Kampusverkon reunalaite

Transkriptio

1 Kampusverkon reunalaite Funet parhaat käytännöt dokumentti Tila: valmis Päiväys: Otsikko: Kampusverkon reunalaite Työryhmä: AccessFunet Laatijat: Kaisa Haapala, Jani Myyry, Janne Niemi, Janne Oksanen Omistaja: Jani Myyry/CSC Tyyppi: Parhaat käytännöt dokumentti Versionhallinta: Versio 0.1 Perusdokumentti Janne Niemi Versio 0.5 Kommentit lisätty (JO,JM,KH) Janne Niemi Versio 0.6 Korjauksia Janne Niemi Versio 0.7 Korjauksia, täydennyksiä Janne Oksanen Versio 0.8 Korjauksia, täydennyksiä Janne Oksanen, Jani Myyry Versio 0.9 Korjauksia, täydennyksiä Jani Myyry, Kaisa Haapala, Janne Oksanen Versio 0.95 Korjauksia Jani Myyry, Kaisa Haapala Versio 0.96 Korjauksia (TK) Jani Myyry Versio 0.97 Korjauksia kommenttien Jani Myyry pohjalta (PS) Versio 0.98 Muutettu dokumentin nimi Jani Myyry Sisällysluettelo 1. Johdanto Reunalaite Ominaisuudet Laitteistoarkkitehtuuri ja suojaukset Suorituskyky Reunalaitetyypit Reititin ja reitittävä kytkin Palomuuri Topologiaesimerkkejä Reititin tai reitittivä kytkin reunalaitteena Vahvuudet Heikkoudet Palomuuri reunalaitteena Vahvuudet Heikkoudet Reunalaitteen ominaisuudet Funet-pääyhteys Funet-varayhteys Multicast Valopolut Muut ominaisuudet Vikasietoisuus, kahdennetut komponentit... 9

2 Ylläpito- ja hallintaominaisuudet Laitteen tuki ja ohjelmistot Reunalaitteiden liittäminen kytkininfrastruktuuriin (Layer 2) Suojaukset kytkininfrastruktuurissa (Layer 2) Viitteet Johdanto Tähän dokumenttiin on kerätty kampusverkon reunalaitteen hankinnassa ja verkkoon liittämisessä huomioon otettavia asioita, sekä erilaisia topologiavaihtoehtoja hyvine ja huonoine puolineen. Dokumentin tarkoitus on auttaa Funet-jäseniä reunalaitehankintapäätöksissä tarjoamalla raamit reunalaitteen ominaisuuksista, jotka laitteessa olisi hyvä olla. Dokumentti ei ota kantaa reunalaitteen merkkiin eikä malliin. 2. Reunalaite Jokaisella organisaatiolla on aktiivinen verkkolaite, jonka kautta tietoliikenneyhteydet hoidetaan omasta verkosta maailmalle. Tätä aktiivista verkkolaitetta kutsutaan tässä dokumentissa nimellä kampusverkon reunalaite. Reunalaitteen tehtävää voivat hoitaa eri tyyppiset laitteet; useimmiten reunalaitteeksi on valittu reititin, reitittävä kytkin tai palomuuri. Reunalaitteilla on muutama perustehtävä, joita tarvitaan mahdollistamaan toimivat tietoliikenneyhteydet: 1. IP-paketinvälitys reititystietojen pohjalta (pakollinen) 2. Liikenteen suodatus, pääsylistat (pakollinen) infrastruktuurin suojaaminen (mm. osoiteväärennösten estäminen) reunalaitteen itsensä suojaaminen (pääsynhallinta, resurssien tuhlaamisen rajoittaminen) ei toivotun liikenteen suodatus eli palomuuraus (lisäominaisuus) 1. Reititystietojen vaihtaminen reititysprotokollilla (pakollinen varayhteyksien kanssa) 2. Liikenteen luokittelu ja priorisointi (hyödyllinen) 2.1. Ominaisuudet Verkkolaitteissa on valmistajasta riippuen vaihteleva määrä ominaisuuksia tuettuna, joissain laitteissa on tuettuna esimerkiksi dynaamiset reititysprotokollat ja toisissa ei. Ominaisuuksien pohjalta laite voi sopia