證功能 D.提供IPv6配發IP功能 E.使用vlan tag與各邊際交換器界接 F.fiber port前四port是combo port G.沒有提供POE功能
16
DGS-3620 IPv6 RA 在 IPv6 的環境裡,Router 的介面會定期的使用 multicast 發 出 Router Advertisement (RA)。 這個 RA 包含了這個網路(網段)的 ipv6 prefix 資訊。 如果我們把介面設定成 IP 位址自動設定(autoconfiguration), 電腦的網路卡收到 RA 之後,會利用這個 Prefix 再加上網路卡 的 Interface ID (通常是使用 EUI-64 來取得) 組合成 128 bits 的 IPv6 位址。
17
L3使用功能:IPv6 RA
18
Link Aggregation
19
Link Aggregation Link Aggregation主要功能有三 (1)線路備援 (2)頻寬加倍 (3)流量分流 server
Link aggregation group PC-1 PC-2 PC-3 PC-4
20
Two link Aggregation 類型
Static IEEE 802.3ad LACP, dynamic
21
L2 Switch:DGS XMP 1G/10G
22
Layer 2 SW使用功能 A.提供PoE供電能力給DWL-6610AP或是話機 B.提供vlan切割功能區分學校不同的內部網路
C.設定Loop偵測功能 D.設定非法DHCP Server功能
23
802.1Q vlan原理說明
24
Port based vlan default vlan default vlan
25
Port based vlan 東側 v10 v20 v30 西側 v10 v20 v30 192.168.10.2/24
/24 /24 P1-8 P9-16 P17-24 東側 v10 v20 v30 p1 p9 p17 p1 p9 p17 西側 v10 v20 v30 P1-8 P9-16 P17-24 /24 /24 /24
26
tag based vlan v10 v20 v30 v10 v20 v30 192.168.10.2/24 192.168.20.2/24
/24 P1-8 P9-16 P17-24 v10 v20 v30 tag25 tag25 v10 v20 v30 P1-8 P9-16 P17-24 /24 /24 /24
27
IEEE 802.1p/802.1q Frame Tagging 一般封包是untag類型,大小為1518
帶tag封包會加入4bytes,大小為 1522 DA SA Data CRC Regular frame (or untagged frame) DA SA Tagging Data CRC 802.1q/1p tagged frame 8100 Priority CFI VID 15 18 19 31 Priority (1p) has 3 bits, 0-7. VLAN (1q) has 12 bits,
28
802.1p/1q Untagged Incoming Frame
Port4收到的封包,從Port5出去為tag封包,若從Port7出去為untag封包
29
802.1p/1q Untagged Incoming Frame
Port5為tag封包 Port 7為untag封包
30
802.1p/1q Untagged Incoming Frame
Port4收到一個帶tag的封包
31
802.1p/1q Untagged Incoming Frame
從Port5出去變成tag 從port7出去變成untag
32
L3 routing 原理說明
33
Table比對順序(p1) PC發送封包的檢查順序 Routing table-ARP Table
34
Table比對順序(p2) Switch接收到封包後,要轉送的檢查順序
Routing Table--> ARP Table - FDB Table Routing table
35
Table比對順序(p2) Switch接收到封包要轉送的檢查順序
Routing Table--> ARP Table - FDB Table ARP table
36
Table比對順序(p2) Switch接收到封包要轉送的檢查順序
Routing Table--> ARP Table - FDB Table FDB table
37
跨設備的IP Routing—static route
/24 /24 SW1 /24 /24 SW2 SW1 .254 .254 .254 .254 Objective: PC1 to Server PC1 sends an ARP request to query its default gateway and adds it to ARP table PC1 sends the ICMP echo packet directly to its default gateway. Layer 3 switch will start to do the following things, while it receives the packets from PC1: ARP stage: Learn the PC1’s MAC address into fdb table Learn the PC1’s IP/MAC address into the ARP table Send the ARP reply to PC1 Routing Stage: (receive the ICMP echo from PC1) Layer 3 switch will first check if the destination IP address is in the ipfdb table Layer 3 switch will then check if the destination ip sunbet is in the routing table PC 1 /24 Gw PC2 /24 Gw PC /24 Gw Server /24 Gw
38
PoE
39
PoE: power over ethernet
802.3af:提供44~57V的電壓,約350mA的直流電源,每一port至少 要可提供15.4W的功率,而經過100米的cable線後,PD端可受到的 瓦特數至少要有12.95W 802.3at:PSE端提供50~57V的電壓,約600mA的直流電源,每一 port至少要可提供30W的功率,經過100米CAT-5的電纜線後,PD 端可收到的瓦特數至少要有25.5W PSE:(Power sourcing equipment):供電端 PD:(Powered Device)受電端
40
PoE說明: 具備PoE功能的交換器,預設PoE功能是開啟,因此PD設備接上去後,