reunalaitteeksi esimerkiksi varmentamattomalle yhteydelle mainiosti, mutta ei ole käyttökelpoinen varmennetuilla yhteyksillä dynaamisten reititysprotokollien tuen puuttumisen vuoksi. Perusvaatimus Funet-reunalaitteelle on tuki staattiselle unicast-reititykselle, jolloin reunalaitetta voidaan käyttää varmentamattoman Funet-yhteyden kanssa. Varmennettu Funet-yhteys vaatii reunalaitteelta tuen dynaamisille reititysprotokollille, erityisesti BGP:lle [RFC4271]. Kahdennettujen reunalaitteiden tapauksessa hyödyllinen on myös tuki sisäiselle reititysprotokollalle kuten OSPF [RFC2328] [RFC5340] tai IS-IS [RFC5308], jolloin laitteet voivat välittää reititystietoja keskenään. Multicast vaatii lisäksi tuen staattiselle tai BGP multicast-reititykselle

3 [RFC4760], PIM-SM [RFC4601] ja mahdollisesti PIM-SSM -tuen [RFC4607] sekä vastaavat protokollat lähiverkkoon päin (IGMPv2 tai IGMPv3 sekä MLDv2) [RFC5186]. Reunalaitteen tulisi pystyä tekemään myös ainakin perustason suodatusta osoiteväärennösten ja virhekonfiguraatioiden suodattamiseksi. Erityisesti omaan sisäverkkoon tarkoitettua liikennettä ei pitäisi päästää vuotamaan ulos, eikä ulkoa hyväksyä liikennettä oman osoiteavaruuden lähdeosoitteilla. Suodatuksista löytyy lisätietoja BCP 38 ja BCP 84 suosituksista [RFC2827] [RFC3704]. Myös reunalaitteen hallintaan pääsyä tulisi olla mahdollista rajoittaa ainakin lähdeosoitteen perusteella. Reunalaitteelta on hyvä löytyä myös tuki liikenteen luokittelulle ja priorisoinnille (QoS). Liikenteen luokittelulla ja priorisoinnilla voidaan suojata kriittistä liikennettä ylikuormitus- tai hyökkäystilanteissa [RFC4732]. Hyökkäysten torjunnassa hyödyllisiä ovat myös ominaisuudet, joilla liikenne hyökkääjien lähdeosoitteista tai liikenne kohteena olevaan palveluun voidaan estää reunalaitteissa, Funet-runkoverkossa tai jopa NORDUnetissä [RFC5635] [RFC5575]. Reunalaitteen ominaisuuksista löytyy tarkempi erittely kappaleessa 7. Reunalaitteen ominaisuudet Laitteistoarkkitehtuuri ja suojaukset Reunalaitteiden laitteistoarkkitehtuuri voi vaihdella laitteiston tyypistä, suorituskyvystä ja käyttötarkoituksesta riippuen. Tyypillisesti reunalaitteista voidaan eriyttää kolme toimintatasoa (kuva 1.): pakettiliikenteen välitystaso ( forwarding plane ), pakettiliikenteen hallintataso ( control plane ) ja verkkolaitteen ylläpitotaso ( management plane ). Kaikissa reunalaitteissa tosin eivät tasot ole erillisiä, vaan samat rautaresurssit kuten prosessori voivat hoitaa useampia tasoja. Pakettiliikenteen välitystaso hoitaa tärkeimmän tehtävän eli liikenteen välittämisen, suodattamisen sekä liikenteen luokittelun ja priorisoinnin ennalta määritettyjen sääntöjen pohjalta. Hallintataso kontrolloi välitystasoa määrittelemällä reititystietokannan (RIB) ja ylläpitämällä reititystietokannan pohjalta välitystietokannan (FIB) sääntöjä, joiden mukaan välitystaso toimii. Hallintataso hoitaa tyypillisesti mm. reititysprotokollat. Ylläpitotaso mahdollistaa reunalaitteen valvonnan ja ylläpidon tarjoamalla rajapinnat sekä ylläpitohenkilöstölle että valvontajärjestelmille.

4 Kuva 1. reunalaitteen toimintatasot Moderneissa reunalaitteissa toimintatasot ovat eriytettyjä ja suojattuja toisiltaan, jolloin häiriöt voidaan rajata ja laitteiston suorituskykyä optimoida tehtävän mukaan. Pakettiliikenteen välitystasolla käytetään tyypillisesti tehtävään optimoituja piirejä, jolloin laitteiston kuormitus ei merkittävästi vaikuta reunalaitteen toimintaan myöskään silloin, kun liikenneprofiili ei ole optimaalisin kuten esimerkiksi hajautetussa palvelunestohyökkäyksessä usein on. Eriyttämällä välitystaso muista tasoista [RFC3654] voidaan hallinta- ja ylläpitotasot suojata [CPP] hyväksymään vain tarvittava liikenne kuten reititysprotokollien sessiot tai ylläpitoyhteydet määrätyistä lähdeosoitteista. Huomioitavaa on, että kaikissa laitteissa eriyttämistä ja suojaamista ei ole mahdollista tehdä ja välitystasolla ei välttämättä ole tehtävään optimoitua laitteistoa. Näissä laitteissa tyypillisesti on merkittävästi suurempi riski toiminnan häiriöihin Suorituskyky Reunalaitteen suorituskykyä arvioitaessa on syytä ottaa huomioon liitäntänopeuksien (esim. 1 Gbps tai 10 Gbps) ohella myös laitteen suorituskyky käsiteltäessä IP-paketteja. Pakettiliikenteen suorituskykyä mitataan yleisesti pakettien välityskyvyllä per sekunti (pps). Häiriöttömän toiminnan varmistamiseksi reunalaitteen tulisi suoriutua pakettien välityksestä liitäntöjen määrittämällä nopeudella millä tahansa liikenneprofiililla. Esimerkiksi 1 Gbps liikennenopeus minimipakettikoolla (huomioiden pienin Ethernet-kehys ja tauko kehyksien välissä) tarkoittaa noin 1,5 Mpps. Vastaavasti 10 Gbps liikennenopeus tarkoittaa noin 15 Mpps (Taulukko 1). Suorituskykyyn voi vaikuttaa myös liikenteeseen kohdistetut suodatukset, jolloin ohjeellinen nopeus voi pienentyä, erityisesti laitteistoissa joissa ei ole optimoituja piirejä välitystasolla. Samoin IPv6:lla suorityskyky ei ole välttämättä sama johtuen optimoitujen piirien toteutustekniikasta. Pahimmassa tapauksessa IPv6 on toteutettu laitteistoon jälkikäteen ilman laitteiston tarjoamaan tukea optimoituun paketinvälitykseen, jolloin IPv6- suorituskyky voi olla marginaalinen IPv4-suorituskykyyn verrattuna.