就會自動溝通取得class級別後供電使用,無需特別設定每台設備 PoE供電總瓦數不同, 例如有些170W,有些為370W,因此不見得整台設備同時每個Port都 可以接上PD,因為可能已經超過總瓦數若PD設備需要使用30W的電 力, 需特別注意交換器是否有支援802.3at,以及是否每個port都可以 支援802.3at還是只有特定幾個 port
41
PoE供電心線 D-Link Switch follows the standard PSE (Power Sourcing Equipment) pinout Alternative A, whereby power is sent out over pins 1, 2, 3 and 6. 30W
42
POE DGS-3100 VS DGS-1510 具備24埠 10/100/1000Mbps + 4埠 1G combo SFP+獨立Console埠。 DGS P - 802.3af/24/370W
43
POE DGS-3100 VS DGS-1510 具備24埠 10/100/1000Mbps + 4埠 10G SFP+ 網路連接埠與獨立Console埠。 內建2個10G SFP+網路埠具備實體堆疊功能,支援40Gbps堆疊頻寬與6台交換器實體堆疊。 POE供電最大為370W。
44
Loopdetect
45
問題:網路迴圈 使用者以自備交換器連結網路,造成無法預期的迴圈。 迴圈導致封包風暴,癱瘓整個網路。 Packet Storm Loop
46
解決網路迴圈問題 D-Link解決方案:Loopback Detection ( LBD v4.04 )
STP (Spanning Tree Protocol) Independent 無網管型交換器不具備Spanning Tree Protocol功能。 D-Link交換器設計即使不開啟STP功能,亦可偵測出Loop。 LBD彈性設定,防止迴圈 Port-based VLAN-based V1 V2 V1 V2 PC1 Loop Loop PC2 2. VLAN-based LBD 依據發生迴圈的VLAN阻擋流量,該連接埠不關閉。 1. Port-based LBD - 連接埠關閉,無流量可通過。 46
47
Loopdetect-Topology1 Port based LBD PCB p7 SW1 p1 p5 SW2 PCA
48
非法DHCP Server阻擋
49
Normal DHCP assignment
問題:非法DHCP Server 問題:使用者自行架設DHCP伺服器。 衝擊:IP指派不正確,干擾網路連結。 D-Link解決方案:DHCP Server Screening 從使用者連接埠鎖定DHCP伺服器封包,防止未授權IP指派。 DHCP Server Normal DHCP assignment Sorry, you’re illegal DHCP Server Packet I’m DHCP Server Rogue DHCP Server PC1 PC2
50
阻擋非法DHCP Server Port24為uplink port
不指定DHCP Server IP,透過Port來限制,所以合法Server的port24不啟動 Port1-23過濾非法DHCP Server Switch(config)#interface range ethernet 1/0/1-23 Switch(config-if-range)#ip dhcp snooping server-screen Port 7上一台非法DHCP Server 送出DHCP封包給client
51
電腦教室網路 如果電腦教室的vlan有架設DHCP Server而非使用教研中心的DHCP Server,那麼配於電腦教室的L2 Switch則於特定的Port關閉非法DHCP Server的功能! 要開啟關閉此功能,請先與教網中心確認該台交換器是否只有一port需 要 dhcp server的發放行為 目前DHCP Server Screening預設不開,原因是怕影響到校內群準系統 的運作
52
Broadcast/multicast packet
問題:廣播/群播攻擊 遭受病毒感染的PC,其攻擊行為是產生大量廣播或群播流量來 癱瘓網路 DSA L3 DGS Broacast/Multicast Storm L2 DGS-1224T L2 DES Broadcast/multicast packet
53
Broadcast/multicast packet
解決方案:風暴抑制 藉由風暴抑制的功能可以選擇抑制流量或是關閉該Port來解決 DSA L3 DGS Broacast/Multicast Storm L2 DGS-1224T L2 DES X Broadcast/multicast packet
54
DWC-2000無線控制器
55
SSID:NTPC-WPA2、eduroam
無線網路認證之機制 SSID:NTPC-WPA2、eduroam SSID:NTPC-Mobile SSID:NTPC、TANet Roaming NTPC 教研中心 WiNOC認證Server 網頁集中認證伺服器 設備管理系統 Siraya Network Manager SharkNet Dview-7.0 3 3 3 DGS TC 2 DWC-2000 1G or 10G 2 提供5個SSID,3種認證分流方式 不限品牌亦不用另建通道而影響效能 DGS XMP 本案無線認證,依照原有網路架構,進行分流,分流目的11AC設備提升之後,分流認證不集中於同一台認證設備,不致於影響11AC設備效能,同時控制器效能亦大幅提升,本架構認證設計不受限任何品牌的AP認證,都可直接導入。 1 1 2 1
56
無線控制器功能 A.監控DWL-6610AP B.統一調整DWL-6610AP設定檔或是昇級版本
C.提供WEB認證導外部WEB Server的功能 D.提供AP 802.1x認證的代理詢問角色
57
行動學習活動組 輕便型行動學習活動組 簡易型行動學習活動機箱 額外提供 行動學習活動組(箱)網路平台管理功能 輕巧新美學‧無線型動箱
外觀尺寸:W(26) X D(18.5)X H(18)CM 放置DWL-6610x2+DGS-1008Px1 簡易型行動學習活動機箱 外觀尺寸:W(27)X D(17.5)X H(22.3)CM 放置DWL-6610x1+DGS-1008Px1 額外提供 行動學習活動組(箱)網路平台管理功能 輕巧新美學‧無線型動箱 Safe, Solid, and Simple
58
行動學習活動組 屬於固定式AP的延伸,具備相同的5個SSID,即插即用 教室電腦 教室話機 DGS-1510-28XPM
tag 25,30,35,36 Untag: intral-1 or intral-2 教室電腦 教室話機
59
網路申請服務暨異動表
60
網路申請服務暨異動表
61
網路申請服務暨異動表 如欲開啟需送申請單,並附註哪個port不需開啟,不開啟的原因稍微敘述
申請步驟同Siraya 之snm vlan設定申請,請在更新 如下圖範例
62
Q&A Thank you
Similar presentations