5 Nopeus / Ethernetkehyksen koko 64 tavua 64/1518 tavua (50%/50%) 1518 tavua 9018 tavua 100 Mbps 149 kpps 15,4 kpps 8,13 kpps 1,39 kpps 1 Gbps 1488 kpps 154 kpps 81,3 kpps 13,9 kpps 10 Gbps kpps 1541 kpps 813 kpps 139 kpps 100 Gbps kpps kpps 8127 kpps 1386 kpps Taulukko 1: Ethernet-kehyskokojen vaikutus paketinvälityksen suorituskykyvaatimuksiin 3. Reunalaitetyypit 3.1. Reititin ja reitittävä kytkin Nykyaikaiset reitittimet on suunniteltu välittämään, suodattamaan ja luokittelemaan IPpaketteja linjanopeudella liikenneprofiilista riippumatta. Tämä ominaisuus saavutetaan hyödyntämällä paketinvälityksessä tehtävään suunniteltuja piirejä, koska normaaliin palvelinkäyttöön suunnitellut laitteistot ja suorittimet eivät pysty hoitamaan nopeiden linjanopeuksien vaatimia pakettimääriä. Samoin reitittimissä usein on tyypillisesti eriytetty hallintataso paketinvälitystasosta, jolloin liikennemäärät eivät vaikuta laitteiston muuhun toimintaan kuten reititysprotokolliin ja laitteen valvontaan tai hallintaan. Reitittävät kytkimet ovat tyypillisesti vastaavanlaisia reitittimien kanssa, erona on hieman suppeampi ominaisuusvalikoima ja kytkinpuolen korostaminen teknisissä ratkaisuissa Palomuuri Palomuuri on laite, jonka ensisijainen tehtävä on suodattaa liikennettä, tyypillisesti tilallisesti ja mahdollisesti ottaen huomioon myös muuta liikenteen sisältöä protokolla-, osoite- ja porttitietojen ohella. Palomuurit voivat toissijaisesti toimia myös reitittävinä laitteistoina, jolloin palomuureja voidaan hyödyntää reunalaitteina. Palomuurien ero reitittimiin on yleisesti suorituskyky ja toiminta verkon häiriötilanteissa: palomuurit harvoin pystyvät hoitamaan liikennemääriä linjanopeudella liikenneprofiilista riippumatta, koska palomuureissa on rajallisia resursseja kuten yhteyksien tilataulun koko, joita voidaan ylikuormittaa. Lisäksi palomuureissa ei ole tyypillisesti eriytetty pakettiliikenteen välitystasoa hallintatasosta, vaan häiriöt välitystasolla näkyvät hallintatasolla ja päinvastoin. 4. Topologiaesimerkkejä Funet-reunalaitteen osalta esitetään kaksi erilaista topologiavaihtoehtoa, joista toinen on toteutettu reitittimillä tai reitittävillä kytkimillä ja toinen palomuureilla. Malleissa käytetään muutamaa samaa peruskomponenttia: Funet-verkko, runkoverkko, johon organisaatio kytkeytyy reunalaitteella DMZ, ulospäin Internettiin näkyvät verkot, tyypillisesti palvelimille ja tarve vain tilattomalle suodatukselle R&E-verkko, opetus- ja tutkimuskäyttöön tarkoitetut verkot, joissa tarjotaan nopeampia liitäntöjä tai vapaampaa käyttöä

6 Kampus, tavanomaiset työasemaverkot tai vain sisäiseen käyttöön tarkoitetut palvelinverkot, mahdollisesti tilallinen suodatus Ensimmäisessä vaihtoehdossa (Kuva 2) reunalaitteena toimii joko reititin tai reitittävä kytkin, johon on Funet-verkon liitännät kytketään. Reitittimiin kytketään myös DMZ ja R&Everkot sekä tavanomaiset Kampus-verkot, mahdollisesti palomuurattuina. Ratkaisussa DMZ:n ja R&E-verkkojen mahdolliset suojaukset hoidetaan reunalla olevien reitittimien tilattomilla pääsylistoilla. Kuva 2: reititin reunalaitteena Toisessa vaihtoehdossa (Kuva 3) reunalaitteen tehtäviä hoitavat reitittävät palomuurit. Aiemman esimerkin mukaisesti DMZ, R&E-verkot ja Kampus-verkot kytketään näihin palomuureihin. Kaikkien verkkojen ja palveluiden liikenteen suodatus ja välitys hoidetaan näiden palomuurien avulla.

7 Kuva 3: palomuuri reunalaitteena Sivutoimipisteiden yhteydet liittyvät Kampus-verkkoon ja ne ovat osa organisaation sisäverkkoa, joten niitä ei erikseen käsitellä tässä dokumentissa. Kuvissa sivutoimipisteet ovat mukana auttamassa hahmottamaan niiden liittymistä topologiaan. Molemmilla malleilla on omat hyvät ja huonot puolensa. Mallien eroavaisuuksia on pyritty avaamaan tarkemmin seuraavassa kappaleessa, jotta ominaisuuksien avulla olisi helpompi tehdä valinta jompaan kumpaan tai lähteä etsimään jotain toista ratkaisua. 5. Reititin tai reitittivä kytkin reunalaitteena 5.1. Vahvuudet suorituskyky tyypillisesti liitäntänopeuksia vastaava, myös paketinkäsittelykyky 10GE laajasti tarjolla, skaalautuvuus 40GE/100GE saatavilla ominaisuusvalikoima tyypillisesti laaja reitititysprotokollat multicast tilattomat suodatukset (pääsylistat) suorituskykyyn vaikuttamatta kahdennus ja varayhteydet helppo toteuttaa tilattomuuden vuoksi vähemmän teknisiä rajoituksia R&E-verkkoja ajatellen (esim. suorituskyky, ominaisuustuen laajuus, aikaisempi tuki uusille ominaisuuksille) varsin tyypillisesti eriytetty ja toisiltaan suojattu pakettiliikenteen välitystaso ja hallinta/ylläpitotasot palvelunestohyökkäykset eivät vaikuta koko organisaation toimintaan. Jos Funetyhteyden kaista riittää, koko organisaatio ei putoa Internetistä hyökkäyksen kohteen toiminta voi häiriintyä 5.2. Heikkoudet tarjolla ainoastaan tilaton suodatus (pääsylistat) erillinen tarve palomuurille, jos tilallinen suodatus vaaditaan (politiikat) 6. Palomuuri reunalaitteena 6.1. Vahvuudet yksi laite voi hoitaa reunalaitteen ja tilallisen palomuurin tehtävän saatavilla integroituja graafisia hallintajärjestelmiä saatavilla IDS/IPS-toimintoja

8 6.2. Heikkoudet suorituskyky tyypillisesti liitäntänopeus hyvissä olosuhteissa, erityisesti paketinkäsittelykyky rajallinen 1GE saatavilla, 10GE haasteellinen tai erittäin kallista, 40GE/100GE ei saatavilla ominaisuusvalikoima vaihtelee valmistajan mukaan tuki reititysprotokollille harvinainen IPv6-tuki olematon tai puutteellinen multicast-tuki olematon tai puutteellinen suodatusten määrä vaikuttaa suorituskykyyn erityisesti palomuureissa, joissa ei ole optimoituja piirejä kahdennukset ja varayhteydet vaativat tilojen synkronoinnin palomuurien välillä voi olla rajoitteita R&E-verkoille, erityisesti suorituskyky ja tuen puuttuminen moderneille teknologioille harvoissa palomuureissa eriytetty pakettiliikenteen välitystaso hallinta- ja ylläpitotasoista palvelunestohyökkäykset voivat vaikuttaa koko organisaation toimintaan, jos paketinvälityskyky tai yhteyksien määrä ylittyvät hyökkäys pysähtyy reunalaitteseen, kohde voi toimia, mutta ulkoyhteydet eivät Varayhteyttä varten voidaan reunalaite kahdentaa tai vikasietoisuus voidaan tehdä modulaarisen reunalaitteen sisällä kahdentamalla tärkeimmät komponentit. Varayhteys saattaa olla järkevää hankkia vaikkei reunalaitetta olisikaan kahdennettu, varsinkin sellaisessa tapauksessa missä Funetin kuituverkon liityntäpisteestä on pitkä matka lähimpään Funetin reitittimeen. Kuitukatkon todennäköisyys on verrannollinen kuituyhteyden pituuteen ja katkon korjaamisessa voi pahimmillaan mennä päiviä. Reunalaitteen vaihtaminen tai korjaaminen tapahtuvat usein saman päivän sisällä. Vasteaikaan vaikuttavat laitteen huoltosopimukset sekä käytettävissä olevat henkilö- ja varaosaresurssit. 7. Reunalaitteen ominaisuudet Funet-verkkoon kytkeytyminen tarkoittaa muutamaa pakollista vaatimusta reunalaitteelta, jotta liikennöinti on mahdollista. Samalla tavoin varayhteyden käyttöönotto tarkoittaa lisävaatimuksia erityisesti reititysprotokollien osalta. Näiden ohella osa Funetin palveluista voi vaatia lisäominaisuuksia reunalaitteilta. Osa ominaisuuksista on toiminnan varmistamiseen, suojautumiseen, valvontaan, lokitukseen ja hallintaan liittyviä, jotka eivät ole pakollisia, mutta voivat olla silti hyödyllisiä Funet-pääyhteys Funet-pääyhteyttä varten laitteessa on oltava seuraavat ominaisuudet: IPv4 unicast-reititys (pakollinen) IPv6 unicast-reititys [RFC2460] (pakollinen)

9 o IPv4-osoitteet loppuivat IANA:lta alkuvuodesta 2011 o Palvelutason säilyttämiseksi paketinvälitys tehtävä raudalla tai yhtenevällä suorituskyvyllä IPv4:n kanssa 1 GE tai 10 GE liitännät [IEEE802.3] (pakollinen) o Kuituportteja yksi kappale Funet-kytkentään, mielellään vaihdettava optiikka o Liitäntätyyppi riippuen tarvittavasta tiedonsiirtokapasiteetista o Joissain tapauksissa tuki värillisille CWDM tai DWDM-optiikoille [CWDM] [DWDM] 7.2. Funet-varayhteys Funet-varayhteyttä varten vaaditaan Funet-pääyhteyden ominaisuuksien ohella seuraavat: BGPv4 [RFC4271] (pakollinen) o IPv4 ja IPv6 -reititystietojen vaihtaminen o Multicastin osalta katso erillinen kohta MBGP:stä OSPF/OSPFv3 [RFC2328] [RFC5340] tai IS-IS [RFC5308] (hyödyllinen) o Useamman Funet-reunalaitteen ja sisäverkon reitittimen kytkemiseen varmennetusti HSRP/VRRP [RFC5798] (lisäominaisuus) o Kampuslähiverkkoon päin, jos kahdennetut reunalaitteet o Mahdollistaa liikenteen siirtymisen varareitille virtuaalisen yhdyskäytäväosoitteen avulla 1 GE tai 10 GE -liitännät (pakollinen) o Kuituportteja yksi kappale Funet-kytkentään ja vähintään yksi kappale reunalaitteiden yhdistämiseen o Liitäntätyyppi riippuen tarvittavasta tiedonsiirtokapasiteetista o Joissain tapauksissa tuki värillisille optiikoille (CWDM tai DWDM) 7.3. Multicast Multicastia (esim. Funet IPTV) varten tarvitaan seuraavia ominaisuuksia: Staattinen multicast-reititys tai MBGP [RFC4760] (pakollinen) o Riippuen varareititystarpeesta, joko staattinen tai dynaaminen multicast-reititys PIM-SM [RFC4601] (pakollinen) o IPv4 ja IPv6 ASM multicast reititykseen Funettiin ja muihin reunalaitteisiin päin, signaloi aktiiviset lähettäjät ja vastaanottajat RP:lle o Tuki IPv6 Embedded-RP:lle [RFC3956] IGMPv2 / MLDv1 [RFC2236] [RFC2710] (pakollinen) o IPv4 ja IPv6 ASM multicastia varten lähiverkkoon päin, ylläpitää ja välittää lähettäjien ja vastaanottajien tilatietoja o Kytkimissä tarvitaan IGMP snooping ja MLD snooping [RFC4541], jotta liikenne ei kaikuisi kaikkiin portteihin. PIM-SSM [RFC4607], IGMPv3 / MLDv2 [RFC3376] [RFC3810] [RFC5186] (lisäominaisuus) o Vastaavasti SSM-multicastia varten reunalaitteisiin ja IGMPv3/MLDv2 snooping kytkimiin MSDP [RFC3618] [RFC4611] (lisäominaisuus) o IPv4 globaalien multicast-lähetysten mainostamiseen o Funetin MSDP-palvelu myös käytössä

10 o o Anycast RP MSDP:llä tai PIM:llä [RFC4610] (lisäominaisuus) RP:n kahdentamiseen PIM/MSDP/IGMP/MLD-protokollien pääsylistat (lisäominaisuus) Multicast-ryhmätietojen suodatukseen 7.4. Valopolut Jokaiselle valopolulle tarvitaan oma portti (1 GE tai 10 GE) Tyypillisesti tarvitaan tuki CWDM-optiikalle (1 GE tai 10 GE) [CWDM] CWDM-optiikkaa tarvitaan jos hyödynnetään olemassa olevia kuitupareja (Funetliitäntä). o Kuitupareille asennetaan passiiviset CWDM-muksit Muut ominaisuudet Reunalaitteissa on myös syytä ottaa huomioon seuraavia ominaisuuksia: Vikasietoisuus, kahdennetut komponentit o o virtalähteet (vähintään kaksi, laitteen oltava toimintakykyinen toisen rikkouduttua) tuuletinmoduulit reititysmoduuli katkoton toiminta reititysmoduulin häiriötilanteessa (vaihto toiselle reititysmoduulile) katkottomat päivitykset hot-swap -ominaisuus komponentteja vaihdettaessa Ylläpito- ja hallintaominaisuudet Salattu ylläpitoyhteys (SSH) Lokien lähetys ulkoiselle syslog-palvelimelle SNMPv3 verkonvalvontarajapinta 64-bittiset porttilaskurit (32-bittiset pyörähtävät helposti ympäri) IPFix/NetFlow/sFlow tai vastaava IP-liikenteen lokitus ja analysointiominaisuus Eristetty hallintayhteys omasta VLAN:sta tai fyysisestä portista Portin/VLANin liikenteen peilaus (Port Mirroring/Span port) porttiin tai verkon yli. Mahdollisuus tallentaa täydellinen konfiguraatio ASCII-tiedostoon Laitteen tuki ja ohjelmistot Huoltosopimukset ja vasteajat häiriötilanteissa Tuki ohjelmistopäivityksille, roadmap tulevaisuuden ominaisuuksille Valmistajan tuki häiriötilanteissa (puhelin, sähköposti, web, paikallinen edustaja) Lisenssit, ylimääräiset ominaisuuskohtaiset lisenssit Tuki laitevalmistajariippumattomille optiikoille

11 Reunalaitteiden liittäminen kytkininfrastruktuuriin (Layer 2) Linkkien kahdentaminen o LAG, LACP-protokollalla [IEEE802.1AX] o MLAG, MC-LAG tai vastaava, aggregointi useampaan fyysiseen laitteeseen o Spanning Tree (802.1d) linkkien varmistamiseen Rapid STP [IEEE802.1D] Multiple STP [IEEE802.1Q] Virtual LAN (VLAN) -tuki [IEEE802.1Q] Suojaukset kytkininfrastruktuurissa (Layer 2) DHCP snooping o Estää pyynnöt ns. rosvo -DHCP palvelimille, kuten vahingossa verkkoon laitetuille ADSL-purkeille tai WLAN-tukiasemille. o Pitää kirjaa mihin porttiin koneet on kytketty. o Varmistaa, että laite käyttää ainoastaan DHCP-palvelimen sille antamia IPosoitteita. IPv6 RA Guard ja DHCPv6 snooping [RFC6105] o Estää ylimääräiset IPv6 Router Advertisement -mainostukset. o Voidaan toteuttaa myös suodattamalla kytkimissä porttipohjaisesti rogue RA-viestit sekä DHCPv6 -palvelimet. Port security o Portti voidaan lukita toimivaksi vain tietyille MAC-osoitteille. o 802.1X porttikohtainen todentautuminen ARP inspection/ip source guard o Keino varmistaa, että liikennöivä IP-osoite kuuluu oikealle laitteelle. L2 pääsylistat o Pääsylistat kytkinporteissa Private VLAN-tuki 8. Viitteet [RFC2236] RFC 2236, Internet Group Management Protocol, Version 2, [RFC2328] RFC 2328, OSPF Version 2, [RFC2460] RFC 2460, Internet Protocol, Version 6 (IPv6) Specification, [RFC2710] RFC 2710, Multicast Listener Discovery (MLD) for IPv6, [RFC2827] BCP 38, RFC 2827, Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, [RFC3376] RFC 3376, Internet Group Management Protocol, Version 3,

12 [RFC3618] RFC 3618, Multicast Source Discovery Protocol (MSDP), [RFC3654] RFC 3654, Requirements for Separation of IP Control and Forwarding, [RFC3704] BCP 84, RFC 3704, Ingress Filtering for Multihomed Networks, [RFC3810] RFC 3810, Multicast Listener Discovery Version 2 (MLDv2) for IPv6, [RFC3956] RFC 3956, Embedding the Rendezvous Point (RP) Address in and IPv6 Multicast Address, [RFC4271] RFC 4271, A Border Gateway Protocol 4 (BGP-4), [RFC4541] RFC 4541, Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches, [RFC4601] RFC 4601, Protocol Independent Multicast - Sparse Mode (PIM-SM): Protocol Specification (Revised), [RFC4607] RFC 4607, Source-Specific Multicast for IP, [RFC4610] RFC 4610, Anycast-RP Using Protocol Independent Multicast (PIM), [RFC4611] RFC 4611, Multicast Source Discovery Protocol (MSDP) Deployment Scenarios, [RFC4732] RFC 4732, Internet Denial-of-Service Considerations, [RFC4760] RFC 4760, Multiprotocol Extensions for BGP-4, [RFC5186] RFC 5186, Internet Group Management Protocol Version 3 (IGMPv3) / Multicast Listener Discovery Version 2 (MLDv2) and Multicast Routing Protocol Interaction, [RFC5308] RFC 5308, Routing IPv6 with IS-IS, [RFC5340] RFC 5340, OSPF for IPv6, [RFC5575] RFC 5575, Dissemination of Flow Specification Rules, [RFC5635] RFC 5635, Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (urpf),

13 [RFC5798] RFC 5798, Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6, [RFC6105] RFC 6105, IPv6 Router Advertisement Guard, [CPP] IETF Draft, draft-ietf-opsec-protect-control-plane-06, Protecting The Router Control Plane, [IEEE802.1AX] IEEE 802.1AX-2008, IEEE Standard for Local and Metropolitan Area Networks - Link Aggregation, pdf [IEEE802.1D] IEEE 802.1D-2004, IEEE Standard for Local and Metropolitan Area Networks - Media Access Control (MAC) Bridges, [IEEE802.1Q] IEEE 802.1Q-2005, IEEE Standard for Local and Metropolitan Area Networks Virtual Bridged Local Area Networks, [IEEE802.3] IEEE , IEEE Standard for Information technology-specific requirements - Part 3: Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications, [CWDM] Wavelength-division multiplexing Coarse WDM, [DWDM] Wavelength-division multiplexing Dense WDM,